View a markdown version of this page

Cisco Umbrella의 소스 구성 - Amazon CloudWatch
Cisco Umbrella와 통합Amazon S3 및 Amazon SQS를 설정하기 위한 지침CloudWatch 파이프라인 구성지원되는 Open Cybersecurity Schema Framework 이벤트 클래스

Cisco Umbrella의 소스 구성

Cisco Umbrella와 통합

Cisco Umbrella는 모든 디바이스, 위치 및 사용자에 대해 안전한 인터넷 액세스 및 위협 보호를 제공하는 클라우드 제공 보안 플랫폼입니다. DNS 계층 보안, 웹 필터링 및 클라우드 전송 방화벽 기능을 사용하여 악성 도메인을 차단하고 사이버 공격이 네트워크에 도달하기 전에 이를 차단합니다. CloudWatch 파이프라인을 사용하면 CloudWatch Logs에서 이러한 데이터를 수집할 수 있습니다.

Amazon S3 및 Amazon SQS를 설정하기 위한 지침

Amazon S3 버킷으로 로그를 전송하도록 Cisco Umbrella를 구성하려면 Amazon S3 버킷, Amazon SQS 대기열, IAM 역할을 설정한 다음 Amazon Telemetry Pipeline을 구성하는 데 주로 중점을 둔 몇 가지 단계가 필요합니다.

  • Cisco Umbrella 로그 환경 내보내기 도구가 S3로 구성되어 있어야 합니다. 이는 일반적으로 Cisco Umbrella 콘솔의 관리자 → 로그 관리에서 찾아볼 수 있습니다.

  • Cisco Umbrella 로그를 저장하는 Amazon S3 버킷은 CloudWatch 파이프라인과 동일한 AWS 리전에 있어야 합니다.

  • Amazon S3 버킷과 동일한 AWS 리전에서 Amazon SQS 대기열을 생성합니다. 새 로그 파일이 Amazon S3 버킷에 추가되면 이 대기열에 알림이 수신됩니다.

  • 특히 '객체 생성' 이벤트에 대한 이벤트 알림을 생성하도록 Amazon S3 버킷을 구성합니다. 이러한 알림은 이전 단계에서 생성한 Amazon SQS 대기열로 전송되어야 합니다.

CloudWatch 파이프라인 구성

Cisco Umbrella에서 데이터를 읽도록 파이프라인을 구성할 때 Cisco Umbrella를 데이터 소스로 선택합니다. 필수 정보를 입력한 후 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.

지원되는 Open Cybersecurity Schema Framework 이벤트 클래스

이 통합은 OCSF 스키마 버전 v1.5.0 및 DNS 활동(4003), 네트워크 활동(4001), 데이터 보안 조사 결과(2006) 및 엔터티 관리(3004)에 매핑되는 Cisco Umbrella 이벤트를 지원합니다. 각 이벤트는 아래에 언급된 소스에서 발생합니다.

DNS 활동에는 다음 작업이 포함됩니다.

네트워크 활동에는 다음 작업이 포함됩니다.

데이터 보안 조사 결과에는 다음 작업이 포함됩니다.

엔터티 관리에는 다음과 같은 작업이 포함됩니다.