Proofpoint TAP-anslutningsprogram (med Azure Functions) för Microsoft Sentinel
Anslutningsappen Proofpoint Targeted Attack Protection (TAP) ger möjlighet att mata in Proofpoint TAP-loggar och händelser i Microsoft Sentinel. Anslutningsappen ger insyn i meddelande- och klickhändelser i Microsoft Sentinel för att visa instrumentpaneler, skapa anpassade aviseringar och förbättra övervaknings- och undersökningsfunktionerna.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Microsoft Corporation |
Exempel på frågor
Tillåtna klickhändelser för skadlig kod
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
Nätfiskeklickshändelser har blockerats
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
Händelser för meddelanden om skadlig kod som levereras
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
Händelser för nätfiskemeddelanden har blockerats
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
Förutsättningar
Om du vill integrera med Proofpoint TAP (med Hjälp av Azure Functions) kontrollerar du att du har:
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
- Proofpoint TAP API Key: Ett Proofpoint TAP API användarnamn och lösenord krävs. Mer information om Proofpoint SIEM API finns i dokumentationen.
Installationsanvisningar för leverantör
Kommentar
Den här anslutningsappen använder Azure Functions för att ansluta till Proofpoint TAP för att hämta loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.
(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.
STEG 1 – Konfigurationssteg för Proofpoint TAP API
- Logga in på Proofpoint TAP-konsolen
- Gå till Anslut program och välj Tjänstens huvudnamn
- Skapa ett huvudnamn för tjänsten (API-auktoriseringsnyckel)
STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen
VIKTIGT! Innan du distribuerar Proofpoint TAP-anslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Proofpoint TAP API Authorization Key(s) som är lättillgängliga.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.