Konektor Proofpoint TAP (menggunakan Azure Functions) untuk Microsoft Sentinel
Konektor Proofpoint Targeted Attack Protection (TAP) menyediakan kemampuan untuk menyerap log dan peristiwa Proofpoint TAP ke Microsoft Azure Sentinel. Konektor memberikan visibilitas ke dalam peristiwa Pesan dan Klik di Microsoft Azure Sentinel untuk melihat dasbor, membuat pemberitahuan kustom, dan untuk meningkatkan kemampuan pemantauan dan investigasi.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | Microsoft Corporation |
Kueri sampel
Peristiwa klik malware diizinkan
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
Peristiwa klik pengelabuan diblokir
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
Peristiwa pesan malware yang dikirimkan
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
Peristiwa pesan pengelabuan diblokir
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
Prasyarat
Untuk berintegrasi dengan Proofpoint TAP (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- Proofpoint TAP API Key: Nama pengguna dan kata sandi Proofpoint TAP API diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Proofpoint SIEM API.
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk menyambungkan ke Proofpoint TAP untuk menarik lognya ke Microsoft Azure Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.
(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.
LANGKAH 1 - Langkah konfigurasi untuk Proofpoint TAP API
- Masuk ke konsol Proofpoint TAP
- Navigasi ke Sambungkan Aplikasi dan pilih Perwakilan Layanan
- Membuat Perwakilan Layanan (Kunci Otorisasi API)
LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait
PENTING: Sebelum menyebarkan konektor Proofpoint TAP, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta Kunci Otorisasi Proofpoint TAP API, tersedia dengan mudah.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.