Łącznik Cisco Duo Security (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych cisco Duo Security zapewnia możliwość pozyskiwania dzienników uwierzytelniania, dzienników administratora, dzienników telefonii, dzienników rejestracji offline i zdarzeń monitora zaufania do usługi Microsoft Sentinel przy użyciu interfejsu API Administracja Cisco Duo. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | CiscoDuo_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Wszystkie dzienniki cisco duo
CiscoDuo_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Cisco Duo Security (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia interfejsu API cisco Duo: poświadczenia interfejsu API Cisco Duo z uprawnieniem Udziel dziennika odczytu są wymagane dla interfejsu API Cisco Duo. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat tworzenia poświadczeń interfejsu API Cisco Duo.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API Cisco Duo w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami CiscoDuo , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.
KROK 1. Uzyskiwanie poświadczeń interfejsu API Administracja Cisco Duo
- Postępuj zgodnie z instrukcjami , aby uzyskać klucz integracji, klucz tajny i nazwę hosta interfejsu API. Użyj uprawnienia udziel dziennika odczytu w 4 kroku instrukcji.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także usługę Azure Blob Storage parametry połączenia i nazwę kontenera.
Opcja 1 — szablon usługi Azure Resource Manager (ARM)
Ta metoda służy do automatycznego wdrażania łącznika danych przy użyciu szablonu usługi ARM.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź klucz integracji Cisco Duo, Cisco Duo Secret Key, nazwę hosta interfejsu API Cisco Duo, typy dzienników Cisco Duo, identyfikator obszaru roboczego usługi Microsoft Sentinel, klucz wspólny usługi Microsoft Sentinel
Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
Kliknij pozycję Kup , aby wdrożyć.
Opcja 2 — ręczne wdrażanie usługi Azure Functions
Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.