Conector Cisco Umbrella (mediante Azure Functions) para Microsoft Sentinel
El conector de datos Cisco Umbrella permite ingerir eventos de Cisco Umbrella almacenados en Amazon S3 en Microsoft Sentinel mediante la API REST de Amazon S3. Consulte la documentación sobre la administración de registros de Cisco Umbrella para obtener más información.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Alias de función de Kusto | Cisco_Umbrella |
| URL de la función de Kusto | https://aka.ms/sentinel-ciscoumbrella-function |
| Tabla de Log Analytics | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
Todos los registros de Cisco Umbrella
Cisco_Umbrella
| sort by TimeGenerated desc
Registros de DNS de Cisco Umbrella
Cisco_Umbrella
| where EventType == 'dnslogs'
| sort by TimeGenerated desc
Registros de proxy de Cisco Umbrella
Cisco_Umbrella
| where EventType == 'proxylogs'
| sort by TimeGenerated desc
Registros de IP de Cisco Umbrella
Cisco_Umbrella
| where EventType == 'iplogs'
| sort by TimeGenerated desc
Registros de firewall de nube de Cisco Umbrella
Cisco_Umbrella
| where EventType == 'cloudfirewalllogs'
| sort by TimeGenerated desc
Requisitos previos
Para integrar con Cisco Umbrella (utilizando Azure Functions) asegúrese de que tiene:
- Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
- Credenciales y permisos de la API REST de Amazon S3: se requieren el id. de clave de acceso de AWS, la clave de acceso secreta de AWS y el nombre de cubo de AWS S3 para la API REST de Amazon S3.
Instrucciones de instalación para proveedores
Nota
Este conector usa Azure Functions para conectarse a la API REST de Amazon S3 para extraer registros en Microsoft Sentinel. Esto podría generar costes adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.
Nota
El conector se ha actualizado para admitir Cisco Umbrella 5 y 6.
(Paso opcional) Almacene de forma segura las claves o los tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de Azure Functions.
Nota:
Este conector usa un analizador basado en una función de Kusto para normalizar los campos. Siga estos pasos para crear el alias de la función Cisco_Umbrella de Kusto.
PASO 1: Configuración de la recopilación de registros de Cisco Umbrella
Consulte la documentación y siga las instrucciones para configurar el registro y obtener credenciales.
PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada
IMPORTANTE: Antes de implementar el conector de datos de Cisco Umbrella, tenga a mano el id. y la clave principal del área de trabajo (pueden copiarse de lo siguiente), así como las credenciales de autorización de la API REST de Amazon S3, que están disponibles fácilmente.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.