Cisco Umbrella (az Azure Functions használatával) összekötő a Microsoft Sentinelhez
A Cisco Umbrella adatösszekötő lehetővé teszi az Amazon S3-ban tárolt Cisco Umbrella-események Microsoft Sentinelbe való betöltését az Amazon S3 REST API használatával. További információért tekintse meg a Cisco Umbrella naplókezelési dokumentációját .
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Kusto függvény aliasa | Cisco_Umbrella |
| Kusto függvény URL-címe | https://aka.ms/sentinel-ciscoumbrella-function |
| Log Analytics-tábla(ok) | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
Minden Cisco Umbrella-napló
Cisco_Umbrella
| sort by TimeGenerated desc
Cisco Umbrella DNS-naplók
Cisco_Umbrella
| where EventType == 'dnslogs'
| sort by TimeGenerated desc
Cisco Umbrella proxynaplók
Cisco_Umbrella
| where EventType == 'proxylogs'
| sort by TimeGenerated desc
Cisco Umbrella IP-naplók
Cisco_Umbrella
| where EventType == 'iplogs'
| sort by TimeGenerated desc
Cisco Umbrella Cloud Firewall-naplók
Cisco_Umbrella
| where EventType == 'cloudfirewalllogs'
| sort by TimeGenerated desc
Előfeltételek
A Cisco Esernyővel való integrációhoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:
- Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
- Amazon S3 REST API hitelesítő adatai/engedélyei: Az AWS hozzáférési kulcs azonosítója, az AWS titkos hozzáférési kulcs, az AWS S3 gyűjtő neve kötelező az Amazon S3 REST API-hoz.
Szállító telepítési útmutatója
Feljegyzés
Ez az összekötő az Azure Functions használatával csatlakozik az Amazon S3 REST API-hoz a naplók Microsoft Sentinelbe való lekéréséhez. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .
Feljegyzés
Ez az összekötő frissült, hogy támogassa a Cisco Esernyő 5-ös és 6-os verzióját.
(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure Functions-alkalmazással való használatához.
Feljegyzés
Ez az összekötő egy Kusto-függvényen alapuló elemzőt használ a mezők normalizálásához. Kövesse az alábbi lépéseket a Kusto-függvény aliasának Cisco_Umbrella létrehozásához.
1. LÉPÉS – A Cisco Umbrella-naplók gyűjteményének konfigurálása
Tekintse meg a dokumentációt , és kövesse a naplózás beállítására és a hitelesítő adatok beszerzésére vonatkozó utasításokat.
2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a kapcsolódó Azure Functions üzembe helyezéséhez
FONTOS: A Cisco Umbrella adatösszekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint az Amazon S3 REST API engedélyezési hitelesítő adataival, amelyek könnyen elérhetők.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.