你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 MailRisk by Secure Practice(使用 Azure Functions)连接器

用于将电子邮件从 MailRisk 推送到 Microsoft Sentinel Log Analytics 的数据连接器。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 MailRiskEmails_CL
数据收集规则支持 目前不支持
支持的服务 Secure Practice

查询示例

所有电子邮件

MailRiskEmails_CL

| sort by TimeGenerated desc

具有 SPF 传递的电子邮件

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

具有特定类别的电子邮件

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

具有包含字符串“microsoft”的链接 URL 的电子邮件

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

先决条件

若要集成 MailRisk by Secure Practice(使用 Azure Functions),请确保具备:

  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • API 凭据:还需要 Secure Practice API 密钥对,这些密钥对是在管理门户的设置中创建的。 如果丢失了 API 机密,则可以生成新的密钥对(警告:使用旧密钥对的任何其他集成都将停止工作)。

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Secure Practice API,以将日志推送到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

请准备好这些工作区 ID 和工作区主密钥(可从下面复制)。

Azure 资源管理器 (ARM) 模板

使用此方法通过 ARM 模板自动部署 MailRisk 数据连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“位置”。

  3. 输入工作区 ID工作区密钥Secure Practice API 密钥Secure Practice API 机密

  4. 选中“我同意上述条款和条件”复选框。

  5. 单击“购买”进行部署。

手动部署

GitHub 上的开放源代码存储库中,可以找到有关如何手动部署数据连接器的说明。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案