Cisco Umbrella-anslutningsprogram (med Azure Functions) för Microsoft Sentinel
Cisco Umbrella-dataanslutningsappen ger möjlighet att mata in Cisco Umbrella-händelser som lagras i Amazon S3 till Microsoft Sentinel med hjälp av Amazon S3 REST API. Mer information finns i dokumentationen för Cisco Umbrella-logghantering.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Kusto-funktionsalias | Cisco_Umbrella |
| Kusto-funktions-URL | https://aka.ms/sentinel-ciscoumbrella-function |
| Log Analytics-tabeller | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Microsoft Corporation |
Exempel på frågor
Alla Cisco Umbrella-loggar
Cisco_Umbrella
| sort by TimeGenerated desc
Cisco Umbrella DNS-loggar
Cisco_Umbrella
| where EventType == 'dnslogs'
| sort by TimeGenerated desc
Cisco Umbrella Proxy-loggar
Cisco_Umbrella
| where EventType == 'proxylogs'
| sort by TimeGenerated desc
Cisco Umbrella IP-loggar
Cisco_Umbrella
| where EventType == 'iplogs'
| sort by TimeGenerated desc
Cisco Umbrella Cloud Firewall-loggar
Cisco_Umbrella
| where EventType == 'cloudfirewalllogs'
| sort by TimeGenerated desc
Förutsättningar
Om du vill integrera med Cisco Umbrella (med Hjälp av Azure Functions) kontrollerar du att du har:
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
- Amazon S3 REST API Credentials/permissions: AWS Access Key ID, AWS Secret Access Key, AWS S3 Bucket Name krävs för Amazon S3 REST API.
Installationsanvisningar för leverantör
Kommentar
Den här anslutningsappen använder Azure Functions för att ansluta till Amazon S3 REST API för att hämta loggar till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.
Kommentar
Den här anslutningsappen har uppdaterats för att stödja cisco umbrella version 5 och version 6.
(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure Functions-app.
Kommentar
Den här anslutningsappen använder en parser baserad på en Kusto-funktion för att normalisera fält. Följ de här stegen för att skapa Kusto-funktionsaliaset Cisco_Umbrella.
STEG 1 – Konfiguration av Cisco Umbrella-loggsamlingen
Se dokumentationen och följ anvisningarna för att konfigurera loggning och hämta autentiseringsuppgifter.
STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och tillhörande Azure Functions
VIKTIGT! Innan du distribuerar Cisco Umbrella-dataanslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt autentiseringsuppgifterna för Amazon S3 REST API-auktorisering, som är lättillgängliga.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.