Konektor Cisco Duo Security (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Datový konektor Cisco Duo Security poskytuje možnost ingestovat protokoly ověřování, protokoly správců, protokoly telefonie, protokoly offline registrace a události sledování důvěryhodnosti do Služby Microsoft Sentinel pomocí rozhraní Cisco Duo Správa API. Další informace najdete v dokumentaci k rozhraní API.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics CiscoDuo_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Microsoft Corporation

Ukázky dotazů

Všechny protokoly Cisco Duo

CiscoDuo_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete provést integraci se zabezpečením Cisco Duo (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje rozhraní Cisco Duo API: Pro rozhraní Cisco Duo API se vyžadují přihlašovací údaje rozhraní CISCO Duo API s oprávněním Udělit protokol pro čtení. Další informace o vytváření přihlašovacích údajů rozhraní Cisco Duo API najdete v dokumentaci .

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraní Cisco Duo API k načtení protokolů do Služby Microsoft Sentinel. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání CiscoDuo , která se nasadí s řešením Microsoft Sentinel.

KROK 1 : Získání přihlašovacích údajů rozhraní API cisco duo Správa

  1. Postupujte podle pokynů k získání klíče integrace, tajného klíče a názvu hostitele rozhraní API. V 4. kroku pokynů použijte oprávnění Udělit protokol pro čtení.

KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením datového konektoru zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také připojovací řetězec a název kontejneru ve službě Azure Blob Storage.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení datového konektoru pomocí šablony ARM.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do AzureDeploy to Azure Gov

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte integrační klíč Cisco Duo, tajný klíč Cisco Duo, název hostitele rozhraní API Cisco Duo, typy protokolů Cisco Duo, ID pracovního prostoru služby Microsoft Sentinel, sdílený klíč služby Microsoft Sentinel.

  4. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

  5. Kliknutím na Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte datový konektor ručně se službou Azure Functions (nasazení přes Visual Studio Code).

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.