Konektor Cisco Duo Security (menggunakan Azure Functions) untuk Microsoft Sentinel
Konektor data Cisco Duo Security menyediakan kemampuan untuk menyerap log autentikasi, log administrator, log telepon, log pendaftaran offline, dan peristiwa Trust Monitor ke Microsoft Sentinel menggunakan API Admin Cisco Duo. Lihat dokumentasi API untuk informasi selengkapnya.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | CiscoDuo_CL |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | Microsoft Corporation |
Kueri sampel
Semua log Cisco Duo
CiscoDuo_CL
| sort by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan Cisco Duo Security (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- Kredensial Cisco Duo API: Kredensial API Cisco Duo dengan izin Log baca Grant diperlukan untuk Cisco Duo API. Lihat dokumentasi untuk mempelajari selengkapnya tentang membuat kredensial Cisco Duo API.
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk menyambungkan ke CISCO Duo API untuk menarik log ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.
(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.
Catatan
Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan CiscoDuo yang disebarkan dengan Solusi Microsoft Sentinel.
LANGKAH 1 - Mendapatkan kredensial Cisco Duo Admin API
- Ikuti instruksi untuk mendapatkan kunci integrasi, kunci rahasia, dan nama host API. Gunakan Berikan izin log baca di langkah ke-4 dari instruksi.
LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait
PENTING: Sebelum menyebarkan konektor data, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta azure Blob Storage string koneksi dan nama kontainer, tersedia dengan mudah.
Opsi 1 - Templat Azure Resource Manager (ARM)
Gunakan metode ini untuk penyebaran otomatis konektor data menggunakan Templat ARM.
Klik tombol Sebarkan ke Azure di bawah ini.
Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.
Masukkan Cisco Duo Integration Key, Cisco Duo Secret Key, Cisco Duo API Hostname, Cisco Duo Log Type, Microsoft Sentinel Workspace Id, Microsoft Sentinel Shared Key
Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.
Klik Beli untuk menyebarkan.
Opsi 2 - Penyebaran Manual Azure Functions
Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor data secara manual dengan Azure Functions (Penyebaran melalui Visual Studio Code).
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.