Cisco Umbrella 来源配置
与 Cisco Umbrella 集成
Cisco Umbrella 是一个云端交付的安全平台,可为所有设备、地点和用户提供安全的互联网访问和威胁防护。该平台使用 DNS 层安全性、Web 筛选和云端交付的防火墙功能,在恶意域名进入您的网络之前加以阻止,防止网络攻击。CloudWatch 管道支持将这类数据收集到 CloudWatch Logs 中。
Amazon S3 与 Amazon SQS 设置说明
将 Cisco Umbrella 配置为向 Amazon S3 存储桶发送日志,需执行多个步骤,核心为设置 Amazon S3 存储桶、Amazon SQS 队列和 IAM 角色,然后配置 CloudWatch 管道。
-
确保使用 S3 配置了 Cisco Umbrella 日志环境导出器。此项通常可以在 Cisco Umbrella 控制台中的“管理员”→“日志管理”下找到。
-
存储 Cisco Umbrella 日志的 Amazon S3 存储桶应与您的 CloudWatch 管道位于同一 AWS 区域。
-
Amazon SQS 队列必须与您的 Amazon S3 存储桶位于同一 AWS 区域。此队列将在新的日志文件添加到 Amazon S3 存储桶时收到通知。
-
为该 Amazon S3 存储桶配置事件通知,需专门针对“对象创建”事件进行设置。这些通知应发送到您在上一步中创建的 Amazon SQS 队列。
配置 CloudWatch 管道
将管道配置为从 Cisco Umbrella 读取数据时,请选择 Cisco Umbrella 作为数据来源。填写必填信息并创建管道后,所选的 CloudWatch Logs 日志组中将显示数据。
支持的开放式网络安全架构框架事件类
此集成支持 OCSF 架构版本 1.5.0 和映射到 DNS 活动(4003)、网络活动(4001)、数据安全调查发现(2006)和实体管理(3004)的 Cisco Umbrella 事件
DNS 活动包含以下操作:
网络活动包含以下操作:
数据安全调查发现包含以下操作:
实体管理包含以下操作:
