適用於 Microsoft Sentinel 的 Cisco Duo Security (使用 Azure Functions) 連接器
Cisco Duo Security 數據連接器提供使用 Cisco Duo 管理員 API 將驗證記錄、系統管理員記錄、電話語音記錄、離線註冊記錄和信任監視器事件擷取至 Microsoft Sentinel 的功能。 如需詳細資訊, 請參閱 API 檔 。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | CiscoDuo_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
所有 Cisco Duo 記錄
CiscoDuo_CL
| sort by TimeGenerated desc
必要條件
若要與 Cisco Duo Security 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- Cisco Duo API 認證:Cisco Duo API 需要具有許可權 授與讀取記錄 的 Cisco Duo API 認證。 請參閱檔以深入瞭解如何建立 Cisco Duo API 認證。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Cisco Duo API,以將記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
注意
此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期 般運作 CiscoDuo ,這是使用 Microsoft Sentinel 解決方案所部署。
步驟 1 - 取得 Cisco Duo 管理員 API 認證
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項:部署數據連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及 Azure Blob 儲存體 連接字串 和容器名稱,可供使用。
選項 1 - Azure Resource Manager (ARM) 範本
使用這個方法來使用ARM範本自動部署資料連接器。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入 Cisco Duo 整合金鑰、Cisco Duo 秘密密鑰、Cisco Duo 記錄類型、Microsoft Sentinel 工作區標識符、Microsoft Sentinel 共用密鑰
標示為 [我同意上述條款及條件] 的複選框。
按兩下 [ 購買 ] 以部署。
選項 2 - 手動部署 Azure Functions
使用下列逐步指示,透過 Azure Functions 手動部署數據連接器(透過 Visual Studio Code 部署)。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。