이 문서에서는 AWS S3 버킷을 사용하여 Cisco Umbrella 웹 프록시 로그를 Google Security Operations 피드로 수집하는 방법을 설명합니다. 파서는 CSV 로그에서 필드를 추출하여 명확성을 위해 열 이름을 바꾸고 입력 데이터의 잠재적 변동을 처리합니다. 그런 다음 포함된 파일 (umbrella_proxy_udm.include 및 umbrella_handle_identities.include)을 사용하여 추출된 필드를 UDM에 매핑하고 identityType 필드를 기반으로 ID 정보를 처리합니다.
시작하기 전에
Google SecOps 인스턴스가 있는지 확인합니다.
AWS IAM 및 S3에 대한 권한이 있는지 확인합니다.
Cisco Umbrella에 대한 권한 액세스 권한이 있는지 확인합니다.
Cisco 관리 Amazon S3 버킷 구성
Cisco Umbrella 대시보드에 로그인합니다.
관리 > 로그 관리로 이동합니다.
Cisco 관리 Amazon S3 버킷 사용 옵션을 선택합니다.
다음 구성 세부정보를 제공합니다.
리전 선택: 지연 시간을 줄이려면 내 위치와 가까운 리전을 선택합니다.
보관 기간 선택: 기간을 선택합니다. 보관 기간은 7일, 14일 또는 30일입니다. 선택한 기간이 지나면 데이터가 삭제되어 복구할 수 없습니다. 수집 주기가 정기적인 경우 더 짧은 기간을 사용하세요. 보관 기간은 나중에 변경할 수 있습니다.
저장을 클릭합니다.
계속을 클릭하여 선택한 내용을 확인하고 활성화 알림을 받습니다. 활성화 완료 창이 표시되면 액세스 키 및 보안 비밀 키 값이 표시됩니다.
액세스 키 및 보안 비밀 키 값을 복사합니다. 이러한 키를 분실한 경우 다시 생성해야 합니다.
확인 > 계속을 클릭합니다.
요약 페이지에 구성과 버킷 이름이 표시됩니다. 조직의 요구사항에 따라 로깅을 사용 중지하거나 사용 설정할 수 있습니다. 하지만 새 데이터가 추가되더라도 보관 기간에 따라 로그가 삭제됩니다.
인증 절차의 일환으로 README_FROM_UMBRELLA.txt라는 파일이 Cisco Umbrella에서 Amazon S3 버킷으로 업로드됩니다. 업로드된 readme 파일을 보려면 브라우저를 새로고침해야 할 수 있습니다.
README_FROM_UMBRELLA.txt 파일을 다운로드하고 텍스트 편집기를 사용하여 엽니다.
파일에서 고유한 Cisco Umbrella 토큰을 복사하여 저장합니다.
Cisco Umbrella 대시보드로 이동합니다.
토큰 번호 필드에 토큰을 지정하고 저장을 클릭합니다.
인증에 성공하면 버킷이 인증되었음을 알리는 확인 메시지가 대시보드에 표시됩니다. 버킷을 확인할 수 없다는 오류가 표시되면 버킷 이름의 구문을 다시 확인하고 구성을 검토하세요.
Cisco Umbrella Web Proxy 로그를 수집하도록 Google SecOps에서 피드 구성
SIEM 설정> 피드로 이동합니다.
새로 추가를 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: Cisco Umbrella 웹 프록시 로그).
소스 유형으로 Amazon S3 V2를 선택합니다.
로그 유형으로 Cisco Umbrella 웹 프록시를 선택합니다.
다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
S3 URI: 버킷 URI입니다.
s3:/BUCKET_NAME
BUCKET_NAME을 버킷의 실제 이름으로 바꿉니다.
소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
UDM 매핑 테이블
로그 필드
UDM 매핑
논리
ampDisposition
security_result.detection_fields[].value
원시 로그의 ampDisposition 값입니다.
ampMalware
security_result.detection_fields[].value
원시 로그의 ampMalware 값입니다.
ampScore
security_result.detection_fields[].value
원시 로그의 ampScore 값입니다.
avDetections
security_result.detection_fields[].value
원시 로그의 avDetections 값입니다.
blockedCategories
security_result.threat_name
원시 로그의 blockedCategories 값입니다.
certificateErrors
security_result.detection_fields[].value
원시 로그의 certificateErrors 값입니다.
contentType
security_result.detection_fields[].value
원시 로그의 contentType 값입니다.
