Łącznik Cisco ETD (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik pobiera dane z interfejsu API ETD na potrzeby analizy zagrożeń
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | CiscoETD_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Cisco Systems |
Przykłady zapytań
Zdarzenia zagregowane w okresie werdyktu
CiscoETD_CL
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h)
| project TimeBin, verdict_category_s, ThreatCount
| render columnchart
Wymagania wstępne
Aby zintegrować aplikację Cisco ETD (przy użyciu usługi Azure Functions), upewnij się, że:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Interfejs API usługi Email Threat Defense, klucz interfejsu API, identyfikator klienta i klucz tajny: upewnij się, że masz klucz interfejsu API, identyfikator klienta i klucz tajny.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API ETD w celu ściągnięcia dzienników do usługi Microsoft Sentinel.
Wykonaj kroki wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych ETD należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).
Szablon usługi Azure Resource Manager (ARM)
Ta metoda służy do zautomatyzowanego wdrażania łącznika danych Cisco ETD przy użyciu szablonu usługi ARM.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i region.
Wprowadź wartości WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, ETD Region
Kliknij przycisk Utwórz , aby wdrożyć.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.