Microsoft Sentinel 用 Cisco ETD (Azure Functions を使用) コネクタ
コネクタは、脅威分析のために ETD API からデータをフェッチします
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | CiscoETD_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Cisco Systems |
クエリのサンプル
判定の種類の期間にわたって集計されたインシデント
CiscoETD_CL
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h)
| project TimeBin, verdict_category_s, ThreatCount
| render columnchart
前提条件
Cisco ETD (Azure Functions を使用) と統合する場合は、次のものがあることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Email Threat Defense API、API キー、クライアント ID、シークレット: API キー、クライアント ID、秘密鍵があることを確認します。
ベンダーのインストール手順
Note
このコネクタは Azure Functions を使用して ETD API に接続し、ログを Microsoft Sentinel にプルします。
デプロイ手順に従って、コネクタと、関連付けられている Azure 関数をデプロイします
重要: ETD データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーを用意します (以下からコピー可)。
Azure Resource Manager (ARM) テンプレート
ARM テンプレートを使用して Cisco ETD データ コネクタを自動的にデプロイするには、この方法を使用します。
下の [Azure へのデプロイ] ボタンをクリックします。
使用するサブスクリプション、リソース グループ、リージョンを選択します。
WorkspaceID、SharedKey、ClientID、ClientSecret、ApiKey、Verdicts、ETD Region を入力します。
[作成] をクリックしてデプロイします。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。