Conector Cisco ETD (usando Azure Functions) para Microsoft Sentinel
O conector busca dados da API ETD para análise de ameaças
Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | CiscoETD_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Cisco Systems |
Exemplos de consulta
Incidentes agregados durante um período por tipo de veredicto
CiscoETD_CL
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h)
| project TimeBin, verdict_category_s, ThreatCount
| render columnchart
Pré-requisitos
Para integrar com Cisco ETD (usando Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- API Email Threat Defense, chave API, ID do cliente e segredo: certifique-se de ter a chave API, o ID do cliente e a chave secreta.
Instruções de instalação do fornecedor
Observação
Esse conector usa Azure Functions para se conectar à API ETD para extrair seus logs para o Microsoft Sentinel.
Siga as etapas de implantação para implantar o conector e o Azure Function associado
IMPORTANTE: Antes de implantar o conector de dados ETD, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiadas a partir do seguinte).
Modelo do ARM (Azure Resource Manager)
Use esse método para implantação automatizada do conector de dados Cisco ETD usando um modelo ARM.
Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e o Região de sua preferência.
Insira WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, Região ETD
Clique em Criar para implantar.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.