Cisco Umbrella-Web-Proxy-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cisco Umbrella Web Proxy-Logs in einem Google Security Operations-Feed mithilfe eines AWS S3-Buckets erfassen. Der Parser extrahiert Felder aus einem CSV-Log, benennt Spalten zur besseren Übersicht um und verarbeitet potenzielle Abweichungen in den Eingabedaten. Anschließend werden die extrahierten Felder mithilfe der enthaltenen Dateien (umbrella_proxy_udm.include und umbrella_handle_identities.include) dem UDM zugeordnet und die Identitätsinformationen basierend auf dem Feld identityType verarbeitet.

Hinweise

  • Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
  • Prüfen Sie, ob Sie privilegierten Zugriff auf AWS IAM und S3 haben.
  • Prüfen Sie, ob Sie privilegierten Zugriff auf Cisco Umbrella haben.

Von Cisco verwalteten Amazon S3-Bucket konfigurieren

  1. Melden Sie sich im Cisco Umbrella-Dashboard an.
  2. Klicken Sie auf Verwaltung > Protokollverwaltung.
  3. Wählen Sie die Option Use a Cisco-managed Amazon S3 bucket (Von Cisco verwalteten Amazon S3-Bucket verwenden) aus.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Region auswählen: Wählen Sie eine Region in der Nähe Ihres Standorts aus, um die Latenz zu verringern.
    • Aufbewahrungsdauer auswählen: Wählen Sie den Zeitraum aus. Die Aufbewahrungsdauer beträgt 7, 14 oder 30 Tage. Nach dem ausgewählten Zeitraum werden die Daten gelöscht und können nicht wiederhergestellt werden. Wenn Ihr Aufnahmerhythmus regelmäßig ist, sollten Sie einen kürzeren Zeitraum verwenden. Sie können die Aufbewahrungsdauer später ändern.
  5. Klicken Sie auf Speichern.
  6. Klicken Sie auf Weiter, um Ihre Auswahl zu bestätigen und eine Aktivierungsbenachrichtigung zu erhalten.
    Im Fenster Aktivierung abgeschlossen werden die Werte für Zugriffsschlüssel und Geheimer Schlüssel angezeigt.
  7. Kopieren Sie die Werte für Access key (Zugriffsschlüssel) und Secret key (geheimer Schlüssel). Wenn Sie diese Schlüssel verlieren, müssen Sie sie neu generieren.
  8. Klicken Sie auf Ok > Weiter.
  9. Auf einer Übersichtsseite werden die Konfiguration und der Name Ihres Buckets angezeigt. Sie können das Logging nach Bedarf für Ihre Organisation deaktivieren oder aktivieren. Logs werden jedoch unabhängig davon, ob neue Daten hinzugefügt werden, auf Grundlage der Aufbewahrungsdauer gelöscht.

Optional: Nutzerzugriffsschlüssel für selbstverwalteten AWS S3-Bucket konfigurieren

  1. Melden Sie sich bei der AWS Management Console an.
  2. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
  3. Wählen Sie den erstellten Nutzer aus.
  4. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  5. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  6. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
  7. Klicken Sie auf Weiter.
  8. Optional: Fügen Sie ein Beschreibungstag hinzu.
  9. Klicken Sie auf Zugriffsschlüssel erstellen.
  10. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die spätere Verwendung zu speichern.
  11. Klicken Sie auf Fertig.
  12. Wählen Sie den Tab Berechtigungen aus.
  13. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  14. Wählen Sie Berechtigungen hinzufügen aus.
  15. Wählen Sie Richtlinien direkt anhängen aus.
  16. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
  17. Klicken Sie auf Weiter.
  18. Klicken Sie auf Berechtigungen hinzufügen.

Optional: Selbstverwalteten Amazon S3-Bucket konfigurieren

  1. Melden Sie sich bei der AWS Management Console an.

  2. Rufen Sie S3 auf.

  3. Klicken Sie auf Bucket erstellen.

  4. Geben Sie die folgenden Konfigurationsdetails an:

    • Bucket-Name: Geben Sie einen Namen für den Amazon S3-Bucket an.
    • Region: Wählen Sie eine Region aus.
  5. Klicken Sie auf Erstellen.

