思科伞

Cisco Umbrella是一个DNS、防火墙、安全web网关和云访问安全代理(CASB)事件源,用于收集有关网络上发现的服务、事件和威胁的信息。

思科雨伞产品日志除了源地址外,还可以包含关于主机和帐户的信息。当将Cisco Umbrella设置为事件源时,您将能够指定归属选项

要设置思科雨伞,你需要:

  1. 回顾“开始之前”并记下任何要求
  2. 配置思科伞以发送数据到您的收集器,
  3. 验证配置是否有效

您还可以:

在你开始之前

为了在InsightIDR中查看Cisco伞形日志,您必须配置AWS S3存储桶以向InsightIDR发送消息。有关此过程的详细信息,请参见:https://support.umbrella.com/hc/en-us/articles/23124848-cisco-umbrella-log-management-in-amazon-s3.

在你的思科伞控制台,进入设置>日志管理并完成以下步骤:

  1. 选择选项使用自己的S3存储桶, 或者思科管理S3桶
  2. 选择你的区域并选择保存
  1. 控制台需要几分钟才能激活。复制桶名称,访问密钥和密钥来自确认消息,供以后在InsightIDR中使用。
  1. 选择得到它!选中复选框,然后按Continue。

您将看到另一条确认消息,Cisco正在向S3存储桶发送日志。

支持地区

S3区

URL

US_STANDARD

https://s3.amazonaws.com

美国西俄勒冈州

https://s3-us-west-2.amazonaws.com

美国俄亥俄州东部

https://s3-us-east-2.amazonaws.com

美国西加利福尼亚州

https://s3-us-west-1.amazonaws.com

CA_CENTRAL

https://s3-ca-central-1.amazonaws.com.

爱尔兰欧盟

https://s3-eu-west-1.amazonaws.com

伦敦大学

https://s3-eu-west-2.amazonaws.com

EU_PARIS

https://s3-eu-west-3.amazonaws.com

eu_frankfurt.

https://s3.eu-central-1.amazonaws.com

AP_MUMBAI

https://s3-ap-south-1.amazonaws.com.

AP_SEOUL

https://s3-ap-northeast-2.amazonaws.com

AP_SINGAPORE

https://s3-ap-southeast-1.amazonaws.com

AP_SYDNEY

https://s3-ap-southeast-2.amazonaws.com

东京大学

https://s3-ap-northeast-1.amazonaws.com

SA_SAO_PAULO

https://s3-sa-east-1.amazonaws.com

如何配置事件源

  1. 从仪表板中选择数据采集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击DNS图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 将时区设置为UTC,因为思科雨伞总是使用UTC时区进行日志记录。
  6. 选择AN.归因来源
  7. 可选择发送未经过滤的日志
  8. 选择您现有的凭据或(可选)创建一个新的凭据
  9. 输入S3桶名称。不包括s3://在桶名中。
    • 例如,如果您的s3存储桶是s3://your.bucket.url.url.你应该只包括你的.bucket.url

思科管理:你的桶看起来像这样:my-managed-bucket /这样的.您的S3桶名将只是我的管理桶

  1. 输入S3密钥字冠。

思科管理:你的桶看起来像这样:my-managed-bucket /这样的,则您的密钥前缀将是这样的/.请注意,/位于前缀的末尾,而不是开头。

  1. 选择桶地区名称
  2. 在几分钟内输入刷新率。推荐的速度为10分钟。
  3. 点击保存事件源设置面板

归因源选择

思科雨伞产品日志可以包含关于主机和帐户的信息。当设置Cisco Umbrella作为事件源时,您将能够指定以下属性选项:

  1. 如果可能,使用IDR引擎;如果没有,使用事件日志

通过选择此选项,InsightIdr属性引擎将使用日志线中存在的源地址执行归属。如果它无法使用源地址解析资产或帐户,则它将使用日志行中存在的资产或帐户(如果有的话)。

