Соединитель Cisco Umbrella (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных Cisco Umbrella предоставляет возможность приема событий Cisco Umbrella, хранящихся в Amazon S3 в Microsoft Sentinel с помощью REST API Amazon S3. Дополнительные сведения см. в документации по управлению журналами Cisco Umbrella.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Псевдоним функции Kusto | Cisco_Umbrella |
| URL-адрес функции Kusto | https://aka.ms/sentinel-ciscoumbrella-function |
| Таблицы Log Analytics | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Все журналы Cisco Umbrella
Cisco_Umbrella
| sort by TimeGenerated desc
Журналы Cisco Umbrella DNS
Cisco_Umbrella
| where EventType == 'dnslogs'
| sort by TimeGenerated desc
Журналы прокси-сервера Cisco Umbrella
Cisco_Umbrella
| where EventType == 'proxylogs'
| sort by TimeGenerated desc
Журналы IP-адресов Cisco Umbrella
Cisco_Umbrella
| where EventType == 'iplogs'
| sort by TimeGenerated desc
Журналы облачного брандмауэра Cisco Umbrella
Cisco_Umbrella
| where EventType == 'cloudfirewalllogs'
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с Cisco Umbrella (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступа AWS, имя контейнера AWS S3 требуется для REST API Amazon S3.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к REST API Amazon S3 для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
Примечание.
Этот соединитель был обновлен для поддержки cisco umbrella версии 5 и версии 6.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением Функции Azure.
Примечание.
Этот соединитель использует средство синтаксического анализа на основе функции Kusto для нормализации полей. Выполните следующие действия , чтобы создать псевдоним функции Kusto Cisco_Umbrella.
ШАГ 1. Настройка коллекции журналов Cisco Umbrella
Ознакомьтесь с документацией и следуйте инструкциям по настройке ведения журнала и получению учетных данных.
ШАГ 2. Выберите один из следующих двух вариантов развертывания для развертывания соединителя и связанного Функции Azure
ВАЖНО. Перед развертыванием соединителя данных Cisco Umbrella у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также учетные данные авторизации REST API Amazon S3, доступные.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.