Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de auditoría de Cisco Umbrella

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar registros de auditoría de Cisco Umbrella en un feed de Google Security Operations con un bucket de AWS S3. El analizador normaliza los datos de registro CSV sin procesar, controlando diferentes delimitadores y posibles inconsistencias de formato. Luego, según el tipo de registro (DNS o auditoría), asigna los campos extraídos al esquema de UDM correspondiente, lo que enriquece los datos con contexto adicional y estandariza la representación para su posterior análisis.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de tener acceso con privilegios a AWS IAM y S3.
Asegúrate de tener acceso con privilegios a Cisco Umbrella.

Configura un bucket de Amazon S3 administrado por Cisco

Accede al panel de Cisco Umbrella.
Ve a Administrador > Administración de registros.
Selecciona la opción Usar un bucket de Amazon S3 administrado por Cisco.
Proporciona los siguientes detalles de configuración:
- Selecciona una región: Elige una región más cercana a tu ubicación para reducir la latencia.
- Selecciona una duración de retención: Selecciona el período. La duración de la retención es de 7, 14 o 30 días. Después del período seleccionado, los datos se borran y no se pueden recuperar. Si tu ciclo de transferencia es regular, usa un período más corto. Puedes cambiar la duración de la retención más adelante.
Haz clic en Guardar.
Haz clic en Continuar para confirmar tus selecciones y recibir la notificación de activación.
En la ventana Activation complete que aparece, se muestran los valores de Access key y Secret key.
Copia los valores de Clave de acceso y Clave secreta. Si pierdes estas claves, debes volver a generarlas.
Haz clic en Entendido > Continuar.
En una página de resumen, se muestran la configuración y el nombre del bucket. Puedes activar o desactivar el registro según lo requiera tu organización. Sin embargo, los registros se borran según la duración de la retención, independientemente de que se agreguen datos nuevos.

Opcional: Configura las claves de acceso del usuario para el bucket de AWS S3 autoadministrado

Accede a la consola de administración de AWS.
Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
Selecciona el usuario creado.
Selecciona la pestaña Credenciales de seguridad.
Haz clic en Crear clave de acceso en la sección Claves de acceso.
Selecciona Servicio de terceros como el Caso de uso.
Haz clic en Siguiente.
Opcional: Agrega una etiqueta de descripción.
Haz clic en Crear clave de acceso.
Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
Haz clic en Listo.
Selecciona la pestaña Permisos.
Haz clic en Agregar permisos en la sección Políticas de permisos.
Selecciona Agregar permisos.
Selecciona Adjuntar políticas directamente.
Busca y selecciona la política AmazonS3FullAccess.
Haz clic en Siguiente.
Haz clic en Agregar permisos.

Opcional: Configura un bucket de Amazon S3 autoadministrado

Accede a la consola de administración de AWS.

Nota: Para obtener más información sobre la creación de buckets de S3, consulta Crea un bucket.
Ve a S3.
Haz clic en Crear bucket.
Proporciona los siguientes detalles de configuración:
- Nombre del bucket: Proporciona un nombre para el bucket de Amazon S3.
- Región: Selecciona una región.
Haz clic en Crear.

Opcional: Configura una política de bucket para el bucket de AWS S3 autoadministrado

Haz clic en el bucket recién creado para abrirlo.
Selecciona Propiedades > Permisos.
En la lista Permisos, haz clic en Agregar política de bucket.

Ingresa la política del bucket preconfigurada de la siguiente manera:

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::BUCKET_NAME/*"
    },
    {
      "Sid": "",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::BUCKET_NAME/*"},
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:GetBucketLocation",
      "Resource": "arn:aws:s3:::BUCKET_NAME"
    },
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::BUCKET_NAME"
    }
  ]
}

Reemplaza BUCKET_NAME por el nombre del bucket de Amazon S3 que proporcionaste.

Haz clic en Guardar.

Opcional: Verificación obligatoria para el bucket de Amazon S3 autoadministrado

En el panel de Cisco Umbrella, selecciona Admin > Log management > Amazon S3.
En el campo Nombre del bucket, especifica el nombre exacto de tu bucket de Amazon S3 y, luego, haz clic en Verificar.
Como parte del proceso de verificación, se sube un archivo llamado README_FROM_UMBRELLA.txt desde Cisco Umbrella a tu bucket de Amazon S3. Es posible que debas actualizar el navegador para ver el archivo README cuando se suba.
Descarga el archivo README_FROM_UMBRELLA.txt y ábrelo con un editor de texto.
Copia y guarda el token único de Cisco Umbrella del archivo.
Ve al panel de Cisco Umbrella.
En el campo Número de token, especifica el token y haz clic en Guardar.
Si se realiza correctamente, recibirás un mensaje de confirmación en tu panel que indica que el bucket se verificó correctamente. Si recibes un error que indica que no se puede verificar tu bucket, vuelve a verificar la sintaxis del nombre del bucket y revisa la configuración.

