Соединитель безопасности Cisco Duo (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных безопасности Cisco Duo предоставляет возможность приема журналов проверки подлинности, журналов администратора, журналов телефонии, журналов автономной регистрации и событий монитора доверия в Microsoft Sentinel с помощью API Администратор Cisco Duo. Дополнительные сведения см. в документации по API.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics CiscoDuo_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Все журналы Cisco Duo

CiscoDuo_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с безопасностью Cisco Duo (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные API Cisco Duo: учетные данные API Cisco Duo с журналом предоставления разрешений требуются для API Cisco Duo. Дополнительные сведения о создании учетных данных API Cisco Duo см. в документации .

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Cisco Duo для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , CiscoDuo , развернутой с помощью решения Microsoft Sentinel.

ШАГ 1. Получение учетных данных API Cisco Duo Администратор

  1. Следуйте инструкциям, чтобы получить ключ интеграции, секретный ключ и имя узла API. Используйте разрешение на чтение журнала в 4-м шаге инструкций.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Перед развертыванием соединителя данных укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также Хранилище BLOB-объектов Azure строка подключения и имя контейнера.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя данных с помощью шаблона ARM.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в AzureРазвернуть в Azure Gov

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите ключ интеграции Cisco Duo, секретный ключ Cisco Duo, имя узла API Cisco Duo, Типы журналов Cisco Duo, идентификатор рабочей области Microsoft Sentinel, общий ключ Microsoft Sentinel

  4. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".

  5. Нажмите кнопку " Купить" , чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя данных вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.