Microsoft Sentinel 的 Proofpoint TAP (使用 Azure Functions) 連接器
Proofpoint Targeted Attack Protection (TAP) 連接器提供將 Proofpoint TAP 記錄和事件內嵌至 Microsoft Sentinel 的功能。 連接器可讓您檢視Microsoft Sentinel中的訊息和 Click 事件,以檢視儀錶板、建立自定義警示,以及改善監視和調查功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
允許惡意代碼點擊事件
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
網路釣魚點選事件已封鎖
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
傳遞的惡意代碼訊息事件
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
網路釣魚訊息事件遭到封鎖
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
必要條件
若要與 Proofpoint TAP 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- Proofpoint TAP API 金鑰:需要 Proofpoint TAP API 使用者名稱和密碼。 請參閱檔以深入瞭解 Proofpoint SIEM API。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Proofpoint TAP,將其記錄提取到 sentinel Microsoft。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
步驟 1 - Proofpoint TAP API 的設定步驟
- 登入 Proofpoint TAP 控制台
- 瀏覽至 [ 連線應用程式 ],然後選取 [服務主體]
- 建立 服務主體 (API 授權金鑰 )
步驟 2 - 從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure 函式
重要事項: 部署 Proofpoint TAP 連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及 Proofpoint TAP API 授權密鑰(s),可供使用。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。