Cisco Umbrella

Produkt IBM® QRadar® DSM for Cisco Umbrella gromadzi dzienniki DNS z pamięci masowej Cisco Umbrella przy użyciu kompatybilnego interfejsu API Amazon S3 .

Aby zintegrować produkt Cisco Umbrella z produktem QRadar, wykonaj następujące kroki:
  1. Jeśli aktualizacje automatyczne nie są włączone, pakiety RPM są dostępne do pobrania z serwisu WWW wsparcia IBM (http://www.ibm.com/support). Pobierz i zainstaluj najnowszą wersję następujących pakietów RPM w konsoli QRadar Console w kolejności, w jakiej zostały wymienione.
    • Protocol Common RPM
    • Amazon AWS REST API Protocol RPM
    • Cisco Cloud Web Security DSM RPM
    • Cisco Umbrella DSM RPM
  2. Skonfiguruj produkt Cisco Umbrella, aby komunikował się z QRadar.
  3. Dodaj źródło dziennika Cisco Umbrella na serwerze QRadar Console. W poniższej tabeli opisano parametry, które wymagają konkretnych wartości dla kolekcji zdarzeń Cisco Umbrella.
    Tabela 1. Parametry źródła dziennika interfejsu API usługi Amazon AWS S3 REST
    Parametr Wartość
    Typ źródła dziennika Cisco Umbrella
    Konfiguracja protokołu Interfejs API usług REST produktu Amazon AWS S3
    Identyfikator źródła dziennika Wpisz unikalną nazwę źródła dziennika.

    Identyfikator źródła dziennika może być dowolną poprawną wartością i nie musi odwoływać się do konkretnego serwera. Identyfikator źródła dziennika może mieć taką samą wartość, jak nazwa źródła dziennika. Jeśli skonfigurowano więcej niż jedno źródło rejestrowania Cisco Umbrella, warto zidentyfikować pierwsze źródło dziennika jako ciscoumbrella1, drugie źródło dziennika jako ciscoumbrella2, a trzecie źródło dziennika jako ciscoumbrella3.
    Nazwa regionu (tylko podpis V4 ) Region, który jest powiązany z zasobem Amazon S3 .
    Nazwa zasobnika Nazwa zasobnika AWS S3 , w którym zapisywane są pliki dziennika. Na przykład nazwą porcji może być cisco-managed-us-west-1.
    S3 Adres URL punktu końcowego

    https://s3.amazonaws.com/<bucketname>

    Adres URL punktu końcowego, który jest używany do wysyłania zapytań do interfejsu API usług REST produktu AWS S3 .

    Adres URL punktu końcowego może być różny w zależności od konfiguracji urządzenia.

    Ważne: Adres URL punktu końcowego musi być skonfigurowany do skonfigurowania zasobnika zarządzanego przez Cisco AWS S3 i zasobnika zarządzanego przez klienta AWS S3 .
    Przedrostek katalogu

    <path>/

    Położenie katalogu głównego w zasobniku pamięci masowej Cisco Umbrella, z którego pobierane są dzienniki Cisco Umbrella. Na przykład położeniem katalogu głównego może być dnslogs/.
    Wzorzec nazwy pliku .*?\.csv\.gz
    Format zdarzenia Z listy wybierz pozycję Cisco Umbrella CSV . Źródło dziennika pobiera zdarzenia w formacie CSV.

Pełną listę parametrów protokołu interfejsu API usługi Amazon AWS S3 i ich wartości zawiera sekcja Opcje konfiguracji protokołu API Amazon AWS S3.