Microsoft Sentinel için Cisco ETD (Azure İşlevleri kullanarak) bağlayıcısı
Bağlayıcı, tehdit analizi için ETD api'sinden veri getirir
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | CiscoETD_CL |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | Cisco Systems |
Sorgu örnekleri
Karar türünde bir dönem içinde toplanan olaylar
CiscoETD_CL
| summarize ThreatCount = count() by verdict_category_s, TimeBin = bin(TimeGenerated, 1h)
| project TimeBin, verdict_category_s, ThreatCount
| render columnchart
Önkoşullar
Cisco ETD ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:
- Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
- E-posta Tehdit SavunmaSı API'si, API anahtarı, İstemci Kimliği ve Gizli Dizi: API anahtarı, İstemci Kimliği ve Gizli anahtara sahip olduğunuzdan emin olun.
Satıcı yükleme yönergeleri
Not
Bu bağlayıcı, günlüklerini Microsoft Sentinel'e çekmek üzere ETD API'sine bağlanmak için Azure İşlevleri kullanır.
Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için dağıtım adımlarını izleyin
ÖNEMLİ: ETD veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği'ne ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).
Azure Resource Manager (ARM) Şablonu
Arm Şablonu kullanarak Cisco ETD veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.
Aşağıdaki Azure'a Dağıt düğmesine tıklayın.
Tercih edilen Abonelik, Kaynak Grubu ve Bölge'yi seçin.
WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, ETD Bölgesini girin
Dağıtmak için Oluştur'a tıklayın.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.