你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Proofpoint TAP(使用 Azure Functions)连接器

Proofpoint Targeted Attack Protection (TAP) 连接器提供将 Proofpoint TAP 日志和事件引入 Microsoft Sentinel 的功能。 该连接器支持在 Microsoft Sentinel 中查看消息事件和单击事件,以便查看仪表板、创建自定义警报以及改进监视和调查功能。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 ProofPointTAPClicksPermitted_CL
ProofPointTAPClicksBlocked_CL
ProofPointTAPMessagesDelivered_CL
ProofPointTAPMessagesBlocked_CL
数据收集规则支持 目前不支持
支持的服务 Microsoft Corporation

查询示例

已允许恶意软件单击事件

ProofPointTAPClicksPermitted_CL

| where classification_s == "malware" 

| take 10

已阻止网络钓鱼单击事件

ProofPointTAPClicksBlocked_CL

| where classification_s == "phish" 

| take 10

已发送恶意软件消息事件

ProofPointTAPMessagesDelivered_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "malware" 

| take 10

已阻止网络钓鱼消息事件

ProofPointTAPMessagesBlocked_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "phish"

先决条件

若要与 Proofpoint TAP 集成(使用 Azure Functions),请确保拥有:

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Proofpoint TAP,以将其日志拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

步骤 1 - Proofpoint TAP API 的配置步骤

  1. 登录到 Proofpoint TAP 控制台
  2. 导航到“连接应用程序”,然后选择“服务主体”
  3. 创建服务主体(API 授权密钥)

步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

重要说明:部署 Proofpoint TAP 连接器前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制),以及随时可用的 Proofpoint TAP API 授权密钥。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案