Proofpoint TAP-Connector (über Azure Functions) für Microsoft Sentinel

Der Proofpoint Targeted Attack Protection(TAP)-Connector bietet die Möglichkeit, Proofpoint TAP-Protokolle und -Ereignisse in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in Nachrichten- und Klickereignisse in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Überwachungs- und Untersuchungsfunktionen zu verbessern.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen ProofPointTAPClicksPermitted_CL
ProofPointTAPClicksBlocked_CL
ProofPointTAPMessagesDelivered_CL
ProofPointTAPMessagesBlocked_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

Zugelassene Schadsoftware-Klickereignisse

ProofPointTAPClicksPermitted_CL

| where classification_s == "malware" 

| take 10

Blockierte Phishing-Klickereignisse

ProofPointTAPClicksBlocked_CL

| where classification_s == "phish" 

| take 10

Übermittelte Schadsoftware-Nachrichtenereignisse

ProofPointTAPMessagesDelivered_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "malware" 

| take 10

Blockierte Phishing-Nachrichtenereignisse

ProofPointTAPMessagesBlocked_CL

| mv-expand todynamic(threatsInfoMap_s)

| extend classification = tostring(threatsInfoMap_s.classification)

| where classification == "phish"

Voraussetzungen

Stellen Sie für die Integration in Proofpoint TAP (über Azure Functions) sicher, dass Folgendes vorhanden ist:

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector verbindet sich über Azure Functions mit Proofpoint TAP, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die Proofpoint TAP-API

  1. Melden Sie sich bei der Proofpoint TAP-Konsole an.
  2. Navigieren Sie zu Anwendungen verbinden, und wählen Sie Dienstprinzipal aus.
  3. Erstellen eines Dienstprinzipals (API-Autorisierungsschlüssel)

SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen

WICHTIG: Für die Bereitstellung des Proofpoint TAP-Connectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie die Autorisierungsschlüssel der Proofpoint TAP-API bereithalten.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.