Microsoft Sentinel 用 Cisco Umbrella (Azure Functions を使用) コネクタ
Cisco Umbrella データ コネクタでは、Amazon S3 REST API を使用して、Amazon S3 に格納されている Cisco Umbrella イベントを Microsoft Sentinel に取り込む機能が提供されます。 詳細については、Cisco Umbrella ログ管理ドキュメントを参照してください。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Kusto 関数エイリアス | Cisco_Umbrella |
Kusto 関数 URL | https://aka.ms/sentinel-ciscoumbrella-function |
Log Analytics テーブル | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | Microsoft Corporation |
クエリのサンプル
すべての Cisco Umbrella ログ
Cisco_Umbrella
| sort by TimeGenerated desc
Cisco Umbrella DNS ログ
Cisco_Umbrella
| where EventType == 'dnslogs'
| sort by TimeGenerated desc
Cisco Umbrella プロキシ ログ
Cisco_Umbrella
| where EventType == 'proxylogs'
| sort by TimeGenerated desc
Cisco Umbrella IP ログ
Cisco_Umbrella
| where EventType == 'iplogs'
| sort by TimeGenerated desc
Cisco Umbrella クラウド ファイアウォール ログ
Cisco_Umbrella
| where EventType == 'cloudfirewalllogs'
| sort by TimeGenerated desc
前提条件
Cisco Umbrella (Azure 関数を使用) と統合する場合は、次のことを確認してください。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Amazon S3 REST API の資格情報/アクセス許可: Amazon S3 REST API には、AWS アクセス キー ID、AWS シークレット アクセス キー、AWS S3 バケット名が必要です。
ベンダーのインストール手順
注意
このコネクタでは Azure Functions を使用して Amazon S3 REST API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
注意
このコネクタは、Cisco Umbrella バージョン 5 およびバージョン 6 をサポートするように更新されました。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure Functions App で Azure Key Vault を使用するには、これらの手順に従います。
Note
このコネクタでは、Kusto 関数に基づくパーサーを使用してフィールドを正規化します。 これらの手順に従って、Kusto 関数のエイリアス Cisco_Umbrella を作成します。
手順 1 - Cisco Umbrella ログ収集の構成
このドキュメントを参照し、ログ記録の設定手順に従って、資格情報を取得してください。
手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure Functions をデプロイする
重要: Cisco Umbrella データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Amazon S3 REST API の認可資格情報をすぐに使用できるようにしておいてください。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。