View a markdown version of this page

Configuration de la source pour Cisco Umbrella - Amazon CloudWatch
Intégration à Cisco UmbrellaInstructions pour configurer Amazon S3 et Amazon SQSConfiguration du CloudWatch pipelineClasses d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la source pour Cisco Umbrella

Intégration à Cisco Umbrella

Cisco Umbrella est une plateforme de sécurité fournie dans le cloud qui fournit un accès Internet sécurisé et une protection contre les menaces sur tous les appareils, sites et utilisateurs. Il utilise la sécurité de la couche DNS, le filtrage Web et les fonctionnalités de pare-feu fournies dans le cloud pour bloquer les domaines malveillants et empêcher les cyberattaques avant qu'elles n'atteignent votre réseau. CloudWatch pipelines vous permet de collecter ces données dans CloudWatch des journaux.

Instructions pour configurer Amazon S3 et Amazon SQS

La configuration de Cisco Umbrella pour envoyer des journaux à un compartiment Amazon S3 implique plusieurs étapes, principalement axées sur la configuration du compartiment Amazon S3, de la file d'attente Amazon SQS et des rôles IAM, puis sur la configuration du pipeline. CloudWatch

  • Assurez-vous que l'exportateur d'environnement de journalisation Cisco Umbrella est configuré avec S3. Cela se trouve généralement sous Admin → Gestion des journaux dans la console Cisco Umbrella.

  • Le compartiment Amazon S3 qui stocke les journaux Cisco Umbrella doit se trouver dans la même AWS région que votre CloudWatch pipeline.

  • Créez une file d'attente Amazon SQS dans la même AWS région que votre compartiment Amazon S3. Cette file d'attente recevra des notifications lorsque de nouveaux fichiers journaux seront ajoutés au compartiment Amazon S3.

  • Configurez le compartiment Amazon S3 pour créer des notifications d'événements, en particulier pour les événements « Object Create ». Ces notifications doivent être envoyées à la file d'attente Amazon SQS que vous avez créée à l'étape précédente.

Configuration du CloudWatch pipeline

Lorsque vous configurez le pipeline pour lire les données de Cisco Umbrella, choisissez Cisco Umbrella comme source de données. Après avoir renseigné les informations requises et créé le pipeline, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements Cisco Umbrella qui correspondent à l'activité DNS (4003), à l'activité réseau (4001), à la recherche de sécurité des données (2006) et à la gestion des entités (3004). Chaque événement provient d'une source telle que mentionnée ci-dessous.

L'activité DNS contient les actions suivantes :

L'activité réseau contient les actions suivantes :

Data Security Finding contient les actions suivantes :

La gestion des entités contient les actions suivantes :