# Cisco Umbrella 来源配置
<a name="cisco-umbrella-source-setup"></a>

## 与 Cisco Umbrella 集成
<a name="cisco-umbrella-integration"></a>

Cisco Umbrella 是一个云端交付的安全平台，可为所有设备、地点和用户提供安全的互联网访问和威胁防护。该平台使用 DNS 层安全性、Web 筛选和云端交付的防火墙功能，在恶意域名进入您的网络之前加以阻止，防止网络攻击。CloudWatch 管道支持将这类数据收集到 CloudWatch Logs 中。

## Amazon S3 与 Amazon SQS 设置说明
<a name="cisco-umbrella-s3-sqs-setup"></a>

将 Cisco Umbrella 配置为向 Amazon S3 存储桶发送日志，需执行多个步骤，核心为设置 Amazon S3 存储桶、Amazon SQS 队列和 IAM 角色，然后配置 CloudWatch 管道。
+ 确保使用 S3 配置了 Cisco Umbrella 日志环境导出器。此项通常可以在 Cisco Umbrella 控制台中的“管理员”→“日志管理”下找到。
+ 存储 Cisco Umbrella 日志的 Amazon S3 存储桶应与您的 CloudWatch 管道位于同一 AWS 区域。
+ Amazon SQS 队列必须与您的 Amazon S3 存储桶位于同一 AWS 区域。此队列将在新的日志文件添加到 Amazon S3 存储桶时收到通知。
+ 为该 Amazon S3 存储桶配置事件通知，需专门针对“对象创建”事件进行设置。这些通知应发送到您在上一步中创建的 Amazon SQS 队列。

## 配置 CloudWatch 管道
<a name="cisco-umbrella-pipeline-config"></a>

将管道配置为从 Cisco Umbrella 读取数据时，请选择 Cisco Umbrella 作为数据来源。填写必填信息并创建管道后，所选的 CloudWatch Logs 日志组中将显示数据。

## 支持的开放式网络安全架构框架事件类
<a name="cisco-umbrella-ocsf-events"></a>

此集成支持 OCSF 架构版本 1.5.0 和映射到 DNS 活动（4003）、网络活动（4001）、数据安全调查发现（2006）和实体管理（3004）的 [Cisco Umbrella 事件](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152763.dita)。每个事件都来自如下所述的某个来源。

**DNS 活动**包含以下操作：
+ [DNS 日志](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152744.dita)

**网络活动**包含以下操作：
+ [云防火墙日志](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152740.dita)
+ [安全网关日志](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152788.dita)
+ [IPS 日志](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152760.dita)

**数据安全调查发现**包含以下操作：
+ [DLP（数据丢失防护）日志](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152741.dita)

**实体管理**包含以下操作：
+ [管理员审计日志](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152738.dita)