Connettore Cisco ETD (con Funzioni di Azure) per Microsoft Sentinel
Il connettore recupera i dati dall'API ETD per l'analisi delle minacce
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
Attributo connettore | Descrizione |
---|---|
Tabelle Log Analytics | CiscoETD_CL |
Supporto regole di raccolta dati | Non è al momento supportato |
Supportata da: | Cisco Systems |
Esempi di query
Eventi imprevisti aggregati in un periodo in base al tipo di verdetto
CiscoETD_CL
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h)
| project TimeBin, verdict_category_s, ThreatCount
| render columnchart
Prerequisiti
Per eseguire l'integrazione con Cisco ETD (usando Funzioni di Azure) assicurarsi di avere:
- autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
- API Email Threat Defense, chiave API, ID client e segreto: assicurarsi di avere la chiave API, l'ID client e la chiave privata.
Istruzioni per l’installazione di Vendor
Nota
Questo connettore usa Funzioni di Azure per connettersi all'API ETD per eseguire il pull dei log in Microsoft Sentinel.
Seguire la procedura di distribuzione per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: prima di distribuire il connettore dati ETD, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue).
Modello di Azure Resource Manager (ARM)
Usare questo metodo per la distribuzione automatica del connettore dati Cisco ETD usando un modello di Resource Manager.
Fare clic sul pulsante Distribuisci in Azure sotto.
Selezionare la sottoscrizione preferita, il gruppo di risorse e l'area.
Immettere WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, ETD Region
Fare clic su Crea per distribuire.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.