destinationIp
target.ip
원시 로그의 destinationIp 값입니다.
destinationListID
security_result.detection_fields[].value
원시 로그의 destinationListID 값입니다.
dlpstatus
security_result.detection_fields[].value
원시 로그의 dlpstatus 값입니다.
externalIp
principal.ip
원시 로그의 externalIp 값입니다.
fileAction
security_result.detection_fields[].value
원시 로그의 fileAction 값입니다.
fileName
target.file.names
원시 로그의 fileName 값입니다.
identitiesV8
principal.hostname
원시 로그의 identitiesV8 값입니다.
identity
principal.location.name
원시 로그의 identity 값입니다.
internalIp
principal.ip
원시 로그의 internalIp 값입니다.
isolateAction
security_result.detection_fields[].value
원시 로그의 isolateAction 값입니다.
referer
network.http.referral_url
원시 로그의 referer 값입니다.
requestMethod
network.http.method
원시 로그의 requestMethod 값입니다.
requestSize
security_result.detection_fields[].value
원시 로그의 requestSize 값입니다.
responseBodySize
security_result.detection_fields[].value
원시 로그의 responseBodySize 값입니다.
responseSize
security_result.detection_fields[].value
원시 로그의 responseSize 값입니다.
ruleID
security_result.rule_id
원시 로그의 ruleID 값입니다.
rulesetID
security_result.detection_fields[].value
원시 로그의 rulesetID 값입니다.
sha
security_result.about.file.sha256
원시 로그의 sha 값입니다.
statusCode
network.http.response_code
원시 로그의 statusCode 값입니다.
ts
timestamp
원시 로그의 ts 값으로, 타임스탬프로 파싱됩니다.
url
target.url
원시 로그의 url 값입니다.
userAgent
network.http.user_agent
원시 로그의 userAgent 값입니다.
verdict
security_result.detection_fields[].value
원시 로그의 verdict 값입니다.
warnstatus
security_result.detection_fields[].value
원시 로그의 warnstatus 값입니다. 원시 로그의 collection_time 값입니다. NETWORK_HTTP로 하드코딩되었습니다. Cisco로 하드코딩되었습니다. Umbrella로 하드코딩되었습니다. UMBRELLA_WEBPROXY로 하드코딩되었습니다. URL 필드 (http 또는 https)의 스키마에서 파생됩니다. 사용자 에이전트 파싱 라이브러리를 사용하여 userAgent 필드에서 파싱됩니다. 원시 로그의 requestSize 값이 정수로 변환됩니다. 원시 로그의 responseSize 값이 정수로 변환됩니다. identityType (또는 identitiesV8이 있는 identityTypeV8)이 사용자를 나타내는 경우 identity 필드에서 파생됩니다. 표시 이름, 이름, 성, 이메일 주소와 같은 사용자 세부정보를 추출하기 위해 추가로 파싱됩니다. verdict 필드에서 매핑됨: allowed 또는 allowed -> ALLOW, 기타 값 -> BLOCKcategories이 비어 있지 않으면 NETWORK_CATEGORIZED_CONTENT로 설정합니다. 원시 로그의 categories 값입니다. verdict 및 기타 필드를 기반으로 합니다. 일반적으로 Traffic allowed 또는 Traffic blocked입니다. verdict이 allowed 또는 blocked이 아니고 statusCode이 있으면 요약은 Traffic %{statusCode}입니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[],[],null,["# Collect Cisco Umbrella Web Proxy logs\n=====================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document explains how to collect Cisco Umbrella Web Proxy logs to a Google Security Operations feed using AWS S3 bucket. The parser extracts fields from a CSV log, renaming columns for clarity and handling potential variations in the input data. It then uses included files (`umbrella_proxy_udm.include` and `umbrella_handle_identities.include`) to map the extracted fields to the UDM and process identity information based on the `identityType` field.\n\nBefore you begin\n----------------\n\n- Ensure that you have a Google SecOps instance.\n- Ensure that you privileged access to AWS IAM and S3.\n- Ensure that you have privileged access to Cisco Umbrella.\n\nConfigure a Cisco-managed Amazon S3 bucket\n------------------------------------------\n\n| **Note:** In a Cisco-managed bucket, Cisco Umbrella audit owns the bucket and sets the configuration automatically.\n\n1. Sign in to the **Cisco Umbrella** dashboard.\n2. Go to **Admin \\\u003e Log management**.\n3. Select **Use a Cisco-managed Amazon S3 bucket** option.\n4. Provide the following configuration details:\n - **Select a region**: select a region closer to your location for lower latency.\n - **Select a retention duration**: select the time period. The retention duration is 7, 14, or 30 days. After the selected time period, data is deleted and cannot be recovered. If your ingestion cycle is regular, use a shorter time period. You can change the retention duration at a later time.