Поделиться через

Соединитель MailRisk by Secure Practice (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных для отправки сообщений электронной почты из MailRisk в Microsoft Sentinel Log Analytics.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics MailRiskEmails_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Безопасная практика

Примеры запросов

Все сообщения электронной почты

MailRiskEmails_CL

| sort by TimeGenerated desc

Сообщения электронной почты с передачей SPF

MailRiskEmails_CL

| where spf_s == 'pass' 

| sort by TimeGenerated desc

Сообщения электронной почты с определенной категорией

MailRiskEmails_CL

| where Category == 'scam' 

| sort by TimeGenerated desc

Сообщения электронной почты с URL-адресами ссылки, содержащим строку "microsoft"

MailRiskEmails_CL

| sort by TimeGenerated desc

| mv-expand link = parse_json(links_s)

| where link.url contains "microsoft"

Необходимые компоненты

Чтобы интегрироваться с MailRisk by Secure Practice (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные API. Также требуется пара ключей API Secure Practice, которая создается в параметрах на портале администрирования. Если вы потеряли секрет API, можно создать новую пару ключей (ПРЕДУПРЕЖДЕНИЕ: любые другие интеграции с помощью старой пары ключей перестают работать).

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Secure Practice для отправки журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

Укажите эти идентификаторы рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).

Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя данных MailRisk с помощью шаблона ARM.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите идентификатор рабочей области, ключ рабочей области, ключ API Secure Practice, секрет API Secure Practice

  4. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".

  5. Нажмите кнопку " Купить" , чтобы развернуть.

Ручное развертывание

В репозитории открытый код на GitHub можно найти инструкции по развертыванию соединителя данных вручную.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.