Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log del proxy web Cisco Umbrella

Supportato in:

Google SecOps SIEM

Questo documento spiega come raccogliere i log del proxy web Cisco Umbrella in un feed di Google Security Operations utilizzando il bucket AWS S3. Il parser estrae i campi da un log CSV, rinomina le colonne per chiarezza e gestisce le potenziali variazioni nei dati di input. Poi utilizza i file inclusi (umbrella_proxy_udm.include e umbrella_handle_identities.include) per mappare i campi estratti all'UDM ed elaborare le informazioni sull'identità in base al campo identityType.

Prima di iniziare

Assicurati di avere un'istanza Google SecOps.
Assicurati di disporre dell'accesso con privilegi ad AWS IAM e S3.
Assicurati di disporre dell'accesso con privilegi a Cisco Umbrella.

Configura un bucket Amazon S3 gestito da Cisco

Accedi alla dashboard di Cisco Umbrella.
Vai ad Amministrazione > Gestione log.
Seleziona l'opzione Utilizza un bucket Amazon S3 gestito da Cisco.
Fornisci i seguenti dettagli di configurazione:
- Seleziona una regione: seleziona una regione più vicina alla tua posizione per una latenza inferiore.
- Seleziona una durata di conservazione: seleziona il periodo di tempo. La durata della conservazione è di 7, 14 o 30 giorni. Dopo il periodo di tempo selezionato, i dati vengono eliminati e non possono essere recuperati. Se il ciclo di importazione è regolare, utilizza un periodo di tempo più breve. Puoi modificare la durata della conservazione in un secondo momento.
Fai clic su Salva.
Fai clic su Continua per confermare le selezioni e ricevere la notifica di attivazione.
Nella finestra Attivazione completata visualizzata, vengono mostrati i valori di Chiave di accesso e Chiave segreta.
Copia i valori di Chiave di accesso e Chiave segreta. Se perdi queste chiavi, devi rigenerarle.
Fai clic su Ok > Continua.
Una pagina di riepilogo mostra la configurazione e il nome del bucket. Puoi attivare o disattivare la registrazione in base alle esigenze della tua organizzazione. Tuttavia, i log vengono eliminati in base alla durata della conservazione, indipendentemente dall'aggiunta di nuovi dati.

(Facoltativo) Configura le chiavi di accesso utente per il bucket AWS S3 autogestito

Accedi alla console di gestione AWS.
Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
Seleziona l'utente creato.
Seleziona la scheda Credenziali di sicurezza.
Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
Seleziona Servizio di terze parti come Caso d'uso.
Fai clic su Avanti.
(Facoltativo) Aggiungi un tag di descrizione.
Fai clic su Crea chiave di accesso.
Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per un utilizzo successivo.
Fai clic su Fine.
Seleziona la scheda Autorizzazioni.
Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
Seleziona Aggiungi autorizzazioni.
Seleziona Allega direttamente i criteri.
Cerca e seleziona il criterio AmazonS3FullAccess.
Fai clic su Avanti.
Fai clic su Aggiungi autorizzazioni.

(Facoltativo) Configura un bucket Amazon S3 autogestito

Accedi alla console di gestione AWS.

Nota :per ulteriori informazioni sulla creazione di bucket S3, vedi Creare un bucket.
Vai a S3.
Fai clic su Crea bucket.
Fornisci i seguenti dettagli di configurazione:
- Nome bucket: fornisci un nome per il bucket Amazon S3.
- Regione: seleziona una regione.
Fai clic su Crea.

(Facoltativo) Configura un criterio del bucket per il bucket AWS S3 autogestito

Fai clic sul bucket appena creato per aprirlo.
Seleziona Proprietà > Autorizzazioni.
Nell'elenco Autorizzazioni, fai clic su Aggiungi policy del bucket.

Inserisci il criterio del bucket preconfigurato come segue:

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::BUCKET_NAME/*"
    },
    {
      "Sid": "",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::BUCKET_NAME/*"},
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:GetBucketLocation",
      "Resource": "arn:aws:s3:::BUCKET_NAME"
    },
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::568526795995:user/logs"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::BUCKET_NAME"
    }
  ]
}

Sostituisci BUCKET_NAME con il nome del bucket Amazon S3 che hai fornito.

Fai clic su Salva.

(Facoltativo) Verifica obbligatoria per il bucket Amazon S3 autogestito

Nella dashboard Cisco Umbrella, seleziona Amministrazione > Gestione log > Amazon S3.
Nel campo Nome bucket, specifica il nome esatto del bucket Amazon S3, quindi fai clic su Verifica.
Nell'ambito della procedura di verifica, viene caricato un file denominato README_FROM_UMBRELLA.txt da Cisco Umbrella al tuo bucket Amazon S3. Potresti dover aggiornare il browser per visualizzare il file Leggimi dopo il caricamento.
Scarica il file README_FROM_UMBRELLA.txt e aprilo utilizzando un editor di testo.
Copia e salva il token univoco Cisco Umbrella dal file.
Vai alla dashboard Cisco Umbrella.
Nel campo Numero token, specifica il token e fai clic su Salva.
In caso di esito positivo, riceverai un messaggio di conferma nella dashboard che indica che il bucket è stato verificato correttamente. Se ricevi un errore che indica che il bucket non può essere verificato, controlla di nuovo la sintassi del nome del bucket e rivedi la configurazione.

