View a markdown version of this page

Configurazione del codice sorgente per Cisco Umbrella - Amazon CloudWatch
Integrazione con Cisco UmbrellaIstruzioni per configurare Amazon S3 e Amazon SQSConfigurazione della pipeline CloudWatchClassi di eventi Open Cybersecurity Schema Framework supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del codice sorgente per Cisco Umbrella

Integrazione con Cisco Umbrella

Cisco Umbrella è una piattaforma di sicurezza fornita dal cloud che fornisce accesso sicuro a Internet e protezione dalle minacce su tutti i dispositivi, le sedi e gli utenti. Utilizza la sicurezza a livello DNS, il filtraggio web e le funzionalità firewall fornite dal cloud per bloccare i domini dannosi e prevenire gli attacchi informatici prima che raggiungano la rete. CloudWatch pipelines consente di raccogliere questi dati in Logs. CloudWatch

Istruzioni per configurare Amazon S3 e Amazon SQS

La configurazione di Cisco Umbrella per l'invio di log a un bucket Amazon S3 prevede diversi passaggi, incentrati principalmente sulla configurazione del bucket Amazon S3, della coda Amazon SQS e dei ruoli IAM, quindi sulla configurazione della pipeline. CloudWatch

  • Assicurati che Cisco Umbrella Logs Environment Exporter sia configurato con S3. In genere si trova in Amministrazione → Gestione dei registri nella console Cisco Umbrella.

  • Il bucket Amazon S3 che memorizza i log di Cisco Umbrella dovrebbe risiedere nella stessa regione della pipeline. AWS CloudWatch

  • Crea una coda Amazon SQS nella stessa AWS regione del tuo bucket Amazon S3. Questa coda riceverà notifiche quando vengono aggiunti nuovi file di log al bucket Amazon S3.

  • Configura il bucket Amazon S3 per creare notifiche di eventi, in particolare per gli eventi «Object Create». Queste notifiche devono essere inviate alla coda Amazon SQS creata nel passaggio precedente.

Configurazione della pipeline CloudWatch

Quando configuri la pipeline per leggere i dati da Cisco Umbrella, scegli Cisco Umbrella come fonte di dati. Dopo aver inserito le informazioni richieste e creato la pipeline, i dati saranno disponibili nel gruppo di log Logs selezionato. CloudWatch

Classi di eventi Open Cybersecurity Schema Framework supportate

Questa integrazione supporta la versione dello schema OCSF v1.5.0 e gli eventi Cisco Umbrella mappati a DNS Activity (4003), Network Activity (4001), Data Security Finding (2006) ed Entity Management (3004). Ogni evento proviene da una fonte come indicato di seguito.

L'attività DNS contiene le seguenti azioni:

L'attività di rete contiene le seguenti azioni:

Data Security Finding contiene le seguenti azioni:

Entity Management contiene le seguenti azioni: