Konektor Cisco Umbrella (pomocí Azure Functions) pro Microsoft Sentinel
Datový konektor Cisco Umbrella poskytuje možnost ingestovat události Cisco Umbrella uložené v AmazonU S3 do Microsoft Sentinelu pomocí rozhraní REST API Amazon S3. Další informace najdete v dokumentaci ke správě protokolů Cisco Umbrella.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Alias funkce Kusto | Cisco_Umbrella |
| Adresa URL funkce Kusto | https://aka.ms/sentinel-ciscoumbrella-function |
| Tabulky Log Analytics | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Microsoft Corporation |
Ukázky dotazů
Všechny protokoly Cisco Umbrella
Cisco_Umbrella
| sort by TimeGenerated desc
Protokoly CISCO Umbrella DNS
Cisco_Umbrella
| where EventType == 'dnslogs'
| sort by TimeGenerated desc
Protokoly proxy cisco umbrella
Cisco_Umbrella
| where EventType == 'proxylogs'
| sort by TimeGenerated desc
Protokoly CISCO Umbrella IP
Cisco_Umbrella
| where EventType == 'iplogs'
| sort by TimeGenerated desc
Protokoly firewallu Cisco Umbrella Cloud
Cisco_Umbrella
| where EventType == 'cloudfirewalllogs'
| sort by TimeGenerated desc
Požadavky
Pokud chcete provést integraci se společností Cisco Umbrella (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje a oprávnění rozhraní REST API Amazon S3: Pro Amazon S3 REST API se vyžaduje ID přístupového klíče AWS, tajný přístupový klíč AWS S3.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k rozhraní REST API Amazon S3 k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.
Poznámka:
Tento konektor byl aktualizován tak, aby podporoval cisco umbrella verze 5 a verzi 6.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací Azure Functions.
Poznámka:
Tento konektor používá analyzátor založený na funkci Kusto k normalizaci polí. Pomocí následujícího postupu vytvořte alias funkce Kusto Cisco_Umbrella.
KROK 1 : Konfigurace shromažďování protokolů Cisco Umbrella
Projděte si dokumentaci a postupujte podle pokynů k nastavení protokolování a získání přihlašovacích údajů.
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružených funkcí Azure Functions.
DŮLEŽITÉ: Před nasazením datového konektoru Cisco Umbrella získáte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také přihlašovací údaje pro autorizaci rozhraní REST API Amazon S3, které jsou snadno dostupné.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.