Configura un feed in Google SecOps per importare i log del proxy web Cisco Umbrella

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo.
Nel campo Nome feed, inserisci un nome per il feed, ad esempio Cisco Umbrella Web Proxy Logs.
Seleziona Amazon S3 V2 come Tipo di origine.
Seleziona Cisco Umbrella Web Proxy come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URI S3: l'URI del bucket.
  - s3:/BUCKET_NAME
    - Sostituisci BUCKET_NAME con il nome effettivo del bucket.
- Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
Nota: se selezioni l'opzione Delete transferred files o Delete transferred files and empty directories, assicurati di aver concesso le autorizzazioni appropriate al account di servizio. * Età massima file: include i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni. * ID chiave di accesso: inserisci la chiave di accesso utente con accesso al bucket S3. * Chiave di accesso segreta: inserisci la chiave segreta dell'utente con accesso al bucket S3. * (Facoltativo) Spazio dei nomi dell'asset: fornisci lo spazio dei nomi dell'asset. * (Facoltativo) Etichette di importazione: fornisci l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`ampDisposition`	`security_result.detection_fields[].value`	Il valore di `ampDisposition` dal log non elaborato.
`ampMalware`	`security_result.detection_fields[].value`	Il valore di `ampMalware` dal log non elaborato.
`ampScore`	`security_result.detection_fields[].value`	Il valore di `ampScore` dal log non elaborato.
`avDetections`	`security_result.detection_fields[].value`	Il valore di `avDetections` dal log non elaborato.
`blockedCategories`	`security_result.threat_name`	Il valore di `blockedCategories` dal log non elaborato.
`certificateErrors`	`security_result.detection_fields[].value`	Il valore di `certificateErrors` dal log non elaborato.
`contentType`	`security_result.detection_fields[].value`	Il valore di `contentType` dal log non elaborato.
`destinationIp`	`target.ip`	Il valore di `destinationIp` dal log non elaborato.
`destinationListID`	`security_result.detection_fields[].value`	Il valore di `destinationListID` dal log non elaborato.
`dlpstatus`	`security_result.detection_fields[].value`	Il valore di `dlpstatus` dal log non elaborato.
`externalIp`	`principal.ip`	Il valore di `externalIp` dal log non elaborato.
`fileAction`	`security_result.detection_fields[].value`	Il valore di `fileAction` dal log non elaborato.
`fileName`	`target.file.names`	Il valore di `fileName` dal log non elaborato.
`identitiesV8`	`principal.hostname`	Il valore di `identitiesV8` dal log non elaborato.
`identity`	`principal.location.name`	Il valore di `identity` dal log non elaborato.
`internalIp`	`principal.ip`	Il valore di `internalIp` dal log non elaborato.
`isolateAction`	`security_result.detection_fields[].value`	Il valore di `isolateAction` dal log non elaborato.
`referer`	`network.http.referral_url`	Il valore di `referer` dal log non elaborato.
`requestMethod`	`network.http.method`	Il valore di `requestMethod` dal log non elaborato.
`requestSize`	`security_result.detection_fields[].value`	Il valore di `requestSize` dal log non elaborato.
`responseBodySize`	`security_result.detection_fields[].value`	Il valore di `responseBodySize` dal log non elaborato.
`responseSize`	`security_result.detection_fields[].value`	Il valore di `responseSize` dal log non elaborato.
`ruleID`	`security_result.rule_id`	Il valore di `ruleID` dal log non elaborato.
`rulesetID`	`security_result.detection_fields[].value`	Il valore di `rulesetID` dal log non elaborato.
`sha`	`security_result.about.file.sha256`	Il valore di `sha` dal log non elaborato.
`statusCode`	`network.http.response_code`	Il valore di `statusCode` dal log non elaborato.
`ts`	`timestamp`	Il valore di `ts` dal log non elaborato, analizzato in un timestamp.
`url`	`target.url`	Il valore di `url` dal log non elaborato.
`userAgent`	`network.http.user_agent`	Il valore di `userAgent` dal log non elaborato.
`verdict`	`security_result.detection_fields[].value`	Il valore di `verdict` dal log non elaborato.
`warnstatus`	`security_result.detection_fields[].value`	Il valore di `warnstatus` dal log non elaborato. Il valore di `collection_time` dal log non elaborato. Codificato in modo permanente su `NETWORK_HTTP`. Codificato in modo permanente su `Cisco`. Codificato in modo permanente su `Umbrella`. Codificato in modo permanente su `UMBRELLA_WEBPROXY`. Derivato dallo schema del campo URL (`http` o `https`). Analizzato dal campo `userAgent` utilizzando una libreria di analisi dello user agent. Il valore di `requestSize` dal log non elaborato, convertito in un numero intero. Il valore di `responseSize` dal log non elaborato, convertito in un numero intero. Derivato dal campo `identity` quando `identityType` (o `identityTypeV8` con `identitiesV8`) indica un utente. Ulteriormente analizzato per estrarre i dettagli dell'utente, come nome visualizzato, nome, cognome e indirizzo email. Mappato dal campo `verdict`: `allowed` o `allowed` -> `ALLOW`, altri valori -> `BLOCK`. Se `categories` non è vuoto, impostalo su `NETWORK_CATEGORIZED_CONTENT`. Il valore di `categories` dal log non elaborato. In base a `verdict` e potenzialmente ad altri campi. Di solito `Traffic allowed` o `Traffic blocked`. Se `verdict` non è `allowed` o `blocked` e `statusCode` è presente, il riepilogo è `Traffic %{statusCode}`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.