Integración con Cisco Umbrella Instrucciones para configurar Amazon S3 y Amazon SQS Configuración de la canalización de CloudWatch Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Configuración del origen para Cisco Umbrella

Integración con Cisco Umbrella

Cisco Umbrella es una plataforma de seguridad en la nube que proporciona acceso seguro a Internet y protección contra amenazas en todos los dispositivos, ubicaciones y usuarios. Utiliza seguridad en la capa de DNS, filtrado web y características de firewall entregadas en la nube para bloquear dominios maliciosos y prevenir ciberataques antes de que lleguen a su red. Las canalizaciones de CloudWatch le permiten recopilar estos datos en Registros de CloudWatch.

Instrucciones para configurar Amazon S3 y Amazon SQS

La configuración de Cisco Umbrella para enviar registros a un bucket de Amazon S3 implica varios pasos, que se centran principalmente en configurar el bucket de Amazon S3, la cola de Amazon SQS y los roles de IAM y, a continuación, configurar la canalización de CloudWatch.

Asegúrese de que el exportador de entornos de registros de Cisco Umbrella esté configurado con S3. Por lo general, se encuentra en Admin → Logs Management en la consola de Cisco Umbrella.
El bucket de Amazon S3 que almacena los registros de Cisco Umbrella debe estar en la misma región de AWS que su canalización de CloudWatch.
Cree una cola de Amazon SQS en la misma región de AWS que el bucket de Amazon S3. Esta cola recibirá notificaciones cada vez que se agreguen nuevos archivos de registros al bucket de Amazon S3.
Configure el bucket de Amazon S3 para crear notificaciones de eventos, específicamente para los eventos de creación de objetos. Estas notificaciones se deben enviar a la cola de Amazon SQS que se creó en el paso anterior.

Configuración de la canalización de CloudWatch

Al configurar la canalización para leer datos de Cisco Umbrella, elija Cisco Umbrella como origen de datos. Después de rellenar la información obligatoria y crear la canalización, los datos estarán disponibles en el grupo de registro de Registros de CloudWatch.

Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Esta integración admite la versión 1.5.0 del esquema OCSF y los eventos de Cisco Umbrella que se asignan a Actividad de DNS (4003), Actividad de red (4001), Resultado de seguridad de datos (2006) y Administración de entidades (3004). Cada evento proviene de un origen, como se menciona a continuación.

Actividad de DNS contiene las siguientes acciones:

Registros de DNS

Actividad de red contiene las siguientes acciones:

Resultado de seguridad de datos contiene las siguientes acciones:

DLP (Data Loss Prevention) logs

La administración de entidades contiene las acciones siguientes:

Admin Audit logs

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cisco Umbrella

Configuración de canalización