Integração com o Cisco Umbrella Instruções para configurar o Amazon S3 e o Amazon SQS Configurar o CloudWatch Pipeline Classes de eventos do Open Cybersecurity Schema Framework compatíveis

Configuração da fonte do Cisco Umbrella

Integração com o Cisco Umbrella

O Cisco Umbrella é uma plataforma de segurança fornecida na nuvem que fornece acesso seguro à internet e proteção contra ameaças em todos os dispositivos, locais e usuários. Ele usa segurança de camada de DNS, filtragem da web e recursos de firewall fornecidos na nuvem para bloquear domínios maliciosos e evitar ataques cibernéticos antes que eles cheguem à sua rede. Os pipelines do CloudWatch permitem coletar esses dados no CloudWatch Logs.

Instruções para configurar o Amazon S3 e o Amazon SQS

A configuração do Cisco Umbrella para enviar logs para um bucket do Amazon S3 envolve várias etapas, concentradas principalmente na configuração de buckets do Amazon S3, na fila do Amazon SQS, nos perfis do IAM e então na configuração do pipeline do CloudWatch.

Certifique-se de que o exportador do ambiente de logs do Cisco Umbrella esteja configurado com o S3. Isso geralmente é encontrado em Admin → Gerenciamento de logs no console do Cisco Umbrella.
O bucket do Amazon S3 que armazena os logs do Cisco Umbrella deve residir na mesma região da AWS do seu pipeline do CloudWatch.
Crie uma fila do Amazon SQS na mesma região da AWS do bucket do Amazon S3. Essa fila receberá notificações quando novos arquivos de log forem adicionados ao bucket do Amazon S3.
Configure o bucket do Amazon S3 no qual criar notificações de eventos, especificamente para eventos de “Criação de objeto”. Essas notificações devem ser enviadas para a fila do Amazon SQS criada por você na etapa anterior.

Configurar o CloudWatch Pipeline

Ao configurar o pipeline para ler dados do Cisco Umbrella, escolha Cisco Umbrella como a fonte de dados. Depois de preencher as informações necessárias e criar o pipeline, os dados estarão disponíveis no grupo de logs selecionado do CloudWatch Logs.

Classes de eventos do Open Cybersecurity Schema Framework compatíveis

Essa integração é compatível com o esquema do OCSF, versão v1.5.0, e os eventos do Cisco Umbrella que são mapeados como: DNS Activity (4003), Network Activity (4001), Data Security Finding (2006) e Entity Management (3004). Cada evento vem de uma fonte, conforme mencionado abaixo.

O DNS Activity contém as seguintes ações:

Logs do DNS

O Network Activity contém as seguintes ações:

O Data Security Finding contém as seguintes ações:

Logs do DLP (prevenção de perda de dados)

Entity Management inclui as seguintes ações:

Logs de auditoria do administrador

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Cisco Umbrella

Configuração do pipeline