共用方式為


適用於 Microsoft Sentinel 的 Cisco ETD (使用 Azure Functions) 連接器

連接器會從 ETD API 擷取數據以進行威脅分析

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) CiscoETD_CL
數據收集規則支援 目前不支援
支援者: Cisco Systems

查詢範例

在判決類型期間匯總的事件

CiscoETD_CL 
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h) 
| project TimeBin, verdict_category_s, ThreatCount 
| render columnchart

必要條件

若要與 Cisco ETD 整合(使用 Azure Functions),請確定您有:

  • Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions
  • 電子郵件威脅防禦 API、API 金鑰、用戶端識別碼和秘密:確定您擁有 API 金鑰、用戶端識別碼和秘密金鑰。

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 ETD API,將其記錄提取至 Microsoft Sentinel。

請遵循部署步驟來部署連接器和相關聯的 Azure 函式

重要事項: 部署 ETD 資料連接器之前,請具有工作區標識碼和工作區主鍵(可以從下列內容複製)。

Azure Resource Manager (ARM) 範本

使用這個方法來使用ARM範本自動部署 Cisco ETD 資料連接器。

  1. 按兩下下方的 [ 部署至 Azure ] 按鈕。

    部署至 Azure

  2. 選取慣用 的訂用帳戶資源群組區域

  3. 輸入 WorkspaceIDSharedKeyClientIDClientSecretApiKey、VerdictsETD 區域

  4. 按兩下 [ 建立 ] 以部署。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案