Cisco Duo Security (usando Funzioni di Azure) connettore per Microsoft Sentinel

  • Articolo

Il connettore dati Cisco Duo Security offre la possibilità di inserire log di autenticazione, log di amministratore, log di telefonia, log di registrazione offline e eventi di Monitoraggio attendibili in Microsoft Sentinel usando l'API Cisco Duo Amministrazione. Per altre informazioni, vedere la documentazione dell'API .

Attributi del connettore

Attributo del connettore Descrizione
Codice dell'app per le funzioni di Azure https://aka.ms/sentinel-CiscoDuoSecurity-functionapp
Tabelle log Analytics CiscoDuo_CL
Supporto delle regole di raccolta dati Attualmente non supportato
Supportato da Microsoft Corporation

Esempi di query

Tutti i log di Cisco Duo

CiscoDuo_CL

| sort by TimeGenerated desc

Prerequisiti

Per integrare Cisco Duo Security (usando Funzioni di Azure) assicurarsi di avere:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • Credenziali dell'API Cisco Duo: le credenziali dell'API Cisco Duo con autorizzazione Grant read log sono necessarie per l'API Cisco Duo. Per altre informazioni sulla creazione di credenziali api Cisco Duo, vedere la documentazione .

Istruzioni per l'installazione del fornitore

Nota

Questo connettore usa Funzioni di Azure per connettersi all'API Cisco Duo per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Controllare la pagina dei prezzi Funzioni di Azure per informazioni dettagliate.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi di autorizzazione e le chiavi di autorizzazione API in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto CiscoDuo che viene distribuito con la soluzione Microsoft Sentinel.

PASSAGGIO 1 - Recupero di credenziali API di Cisco Duo Amministrazione

  1. Seguire le istruzioni per ottenere la chiave di integrazione, la chiave privata e il nome host dell'API. Usare Concedere l'autorizzazione per il log di lettura nel 4° passaggio delle istruzioni.

PASSAGGIO 2: scegliere ONE dalle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: Prima di distribuire il connettore dati, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiata dalla seguente), nonché Archiviazione BLOB di Azure stringa di connessione e il nome del contenitore, facilmente disponibile.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore dati usando un modello di Resource Manager.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuire in Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la posizione.

  3. Immettere la chiave di integrazione Cisco Duo, Cisco Duo Secret Key, Cisco Duo API Hostname, Cisco Duo Log Types, Microsoft Sentinel Workspace ID, Microsoft Sentinel Shared Key

  4. Contrassegnare la casella di controllo etichettata sono d'accordo con i termini e le condizioni indicate in precedenza.

  5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'app per le funzioni

NOTA: Sarà necessario preparare il codice VS per lo sviluppo di funzioni di Azure.

  1. Scaricare il file app per le funzioni di Azure . Estrarre l'archivio nel computer di sviluppo locale.

  2. Avviare Visual Studio Code. Scegliere File nel menu principale e selezionare Apri cartella.

  3. Selezionare la cartella di primo livello dai file estratti.

  4. Scegliere l'icona di Azure nella barra attività, quindi nell'area Funzioni di Azure scegliere il pulsante Distribuisci per l'app per le funzioni . Se non è già stato eseguito l'accesso, scegliere l'icona di Azure nella barra attività, quindi nell'area Funzioni di Azure scegliere Accedi ad Azure Se si è già connessi, passare al passaggio successivo.

  5. Quando richiesto, immettere le informazioni seguenti:

    a. Selezionare la cartella: Scegliere una cartella dall'area di lavoro o passare a una che contiene l'app per le funzioni.

    b. Selezionare Sottoscrizione: Scegliere la sottoscrizione da usare.

    c. Selezionare Crea nuova app per le funzioni in Azure (Non scegliere l'opzione Avanzate)

    d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure.

    e. Selezionare un runtime: Scegliere Python 3.8.

    f. Selezionare un percorso per le nuove risorse. Per migliorare le prestazioni e ridurre i costi scegliere la stessa area in cui si trova Microsoft Sentinel.

  6. La distribuzione inizierà. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.

  7. Passare al portale di Azure per la configurazione dell'app per le funzioni.

2. Configurare l'app per le funzioni

  1. Nell'app per le funzioni selezionare il nome dell'app per le funzioni e selezionare Configurazione.
  2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione dell'applicazione.
  3. Aggiungere ognuna delle impostazioni dell'applicazione seguenti singolarmente, con i rispettivi valori stringa (distinzione tra maiuscole e minuscole): CISCO_DUO_INTEGRATION_KEY CISCO_DUO_SECRET_KEY CISCO_DUO_API_HOSTNAME CISCO_DUO_LOG_TYPES WORKSPACE_ID SHARED_KEY logAnalyticsUri (facoltativo)
  • Usare logAnalyticsUri per eseguire l'override dell'endpoint DELL'API log analytics per il cloud dedicato. Ad esempio, per il cloud pubblico, lasciare vuoto il valore; per l'ambiente cloud di Azure GovUS, specificare il valore nel formato seguente: https://WORKSPACE_ID.ods.opinsights.azure.us.
  1. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi successivi

Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.