Cisco ETD (使用 Azure Functions) 連接器進行Microsoft Sentinel
連接器會從 ETD API 擷取數據以進行威脅分析
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | CiscoETD_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Cisco 系統 |
查詢範例
在判決類型期間匯總的事件
CiscoETD_CL
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h)
| project TimeBin, verdict_category_s, ThreatCount
| render columnchart
必要條件
若要與 Cisco ETD 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- 電子郵件威脅防禦 API、API 金鑰、用戶端識別碼和秘密:確定您擁有 API 金鑰、用戶端識別碼和秘密金鑰。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 ETD API,將其記錄提取到 sentinel Microsoft。
請遵循部署步驟來部署連接器和相關聯的 Azure 函式
重要事項: 部署 ETD 資料連接器之前,請具有工作區標識碼和工作區主鍵(可以從下列內容複製)。
Azure Resource Manager (ARM) 範本
使用這個方法來使用ARM範本自動部署 Cisco ETD 資料連接器。
按一下下方的 [部署至 Azure] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 區域。
輸入 WorkspaceID、SharedKey、ClientID、ClientSecret、ApiKey、Verdicts、ETD 區域
按兩下 [ 建立 ] 以部署。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。