Conector Cisco ETD (usando o Azure Functions) para Microsoft Sentinel

O conector busca dados da api ETD para análise de ameaças

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector	Description
Tabela(s) do Log Analytics	CiscoETD_CL
Suporte a regras de coleta de dados	Não é suportado atualmente
Apoiado por	Sistemas Cisco

Exemplos de consulta

Incidentes agregados ao longo de um período no tipo de veredicto

CiscoETD_CL 
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h) 
| project TimeBin, verdict_category_s, ThreatCount 
| render columnchart

Pré-requisitos

Para integrar com o Cisco ETD (usando o Azure Functions), certifique-se de ter:

• Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
• API de defesa contra ameaças de e-mail, chave de API, ID do cliente e segredo: certifique-se de ter a chave da API, a ID do cliente e a chave secreta.

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar à API do ETD para extrair seus logs para o Microsoft Sentinel.

Siga as etapas de implantação para implantar o conector e a Função do Azure associada

IMPORTANTE: Antes de implantar o conector de dados ETD, tenha a ID do espaço de trabalho e a chave primária do espaço de trabalho (pode ser copiada do seguinte).

Modelo do Azure Resource Manager (ARM)

Use este método para a implementação automatizada do conector de dados Cisco ETD usando um modelo ARM.

1. Clique no botão Implantar no Azure abaixo.

   

2. Selecione a Assinatura, o Grupo de Recursos e a Região preferidos.

3. Insira o WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, Região ETD

4. Clique em Criar para implantar.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.