Соединитель Cisco ETD (с помощью Функции Azure) для Microsoft Sentinel

Соединитель извлекает данные из API ETD для анализа угроз

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Примеры запросов

Инциденты, агрегированные за период по типу вердикта

CiscoETD_CL 
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h) 
| project TimeBin, verdict_category_s, ThreatCount 
| render columnchart

Необходимые компоненты

Чтобы интегрироваться с Cisco ETD (с помощью Функции Azure), убедитесь, что у вас есть:

• Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
• API защиты от угроз электронной почты, ключ API, идентификатор клиента и секрет: убедитесь, что у вас есть ключ API, идентификатор клиента и секретный ключ.

Инструкции по установке поставщика

Выполните действия по развертыванию, чтобы развернуть соединитель и связанную функцию Azure

ВАЖНО. Перед развертыванием соединителя данных ETD укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела).

Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя данных Cisco ETD с помощью шаблона ARM.

1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

   

2. Выберите предпочтительную подписку, группу ресурсов и регион.

3. Введите Идентификатор рабочей области, SharedKey, ClientID, ClientSecret, ApiKey, Вердикты, регион ETD

4. Нажмите кнопку " Создать ", чтобы развернуть.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.