Соединитель Proofpoint On Demand Email Security (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных Proofpoint On Demand Email Security обеспечивает получение данных Proofpoint on Demand Email Protection, позволяет пользователям проверять прослеживаемость сообщений, проводить мониторинг активности электронной почты, угроз и кражи данных злоумышленниками и злонамеренными инсайдерами. Коннектор предоставляет возможность просматривать события в вашей организации на ускоренной основе и получать файлы журналов событий с почасовым интервалом для недавних действий.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Описание |
|---|---|
| Код приложения-функции Azure | https://aka.ms/sentinel-proofpointpod-functionapp |
| Псевдоним функции Kusto | ProofpointPOD |
| URL-адрес функции Kusto | https://aka.ms/sentinel-proofpointpod-parser |
| Таблицы Log Analytics | ProofpointPOD_message_CL ProofpointPOD_maillog_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
События последнего сообщения ProofpointPOD
ProofpointPOD
| where EventType == 'message'
| sort by TimeGenerated desc
Последние события почтового журнала ProofpointPod
ProofpointPOD
| where EventType == 'maillog'
| sort by TimeGenerated desc
Предварительные требования
Чтобы интегрироваться с Proofpoint On Demand Email Security (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: разрешения на чтение и запись для Azure Functions необходимы для создания функционального приложения. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные и разрешения API WebSocket: ProofpointClusterID, ProofpointToken требуется. Дополнительные сведения об API см. в документации.
Инструкции по установке оборудования от поставщика
Примечание.
Этот соединитель использует функции Azure для подключения к API Proofpoint WebSocket для передачи журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните следующие действия , чтобы создать псевдоним функций Kusto, ProofpointPod
ШАГ 1. Действия по настройке API Proofpoint WebSocket
- Для службы API Proofpoint WebSocket требуется лицензия на удаленную пересылку системного журнала. См. документацию о том, как включать и проверять API журнала PoD.
- Необходимо указать идентификатор кластера и маркер безопасности.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО: Перед развертыванием соединителя данных Proofpoint On Demand Email Security убедитесь, что идентификатор рабочей области и первичный ключ рабочей области (их можно скопировать из следующего раздела), а также учетные данные API журнала Proofpoint POD имеются в наличии.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания коннектора данных Proofpoint On Demand Email Security с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, ProofpointClusterID, ProofpointToken и разверните.
Пометьте флажок, помеченный как я согласен с условиями, указанными выше.
Нажмите Купить, чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции для развертывания коннектора данных Proofpoint On Demand Email Security вручную с помощью функций Azure (развертывание через Visual Studio Code).
1. Развертывание приложения-функции
ПРИМЕЧАНИЕ.Вам потребуется подготовить VS Code для разработки функций Azure.
Скачайте файл приложения Azure Functions. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".
Выберите папку верхнего уровня из извлеченных файлов.
Выберите значок Azure на панели задач, а затем в области "Функции", нажмите кнопку "Развернуть в приложении функций". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.
Введите следующие сведения в соответствующие поля.
a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
b. Выберите подписку: выберите используемую подписку.
c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")
d. Введите глобально уникальное имя для функционального приложения: введите имя, допустимое для использования в URL. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, ProofpointXXXXXX).
д) Выберите среду выполнения: выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.
Перейдите на портал Azure для конфигурации приложения-функции.
2. Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
- На вкладке Параметры приложения выберите +Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по одному с соответствующими строковыми значениями (с учетом регистра): ProofpointClusterID ProofpointToken WorkspaceID WorkspaceKey logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить API-эндпоинт для аналитики журналов в выделенном облаке. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us
- После ввода всех параметров приложения нажмите кнопку "Сохранить".
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.