Microsoft Sentinel 用 Cisco Umbrella (Azure Functions を使用) コネクタ

  • [アーティクル]

Cisco Umbrella データ コネクタでは、Amazon S3 REST API を使用して、Amazon S3 に格納されている Cisco Umbrella イベントを Microsoft Sentinel に取り込む機能が提供されます。 詳細については、Cisco Umbrella ログ管理ドキュメントを参照してください。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Kusto 関数エイリアス Cisco_Umbrella
Kusto 関数 URL https://aka.ms/sentinel-ciscoumbrella-function
Log Analytics テーブル Cisco_Umbrella_dns_CL
Cisco_Umbrella_proxy_CL
Cisco_Umbrella_ip_CL
Cisco_Umbrella_cloudfirewall_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

すべての Cisco Umbrella ログ

Cisco_Umbrella

| sort by TimeGenerated desc

Cisco Umbrella DNS ログ

Cisco_Umbrella

| where EventType == 'dnslogs'

| sort by TimeGenerated desc

Cisco Umbrella プロキシ ログ

Cisco_Umbrella

| where EventType == 'proxylogs'

| sort by TimeGenerated desc

Cisco Umbrella IP ログ

Cisco_Umbrella

| where EventType == 'iplogs'

| sort by TimeGenerated desc

Cisco Umbrella クラウド ファイアウォール ログ

Cisco_Umbrella

| where EventType == 'cloudfirewalllogs'

| sort by TimeGenerated desc

前提条件

Cisco Umbrella (Azure 関数を使用) と統合する場合は、次のことを確認してください。

ベンダーのインストール手順

注意

このコネクタでは Azure Functions を使用して Amazon S3 REST API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

注意

このコネクタは、Cisco Umbrella バージョン 5 およびバージョン 6 をサポートするように更新されました。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure Functions App で Azure Key Vault を使用するには、これらの手順に従います

Note

このコネクタでは、Kusto 関数に基づくパーサーを使用してフィールドを正規化します。 これらの手順に従って、Kusto 関数のエイリアス Cisco_Umbrella を作成します。

手順 1 - Cisco Umbrella ログ収集の構成

このドキュメントを参照し、ログ記録の設定手順に従って、資格情報を取得してください。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure Functions をデプロイする

重要: Cisco Umbrella データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Amazon S3 REST API の認可資格情報をすぐに使用できるようにしておいてください。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。