思科的伞

概述

思科保护伞是一个DNS事件源,收集有关服务和事件在您的网络上发现的信息。

在你开始之前

为了在insighttops中查看Cisco Umbrella日志,必须配置AWS S3 Bucket向insighttops发送消息。可以找到关于这个过程的详细信息在这里

在您的思科伞控制台,转到设置>日志管理并完成以下步骤。

  1. 选择使用您自己的S3桶,或使用思科管理的S3桶。
  2. 选择您的地区并选择保存。
  1. 控制台需要几分钟才能激活。然后您将看到一条带有Bucket Name、Access Key和Secret Key的确认消息。请确保复制这些内容,以便以后在InsightOps中使用。
  1. 选择Got It!复选框,然后按“继续”。
  2. 您将看到另一条确认消息,思科正在将日志发送到S3桶。

如何配置事件源

  1. 从您的InsightOps仪表板,选择左手菜单上的Data Collection
  2. 在页面右上方,选择“添加数据”
  3. 从安全数据部分选择DNS图标
  4. 选择收集器,并可选地命名事件源
  5. 从事件源选项列表中,选择Cisco Umbrella
  6. 选择一个时区。
  7. 可以选择发送未过滤的日志
  8. 选择您现有的凭据或在下拉框底部选择Create New。
  9. 输入密钥
  10. 输入S3桶名
  11. 输入“S3 Key Prefix”通过“Key Prefix”可以指定从哪个文件夹收集日志。了解更多关于前缀的信息在这里.如果没有存储日志的文件夹或子目录,请将此字段保留为空。
  12. 选择桶区域名称。
  13. 输入刷新速率,单位为分钟。建议速率为10分钟。
  14. 选择保存。