Megosztás a következőn keresztül:

Cisco ETD -összekötő (az Azure Functions használatával) a Microsoft Sentinelhez

  • Cikk

Az összekötő lekéri az adatokat az ETD API-ból fenyegetéselemzés céljából

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) CiscoETD_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Cisco-rendszerek

Példák lekérdezésekre

Az ítélettípuson egy adott időszakban összesített incidensek

CiscoETD_CL 
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h) 
| project TimeBin, verdict_category_s, ThreatCount 
| render columnchart

Előfeltételek

A Cisco ETD-vel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • E-mail Threat Defense API, API-kulcs, ügyfélazonosító és titkos kód: Győződjön meg arról, hogy rendelkezik az API-kulccsal, az ügyfél-azonosítóval és a titkos kulccsal.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik az ETD API-hoz, hogy lekérje a naplóit a Microsoft Sentinelbe.

Az összekötő és a kapcsolódó Azure-függvény üzembe helyezéséhez kövesse az üzembe helyezés lépéseit

FONTOS: Az ETD-adatösszekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható).

Azure Resource Manager-sablon (ARM)

Ezzel a módszerrel automatikusan üzembe helyezhető a Cisco ETD-adatösszekötő ARM-sablonnal.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és régiót.

  3. Adja meg a WorkspaceID, a SharedKey, a ClientID, a ClientSecret, az ApiKey, a Verdicts, az ETD régiót

  4. Kattintson a Létrehozás gombra az üzembe helyezéshez.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.