Mit der Microsoft Sentinel-Integration von PowerDMARC können Sie Ihre E-Mail-Authentifizierungs- und Domänensicherheitsdaten nahtlos direkt in Ihrem Sentinel-Arbeitsbereich erfassen und überwachen. Durch die Nutzung der PowerDMARC-API können Unternehmen eine optimierte SIEM-Integration ohne komplexe Konfigurationen aufbauen – einfach verbinden, ausführen und einen zentralen Überblick über ihre E-Mail-Sicherheit in allen Domänen erhalten.
Der Leitfaden konzentriert sich bewusst auf Einrichtung und Erfassung. Sentinel-Dashboards/-Arbeitsmappen sind nicht.
API-Dokumentation:
Swagger Dokumentation: https://app.powerdmarc.com/swagger-ui/index.html
Alternative Dokumentation: https://api.powerdmarc.com/
Anmerkung:
Die Namenskonvention ist nicht auf die in dieser Dokumentation genannten Namen beschränkt.
Architekturübersicht
Für dieses Beispiel verwenden wir den Auditprotokoll-Endpunkt zu Testzwecken und zur Veranschaulichung.
PowerDMARC API
↓
Azure Logic App (geplant)
↓
Azure Log Analytics Workspace
↓
Microsoft Sentinel (Analysen, Vorfälle, Suche)
Sentinel erhält keine Daten direkt. Es liest Daten aus dem Log Analytics-Arbeitsbereich.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie Folgendes haben:
· Azure-Abonnement mit Berechtigung zum Erstellen:
o Ressourcengruppen
o Log Analytics-Arbeitsbereiche
o Logic Apps (Verbrauch) (dies wurde als Präferenz für unsere Testumgebung ausgewählt)
o Microsoft Sentinel
· A PowerDMARC API Bearer Token mit Berechtigung zum Zugriff auf Audit-Protokolle
Einrichtung von Azure-Ressourcen
Ressourcengruppe erstellen
1. Azure-Portal → Ressource erstellen → Ressourcengruppe
2. Name: rg-powerdmarc-sentinel
3. Region: Wählen Sie Ihre bevorzugte Region aus (bleiben Sie dabei konsistent).
Log Analytics-Arbeitsbereich erstellen
1. Azure-Portal → Ressource erstellen → Log Analytics-Arbeitsbereich
2. Name: law-powerdmarc-sentinel
3. Ressourcengruppe: rg-powerdmarc-sentinel
4. Region: wie Ressourcengruppe
Nach der Erstellung: - Öffnen Sie den Arbeitsbereich - Bestätigen Sie Protokolle Klinge öffnet sich erfolgreich
Microsoft Sentinel aktivieren
1. Azure-Portal → Microsoft Sentinel
2. Klicken Sie auf + Erstellen
3. Arbeitsbereich auswählen: law-powerdmarc-sentinel
4. Klicken Sie Hinzufügen
Für diese Integration sind keine Datenkonnektoren erforderlich.
Logik-App erstellen
Logik-App erstellen (Verbrauch)
1. Azure-Portal → Ressource erstellen → Logic App (Verbrauch)
2. Name: la-powerdmarc-sentinel
3. Ressourcengruppe: rg-powerdmarc-sentinel
4. Region: wie Arbeitsbereich
Trigger hinzufügen – Wiederholung (optional)
1. Logic App öffnen → Logic App Designer
2. Wählen Sie Wiederholung Trigger
PowerDMARC-API-Aufruf
5.1 HTTP-Aktion hinzufügen
Aktion hinzufügen → HTTP
Methode: GET
URI: https://app.powerdmarc.com/api/v1/audit-logs
Headers: Authorization: Bearer <POWERDMARC_API_TOKEN>
Akzeptieren: application/json
Abfrageparameter: Von & Bis (Dies sind erforderliche Parameter für die Audit-Log-API. Informationen zum Format finden Sie in der PowerDMARC-API-Dokumentation).
Speichern Sie die Logic App nach diesem Schritt.
JSON-Antwort analysieren
JSON-Aktion hinzufügen
Aktion hinzufügen → JSON analysieren
Inhalt - Wählen Body aus der HTTP-Aktion (Dynamischer Inhalt)
Schema Verwendung „Beispiel-Nutzlast zum Generieren des Schemas verwenden“ und fügen Sie Folgendes ein: (Dies kann den Beispielen in der PowerDMARC-API-Dokumentation entnommen werden):
{
"data": [
{
"user_name": "John Doe",
"action": "Updated attached domains",
"ip_address": "12.111.67.123",
"a_username": null,
"other": null,
"created_at": "2025-06-06 14:29:24"
}
]
}
Speichern Sie die Logic App.
Auditprotokolleinträge durchlaufen
Die PowerDMARC-API gibt ein Array mit Audit-Ereignissen zurück. Jedes Ereignis muss einzeln an Log Analytics gesendet werden.
Für jede Aktion hinzufügen
Aktion hinzufügen → Für jedes
Ausgabe aus vorherigen Schritten auswählen (Ausdruck):@body('Parse_JSON')?['data']
Daten an Log Analytics senden
Aktion „Daten senden“ hinzufügen
Innerhalb der Für jeden Block:
Aktion hinzufügen → Daten senden (Azure Log Analytics)
Log Analytics-Verbindung erstellen
Wenn Sie dazu aufgefordert werden:
Verbindungsname: powerdmarc-loganalytics
Arbeitsbereichs-ID: aus dem Log Analytics-Arbeitsbereich → Übersicht
Arbeitsbereichsschlüssel: Primärschlüssel aus:
Log Analytics-Arbeitsbereich → Einstellungen → Agenten → Log Analytics-Agent (klassisch)
Datenkonfiguration senden
JSON-Anfragetext (Ausdruck):@items('For_each')
Benutzerdefinierter Protokollname: PowerDMARCAuditLog
Speichern Sie die Logic App.
Erfassung validieren
Logik-App ausführen
1. Klicken Ausführen
2. Öffnen Verlauf ausführen
3. Bestätigen Sie alle angezeigten Schritte Erfolgreich
o HTTP
o JSON analysieren
o Für jede (Iterationen > 0)
o Daten senden
Daten in Log Analytics/Sentinel überprüfen
Gehen Sie zu: Microsoft Sentinel → Protokolle
Verwendung von KQL-Abfrageausführung:
PowerDMARCAuditLog_CL
| sort by TimeGenerated desc
| take 20
Erwartetes Ergebnis
An dieser Stelle: - PowerDMARC-Auditprotokolle werden in Azure importiert - Microsoft Sentinel kann: - Daten abfragen - Analyseregeln erstellen - Vorfälle generieren - Suche und Untersuchungen unterstützen