你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Cisco ETD(使用 Azure Functions)连接器

该连接器从 ETD API 提取数据来进行威胁分析

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 CiscoETD_CL
数据收集规则支持 目前不支持
支持的服务 Cisco 系统

查询示例

一段时间内按裁定类型聚合的事件

CiscoETD_CL 
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h) 
| project TimeBin, verdict_category_s, ThreatCount 
| render columnchart

先决条件

若要与 Cisco ETD(使用 Azure Functions)集成,请确保具有:

  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • 电子邮件威胁防护 API、API 密钥、客户端 ID 和机密:确保具有 API 密钥、客户端 ID 和密钥。

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 ETD API,以将其日志拉取到 Microsoft Sentinel 中。

按照部署选项部署连接器和关联的 Azure 函数

重要说明:部署 ETD 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制)。

Azure 资源管理器 (ARM) 模板

使用此方法利用 ARM 模板自动部署 Cisco ETD 数据连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“区域”。

  3. 输入 WorkspaceID、SharedKey、ClientID、ClientSecret、ApiKey、裁定、ETD 区域

  4. 单击“创建”进行部署。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案