View a markdown version of this page

Quellkonfiguration für Cisco Umbrella - Amazon CloudWatch
Integration mit Cisco UmbrellaAnweisungen zur Einrichtung von Amazon S3 und Amazon SQSKonfiguration der Pipeline CloudWatchUnterstützte Open Cybersecurity Schema Framework-Eventklassen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Quellkonfiguration für Cisco Umbrella

Integration mit Cisco Umbrella

Cisco Umbrella ist eine Cloud-basierte Sicherheitsplattform, die sicheren Internetzugang und Bedrohungsschutz für alle Geräte, Standorte und Benutzer bietet. Sie verwendet DNS-Layer-Sicherheit, Webfilterung und Cloud-basierte Firewall-Funktionen, um bösartige Domains zu blockieren und Cyberangriffe zu verhindern, bevor sie Ihr Netzwerk erreichen. CloudWatch Pipelines ermöglicht es Ihnen, diese Daten in Protokollen zu sammeln. CloudWatch

Anweisungen zur Einrichtung von Amazon S3 und Amazon SQS

Die Konfiguration von Cisco Umbrella für das Senden von Protokollen an einen Amazon S3 S3-Bucket umfasst mehrere Schritte, die sich hauptsächlich auf die Einrichtung des Amazon S3 S3-Buckets, der Amazon SQS SQS-Warteschlange und der IAM-Rollen sowie die anschließende Konfiguration der CloudWatch Pipeline konzentrieren.

  • Stellen Sie sicher, dass der Cisco Umbrella Logs Environment Exporter mit S3 konfiguriert ist. Dies befindet sich normalerweise unter Admin → Logs Management in der Cisco Umbrella-Konsole.

  • Der Amazon S3 S3-Bucket, der die Cisco Umbrella-Protokolle speichert, sollte sich in derselben AWS Region wie Ihre CloudWatch Pipeline befinden.

  • Erstellen Sie eine Amazon SQS SQS-Warteschlange in derselben AWS Region wie Ihr Amazon S3 S3-Bucket. Diese Warteschlange erhält Benachrichtigungen, wenn dem Amazon S3 S3-Bucket neue Protokolldateien hinzugefügt werden.

  • Konfigurieren Sie den Amazon S3 S3-Bucket so, dass er Ereignisbenachrichtigungen erstellt, insbesondere für „Object Create“ -Ereignisse. Diese Benachrichtigungen sollten an die Amazon SQS SQS-Warteschlange gesendet werden, die Sie im vorherigen Schritt erstellt haben.

Konfiguration der Pipeline CloudWatch

Wenn Sie die Pipeline für das Lesen von Daten von Cisco Umbrella konfigurieren, wählen Sie Cisco Umbrella als Datenquelle. Nachdem Sie die erforderlichen Informationen eingegeben und die Pipeline erstellt haben, sind die Daten in der ausgewählten Protokollgruppe CloudWatch Logs verfügbar.

Unterstützte Open Cybersecurity Schema Framework-Eventklassen

Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und Cisco Umbrella-Ereignisse, die DNS-Aktivität (4003), Netzwerkaktivität (4001), Data Security Finding (2006) und Entity Management (3004) zugeordnet sind. Jedes Ereignis stammt aus einer Quelle, wie unten erwähnt.

Die DNS-Aktivität umfasst die folgenden Aktionen:

Netzwerkaktivität umfasst die folgenden Aktionen:

Data Security Finding umfasst die folgenden Aktionen:

Entity Management umfasst die folgenden Aktionen: