Konektor Cisco Umbrella (menggunakan Azure Functions) untuk Microsoft Sentinel
Konektor data Cisco Umbrella menyediakan kemampuan untuk menyerap peristiwa Cisco Umbrella yang disimpan di Amazon S3 ke Microsoft Sentinel menggunakan AMAZON S3 REST API. Lihat dokumentasi manajemen log Cisco Umbrella untuk informasi selengkapnya.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Alias fungsi Kusto | Cisco_Umbrella |
| Url fungsi Kusto | https://aka.ms/sentinel-ciscoumbrella-function |
| Tabel Log Analytics | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | Microsoft Corporation |
Kueri sampel
Semua Log Cisco Umbrella
Cisco_Umbrella
| sort by TimeGenerated desc
Log DNS Cisco Umbrella
Cisco_Umbrella
| where EventType == 'dnslogs'
| sort by TimeGenerated desc
Log Proksi Cisco Umbrella
Cisco_Umbrella
| where EventType == 'proxylogs'
| sort by TimeGenerated desc
Log IP Cisco Umbrella
Cisco_Umbrella
| where EventType == 'iplogs'
| sort by TimeGenerated desc
Log Firewall Cloud Cisco Umbrella
Cisco_Umbrella
| where EventType == 'cloudfirewalllogs'
| sort by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan Cisco Umbrella (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- Kredensial/izin AMAZON S3 REST API: ID Kunci Akses AWS, Kunci Akses Rahasia AWS, Nama Bucket AWS S3 diperlukan untuk Amazon S3 REST API.
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk menyambungkan ke AMAZON S3 REST API untuk menarik log ke Microsoft Azure Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.
Catatan
Konektor ini telah diperbarui untuk mendukung cisco umbrella versi 5 dan versi 6.
(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti instruksi ini untuk menggunakan Azure Key Vault dengan Aplikasi Azure Functions.
Catatan
Konektor ini menggunakan pengurai berdasarkan Fungsi Kusto untuk menormalkan bidang. Ikuti langkah-langkah ini untuk membuat alias fungsi Kusto Cisco_Umbrella.
LANGKAH 1 - Konfigurasi koleksi log Cisco Umbrella
Lihat dokumentasi dan ikuti instruksi untuk menyiapkan pengelogan dan mendapatkan kredensial.
LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Azure Functions terkait
PENTING: Sebelum menyebarkan konektor data Cisco Umbrella, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta kredensial Otorisasi AMAZON S3 REST API, tersedia dengan mudah.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.