你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Cisco Duo Security(使用 Azure Functions)连接器

Cisco Duo Security 数据连接器提供使用 Cisco Duo 管理 API 将身份验证日志管理员日志电话日志脱机注册日志信任监视器事件引入 Microsoft Sentinel 的功能。 详细信息请参阅 API 文档

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 CiscoDuo_CL
数据收集规则支持 目前不支持
支持的服务 Microsoft Corporation

查询示例

所有 Cisco Duo 日志

CiscoDuo_CL

| sort by TimeGenerated desc

先决条件

若要与 Cisco Duo Security(使用 Azure Functions)集成,请确保拥有:

  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • Cisco Duo API 凭据:Cisco Duo API 需要拥有“授权读取日志”权限的 Cisco Duo API 凭据。 请参阅文档来详细了解如何创建 Cisco Duo API 凭据。

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Cisco Duo API,以将日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

注意

此数据连接器依赖于一个基于 Kusto 函数的分析程序,作为与 Microsoft Sentinel 解决方案一起部署的预期 CiscoDuo 工作。

步骤 1 - 获取 Cisco Duo 管理 API 凭据

  1. 按照说明获取集成密钥、机密密钥和 API 主机名。 在说明的第 4 步中使用“授权读取日志”权限。

步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

重要说明:部署数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制),以及随时可用的 Azure Blob 存储连接字符串和容器名称。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法通过 ARM 模板自动部署数据连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure 部署到 Azure Gov

  2. 选择首选的“订阅”、“资源组”和“位置”。

  3. 输入“Cisco Duo 集成密钥”、“Cisco Duo 机密密钥”、“Cisco Duo API 主机名”、“Cisco Duo 日志类型”、“Microsoft Sentinel 工作区 ID”、“Microsoft Sentinel 共享密钥”

  4. 选中“我同意上述条款和条件”复选框。

  5. 单击“购买”进行部署。

选项 2 - 手动部署 Azure Functions

请按照以下分步说明操作,使用 Azure Functions 手动部署数据连接器(通过 Visual Studio Code 进行部署)。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案