# Configuración del origen para Cisco Umbrella
<a name="cisco-umbrella-source-setup"></a>

## Integración con Cisco Umbrella
<a name="cisco-umbrella-integration"></a>

Cisco Umbrella es una plataforma de seguridad en la nube que proporciona acceso seguro a Internet y protección contra amenazas en todos los dispositivos, ubicaciones y usuarios. Utiliza seguridad en la capa de DNS, filtrado web y características de firewall entregadas en la nube para bloquear dominios maliciosos y prevenir ciberataques antes de que lleguen a su red. Las canalizaciones de CloudWatch le permiten recopilar estos datos en Registros de CloudWatch.

## Instrucciones para configurar Amazon S3 y Amazon SQS
<a name="cisco-umbrella-s3-sqs-setup"></a>

La configuración de Cisco Umbrella para enviar registros a un bucket de Amazon S3 implica varios pasos, que se centran principalmente en configurar el bucket de Amazon S3, la cola de Amazon SQS y los roles de IAM y, a continuación, configurar la canalización de CloudWatch.
+ Asegúrese de que el exportador de entornos de registros de Cisco Umbrella esté configurado con S3. Por lo general, se encuentra en Admin → Logs Management en la consola de Cisco Umbrella.
+ El bucket de Amazon S3 que almacena los registros de Cisco Umbrella debe estar en la misma región de AWS que su canalización de CloudWatch.
+ Cree una cola de Amazon SQS en la misma región de AWS que el bucket de Amazon S3. Esta cola recibirá notificaciones cada vez que se agreguen nuevos archivos de registros al bucket de Amazon S3.
+ Configure el bucket de Amazon S3 para crear notificaciones de eventos, específicamente para los eventos de creación de objetos. Estas notificaciones se deben enviar a la cola de Amazon SQS que se creó en el paso anterior.

## Configuración de la canalización de CloudWatch
<a name="cisco-umbrella-pipeline-config"></a>

Al configurar la canalización para leer datos de Cisco Umbrella, elija Cisco Umbrella como origen de datos. Después de rellenar la información obligatoria y crear la canalización, los datos estarán disponibles en el grupo de registro de Registros de CloudWatch.

## Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles
<a name="cisco-umbrella-ocsf-events"></a>

Esta integración admite la versión 1.5.0 del esquema OCSF y los [eventos de Cisco Umbrella](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152763.dita) que se asignan a Actividad de DNS (4003), Actividad de red (4001), Resultado de seguridad de datos (2006) y Administración de entidades (3004). Cada evento proviene de un origen, como se menciona a continuación.

**Actividad de DNS** contiene las siguientes acciones:
+ [Registros de DNS](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152744.dita)

**Actividad de red** contiene las siguientes acciones:
+ [Cloud Firewall Logs](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152740.dita)
+ [Secure Gateway logs](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152788.dita)
+ [IPS logs](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152760.dita)

**Resultado de seguridad de datos** contiene las siguientes acciones:
+ [DLP (Data Loss Prevention) logs](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152741.dita)

La **administración de entidades** contiene las acciones siguientes:
+ [Admin Audit logs](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152738.dita)