Raccogliere i log del proxy web Cisco Umbrella

Supportato in:

Questo documento spiega come raccogliere i log del proxy web Cisco Umbrella in un feed di Google Security Operations utilizzando il bucket AWS S3. Il parser estrae i campi da un log CSV, rinomina le colonne per chiarezza e gestisce le potenziali variazioni nei dati di input. Poi utilizza i file inclusi (umbrella_proxy_udm.include e umbrella_handle_identities.include) per mappare i campi estratti all'UDM ed elaborare le informazioni sull'identità in base al campo identityType.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi ad AWS IAM e S3.
  • Assicurati di disporre dell'accesso con privilegi a Cisco Umbrella.

Configura un bucket Amazon S3 gestito da Cisco

  1. Accedi alla dashboard di Cisco Umbrella.
  2. Vai ad Amministrazione > Gestione log.
  3. Seleziona l'opzione Utilizza un bucket Amazon S3 gestito da Cisco.
  4. Fornisci i seguenti dettagli di configurazione:
    • Seleziona una regione: seleziona una regione più vicina alla tua posizione per una latenza inferiore.
    • Seleziona una durata di conservazione: seleziona il periodo di tempo. La durata della conservazione è di 7, 14 o 30 giorni. Dopo il periodo di tempo selezionato, i dati vengono eliminati e non possono essere recuperati. Se il ciclo di importazione è regolare, utilizza un periodo di tempo più breve. Puoi modificare la durata della conservazione in un secondo momento.
  5. Fai clic su Salva.
  6. Fai clic su Continua per confermare le selezioni e ricevere la notifica di attivazione.
    Nella finestra Attivazione completata visualizzata, vengono mostrati i valori di Chiave di accesso e Chiave segreta.
  7. Copia i valori di Chiave di accesso e Chiave segreta. Se perdi queste chiavi, devi rigenerarle.
  8. Fai clic su Ok > Continua.
  9. Una pagina di riepilogo mostra la configurazione e il nome del bucket. Puoi attivare o disattivare la registrazione in base alle esigenze della tua organizzazione. Tuttavia, i log vengono eliminati in base alla durata della conservazione, indipendentemente dall'aggiunta di nuovi dati.

(Facoltativo) Configura le chiavi di accesso utente per il bucket AWS S3 autogestito

  1. Accedi alla console di gestione AWS.
  2. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
  3. Seleziona l'utente creato.
  4. Seleziona la scheda Credenziali di sicurezza.
  5. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  6. Seleziona Servizio di terze parti come Caso d'uso.
  7. Fai clic su Avanti.
  8. (Facoltativo) Aggiungi un tag di descrizione.
  9. Fai clic su Crea chiave di accesso.
  10. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per un utilizzo successivo.
  11. Fai clic su Fine.
  12. Seleziona la scheda Autorizzazioni.
  13. Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
  14. Seleziona Aggiungi autorizzazioni.
  15. Seleziona Allega direttamente i criteri.
  16. Cerca e seleziona il criterio AmazonS3FullAccess.
  17. Fai clic su Avanti.
  18. Fai clic su Aggiungi autorizzazioni.

(Facoltativo) Configura un bucket Amazon S3 autogestito

  1. Accedi alla console di gestione AWS.

  2. Vai a S3.

  3. Fai clic su Crea bucket.

  4. Fornisci i seguenti dettagli di configurazione:

    • Nome bucket: fornisci un nome per il bucket Amazon S3.
    • Regione: seleziona una regione.
  5. Fai clic su Crea.

(Facoltativo) Configura un criterio del bucket per il bucket AWS S3 autogestito

  1. Fai clic sul bucket appena creato per aprirlo.
  2. Seleziona Proprietà > Autorizzazioni.
  3. Nell'elenco Autorizzazioni, fai clic su Aggiungi policy del bucket.
  4. Inserisci il criterio del bucket preconfigurato come segue:

    {
      "Version": "2008-10-17",
      "Statement": [
        {
          "Sid": "",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::568526795995:user/logs"
          },
          "Action": "s3:PutObject",
          "Resource": "arn:aws:s3:::BUCKET_NAME/*"
        },
        {
          "Sid": "",
          "Effect": "Deny",
          "Principal": {
            "AWS": "arn:aws:iam::568526795995:user/logs"
          },
          "Action": "s3:GetObject",
          "Resource": "arn:aws:s3:::BUCKET_NAME/*"},
        {
          "Sid": "",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::568526795995:user/logs"
          },
          "Action": "s3:GetBucketLocation",
          "Resource": "arn:aws:s3:::BUCKET_NAME"
        },
        {
          "Sid": "",
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::568526795995:user/logs"
          },
          "Action": "s3:ListBucket",
          "Resource": "arn:aws:s3:::BUCKET_NAME"
        }
      ]
    }
    
    • Sostituisci BUCKET_NAME con il nome del bucket Amazon S3 che hai fornito.
  5. Fai clic su Salva.

