Conector Cisco ETD (usando o Azure Functions) para Microsoft Sentinel
O conector busca dados da api ETD para análise de ameaças
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | CiscoETD_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Sistemas Cisco |
Exemplos de consulta
Incidentes agregados ao longo de um período no tipo de veredicto
CiscoETD_CL
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h)
| project TimeBin, verdict_category_s, ThreatCount
| render columnchart
Pré-requisitos
Para integrar com o Cisco ETD (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- API de defesa contra ameaças de e-mail, chave de API, ID do cliente e segredo: certifique-se de ter a chave da API, a ID do cliente e a chave secreta.
Instruções de instalação do fornecedor
Nota
Esse conector usa o Azure Functions para se conectar à API do ETD para extrair seus logs para o Microsoft Sentinel.
Siga as etapas de implantação para implantar o conector e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector de dados ETD, tenha a ID do espaço de trabalho e a chave primária do espaço de trabalho (pode ser copiada do seguinte).
Modelo do Azure Resource Manager (ARM)
Use este método para a implementação automatizada do conector de dados Cisco ETD usando um modelo ARM.
Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e a Região preferidos.
Insira o WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, Região ETD
Clique em Criar para implantar.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.