Microsoft Sentinel için Cisco Umbrella (Azure İşlevleri kullanarak) bağlayıcısı
Cisco Umbrella veri bağlayıcısı, Amazon S3 REST API'sini kullanarak Amazon S3'te depolanan Cisco Umbrella olaylarını Microsoft Sentinel'e alma olanağı sağlar. Daha fazla bilgi için Cisco Umbrella günlük yönetimi belgelerine bakın .
Bağlan or öznitelikleri
| Bağlan or özniteliği | Tanım |
|---|---|
| Kusto işlev diğer adı | Cisco_Umbrella |
| Kusto işlev url'si | https://aka.ms/sentinel-ciscoumbrella-function |
| Log Analytics tabloları | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | Microsoft Corporation |
Sorgu örnekleri
Tüm Cisco Umbrella Günlükleri
Cisco_Umbrella
| sort by TimeGenerated desc
Cisco Umbrella DNS Günlükleri
Cisco_Umbrella
| where EventType == 'dnslogs'
| sort by TimeGenerated desc
Cisco Umbrella Proxy Günlükleri
Cisco_Umbrella
| where EventType == 'proxylogs'
| sort by TimeGenerated desc
Cisco Umbrella IP Günlükleri
Cisco_Umbrella
| where EventType == 'iplogs'
| sort by TimeGenerated desc
Cisco Umbrella Cloud Güvenlik Duvarı Günlükleri
Cisco_Umbrella
| where EventType == 'cloudfirewalllogs'
| sort by TimeGenerated desc
Ön koşullar
Cisco Umbrella ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:
- Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
- Amazon S3 REST API Kimlik Bilgileri/izinleri: Amazon S3 REST API için AWS Erişim Anahtarı Kimliği, AWS Gizli Erişim Anahtarı, AWS S3 Demet Adı gereklidir.
Satıcı yükleme yönergeleri
Dekont
Bu bağlayıcı, günlükleri Microsoft Sentinel'e çekmek üzere Amazon S3 REST API'sine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.
Dekont
Bu bağlayıcı cisco umbrella sürüm 5 ve sürüm 6'yi destekleyecek şekilde güncelleştirildi.
(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlevleri Uygulaması ile kullanmak için bu yönergeleri izleyin.
Dekont
Bu bağlayıcı alanları normalleştirmek için Kusto İşlevi'ne dayalı bir ayrıştırıcı kullanır. Kusto işlev diğer adı Cisco_Umbrella oluşturmak için bu adımları izleyin.
ADIM 1 - Cisco Umbrella günlükleri koleksiyonunun yapılandırması
Belgelere bakın ve günlüğe kaydetmeyi ayarlama ve kimlik bilgilerini alma yönergelerini izleyin.
ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevleri dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin
ÖNEMLİ: Cisco Umbrella veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Amazon S3 REST API Yetkilendirme kimlik bilgilerine sahip olun.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.