مشاركة عبر

موصل Cisco Duo Security (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

يوفر موصل بيانات أمان Cisco Duo القدرة على استيعاب سجلات المصادقة وسجلات المسؤول وسجلات الاتصالات الهاتفية وسجلات التسجيل دون اتصال وأحداث مراقبة الثقة في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات مسؤول Cisco Duo. راجع وثائق واجهة برمجة التطبيقات للحصول على مزيد من المعلومات.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الموصل

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics CiscoDuo_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل Microsoft Corporation

عينات الاستعلام

جميع سجلات Cisco Duo

CiscoDuo_CL

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع Cisco Duo Security (باستخدام Azure Functions) تأكد من أن لديك:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • بيانات اعتماد واجهة برمجة تطبيقات Cisco Duo: بيانات اعتماد واجهة برمجة تطبيقات Cisco Duo مع إذن منح سجل القراءة مطلوب لواجهة برمجة تطبيقات Cisco Duo. راجع الوثائق لمعرفة المزيد حول إنشاء بيانات اعتماد Cisco Duo API.

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل وظائف Azure للاتصال بواجهة برمجة تطبيقات Cisco Duo لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

إشعار

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع CiscoDuo الذي يتم نشره مع حل Microsoft Sentinel.

الخطوة 1 - الحصول على بيانات اعتماد واجهة برمجة تطبيقات مسؤول Cisco Duo

  1. اتبع الإرشادات للحصول على مفتاح التكامل والمفتاح السري واسم مضيف واجهة برمجة التطبيقات. استخدم منح إذن سجل القراءة في الخطوة الرابعة من الإرشادات.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل البيانات، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى سلسلة الاتصال تخزين Azure Blob واسم الحاوية، المتوفرين بسهولة.

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل البيانات باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure النشر إلى Azure Gov

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل مفتاح تكامل Cisco Duo وCisco Duo Secret Key وCisco Duo API Hostname وCisco Duo Log Types ومعرف مساحة عمل Microsoft Sentinel وMicrosoft Sentinel Shared Key

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل البيانات يدويا باستخدام Azure Functions (النشر عبر Visual Studio Code).

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.