Conector Cisco Duo Security (mediante Azure Functions) para Microsoft Sentinel
El conector de datos Cisco Duo Security proporciona la capacidad de ingerir registros de autenticación, registros de administrador, registros de telefonía, registros de inscripción sin conexión y eventos del Monitor de confianza en Microsoft Sentinel mediante Cisco Duo Admin API. Para más información, consulte la documentación de la API.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | CiscoDuo_CL |
| Soporte de reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
Todos los registros de Cisco Duo
CiscoDuo_CL
| sort by TimeGenerated desc
Requisitos previos
Para la integración con Cisco Duo Security (mediante Azure Functions), asegúrese de que tiene lo siguiente:
- Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
- Credenciales de la API de Cisco Duo: la API de Cisco Duo necesita las credenciales de la API de Cisco Duo con permiso Grant read log. Consulte la documentación para más información sobre la creación de credenciales de la API de Cisco Duo.
Instrucciones de instalación del proveedor
Nota
Este conector usa Azure Functions para conectarse a la API de Cisco Duo para extraer registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.
(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.
Nota
Este conector de datos depende de un analizador basado en una función de Kusto para funcionar según lo previsto en CiscoDuo, que se implementa con la solución Microsoft Sentinel.
PASO 1: Obtención de las credenciales de Cisco Duo Admin API
- Siga las instrucciones para obtener la clave de integración, la clave secreta y el nombre de host de API. Use Grant read log del cuarto paso de las instrucciones.
PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada
IMPORTANTE: Antes de implementar el conector de datos, tenga a mano el id. del área de trabajo y la clave principal del área de trabajo (puede copiarlos de la siguiente lista), así como la cadena de conexión de Azure Blob Storage y el nombre del contenedor.
Opción 1: Plantilla de Azure Resource Manager (ARM)
Use este método para la implementación automatizada del conector de datos mediante una instancia de ARM Tempate.
Haga clic en el botón Implementar en Azure que aparece a continuación.
Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.
Escriba la clave de integración de Cisco Duo, la clave secreta de Cisco Duo, el nombre de host de la API de Cisco Duo, los tipos de registro de Cisco Duo, el identificador del área de trabajo de Microsoft Sentinel y la clave compartida de Microsoft Sentinel.
Marque la casilla Acepto los términos y condiciones establecidos anteriormente.
Haga clic en Comprar para iniciar la implementación.
Opción 2: Implementación manual de Azure Functions
Siga estas instrucciones paso a paso para implementar el conector de datos manualmente con Azure Functions (Implementación mediante Visual Studio Code).
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.