Cisco Umbrella-connector (met behulp van Azure Functions) voor Microsoft Sentinel
De Cisco Umbrella-gegevensconnector biedt de mogelijkheid om Cisco Umbrella-gebeurtenissen op te nemen die zijn opgeslagen in Amazon S3 in Microsoft Sentinel met behulp van de Amazon S3 REST API. Raadpleeg de documentatie voor cisco Umbrella-logboekbeheer voor meer informatie.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
Verbinding maken orkenmerk | Beschrijving |
---|---|
Kusto-functiealias | Cisco_Umbrella |
Kusto-functie-URL | https://aka.ms/sentinel-ciscoumbrella-function |
Log Analytics-tabellen | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Alle Cisco Umbrella-logboeken
Cisco_Umbrella
| sort by TimeGenerated desc
Cisco Umbrella DNS-logboeken
Cisco_Umbrella
| where EventType == 'dnslogs'
| sort by TimeGenerated desc
Cisco Umbrella Proxy-logboeken
Cisco_Umbrella
| where EventType == 'proxylogs'
| sort by TimeGenerated desc
Cisco Umbrella IP-logboeken
Cisco_Umbrella
| where EventType == 'iplogs'
| sort by TimeGenerated desc
Cisco Umbrella Cloud Firewall-logboeken
Cisco_Umbrella
| where EventType == 'cloudfirewalllogs'
| sort by TimeGenerated desc
Vereisten
Als u wilt integreren met Cisco Umbrella (met behulp van Azure Functions), moet u het volgende doen:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- Amazon S3 REST API-referenties/machtigingen: AWS Access Key Id, AWS Secret Access Key, AWS S3 Bucket Name zijn vereist voor Amazon S3 REST API.
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Amazon S3 REST API om logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
Notitie
Deze connector is bijgewerkt ter ondersteuning van cisco umbrella versie 5 en versie 6.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Functions-app.
Notitie
Deze connector maakt gebruik van een parser op basis van een Kusto-functie om velden te normaliseren. Volg deze stappen om de Kusto-functiealias te maken Cisco_Umbrella.
STAP 1: configuratie van de verzameling Cisco Umbrella-logboeken
Raadpleeg de documentatie en volg de instructies voor het instellen van logboekregistratie en het verkrijgen van referenties.
STAP 2: Kies ER EEN uit de volgende twee implementatieopties om de connector en de bijbehorende Azure Functions te implementeren
BELANGRIJK: Voordat u de Cisco Umbrella-gegevensconnector implementeert, moet u de werkruimte-id en de primaire sleutel van de werkruimte hebben (kunnen worden gekopieerd uit het volgende), evenals de autorisatiereferenties van de Amazon S3 REST API, direct beschikbaar.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.