Connettore MailRisk by Secure Practice (uso di Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Connettore dati per eseguire il push dei messaggi di posta elettronica da MailRisk in Microsoft Sentinel Log Analytics.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics MailRiskEmails_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Pratica sicura

Esempi di query

Tutti i messaggi di posta elettronica

MailRiskEmails_CL

| sort by TimeGenerated desc

Messaggi di posta elettronica con passaggio SPF

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

Messaggi di posta elettronica con categoria specifica

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

Messaggi di posta elettronica con URL di collegamento che contengono la stringa "microsoft"

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

Prerequisiti

Per eseguire l'integrazione con MailRisk by Secure Practice (usando Funzioni di Azure) assicurarsi di disporre di:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • Credenziali API: è necessaria anche la coppia di chiavi API Secure Practice, che vengono create nelle impostazioni nel portale di amministrazione. Se il segreto API è stato perso, è possibile generare una nuova coppia di chiavi (AVVISO: tutte le altre integrazioni che usano la coppia di chiavi precedente smetteranno di funzionare).

Istruzioni di installazione fornitore

Nota

Questo connettore usa Funzioni di Azure per connettersi all'API Secure Practice per eseguire il push dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.

Si prega di avere questi ID area di lavoro e chiave primaria dell'area di lavoro (può essere copiato da quanto segue), prontamente disponibile.

Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore dati MailRisk usando un modello di Resource Manager.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.

  3. Immettere l'ID dell'area di lavoro, la chiave dell'area di lavoro, la chiave API secure practice, il segreto dell'API secure practice

  4. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati in precedenza.

  5. Fare clic su Acquista per distribuire.

Distribuzione manuale

Nel repository open source in GitHub è possibile trovare istruzioni su come distribuire manualmente il connettore dati.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.