Konektor Cisco Duo Security (pomocí Azure Functions) pro Microsoft Sentinel
Datový konektor Cisco Duo Security poskytuje možnost ingestovat protokoly ověřování, protokoly správců, protokoly telefonie, protokoly offline registrace a události sledování důvěryhodnosti do Služby Microsoft Sentinel pomocí rozhraní CISCO Duo Admin API. Další informace najdete v dokumentaci k rozhraní API.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
Atribut konektoru | Popis |
---|---|
Tabulky Log Analytics | CiscoDuo_CL |
Podpora pravidel shromažďování dat | V současnosti není podporováno |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Všechny protokoly Cisco Duo
CiscoDuo_CL
| sort by TimeGenerated desc
Požadavky
Pokud chcete provést integraci se zabezpečením Cisco Duo (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje rozhraní Cisco Duo API: Pro rozhraní Cisco Duo API se vyžadují přihlašovací údaje rozhraní CISCO Duo API s oprávněním Udělit protokol pro čtení. Další informace o vytváření přihlašovacích údajů rozhraní Cisco Duo API najdete v dokumentaci .
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k rozhraní Cisco Duo API k načtení protokolů do Služby Microsoft Sentinel. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání CiscoDuo , která se nasadí s řešením Microsoft Sentinel.
KROK 1 : Získání přihlašovacích údajů rozhraní API pro správu Cisco Duo
- Postupujte podle pokynů k získání klíče integrace, tajného klíče a názvu hostitele rozhraní API. V 4. kroku pokynů použijte oprávnění Udělit protokol pro čtení.
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.
DŮLEŽITÉ: Před nasazením datového konektoru zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také připojovací řetězec a název kontejneru ve službě Azure Blob Storage.
Možnost 1 – Šablona Azure Resource Manageru (ARM)
Tuto metodu použijte pro automatizované nasazení datového konektoru pomocí šablony ARM.
Klikněte níže na tlačítko Nasadit do Azure .
Vyberte upřednostňované předplatné, skupinu prostředků a umístění.
Zadejte integrační klíč Cisco Duo, tajný klíč Cisco Duo, název hostitele rozhraní API Cisco Duo, typy protokolů Cisco Duo, ID pracovního prostoru služby Microsoft Sentinel, sdílený klíč služby Microsoft Sentinel.
Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.
Kliknutím na Koupit nasadíte.
Možnost 2 – Ruční nasazení služby Azure Functions
Pomocí následujících podrobných pokynů nasaďte datový konektor ručně se službou Azure Functions (nasazení přes Visual Studio Code).
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.