Łącznik Cisco Umbrella (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych Cisco Umbrella zapewnia możliwość pozyskiwania zdarzeń Cisco Umbrella przechowywanych w usłudze Amazon S3 w usłudze Microsoft Sentinel przy użyciu interfejsu API REST usługi Amazon S3. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją zarządzania dziennikami Cisco Umbrella.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Alias funkcji Kusto | Cisco_Umbrella |
| Adres URL funkcji Kusto | https://aka.ms/sentinel-ciscoumbrella-function |
| Tabele usługi Log Analytics | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Wszystkie dzienniki Cisco Umbrella
Cisco_Umbrella
| sort by TimeGenerated desc
Dzienniki DNS aplikacji Cisco Umbrella
Cisco_Umbrella
| where EventType == 'dnslogs'
| sort by TimeGenerated desc
Dzienniki serwera proxy Cisco Umbrella
Cisco_Umbrella
| where EventType == 'proxylogs'
| sort by TimeGenerated desc
Dzienniki adresów IP aplikacji Cisco Umbrella
Cisco_Umbrella
| where EventType == 'iplogs'
| sort by TimeGenerated desc
Dzienniki zapory Cisco Umbrella Cloud
Cisco_Umbrella
| where EventType == 'cloudfirewalllogs'
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Cisco Umbrella (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia interfejsu API REST usługi Amazon S3: identyfikator klucza dostępu platformy AWS, klucz dostępu tajnego platformy AWS, nazwa zasobnika usługi AWS S3 jest wymagana dla interfejsu API REST usługi Amazon S3.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do łączenia się z interfejsem API REST usługi Amazon S3 w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
Uwaga
Ten łącznik został zaktualizowany w celu obsługi oprogramowania cisco umbrella w wersji 5 i wersji 6.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją usługi Azure Functions.
Uwaga
Ten łącznik używa analizatora opartego na funkcji Kusto do normalizacji pól. Wykonaj następujące kroki , aby utworzyć alias funkcji Kusto Cisco_Umbrella.
KROK 1 . Konfiguracja kolekcji dzienników Cisco Umbrella
Zapoznaj się z dokumentacją i postępuj zgodnie z instrukcjami dotyczącymi konfigurowania rejestrowania i uzyskiwania poświadczeń.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną usługę Azure Functions
WAŻNE: Przed wdrożeniem łącznika danych Cisco Umbrella należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także poświadczenia autoryzacji interfejsu API REST usługi Amazon S3, łatwo dostępne.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.