Cisco Duo Security-Connector (über Azure Functions) für Microsoft Sentinel
Der Cisco Duo Security-Datenconnector bietet die Möglichkeit, Authentifizierungsprotokolle, Administratorprotokolle, Telefonieprotokolle, Offlineregistrierungsprotokolle und Trust Monitor-Ereignisse mithilfe der Cisco Duo-Admin-API in Microsoft Sentinel zu erfassen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | CiscoDuo_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Alle Cisco Duo-Protokolle
CiscoDuo_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Cisco Duo Security (über Azure Functions) sicher, dass Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Cisco Duo-API-Anmeldeinformationen: Cisco Duo-API-Anmeldeinformationen mit der Berechtigung Lesen des Protokolls zulassen sind für die Cisco Duo-API erforderlich. Weitere Informationen zum Erstellen von Cisco Duo-API-Anmeldeinformationen finden Sie in der Dokumentation.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector stellt über Azure Functions eine Verbindung mit der Cisco Duo-API her, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
Hinweis
Dieser Daten-Connector ist abhängig von einem Parser, der auf einer Kusto-Funktion basiert, damit er als erwarteter CiscoDuo-Parser funktioniert, der mit der Microsoft Sentinel-Lösung bereitgestellt wird.
SCHRITT 1: Abrufen von Cisco Duo-Admin-API-Anmeldeinformationen
- Befolgen Sie die Anweisungen zum Abrufen des Integrationsschlüssels, geheimen Schlüssels und API-Hostnamens. Verwenden Sie im 4. Schritt der Anweisungen die Berechtigung Lesen des Protokolls zulassen erteilen.
SCHRITT 2 – Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen
WICHTIG: Für die Bereitstellung des Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können aus dem Folgenden kopiert werden) sowie die Verbindungszeichenfolge und den Containernamen von Azure Blob Storage bereithalten.
Option 1: ARM-Vorlage (Azure Resource Manager)
Verwenden Sie diese Methode für die automatisierte Bereitstellung des Datenconnectors mithilfe einer ARM-Vorlage.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Speicherort aus.
Geben Sie den Cisco Duo-Integrationsschlüssel, geheimen Cisco Duo-Schlüssel, Cisco Duo-API-Hostnamen, die Cisco Duo-Protokolltypen, die Microsoft Sentinel-Arbeitsbereichs-ID und den freigegebenen Schlüssel für Microsoft Sentinel ein.
Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
Klicken Sie zum Bereitstellen auf Kaufen.
Option 2: Manuelle Bereitstellung von Azure Functions
Verwenden Sie die folgenden Schrittanweisungen, um den Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.