Cisco Umbrella-Connector (über Azure Functions) für Microsoft Sentinel
Der Cisco Umbrella-Datenconnector bietet die Möglichkeit, in Amazon S3 gespeicherte Cisco Umbrella-Ereignisse über die Amazon S3-REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in der Dokumentation zur Protokollverwaltung von Cisco Umbrella.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Kusto-Funktionsalias | Cisco_Umbrella |
| URL der Kusto-Funktion | https://aka.ms/sentinel-ciscoumbrella-function |
| Log Analytics-Tabellen | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Alle Cisco Umbrella-Protokolle
Cisco_Umbrella
| sort by TimeGenerated desc
Cisco Umbrella-DNS-Protokolle
Cisco_Umbrella
| where EventType == 'dnslogs'
| sort by TimeGenerated desc
Cisco Umbrella-Proxyprotokolle
Cisco_Umbrella
| where EventType == 'proxylogs'
| sort by TimeGenerated desc
Cisco Umbrella-IP-Protokolle
Cisco_Umbrella
| where EventType == 'iplogs'
| sort by TimeGenerated desc
Cisco Umbrella-Cloudfirewallprotokolle
Cisco_Umbrella
| where EventType == 'cloudfirewalllogs'
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Cisco Umbrella (über Azure-Funktionen) sicher, dass Folgendes vorhanden ist:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Anmeldeinformationen/Berechtigungen für die Amazon S3-REST-API: AWS-Zugriffsschlüssel-ID, AWS-Zugriffsschlüssel für Geheimnis und Name des AWS S3-Buckets sind für die Amazon S3-REST-API erforderlich.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector stellt über Azure Functions eine Verbindung mit der Amazon S3-REST-API her, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dadurch fallen ggf. zusätzliche Datenerfassungskosten an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Hinweis
Dieser Connector wurde aktualisiert, um die Cisco Umbrella-Versionen 5 und 6 zu unterstützen.
(Optionaler Schritt) Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Functions-App zu verwenden.
Hinweis
Dieser Connector verwendet einen Parser, der auf einer Kusto-Funktion basiert, um Felder zu normalisieren. Führen Sie diese Schritte aus, um den Kusto-Funktionsalias Cisco_Umbrella zu erstellen.
SCHRITT 1: Konfiguration der Cisco Umbrella-Protokollsammlung
Lesen Sie die Dokumentation, und befolgen Sie die Anweisungen zum Einrichten der Protokollierung und Abrufen der Anmeldeinformationen.
SCHRITT 2: Auswählen EINER der folgenden beiden Bereitstellungsoptionen, um den Connector und die zugehörige Azure Functions-Instanz bereitzustellen
WICHTIG: Für die Bereitstellung des Cisco Umbrella-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (die entsprechenden Informationen können wie folgt kopiert werden) sowie die Anmeldeinformationen zur Autorisierung für die Amazon S3-REST-API zur Hand haben.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.