Megosztás a következőn keresztül:

Cisco Duo Security (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Cisco Duo Biztonsági adatösszekötő lehetővé teszi a hitelesítési naplók, a rendszergazdai naplók, a telefonos naplók, az offline regisztrációs naplók és a Megbízhatósági monitorozási események betöltését a Microsoft Sentinelbe a Cisco Duo Admin API használatával. További információért tekintse meg az API dokumentációját .

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) CiscoDuo_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft Corporation

Példák lekérdezésekre

Minden Cisco Duo-napló

CiscoDuo_CL

| sort by TimeGenerated desc

Előfeltételek

A Cisco Duo Securityrel való integrációhoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • Cisco Duo API hitelesítő adatok: A Cisco Duo API engedélyekkel rendelkező hitelesítő adatai Olvasási napló megadása szükséges a Cisco Duo API-hoz. A Cisco Duo API hitelesítő adatainak létrehozásáról további információt a dokumentációban talál.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a Cisco Duo API-hoz a naplók Microsoft Sentinelbe való lekéréséhez. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

Feljegyzés

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a Várt CiscoDuo-nak megfelelően működik, amelyet a Microsoft Sentinel Megoldással helyez üzembe.

1. LÉPÉS – Cisco Duo Admin API hitelesítő adatainak beszerzése

  1. Kövesse az utasításokat az integrációs kulcs, a titkos kulcs és az API-gazdagépnév beszerzéséhez. Használja az olvasási napló engedélyének megadását az utasítások 4. lépésében.

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: Az adatösszekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint az Azure Blob Storage kapcsolati sztring és a tároló nevével, amely könnyen elérhető.

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ezzel a módszerrel automatikusan üzembe helyezhető az adatösszekötő ARM-sablonnal.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban Üzembe helyezés az Azure Governmentben

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg a Cisco Duo integrációs kulcsát, a Cisco Duo titkos kulcsát, a Cisco Duo API gazdagépnevét, a Cisco Duo-naplótípusokat, a Microsoft Sentinel-munkaterület azonosítóját, a Microsoft Sentinel megosztott kulcsát

  4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.

  5. Kattintson a Vásárlás gombra az üzembe helyezéshez.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

Az alábbi lépésenkénti utasítások segítségével manuálisan helyezheti üzembe az adatösszekötőt az Azure Functionsben (Üzembe helyezés a Visual Studio Code-on keresztül).

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.