  1. 如果可能,使用事件日志;如果没有,请使用IDR引擎

通过选择此选项,属性将使用日志行中显示的资产和帐户完成。如果日志行中没有资产或帐户,InsightIDR属性引擎将使用日志行中存在的源地址执行属性。

  1. 仅使用IDR发动机

通过选择此选项,InsightIDR属性引擎将使用日志行中显示的源地址执行属性,而忽略日志行中显示的任何资产和帐户。

  1. 只使用事件日志

通过选择这个选项,属性将使用日志行中显示的资产和帐户来完成,而忽略源地址。

验证您的配置

  1. 从左边的菜单中,单击日志搜索查看原始日志,并确保事件被发送到Collector。根据事件的不同,思科雨伞日志会流入不同的日志集:
    • DNS事件生成DNS查询文档
    • 代理事件生成Web代理文档
    • IP事件生成高级恶意软件文档
    • 云防火墙事件生成防火墙文档
  2. 表演日志搜索确保思科雨伞活动顺利进行。

样本日志

DNS事件示例

         
1
“\”2020-05-12 14:24:50 \“,\”rapid.seven(rapt.seven@gmail。\“,\”sapid.seven(rapt.seven @ gmail。,VPN,HQ,HQ \“,\”20.21.103.71 \“,\”174.237.215.230 \“\”允许“,\”1(a)\“,\”noError \“,\”Rapid.Seven.yahoo.com。\“,”搜索引擎,基础架构“,\”广告用户“,\”广告用户,内部网络,站点,网络\“,\”\“

代理事件示例(22个字段)

         
1
“\”2020-06-16 05:06:14 \”,\“RPD07 (RPD07@rapid7.com) \”,\“170.10.200.60 \”,\“80.240.220.170 \”,\“100.160.180.70 \",\"\",\" 允许\”,\“http://some-location.com/hello.txt \",\"\",\" 200年Microsoft-CryptoAPI / 10.0 \”,\“\”,\“\”,\“1240 211 \",\"\",\"\",\" 软件/技术、业务服务基础设施 \",\"\",\"\",\"\",\"\",\"\",\" 广告用户\”“

示例代理事件(23字段)

         
1
“2020-06-16 13:38:26”,\“rpd-7-10001337 \”,\“190.160.1.170 \”70.170.40.50 \“,\”20.40.200.20 \“,“text / plain \”,\“允许”,\“http://some-location.com/hello.txt \”,\“\”,\“Mozilla / 5.0(Windows NT 10.0; Win64; X64; RV:77.0)Gecko / 20100101 Firefox / 77.0 \“,\”200 \“,\”\“,\”377 \“,\”8 \“,\”81b2bd4ea98c8db66554fbc8d7637a1a69a130f3315568fd5 \“,\”基础设施\“,\“\”,\“\”,\“\”,\“\”,\“\”,\“AnyConnect漫游客户端\”,\“\”

示例IP事件

         
1
”\“2020-04-22 22:54:21 \”,\“R7的MacBook Pro \”,\“100.109.104.218 46292 \”,\“\”,\“554年64.251.89.57 \”,\“\”,\“恶意软件\”,\“漫游计算机\”“

示例云防火墙事件

         
1
“\'2019-01-14 18:03:46\”、“[322140933]\”、“被动监视器”、“CDFW隧道设备”、“出站设备”、“1\”、“84\”、“173.18.4.5\”、“46292\”、“147.113.255.130\”、“554\”、“ams1.edc\”、“12\”、“允许”

故障排除

如果您使用思科雨伞遇到问题,您可以使用以下解决方案之一:

  • S3错误:拒绝访问,拒绝访问
  • 意外请求代码301
  • 无法找到请求目标的有效认证路径

S3错误:拒绝访问,拒绝访问

如果您在Cisco保护伞事件源上看到此错误,则可能输入了一些错误信息(特别是S3 Bucket和密钥前缀)。首先,验证从Cisco Umbrella配置中输入的信息是否正确。如果您仍然看到此错误,请删除和重新配置事件源

如果在确认所有信息是正确的情况下仍存在此错误,请使用AWS命令行界面(CLI)来测试AWS的凭据。有关配置AWS CLI的说明,请参阅以下AWS资源:

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html

Non-Cisco管理客户

如果您遇到上面的错误,请尝试添加尾随/到你的S3前缀。

意外请求代码301

如果遇到此错误,请检查是否使用了正确的S3 Bucket区域。

无法找到请求目标的有效认证路径

如果您遇到这个错误,说明您的证书有问题,可能是由执行SSL/TLS检查的web代理引起的。

您可以执行以下操作以尝试解决此问题:

  • 重新配置适当的代理,以允许流量到桶所在的S3地址。
  • 检查Cisco Umbrella是否允许流量到达存储桶所在的S3地址。
  • 检查Cisco Umbrella没有阻塞到您想要的S3桶位置的流量。