Freigeben über

Cisco ETD-Connector (mithilfe von Azure Functions) für Microsoft Sentinel

  • Artikel

Der Connector ruft Daten aus der ETD-API für die Bedrohungsanalyse ab.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen CiscoETD_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Cisco Systems

Abfragebeispiele

Vorfälle, die über einen Zeitraum zum Bewertungstyp aggregiert wurden

CiscoETD_CL 
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h) 
| project TimeBin, verdict_category_s, ThreatCount 
| render columnchart

Voraussetzungen

Stellen Sie für die Integration in Cisco ETD (mithilfe von Azure Functions) sicher, dass Sie folgendes haben:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • API für E-Mail Threat Defense, API-Schlüssel, Client-ID und geheimer Schlüssel: Stellen Sie sicher, dass Sie über den API-Schlüssel, die Client-ID und den geheimen Schlüssel verfügen.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector verbindet sich über Azure Functions mit der ETD-API, um deren Protokolle in Microsoft Sentinel zu pullen.

Befolgen Sie die Bereitstellungsschritte, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.

WICHTIG: Vor der Bereitstellung des ETD-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel haben (können aus dem Folgenden kopiert werden).

Azure Resource Manager (ARM)-Vorlage

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Cisco ETD-Datenconnectors mithilfe einer ARM-Vorlage.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.

  3. Geben Sie WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts und ETD Region ein.

  4. Klicken Sie zum Bereitstellen auf Erstellen.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.