適用於 Microsoft Sentinel 的 Cisco ETD (使用 Azure Functions) 連接器
連接器會從 ETD API 擷取數據以進行威脅分析
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | CiscoETD_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Cisco Systems |
查詢範例
在判決類型期間匯總的事件
CiscoETD_CL
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h)
| project TimeBin, verdict_category_s, ThreatCount
| render columnchart
必要條件
若要與 Cisco ETD 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- 電子郵件威脅防禦 API、API 金鑰、用戶端識別碼和秘密:確定您擁有 API 金鑰、用戶端識別碼和秘密金鑰。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 ETD API,將其記錄提取至 Microsoft Sentinel。
請遵循部署步驟來部署連接器和相關聯的 Azure 函式
重要事項: 部署 ETD 資料連接器之前,請具有工作區標識碼和工作區主鍵(可以從下列內容複製)。
Azure Resource Manager (ARM) 範本
使用這個方法來使用ARM範本自動部署 Cisco ETD 資料連接器。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 區域。
輸入 WorkspaceID、SharedKey、ClientID、ClientSecret、ApiKey、Verdicts、ETD 區域
按兩下 [ 建立 ] 以部署。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。