Optional: Bucket-Richtlinie für selbstverwalteten AWS S3-Bucket konfigurieren

  1. Klicken Sie auf den neu erstellten Bucket, um ihn zu öffnen.
  2. Wählen Sie Eigenschaften > Berechtigungen aus.
  3. Klicken Sie in der Liste Berechtigungen auf Bucket-Richtlinie hinzufügen.
  4. Geben Sie die vorkonfigurierte Bucket-Richtlinie wie folgt ein:

    {
      "Version": "2008-10-17",
      "Statement": [
        {
          "Sid": "",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::568526795995:user/logs"
          },
          "Action": "s3:PutObject",
          "Resource": "arn:aws:s3:::BUCKET_NAME/*"
        },
        {
          "Sid": "",
          "Effect": "Deny",
          "Principal": {
            "AWS": "arn:aws:iam::568526795995:user/logs"
          },
          "Action": "s3:GetObject",
          "Resource": "arn:aws:s3:::BUCKET_NAME/*"},
        {
          "Sid": "",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::568526795995:user/logs"
          },
          "Action": "s3:GetBucketLocation",
          "Resource": "arn:aws:s3:::BUCKET_NAME"
        },
        {
          "Sid": "",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::568526795995:user/logs"
          },
          "Action": "s3:ListBucket",
          "Resource": "arn:aws:s3:::BUCKET_NAME"
        }
      ]
    }
    
    • Ersetzen Sie BUCKET_NAME durch den von Ihnen angegebenen Amazon S3-Bucket-Namen.
  5. Klicken Sie auf Speichern.

Optional: Erforderliche Bestätigung für selbstverwalteten Amazon S3-Bucket

  1. Wählen Sie im Cisco Umbrella-Dashboard Admin > Log management > Amazon S3 aus.
  2. Geben Sie im Feld Bucket name (Bucket-Name) den genauen Namen Ihres Amazon S3-Buckets an und klicken Sie dann auf Verify (Bestätigen).
  3. Im Rahmen der Überprüfung wird eine Datei mit dem Namen README_FROM_UMBRELLA.txt von Cisco Umbrella in Ihren Amazon S3-Bucket hochgeladen. Möglicherweise müssen Sie Ihren Browser aktualisieren, damit die Readme-Datei nach dem Hochladen angezeigt wird.
  4. Laden Sie die Datei README_FROM_UMBRELLA.txt herunter und öffnen Sie sie mit einem Texteditor.
  5. Kopieren und speichern Sie das eindeutige Cisco Umbrella-Token aus der Datei.
  6. Rufen Sie das Cisco Umbrella-Dashboard auf.
  7. Geben Sie im Feld Tokennummer das Token an und klicken Sie auf Speichern.
  8. Wenn der Vorgang erfolgreich war, erhalten Sie in Ihrem Dashboard eine Bestätigungsnachricht, dass der Bucket bestätigt wurde. Wenn Sie eine Fehlermeldung erhalten, dass Ihr Bucket nicht überprüft werden kann, prüfen Sie noch einmal die Syntax des Bucket-Namens und die Konfiguration.

Feed in Google SecOps konfigurieren, um die Cisco Umbrella Web Proxy-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Cisco Umbrella Web Proxy Logs (Cisco Umbrella-Webproxylogs).
  4. Wählen Sie Amazon S3 V2 als Quelltyp aus.
  5. Wählen Sie Cisco Umbrella Web Proxy als Log type (Protokolltyp) aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:

    • S3-URI: Der Bucket-URI.
      • s3:/BUCKET_NAME
        • Ersetzen Sie BUCKET_NAME durch den tatsächlichen Namen des Buckets.
    • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option aus.
  8. Klicken Sie auf Weiter.

