思科伞
Cisco Umbrella是一个DNS、防火墙、安全web网关和云访问安全代理(CASB)事件源,用于收集有关网络上发现的服务、事件和威胁的信息。
思科雨伞产品日志除了源地址外,还可以包含关于主机和帐户的信息。当将Cisco Umbrella设置为事件源时,您将能够指定归属选项.
要设置思科雨伞,你需要:
- 复习“开始之前”并记下任何要求
- 配置思科伞以发送数据到您的收集器,
- 验证配置是否有效.
您还可以:
在你开始之前
为了在InsightIDR中查看Cisco伞形日志,您必须配置AWS S3存储桶以向InsightIDR发送消息。有关此过程的详细信息,请参见:https://support.umbrella.com/hc/en-us/articles/231248448-Cisco-Umbrella-Log-Management-in-Amazon-S3.
在Cisco伞形控制台中,转到设置>日志管理并完成以下步骤:
- 选择要删除的选项使用自己的S3存储桶,或Cisco管理的S3存储桶.
- 选择您的区域选择保存.
- 控制台需要几分钟才能激活。复制Bucket名称、访问密钥和密钥来自确认消息,供以后在InsightIDR中使用。
- 选择得到它!选中复选框,然后按Continue。
您将看到另一条确认消息,Cisco正在向S3存储桶发送日志。
支持地区
S3区 |
URL |
|---|---|
US_STANDARD |
|
美国西俄勒冈州 |
|
美国俄亥俄州东部 |
|
美国西加利福尼亚州 |
|
CA_CENTRAL |
|
爱尔兰欧盟 |
|
伦敦大学 |
|
EU_PARIS |
|
法兰克福欧盟大学 |
|
AP_MUMBAI |
|
AP_SEOUL |
|
AP_SINGAPORE |
|
AP_SYDNEY |
|
东京大学 |
|
SA_SAO_PAULO |
如何配置事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击DNS图标。此时会出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 将时区设置为UTC,因为思科雨伞总是使用UTC时区进行日志记录。
- 选择一个归因来源.
- 可选择发送未经过滤的日志.
- 选择您现有的凭据或(可选)创建新凭据.
- 输入S3存储桶名称。不包括
s3://在桶名中。- 例如,如果您的s3存储桶是
s3://your.bucket.url你应该只包括你的.bucket.url
- 例如,如果您的s3存储桶是
思科管理:你的桶看起来像这样:my-managed-bucket /这样的.您的S3桶名将只是我的管理桶.
- 输入S3密钥字冠。
- 键前缀允许您指定从哪个文件夹收集日志。在此处了解有关前缀的详细信息:https://docs.aws.amazon.com/AWSImportExport/latest/DG/ManipulatingS3KeyNames.html.如果没有存储日志的文件夹或子目录,请将此字段保留为空。
思科管理:你的桶看起来像这样:my-managed-bucket /这样的,则您的密钥前缀将是这样的/.请注意,/位于前缀的末尾,而不是开头。
- 选择桶地区名称.
- 以分钟为单位输入刷新率。建议的刷新率为10分钟。
- 点击保存.
归因源选择
思科雨伞产品日志可以包含关于主机和帐户的信息。当设置Cisco Umbrella作为事件源时,您将能够指定以下属性选项:
- 如果可能,使用IDR引擎;如果没有,使用事件日志
通过选择此选项,InsightIDR归因引擎将使用日志行中的源地址执行归因。如果无法使用源地址解析资产或帐户,则将使用日志行中的资产或帐户(如果有)。
- 如果可能,使用事件日志;如果没有,请使用IDR引擎
通过选择此选项,属性将使用日志行中显示的资产和帐户完成。如果日志行中没有资产或帐户,InsightIDR属性引擎将使用日志行中存在的源地址执行属性。
- 仅使用IDR发动机
通过选择此选项,InsightIDR属性引擎将使用日志行中显示的源地址执行属性,而忽略日志行中显示的任何资产和帐户。
- 只使用事件日志
通过选择这个选项,属性将使用日志行中显示的资产和帐户来完成,而忽略源地址。
验证您的配置
- 从左边的菜单中,单击日志搜索查看原始日志,并确保事件被发送到Collector。根据事件的不同,思科雨伞日志会流入不同的日志集:
- DNS事件生成DNS查询文档
- 代理事件生成Web代理文档
- IP事件生成高级恶意软件文档
- 云防火墙事件生成防火墙文档
- 表演日志搜索确保思科雨伞活动顺利进行。
样本日志
DNS事件示例
1.
