Condividi tramite

Connettore Cisco ETD (con Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Il connettore recupera i dati dall'API ETD per l'analisi delle minacce

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics CiscoETD_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Cisco Systems

Esempi di query

Eventi imprevisti aggregati in un periodo in base al tipo di verdetto

CiscoETD_CL 
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h) 
| project TimeBin, verdict_category_s, ThreatCount 
| render columnchart

Prerequisiti

Per eseguire l'integrazione con Cisco ETD (usando Funzioni di Azure) assicurarsi di avere:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • API Email Threat Defense, chiave API, ID client e segreto: assicurarsi di avere la chiave API, l'ID client e la chiave privata.

Istruzioni di installazione fornitore

Nota

Questo connettore usa Funzioni di Azure per connettersi all'API ETD per eseguire il pull dei log in Microsoft Sentinel.

Seguire la procedura di distribuzione per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore dati ETD, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue).

Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore dati Cisco ETD usando un modello di Resource Manager.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e l'area.

  3. Immettere WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, ETD Region

  4. Fare clic su Crea per distribuire.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.