Konektor Cisco ETD (pomocí Azure Functions) pro Microsoft Sentinel
Konektor načte data z rozhraní ETD API pro analýzu hrozeb.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | CiscoETD_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Cisco Systems |
Ukázky dotazů
Incidenty agregované za určité období u typu verdiktu
CiscoETD_CL
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h)
| project TimeBin, verdict_category_s, ThreatCount
| render columnchart
Požadavky
Pokud chcete provést integraci s Cisco ETD (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Rozhraní API pro ochranu před internetovými hrozbami, klíč rozhraní API, ID klienta a tajný klíč: Ujistěte se, že máte klíč rozhraní API, ID klienta a tajný klíč.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k rozhraní ETD API k načtení protokolů do Microsoft Sentinelu.
Postupujte podle kroků nasazení a nasaďte konektor a přidruženou funkci Azure Functions.
DŮLEŽITÉ: Před nasazením datového konektoru ETD zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete zkopírovat z následujícího kódu).
Šablona Azure Resource Manageru (ARM)
Tuto metodu použijte pro automatizované nasazení datového konektoru Cisco ETD pomocí šablony ARM.
Klikněte níže na tlačítko Nasadit do Azure .
Vyberte upřednostňované předplatné, skupinu prostředků a oblast.
Zadejte ID pracovního prostoru, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, ETD Region.
Kliknutím na Vytvořit nasadíte.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.