適用於 Microsoft Sentinel 的 Cisco Umbrella (使用 Azure Functions) 連接器
Cisco Umbrella 數據連接器提供使用 Amazon S3 REST API 將儲存在 Amazon S3 中的 Cisco Umbrella 事件內嵌至 Microsoft Sentinel 的功能。 如需詳細資訊, 請參閱 Cisco Umbrella 記錄管理檔 。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Kusto 函式別名 | Cisco_Umbrella |
| Kusto 函式 URL | https://aka.ms/sentinel-ciscoumbrella-function |
| Log Analytics 數據表(s) | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
所有 Cisco Umbrella 記錄
Cisco_Umbrella
| sort by TimeGenerated desc
Cisco Umbrella DNS 記錄
Cisco_Umbrella
| where EventType == 'dnslogs'
| sort by TimeGenerated desc
Cisco Umbrella Proxy 記錄
Cisco_Umbrella
| where EventType == 'proxylogs'
| sort by TimeGenerated desc
Cisco Umbrella IP 記錄
Cisco_Umbrella
| where EventType == 'iplogs'
| sort by TimeGenerated desc
Cisco Umbrella Cloud Firewall Logs
Cisco_Umbrella
| where EventType == 'cloudfirewalllogs'
| sort by TimeGenerated desc
必要條件
若要與 Cisco Umbrella 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- Amazon S3 REST API 認證/許可權: Amazon S3 REST API 需要 AWS 存取密鑰標識碼、 AWS 秘密存取金鑰、 AWS S3 貯體名稱 。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Amazon S3 REST API,以將記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
注意
此連接器已更新為支援 cisco umbrella 第 5 版和第 6 版。
(選擇性步驟)安全地將工作區和 API 授權金鑰或令牌儲存在 Azure 金鑰保存庫。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure Functions 應用程式使用 Azure 金鑰保存庫。
注意
此連接器會使用以 Kusto 函式為基礎的剖析器來正規化欄位。 請遵循下列步驟來建立 Kusto 函式別名Cisco_Umbrella。
步驟 1 - Cisco Umbrella 記錄收集的設定
請參閱檔 ,並遵循設定記錄並取得認證的指示。
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure Functions
重要事項: 部署 Cisco Umbrella 數據連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及可供使用 Amazon S3 REST API 授權認證。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。