思科伞
Cisco Umbrella是一个DNS、防火墙、安全web网关和云访问安全代理(CASB)事件源,用于收集有关网络上发现的服务、事件和威胁的信息。
思科雨伞产品日志除了源地址外,还可以包含关于主机和帐户的信息。当将Cisco Umbrella设置为事件源时,您将能够指定归属选项.
要设置思科雨伞,你需要:
- 回顾“开始之前”并记下任何要求
- 配置思科伞以发送数据到您的收集器,
- 验证配置是否有效.
您还可以:
在你开始之前
为了在InsightIDR中查看Cisco伞形日志,您必须配置AWS S3存储桶以向InsightIDR发送消息。有关此过程的详细信息,请参见:https://support.umbrella.com/hc/en-us/articles/23124848-cisco-umbrella-log-management-in-amazon-s3..
在你的思科伞控制台,进入设置>日志管理并完成以下步骤:
- 选择选项使用自己的S3存储桶, 或者思科管理S3桶.
- 选择你的区域并选择保存.
- 控制台需要几分钟才能激活。复制桶名称,访问密钥和密钥来自确认消息,供以后在InsightIDR中使用。
- 选择得到它!选中复选框,然后按Continue。
您将看到另一条确认消息,Cisco正在向S3存储桶发送日志。
支持地区
S3区 |
URL |
|---|---|
US_STANDARD |
|
美国西俄勒冈州 |
|
美国俄亥俄州东部 |
|
美国西加利福尼亚州 |
|
CA_CENTRAL |
|
爱尔兰欧盟 |
|
伦敦大学 |
|
EU_PARIS |
|
eu_frankfurt. |
|
AP_MUMBAI |
|
AP_SEOUL |
|
AP_SINGAPORE |
|
AP_SYDNEY |
|
东京大学 |
|
SA_SAO_PAULO |
如何配置事件源
- 从仪表板中选择数据采集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击DNS图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 将时区设置为UTC,因为思科雨伞总是使用UTC时区进行日志记录。
- 选择AN.归因来源.
- 可选择发送未经过滤的日志.
- 选择您现有的凭据或(可选)创建一个新的凭据.
- 输入S3桶名称。不包括
s3://在桶名中。- 例如,如果您的s3存储桶是
s3://your.bucket.url.url.你应该只包括你的.bucket.url
- 例如,如果您的s3存储桶是
思科管理:你的桶看起来像这样:my-managed-bucket /这样的.您的S3桶名将只是我的管理桶.
- 输入S3密钥字冠。
- 键前缀允许您从应收集日志的文件夹中指定。在此了解更多关于前缀的内容:https://docs.aws.amazon.com/AWSImportExport/latest/DG/ManipulatingS3KeyNames.html.如果没有存储日志的文件夹或子目录,请将此字段保留为空。
思科管理:你的桶看起来像这样:my-managed-bucket /这样的,则您的密钥前缀将是这样的/.请注意,/位于前缀的末尾,而不是开头。
- 选择桶地区名称.
- 在几分钟内输入刷新率。推荐的速度为10分钟。
- 点击保存.