“\”2020-05-12 14:24:50\“,”快速。七(快速。Seven@gmail.\“,\”快速。七(快速。Seven@gmail.,VPN,HQ,HQ\“,”20.21.103.71\“,”174.237.215.230\“,”允许“,”1(A)“,”无错误“,”rapid.seven.yahoo.com.\“,”搜索引擎,基础设施“,”广告用户“,”广告用户,内部网络,网站,网络“,”
代理事件示例(22个字段)
1.
“\”2020-06-16 05:06:14 \”,\“RPD07 (RPD07@rapid7.com) \”,\“170.10.200.60 \”,\“80.240.220.170 \”,\“100.160.180.70 \",\"\",\" 允许\”,\“http://some-location.com/hello.txt \",\"\",\" 200年Microsoft-CryptoAPI / 10.0 \”,\“\”,\“\”,\“1240 211 \",\"\",\"\",\" 软件/技术、业务服务基础设施 \",\"\",\"\",\"\",\"\",\"\",\" 广告用户\”“
代理事件示例(23个字段)
1.
“2020-06-16 13:38:26\”、“RPD-7-10001337\”、“190.160.1.170\”、“70.170.40.50\”、“20.40.200.20\”、“文本/纯文本”、“允许”、“允许”http://some-location.com/hello.txt\“,”Mozilla/5.0(Windows NT 10.0;Win64;x64;rv:77.0)Gecko/20100101 Firefox/77.0“,”200“,”377“,”8“,”81b2bd4ea98c8db66554fbc8d7637a1a69a130f331feb732b75abc1234568fd5“,”基础架构\“、\“\”、\“\”、\“\”、\“\”、\“\”、\“\”、\“任意连接漫游客户端\”、\“\”
示例IP事件
1.
”\“2020-04-22 22:54:21 \”,\“R7的MacBook Pro \”,\“100.109.104.218 46292 \”,\“\”,\“554年64.251.89.57 \”,\“\”,\“恶意软件\”,\“漫游计算机\”“
示例云防火墙事件
1.
“\'2019-01-14 18:03:46\”、“[322140933]\”、“被动监视器”、“CDFW隧道设备”、“出站设备”、“1\”、“84\”、“173.18.4.5\”、“46292\”、“147.113.255.130\”、“554\”、“ams1.edc\”、“12\”、“允许”
故障排除
如果您使用思科雨伞遇到问题,您可以使用以下解决方案之一:
- S3错误:拒绝访问,拒绝访问
- 意外请求代码301
- 无法找到请求目标的有效认证路径
S3错误:拒绝访问,拒绝访问
如果您在Cisco Umbrella事件源上看到此错误,则可能输入了一些错误信息(特别是S3存储桶和密钥前缀)。首先,请验证从Cisco Umbrella配置中输入的信息是否正确。如果仍然看到此错误,请删除并重试重新配置事件源.
如果在确认所有信息正确后仍存在此错误,请使用AWS命令行界面(CLI)测试AWS凭据。有关配置AWS CLI的说明,请参阅以下AWS资源:
https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html
Non-Cisco管理客户
如果您遇到上面的错误,请尝试添加尾随/到您的S3前缀。
意外请求代码301
如果遇到此错误,请检查是否使用了正确的S3 Bucket区域。
无法找到请求目标的有效认证路径
如果您遇到这个错误,说明您的证书有问题,可能是由执行SSL/TLS检查的web代理引起的。
您可以执行以下操作以尝试解决此问题:
- 重新配置适当的代理,以允许流量到桶所在的S3地址。
- 检查Cisco Umbrella是否允许流量到桶所在的S3地址。
- 检查Cisco Umbrella没有阻塞到您想要的S3桶位置的流量。