  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
ampDisposition security_result.detection_fields[].value Der Wert von ampDisposition aus dem Rohlog.
ampMalware security_result.detection_fields[].value Der Wert von ampMalware aus dem Rohlog.
ampScore security_result.detection_fields[].value Der Wert von ampScore aus dem Rohlog.
avDetections security_result.detection_fields[].value Der Wert von avDetections aus dem Rohlog.
blockedCategories security_result.threat_name Der Wert von blockedCategories aus dem Rohlog.
certificateErrors security_result.detection_fields[].value Der Wert von certificateErrors aus dem Rohlog.
contentType security_result.detection_fields[].value Der Wert von contentType aus dem Rohlog.
destinationIp target.ip Der Wert von destinationIp aus dem Rohlog.
destinationListID security_result.detection_fields[].value Der Wert von destinationListID aus dem Rohlog.
dlpstatus security_result.detection_fields[].value Der Wert von dlpstatus aus dem Rohlog.
externalIp principal.ip Der Wert von externalIp aus dem Rohlog.
fileAction security_result.detection_fields[].value Der Wert von fileAction aus dem Rohlog.
fileName target.file.names Der Wert von fileName aus dem Rohlog.
identitiesV8 principal.hostname Der Wert von identitiesV8 aus dem Rohlog.
identity principal.location.name Der Wert von identity aus dem Rohlog.
internalIp principal.ip Der Wert von internalIp aus dem Rohlog.
isolateAction security_result.detection_fields[].value Der Wert von isolateAction aus dem Rohlog.
referer network.http.referral_url Der Wert von referer aus dem Rohlog.
requestMethod network.http.method Der Wert von requestMethod aus dem Rohlog.
requestSize security_result.detection_fields[].value Der Wert von requestSize aus dem Rohlog.
responseBodySize security_result.detection_fields[].value Der Wert von responseBodySize aus dem Rohlog.
responseSize security_result.detection_fields[].value Der Wert von responseSize aus dem Rohlog.
ruleID security_result.rule_id Der Wert von ruleID aus dem Rohlog.
rulesetID security_result.detection_fields[].value Der Wert von rulesetID aus dem Rohlog.
sha security_result.about.file.sha256 Der Wert von sha aus dem Rohlog.
statusCode network.http.response_code Der Wert von statusCode aus dem Rohlog.
ts timestamp Der Wert von ts aus dem Rohlog, als Zeitstempel geparst.
url target.url Der Wert von url aus dem Rohlog.
userAgent network.http.user_agent Der Wert von userAgent aus dem Rohlog.
verdict security_result.detection_fields[].value Der Wert von verdict aus dem Rohlog.
warnstatus security_result.detection_fields[].value Der Wert von warnstatus aus dem Rohlog. Der Wert von collection_time aus dem Rohlog. Hartcodiert auf NETWORK_HTTP. Hartcodiert auf Cisco. Hartcodiert auf Umbrella. Hartcodiert auf UMBRELLA_WEBPROXY. Abgeleitet aus dem Schema des URL-Felds (http oder https). Wird aus dem Feld userAgent mit einer User-Agent-Parsing-Bibliothek geparst. Der Wert von requestSize aus dem Rohlog, in eine Ganzzahl konvertiert. Der Wert von responseSize aus dem Rohlog, in eine Ganzzahl konvertiert. Wird aus dem Feld identity abgeleitet, wenn identityType (oder identityTypeV8 mit identitiesV8) einen Nutzer angibt. Weiter analysiert, um Nutzerdetails wie Anzeigename, Vorname, Nachname und E-Mail-Adresse zu extrahieren. Wird aus dem Feld verdict abgeleitet: allowed oder allowed –> ALLOW, andere Werte –> BLOCK. Wenn categories nicht leer ist, legen Sie NETWORK_CATEGORIZED_CONTENT fest. Der Wert von categories aus dem Rohlog. Basierend auf verdict und möglicherweise anderen Feldern. Normalerweise Traffic allowed oder Traffic blocked. Wenn verdict nicht allowed oder blocked ist und statusCode vorhanden ist, lautet die Zusammenfassung Traffic %{statusCode}.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten