Благодаря интеграции PowerDMARC с Microsoft Sentinel вы можете легко получать и отслеживать данные об аутентификации электронной почты и безопасности домена прямо в рабочей среде Sentinel. Используя API PowerDMARC, организации могут создать оптимизированную интеграцию SIEM без сложных настроек — просто подключитесь, запустите и получите централизованный обзор состояния безопасности электронной почты во всех доменах.
Руководство намеренно фокусируется на настройке и вводе данных. Панели мониторинга/рабочие книги Sentinel не входят в сферу его применения.
Документация API:
Документация по Swagger: https://app.powerdmarc.com/swagger-ui/index.html
Альтернативная документация: https://api.powerdmarc.com/
Примечание:
Конвенция именования не ограничивается теми, которые упомянуты в данной документации.
Обзор архитектуры
В этом примере мы используем конечную точку журнала аудита для тестирования и иллюстрации.
API PowerDMARC
↓
Azure Logic App (запланировано)
↓
Рабочая область Azure Log Analytics
↓
Microsoft Sentinel (аналитика, инциденты, поиск)
Sentinel не получает данные напрямую. Он считывает данные из рабочей области Log Analytics.
Предпосылки
Перед началом работы убедитесь, что у вас есть:
· Подписка Azure с разрешением на создание:
o Ресурсные группы
o Рабочие пространства Log Analytics
o Логические приложения (потребление) (это было выбрано в качестве предпочтения для нашей тестовой среды)
o Microsoft Sentinel
· A токен носителя API PowerDMARC с разрешением на доступ к журналы аудита
Настройка ресурсов Azure
Создать группу ресурсов
1. Портал Azure → Создать ресурс → Группа ресурсов
2. Название: rg-powerdmarc-sentinel
3. Регион: выберите предпочтительный регион (сохраняйте его неизменным)
Создать рабочую область Log Analytics
1. Портал Azure → Создать ресурс → Рабочая область Log Analytics
2. Название: law-powerdmarc-sentinel
3. Группа ресурсов: rg-powerdmarc-sentinel
4. Регион: такой же, как у группы ресурсов
После создания: - Откройте рабочую область - Подтвердите Журналы лезвие открывается успешно
Включить Microsoft Sentinel
1. Портал Azure → Microsoft Sentinel
2. Нажмите + Создать
3. Выберите рабочую область: law-powerdmarc-sentinel
4. Нажмите Добавить
Для этой интеграции не требуются коннекторы данных.
Создать приложение Logic App
Создать приложение Logic App (потребление)
1. Портал Azure → Создать ресурс → Логическое приложение (потребление)
2. Название: la-powerdmarc-sentinel
3. Группа ресурсов: rg-powerdmarc-sentinel
4. Регион: такой же, как рабочая область
Добавить триггер – Повторение (необязательно)
1. Откройте приложение Logic App → Дизайнер приложения Logic
2. Выберите Повторение триггер
Вызов API PowerDMARC
5.1 Добавить действие HTTP
Добавить действие → HTTP
Метод: GET
URI: https://app.powerdmarc.com/api/v1/audit-logs
Headers: Authorization: Bearer <POWERDMARC_API_TOKEN>
Принять: application/json
Параметры запроса: From & To (Это обязательные параметры для API журнала аудита. Обратитесь к документации по API PowerDMARC, чтобы ознакомиться с форматом)
После этого шага сохраните приложение Logic App.
Анализ ответа JSON
Добавить действие «Анализ JSON»
Добавить действие → Анализировать JSON
Содержание - Выбрать Тело из HTTP-действия (Динамический контент)
Схема Использование «Использовать образец полезной нагрузки для генерации схемы» и вставьте: (Это можно взять из примеров документации API PowerDMARC):
{
"data": [
{
"user_name": "John Doe",
"action": "Updated attached domains",
"ip_address": "12.111.67.123",
"a_username": null,
"other": null,
"created_at": "2025-06-06 14:29:24"
}
]
}
Сохраните приложение Logic App.
Циклический просмотр записей журнала аудита
API PowerDMARC возвращает массив событий аудита. Каждое событие должно быть отправлено в Log Analytics отдельно.
Добавить для каждого действия
Добавить действие → Для каждого
Выберите вывод из предыдущих шагов (Выражение):@body('Parse_JSON')?['data']
Отправить данные в Log Analytics
Добавить действие «Отправить данные»
Внутри Для каждого блок:
Добавить действие → Отправить данные (Azure Log Analytics)
Создать подключение Log Analytics
Когда появится запрос:
Имя соединения: powerdmarc-loganalytics
Идентификатор рабочей области: из рабочей области Log Analytics → Обзор
Ключ рабочего пространства: Первичный ключ из:
Рабочая область Log Analytics → Настройки → Агенты → Агент Log Analytics (классический)
Отправить конфигурацию данных
Тело запроса JSON (выражение):@items('For_each')
Название пользовательского журнала: PowerDMARCAuditLog
Сохраните приложение Logic App.
Проверка ввода данных
Запустить приложение Logic
1. Нажмите Выполнить
2. Открыть История запусков
3. Подтвердите все показанные шаги Успешно
o HTTP
o Анализ JSON
o Для каждого (итерации > 0)
o Отправить данные
Проверка данных в Log Analytics / Sentinel
Перейти к: Microsoft Sentinel → Журналы
Использование KQL Запуск запроса:
PowerDMARCAuditLog_CL
| sort by TimeGenerated desc
| take 20
Ожидаемый результат
На данный момент: - Журналы аудита PowerDMARC поступают в Azure - Microsoft Sentinel может: - Запрашивать данные - Создавать правила аналитики - Генерировать инциденты - Поддерживать поиск и расследования