Cisco Umbrella のソース設定
Cisco Umbrella との統合
Cisco Umbrella は、すべてのデバイス、場所、およびユーザーに対して安全なインターネットアクセスと脅威保護を提供するクラウドベースのセキュリティプラットフォームです。DNS レイヤーのセキュリティ、ウェブフィルタリング、およびクラウドベースのファイアウォール機能を使用して、悪意のあるドメインをブロックし、サイバー攻撃がネットワークに到達する前にそれを防止します。CloudWatch パイプラインを使用すると、このデータを CloudWatch Logs で収集できます。
Amazon S3 と Amazon SQS を設定する手順
Amazon S3 バケットにログを送信するように Cisco Umbrella を設定するには、いくつかの手順が必要です。主要なものは Amazon S3 バケット、Amazon SQS キュー、IAM ロールの設定と、その後の CloudWatch パイプラインの設定です。
-
Cisco Umbrella ログ環境エクスポーターが S3 で設定されていることを確認します。これは通常、Cisco Umbrella コンソールの [管理者] → [ログ管理] にあります。
-
Cisco Umbrella ログを保存する Amazon S3 バケットは、CloudWatch パイプラインと同じ AWS リージョンにある必要があります。
-
Amazon SQS キューを Amazon S3 バケットと同じ AWS リージョンに作成します。このキューは、新しいログファイルが Amazon S3 バケットに追加されると通知を受け取ります。
-
イベント通知、特に「オブジェクトの作成」イベントの通知を作成するように Amazon S3 バケットを設定します。これらの通知は、前のステップで作成した Amazon SQS キューに送信される必要があります。
CloudWatch パイプラインの設定
Cisco Umbrella からデータを読み取るようにパイプラインを設定する場合は、データソースとして Cisco Umbrella を選択します。必要な情報を入力してパイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。
サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス
この統合は、OCSF スキーマバージョン v1.5.0 と、DNS Activity (4003)、Network Activity (4001)、Data Security Finding (2006)、および Entity Management (3004) にマッピングされる Cisco Umbrella イベント
DNS アクティビティには、次のアクションが含まれます。
ネットワークアクティビティには、次のアクションが含まれます。
データセキュリティの検出結果には、次のアクションが含まれます:
エンティティ管理には、次のアクションが含まれます。