Configura un feed en Google SecOps para transferir los registros de auditoría de Cisco Umbrella

Ve a SIEM Settings > Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de auditoría de Cisco Umbrella.
Selecciona Amazon S3 V2 como el Tipo de fuente.
Selecciona Cisco Umbrella Audit como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URI de S3: Es el URI del bucket.
  - s3:/BUCKET_NAME
    - Reemplaza BUCKET_NAME por el nombre real del bucket.
- Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de haber otorgado los permisos adecuados a la cuenta de servicio. * Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días. * ID de clave de acceso: Ingresa la clave de acceso del usuario con acceso al bucket de S3. * Clave de acceso secreta: Ingresa la clave secreta del usuario con acceso al bucket de S3. * Opcional: Espacio de nombres del activo: Proporciona el espacio de nombres del activo. * Opcional: Etiquetas de transferencia: Proporciona la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
action_type	security_result.action_details	Se asigna directamente desde el campo de registro sin procesar `action_type`.
action_type	security_result.action	Si `action_type` contiene `allow` (sin distinción entre mayúsculas y minúsculas), configúralo como `ALLOW`. Si `action_type` contiene `block` (sin distinción entre mayúsculas y minúsculas), configúralo como `BLOCK`.
additionalValue	additional.fields{}.key	Se define en `Additional Value`.
additionalValue	additional.fields{}.value.string_value	Se asigna directamente desde el campo de registro sin procesar `additionalValue`.
blocked_categories	additional.fields{}.key	Se define en `blocked_categories`.
blocked_categories	additional.fields{}.value.string_value	Se asigna directamente desde el campo de registro sin procesar `blocked_categories`.
categorías	security_result.category_details	Se asigna directamente desde el campo de registro sin procesar `categories`, después de dividirse por comas.
column1	metadata.product_log_id	Se asigna desde el campo de registro sin procesar `column1` si el registro es un registro de auditoría.
column1	date_time	Se asigna desde el campo de registro sin procesar `column1` si el registro es un registro de DNS.
column10	categorías	Se asigna directamente desde el campo de registro sin procesar `column10`.
column11	most_granular_identity_type	Se asigna directamente desde el campo de registro sin procesar `column11`.
column12	identity_types	Se asigna directamente desde el campo de registro sin procesar `column12`.
column13	blocked_categories	Se asigna directamente desde el campo de registro sin procesar `column13`.
column2	date_time	Se asigna desde el campo de registro sin procesar `column2` si el registro es un registro de auditoría.
column2	most_granular_identity	Se asigna desde el campo de registro sin procesar `column2` si el registro es un registro de DNS.
column3	principal.user.email_addresses	Se asigna desde el campo de registro sin procesar `column3` si el registro es un registro de auditoría.
column3	identities	Se asigna desde el campo de registro sin procesar `column3` si el registro es un registro de DNS.
column4	principal.user.userid	Se asigna desde el campo de registro sin procesar `column4` si el registro es un registro de auditoría.
column4	internal_ip	Se asigna desde el campo de registro sin procesar `column4` si el registro es un registro de DNS.
column5	security_result.rule_name	Se asigna desde el campo de registro sin procesar `column5` si el registro es un registro de auditoría.
column5	external_ip	Se asigna desde el campo de registro sin procesar `column5` si el registro es un registro de DNS.
column6	action_type	Se asigna directamente desde el campo de registro sin procesar `column6`.
column7	principal.ip	Se asigna desde el campo de registro sin procesar `column7` si el registro es un registro de auditoría.
column7	dns_query_type	Se asigna desde el campo de registro sin procesar `column7` si el registro es un registro de DNS.
column8	additionalValue	Se asigna desde el campo de registro sin procesar `column8` si el registro es un registro de auditoría.
column8	dns_response_code	Se asigna desde el campo de registro sin procesar `column8` si el registro es un registro de DNS.
column9	dominio	Se asigna directamente desde el campo de registro sin procesar `column9`.
date_time	metadata.event_timestamp.seconds	Es la marca de tiempo de época extraída del campo `date_time`.
dns_query_type	network.dns.questions.type	Se extrae del campo `dns_query_type` con una expresión regular y se convierte en un número entero.
dns_response_code	network.dns.response_code	Se asigna desde el campo `dns_response_code` y se convierte en un número entero según los valores del código de respuesta de DNS.
dominio	network.dns.questions.name	Se asigna directamente desde el campo `domain`.
external_ip	principal.ip	Se asigna desde el campo `external_ip` si no está vacío y es diferente de `internal_ip`.
identities	principal.location.name	Se asigna desde el campo `identities` si el campo `identity_types` correspondiente es `Networks`.
identities	principal.hostname	Se asigna desde el campo `identities` si el campo `identity_types` correspondiente es `AD Computers`, `Roaming Computers` o `Anyconnect Roaming Client`.
identities	principal.asset.hostname	Se asigna desde el campo `identities` si el campo `identity_types` correspondiente es `AD Computers`, `Roaming Computers` o `Anyconnect Roaming Client`.
identities	principal.location.city	Se asigna desde el campo `identities` si el campo `identity_types` correspondiente es `Sites`.
identity_types	additional.fields{}.key	Se define en `identities_types`.
identity_types	additional.fields{}.value.string_value	Se asigna directamente desde el campo de registro sin procesar `identity_types`.
internal_ip	principal.ip	Se asigna desde el campo `internal_ip` si no está vacío.
most_granular_identity	additional.fields{}.key	Se define en `most_granular_identity`.
most_granular_identity	additional.fields{}.value.string_value	Se asigna directamente desde el campo de registro sin procesar `most_granular_identity`.
most_granular_identity_type	additional.fields{}.key	Se define en `most_granular_identity_type`.
most_granular_identity_type	additional.fields{}.value.string_value	Se asigna directamente desde el campo de registro sin procesar `most_granular_identity_type`.
	metadata.event_type	Se establece en `NETWORK_DNS` si el registro es un registro de DNS.
	metadata.event_type	Se establece en `STATUS_UPDATE` si el registro es un registro de auditoría y `principal_ip` no está vacío.
	metadata.event_type	Se establece en `GENERIC_EVENT` si el registro es un registro de auditoría y `principal_ip` está vacío.
	metadata.vendor_name	Se define en `CISCO UMBERLLA`.
	metadata.product_name	Se define en `CISCO UMBERLLA`.
	metadata.log_type	Se define en `AUDITD`.
	network.application_protocol	Se establece en `DNS` si el registro es un registro de DNS.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.