(Facoltativo) Verifica obbligatoria per il bucket Amazon S3 autogestito

  1. Nella dashboard Cisco Umbrella, seleziona Amministrazione > Gestione log > Amazon S3.
  2. Nel campo Nome bucket, specifica il nome esatto del bucket Amazon S3, quindi fai clic su Verifica.
  3. Nell'ambito della procedura di verifica, viene caricato un file denominato README_FROM_UMBRELLA.txt da Cisco Umbrella al tuo bucket Amazon S3. Potresti dover aggiornare il browser per visualizzare il file Leggimi dopo il caricamento.
  4. Scarica il file README_FROM_UMBRELLA.txt e aprilo utilizzando un editor di testo.
  5. Copia e salva il token univoco Cisco Umbrella dal file.
  6. Vai alla dashboard Cisco Umbrella.
  7. Nel campo Numero token, specifica il token e fai clic su Salva.
  8. In caso di esito positivo, riceverai un messaggio di conferma nella dashboard che indica che il bucket è stato verificato correttamente. Se ricevi un errore che indica che il bucket non può essere verificato, controlla di nuovo la sintassi del nome del bucket e rivedi la configurazione.

Configura un feed in Google SecOps per importare i log del proxy web Cisco Umbrella

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Cisco Umbrella Web Proxy Logs.
  4. Seleziona Amazon S3 V2 come Tipo di origine.
  5. Seleziona Cisco Umbrella Web Proxy come Tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:

    • URI S3: l'URI del bucket.
      • s3:/BUCKET_NAME
        • Sostituisci BUCKET_NAME con il nome effettivo del bucket.
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
  8. Fai clic su Avanti.

  9. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
ampDisposition security_result.detection_fields[].value Il valore di ampDisposition dal log non elaborato.
ampMalware security_result.detection_fields[].value Il valore di ampMalware dal log non elaborato.
ampScore security_result.detection_fields[].value Il valore di ampScore dal log non elaborato.
avDetections security_result.detection_fields[].value Il valore di avDetections dal log non elaborato.
blockedCategories security_result.threat_name Il valore di blockedCategories dal log non elaborato.
certificateErrors security_result.detection_fields[].value Il valore di certificateErrors dal log non elaborato.
contentType security_result.detection_fields[].value Il valore di contentType dal log non elaborato.
destinationIp target.ip Il valore di destinationIp dal log non elaborato.
destinationListID security_result.detection_fields[].value Il valore di destinationListID dal log non elaborato.
dlpstatus security_result.detection_fields[].value Il valore di dlpstatus dal log non elaborato.
externalIp principal.ip Il valore di externalIp dal log non elaborato.
fileAction security_result.detection_fields[].value Il valore di fileAction dal log non elaborato.
fileName target.file.names Il valore di fileName dal log non elaborato.
identitiesV8 principal.hostname Il valore di identitiesV8 dal log non elaborato.
identity principal.location.name Il valore di identity dal log non elaborato.
internalIp principal.ip Il valore di internalIp dal log non elaborato.
isolateAction security_result.detection_fields[].value Il valore di isolateAction dal log non elaborato.
referer network.http.referral_url Il valore di referer dal log non elaborato.
requestMethod network.http.method Il valore di requestMethod dal log non elaborato.
requestSize security_result.detection_fields[].value Il valore di requestSize dal log non elaborato.
responseBodySize security_result.detection_fields[].value Il valore di responseBodySize dal log non elaborato.
responseSize security_result.detection_fields[].value Il valore di responseSize dal log non elaborato.
ruleID security_result.rule_id Il valore di ruleID dal log non elaborato.
rulesetID security_result.detection_fields[].value Il valore di rulesetID dal log non elaborato.
sha security_result.about.file.sha256 Il valore di sha dal log non elaborato.
statusCode network.http.response_code Il valore di statusCode dal log non elaborato.
ts timestamp Il valore di ts dal log non elaborato, analizzato in un timestamp.
url target.url Il valore di url dal log non elaborato.
userAgent network.http.user_agent Il valore di userAgent dal log non elaborato.
verdict security_result.detection_fields[].value Il valore di verdict dal log non elaborato.
warnstatus security_result.detection_fields[].value Il valore di warnstatus dal log non elaborato. Il valore di collection_time dal log non elaborato. Codificato in modo permanente su NETWORK_HTTP. Codificato in modo permanente su Cisco. Codificato in modo permanente su Umbrella. Codificato in modo permanente su UMBRELLA_WEBPROXY. Derivato dallo schema del campo URL (http o https). Analizzato dal campo userAgent utilizzando una libreria di analisi dello user agent. Il valore di requestSize dal log non elaborato, convertito in un numero intero. Il valore di responseSize dal log non elaborato, convertito in un numero intero. Derivato dal campo identity quando identityType (o identityTypeV8 con identitiesV8) indica un utente. Ulteriormente analizzato per estrarre i dettagli dell'utente, come nome visualizzato, nome, cognome e indirizzo email. Mappato dal campo verdict: allowed o allowed -> ALLOW, altri valori -> BLOCK. Se categories non è vuoto, impostalo su NETWORK_CATEGORIZED_CONTENT. Il valore di categories dal log non elaborato. In base a verdict e potenzialmente ad altri campi. Di solito Traffic allowed o Traffic blocked. Se verdict non è allowed o blocked e statusCode è presente, il riepilogo è Traffic %{statusCode}.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.