Compartilhar via


Conector Cisco ETD (usando Azure Functions) para Microsoft Sentinel

O conector busca dados da API ETD para análise de ameaças

Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics CiscoETD_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Cisco Systems

Exemplos de consulta

Incidentes agregados durante um período por tipo de veredicto

CiscoETD_CL 
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h) 
| project TimeBin, verdict_category_s, ThreatCount 
| render columnchart

Pré-requisitos

Para integrar com Cisco ETD (usando Azure Functions), certifique-se de ter:

  • Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
  • API Email Threat Defense, chave API, ID do cliente e segredo: certifique-se de ter a chave API, o ID do cliente e a chave secreta.

Instruções de instalação do fornecedor

Observação

Esse conector usa Azure Functions para se conectar à API ETD para extrair seus logs para o Microsoft Sentinel.

Siga as etapas de implantação para implantar o conector e o Azure Function associado

IMPORTANTE: Antes de implantar o conector de dados ETD, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiadas a partir do seguinte).

Modelo do ARM (Azure Resource Manager)

Use esse método para implantação automatizada do conector de dados Cisco ETD usando um modelo ARM.

  1. Clique no botão Implantar no Azure abaixo.

    Implantar no Azure

  2. Selecione a Assinatura, o Grupo de Recursos e o Região de sua preferência.

  3. Insira WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, Região ETD

  4. Clique em Criar para implantar.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.