Cisco ETD -összekötő (az Azure Functions használatával) a Microsoft Sentinelhez
Az összekötő lekéri az adatokat az ETD API-ból fenyegetéselemzés céljából
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | CiscoETD_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Cisco-rendszerek |
Példák lekérdezésekre
Az ítélettípuson egy adott időszakban összesített incidensek
CiscoETD_CL
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h)
| project TimeBin, verdict_category_s, ThreatCount
| render columnchart
Előfeltételek
A Cisco ETD-vel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:
- Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
- E-mail Threat Defense API, API-kulcs, ügyfélazonosító és titkos kód: Győződjön meg arról, hogy rendelkezik az API-kulccsal, az ügyfél-azonosítóval és a titkos kulccsal.
Szállító telepítési útmutatója
Feljegyzés
Ez az összekötő az Azure Functions használatával csatlakozik az ETD API-hoz, hogy lekérje a naplóit a Microsoft Sentinelbe.
Az összekötő és a kapcsolódó Azure-függvény üzembe helyezéséhez kövesse az üzembe helyezés lépéseit
FONTOS: Az ETD-adatösszekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható).
Azure Resource Manager-sablon (ARM)
Ezzel a módszerrel automatikusan üzembe helyezhető a Cisco ETD-adatösszekötő ARM-sablonnal.
Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.
Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és régiót.
Adja meg a WorkspaceID, a SharedKey, a ClientID, a ClientSecret, az ApiKey, a Verdicts, az ETD régiót
Kattintson a Létrehozás gombra az üzembe helyezéshez.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: