Соединитель безопасности Cisco Duo (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных безопасности Cisco Duo предоставляет возможность приема журналов проверки подлинности, журналов администратора, журналов телефонии, журналов автономной регистрации и событий монитора доверия в Microsoft Sentinel с помощью API Администратор Cisco Duo. Дополнительные сведения см. в документации по API.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | CiscoDuo_CL |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Корпорация Майкрософт |
Примеры запросов
Все журналы Cisco Duo
CiscoDuo_CL
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с безопасностью Cisco Duo (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные API Cisco Duo: учетные данные API Cisco Duo с журналом предоставления разрешений требуются для API Cisco Duo. Дополнительные сведения о создании учетных данных API Cisco Duo см. в документации .
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к API Cisco Duo для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , CiscoDuo , развернутой с помощью решения Microsoft Sentinel.
ШАГ 1. Получение учетных данных API Cisco Duo Администратор
- Следуйте инструкциям, чтобы получить ключ интеграции, секретный ключ и имя узла API. Используйте разрешение на чтение журнала в 4-м шаге инструкций.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Перед развертыванием соединителя данных укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также Хранилище BLOB-объектов Azure строка подключения и имя контейнера.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных с помощью шаблона ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите ключ интеграции Cisco Duo, секретный ключ Cisco Duo, имя узла API Cisco Duo, Типы журналов Cisco Duo, идентификатор рабочей области Microsoft Sentinel, общий ключ Microsoft Sentinel
Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".
Нажмите кнопку " Купить" , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Выполните следующие пошаговые инструкции по развертыванию соединителя данных вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.