Соединитель безопасности Cisco Duo (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных безопасности Cisco Duo предоставляет возможность приема журналов проверки подлинности, журналов администраторов, журналов телефонии, автономных журналов регистрации и событий мониторинга доверия в Microsoft Sentinel с помощью API администрирования Cisco Duo. Дополнительные сведения см. в документации по API.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CiscoDuo_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Все журналы Cisco Duo
CiscoDuo_CL
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с безопасностью Cisco Duo (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные API Cisco Duo: учетные данные API Cisco Duo с журналом предоставления разрешений требуются для API Cisco Duo. Дополнительные сведения о создании учетных данных API Cisco Duo см. в документации .
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к API Cisco Duo для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , CiscoDuo , развернутой с помощью решения Microsoft Sentinel.
ШАГ 1. Получение учетных данных API администрирования Cisco Duo
- Следуйте инструкциям, чтобы получить ключ интеграции, секретный ключ и имя узла API. Используйте разрешение на чтение журнала в 4-м шаге инструкций.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Перед развертыванием соединителя данных укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также Хранилище BLOB-объектов Azure строка подключения и имя контейнера.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных с помощью шаблона ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите ключ интеграции Cisco Duo, секретный ключ Cisco Duo, имя узла API Cisco Duo, Типы журналов Cisco Duo, идентификатор рабочей области Microsoft Sentinel, общий ключ Microsoft Sentinel
Пометьте флажок, помеченный как я согласен с условиями, указанными выше.
Нажмите кнопку " Купить" , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Выполните следующие пошаговые инструкции по развертыванию соединителя данных вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.