本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Cisco Umbrella 的來源組態
<a name="cisco-umbrella-source-setup"></a>

## 與 Cisco Umbrella 整合
<a name="cisco-umbrella-integration"></a>

Cisco Umbrella 是一種雲端交付的安全平台，可在所有裝置、位置和使用者之間提供安全的網際網路存取和威脅防護。它使用 DNS 層安全性、Web 篩選和雲端交付防火牆功能來封鎖惡意網域，並防止網路攻擊到達您的網路。CloudWatch 管道可讓您在 CloudWatch Logs 中收集此資料。

## 設定 Amazon S3 和 Amazon SQS 的說明
<a name="cisco-umbrella-s3-sqs-setup"></a>

設定 Cisco Umbrella 將日誌傳送至 Amazon S3 儲存貯體涉及幾個步驟，主要著重於設定 Amazon S3 儲存貯體、Amazon SQS 佇列和 IAM 角色，然後設定 CloudWatch 管道。
+ 確保 Cisco Umbrella 日誌環境匯出程式已設定 S3。這通常在 Cisco Umbrella 主控台的 Admin → Logs Management 下找到。
+ 存放 Cisco Umbrella 日誌的 Amazon S3 儲存貯體應與 CloudWatch 管道位於相同的 AWS 區域。
+ 在與 Amazon S3 儲存貯體相同的區域中建立 Amazon SQS 佇列。 AWS Amazon S3 當新的日誌檔案新增至 Amazon S3 儲存貯體時，此佇列會收到通知。
+ 設定 Amazon S3 儲存貯體以建立事件通知，特別是「物件建立」事件。這些通知應傳送至您在上一個步驟中建立的 Amazon SQS 佇列。

## 設定 CloudWatch 管道
<a name="cisco-umbrella-pipeline-config"></a>

設定管道從 Cisco Umbrella 讀取資料時，請選擇 Cisco Umbrella 作為資料來源。填入必要資訊並建立管道後，資料將可在選取的 CloudWatch Logs 日誌群組中使用。

## 支援的開放式網路安全結構描述架構事件類別
<a name="cisco-umbrella-ocsf-events"></a>

此整合支援映射至 DNS 活動 (4003)、網路活動 (4001)、資料安全調查結果 (2006) 和實體管理 (3004) 的 OCSF 結構描述版本 v1.5.0 和 [Cisco Umbrella 事件](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152763.dita)。每個事件都來自來源，如下所述。

**DNS 活動**包含下列動作：
+ [DNS 日誌](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152744.dita)

**網路活動**包含下列動作：
+ [雲端防火牆日誌](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152740.dita)
+ [安全閘道日誌](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152788.dita)
+ [IPS 日誌](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152760.dita)

**Data Security Finding** 包含下列動作：
+ [DLP （資料外洩防護） 日誌](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152741.dita)

**實體管理**包含下列動作：
+ [管理員稽核日誌](https://securitydocs.cisco.com/docs/umbrella-sig/olh/152738.dita)