你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Cisco ETD(使用 Azure Functions)连接器
该连接器从 ETD API 提取数据来进行威胁分析
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | CiscoETD_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Cisco 系统 |
查询示例
一段时间内按裁定类型聚合的事件
CiscoETD_CL
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h)
| project TimeBin, verdict_category_s, ThreatCount
| render columnchart
先决条件
若要与 Cisco ETD(使用 Azure Functions)集成,请确保具有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- 电子邮件威胁防护 API、API 密钥、客户端 ID 和机密:确保具有 API 密钥、客户端 ID 和密钥。
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 ETD API,以将其日志拉取到 Microsoft Sentinel 中。
按照部署选项部署连接器和关联的 Azure 函数
重要说明:部署 ETD 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制)。
Azure 资源管理器 (ARM) 模板
使用此方法利用 ARM 模板自动部署 Cisco ETD 数据连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“区域”。
输入 WorkspaceID、SharedKey、ClientID、ClientSecret、ApiKey、裁定、ETD 区域
单击“创建”进行部署。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。