归因源选择
思科雨伞产品日志可以包含关于主机和帐户的信息。当设置Cisco Umbrella作为事件源时,您将能够指定以下属性选项:
- 如果可能,使用IDR引擎;如果没有,使用事件日志
通过选择此选项,InsightIdr属性引擎将使用日志线中存在的源地址执行归属。如果它无法使用源地址解析资产或帐户,则它将使用日志行中存在的资产或帐户(如果有的话)。
- 如果可能,使用事件日志;如果没有,请使用IDR引擎
通过选择此选项,属性将使用日志行中显示的资产和帐户完成。如果日志行中没有资产或帐户,InsightIDR属性引擎将使用日志行中存在的源地址执行属性。
- 仅使用IDR发动机
通过选择此选项,InsightIDR属性引擎将使用日志行中显示的源地址执行属性,而忽略日志行中显示的任何资产和帐户。
- 只使用事件日志
通过选择这个选项,属性将使用日志行中显示的资产和帐户来完成,而忽略源地址。
验证您的配置
- 从左边的菜单中,单击日志搜索查看原始日志,并确保事件被发送到Collector。根据事件的不同,思科雨伞日志会流入不同的日志集:
- DNS事件生成DNS查询文档
- 代理事件生成Web代理文档
- IP事件生成高级恶意软件文档
- 云防火墙事件生成防火墙文档
- 表演日志搜索确保思科雨伞活动顺利进行。
样本日志
DNS事件示例
1
“\”2020-05-12 14:24:50 \“,\”rapid.seven(rapt.seven@gmail。\“,\”sapid.seven(rapt.seven @ gmail。,VPN,HQ,HQ \“,\”20.21.103.71 \“,\”174.237.215.230 \“\”允许“,\”1(a)\“,\”noError \“,\”Rapid.Seven.yahoo.com。\“,”搜索引擎,基础架构“,\”广告用户“,\”广告用户,内部网络,站点,网络\“,\”\“
代理事件示例(22个字段)
1
“\”2020-06-16 05:06:14 \”,\“RPD07 (RPD07@rapid7.com) \”,\“170.10.200.60 \”,\“80.240.220.170 \”,\“100.160.180.70 \",\"\",\" 允许\”,\“http://some-location.com/hello.txt \",\"\",\" 200年Microsoft-CryptoAPI / 10.0 \”,\“\”,\“\”,\“1240 211 \",\"\",\"\",\" 软件/技术、业务服务基础设施 \",\"\",\"\",\"\",\"\",\"\",\" 广告用户\”“
示例代理事件(23字段)
1
“2020-06-16 13:38:26”,\“rpd-7-10001337 \”,\“190.160.1.170 \”70.170.40.50 \“,\”20.40.200.20 \“,“text / plain \”,\“允许”,\“http://some-location.com/hello.txt \”,\“\”,\“Mozilla / 5.0(Windows NT 10.0; Win64; X64; RV:77.0)Gecko / 20100101 Firefox / 77.0 \“,\”200 \“,\”\“,\”377 \“,\”8 \“,\”81b2bd4ea98c8db66554fbc8d7637a1a69a130f3315568fd5 \“,\”基础设施\“,\“\”,\“\”,\“\”,\“\”,\“\”,\“AnyConnect漫游客户端\”,\“\”
示例IP事件
1
”\“2020-04-22 22:54:21 \”,\“R7的MacBook Pro \”,\“100.109.104.218 46292 \”,\“\”,\“554年64.251.89.57 \”,\“\”,\“恶意软件\”,\“漫游计算机\”“
示例云防火墙事件
1
“\'2019-01-14 18:03:46\”、“[322140933]\”、“被动监视器”、“CDFW隧道设备”、“出站设备”、“1\”、“84\”、“173.18.4.5\”、“46292\”、“147.113.255.130\”、“554\”、“ams1.edc\”、“12\”、“允许”
故障排除
如果您使用思科雨伞遇到问题,您可以使用以下解决方案之一:
- S3错误:拒绝访问,拒绝访问
- 意外请求代码301
- 无法找到请求目标的有效认证路径
S3错误:拒绝访问,拒绝访问
如果您在Cisco保护伞事件源上看到此错误,则可能输入了一些错误信息(特别是S3 Bucket和密钥前缀)。首先,验证从Cisco Umbrella配置中输入的信息是否正确。如果您仍然看到此错误,请删除和重新配置事件源.
如果在确认所有信息是正确的情况下仍存在此错误,请使用AWS命令行界面(CLI)来测试AWS的凭据。有关配置AWS CLI的说明,请参阅以下AWS资源:
https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html
Non-Cisco管理客户
如果您遇到上面的错误,请尝试添加尾随/到你的S3前缀。
意外请求代码301
如果遇到此错误,请检查是否使用了正确的S3 Bucket区域。
无法找到请求目标的有效认证路径
如果您遇到这个错误,说明您的证书有问题,可能是由执行SSL/TLS检查的web代理引起的。
您可以执行以下操作以尝试解决此问题:
- 重新配置适当的代理,以允许流量到桶所在的S3地址。
- 检查Cisco Umbrella是否允许流量到达存储桶所在的S3地址。
- 检查Cisco Umbrella没有阻塞到您想要的S3桶位置的流量。