Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration de la source pour Cisco Umbrella
<a name="cisco-umbrella-source-setup"></a>

## Intégration à Cisco Umbrella
<a name="cisco-umbrella-integration"></a>

Cisco Umbrella est une plateforme de sécurité fournie dans le cloud qui fournit un accès Internet sécurisé et une protection contre les menaces sur tous les appareils, sites et utilisateurs. Il utilise la sécurité de la couche DNS, le filtrage Web et les fonctionnalités de pare-feu fournies dans le cloud pour bloquer les domaines malveillants et empêcher les cyberattaques avant qu'elles n'atteignent votre réseau. CloudWatch pipelines vous permet de collecter ces données dans CloudWatch des journaux.

## Instructions pour configurer Amazon S3 et Amazon SQS
<a name="cisco-umbrella-s3-sqs-setup"></a>

La configuration de Cisco Umbrella pour envoyer des journaux à un compartiment Amazon S3 implique plusieurs étapes, principalement axées sur la configuration du compartiment Amazon S3, de la file d'attente Amazon SQS et des rôles IAM, puis sur la configuration du pipeline. CloudWatch 
+ Assurez-vous que l'exportateur d'environnement de journalisation Cisco Umbrella est configuré avec S3. Cela se trouve généralement sous Admin → Gestion des journaux dans la console Cisco Umbrella.
+ Le compartiment Amazon S3 qui stocke les journaux Cisco Umbrella doit se trouver dans la même AWS région que votre CloudWatch pipeline.
+ Créez une file d'attente Amazon SQS dans la même AWS région que votre compartiment Amazon S3. Cette file d'attente recevra des notifications lorsque de nouveaux fichiers journaux seront ajoutés au compartiment Amazon S3.
+ Configurez le compartiment Amazon S3 pour créer des notifications d'événements, en particulier pour les événements « Object Create ». Ces notifications doivent être envoyées à la file d'attente Amazon SQS que vous avez créée à l'étape précédente.

## Configuration du CloudWatch pipeline
<a name="cisco-umbrella-pipeline-config"></a>

Lorsque vous configurez le pipeline pour lire les données de Cisco Umbrella, choisissez Cisco Umbrella comme source de données. Après avoir renseigné les informations requises et créé le pipeline, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

## Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge
<a name="cisco-umbrella-ocsf-events"></a>

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les [événements Cisco Umbrella](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152763.dita) qui correspondent à l'activité DNS (4003), à l'activité réseau (4001), à la recherche de sécurité des données (2006) et à la gestion des entités (3004). Chaque événement provient d'une source telle que mentionnée ci-dessous.

**L'activité DNS** contient les actions suivantes :
+ [Journaux DNS](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152744.dita)

**L'activité réseau** contient les actions suivantes :
+ [Journaux du pare-feu dans le cloud](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152740.dita)
+ [Journaux de Secure Gateway](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152788.dita)
+ [Journaux IPS](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152760.dita)

**Data Security Finding** contient les actions suivantes :
+ [Journaux DLP (prévention des pertes de données)](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152741.dita)

**La gestion des entités** contient les actions suivantes :
+ [Journaux d'audit des administrateurs](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152738.dita)