\n5. Click **Save**.\n6. Click **Continue** to confirm your selections and to receive activation notification. \n In the **Activation complete** window that appears, the **Access key** and **Secret key** values are displayed.\n7. Copy the **Access key** and **Secret key** values. If you lose these keys, you must regenerate them.\n8. Click **Got it \\\u003e Continue**.\n9. A summary page displays the configuration and your bucket name. You can turn logging off or on as required by your organization. However, logs are purged based on the retention duration, regardless of new data getting added.\n\n| **Note:** For more information on device configuration for log collection, see [Enable Logging to a Cisco-managed S3 Bucket](https://docs.umbrella.com/deployment-umbrella/docs/cisco-managed-s3-bucket).\n\nOptional: Configure user access keys for self-managed AWS S3 bucket\n-------------------------------------------------------------------\n\n1. Sign in to the [AWS Management Console](https://aws.amazon.com/console/).\n2. Create a **User** following this user guide: [Creating an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console).\n3. Select the created **User**.\n4. Select the **Security credentials** tab.\n5. Click **Create Access Key** in the **Access Keys** section.\n6. Select **Third-party service** as the **Use case**.\n7. Click **Next**.\n8. Optional: add a description tag.\n9. Click **Create access key**.\n10. Click **Download CSV file** to save the **Access Key** and **Secret Access Key** for later use.\n11. Click **Done**.\n12. Select the **Permissions** tab.\n13. Click **Add permissions** in the **Permissions policies** section.\n14. Select **Add permissions**.\n15. Select **Attach policies directly**.\n16. Search for and select the **AmazonS3FullAccess** policy.\n17. Click **Next**.\n18. Click **Add permissions**.\n\nOptional: Configure a self-managed Amazon S3 bucket\n---------------------------------------------------\n\n1. Sign in to the [AWS Management Console](https://aws.amazon.com/console/).\n\n | **Note:** for more information on S3 bucket creation, see [Create a bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-bucket.html).\n2. Go to **S3**.\n\n3. Click **Create bucket**.\n\n4. Provide the following configuration details:\n\n - **Bucket name**: provide a name for the Amazon S3 bucket.\n - **Region**: select a region.\n5. Click **Create**.\n\nOptional: Configure a bucket policy for self-managed AWS S3 bucket\n------------------------------------------------------------------\n\n1. Click the newly created bucket to open it.\n2. Select **Properties \\\u003e Permissions**.\n3. In the **Permissions** list, click **Add bucket policy**.\n4. Enter the preconfigured bucket policy as follows:\n\n {\n \"Version\": \"2008-10-17\",\n \"Statement\": [\n {\n \"Sid\": \"\",\n \"Effect\": \"Allow\",\n \"Principal\": {\n \"AWS\": \"arn:aws:iam::568526795995:user/logs\"\n },\n \"Action\": \"s3:PutObject\",\n \"Resource\": \"arn:aws:s3:::\u003cvar translate=\"no\"\u003eBUCKET_NAME\u003c/var\u003e/*\"\n },\n {\n \"Sid\": \"\",\n \"Effect\": \"Deny\",\n \"Principal\": {\n \"AWS\": \"arn:aws:iam::568526795995:user/logs\"\n },\n \"Action\": \"s3:GetObject\",\n \"Resource\": \"arn:aws:s3:::\u003cvar translate=\"no\"\u003eBUCKET_NAME\u003c/var\u003e/*\"},\n {\n \"Sid\": \"\",\n \"Effect\": \"Allow\",\n \"Principal\": {\n \"AWS\": \"arn:aws:iam::568526795995:user/logs\"\n },\n \"Action\": \"s3:GetBucketLocation\",\n \"Resource\": \"arn:aws:s3:::\u003cvar translate=\"no\"\u003eBUCKET_NAME\u003c/var\u003e\"\n },\n {\n \"Sid\": \"\",\n \"Effect\": \"Allow\",\n \"Principal\": {\n \"AWS\": \"arn:aws:iam::568526795995:user/logs\"\n },\n \"Action\": \"s3:ListBucket\",\n \"Resource\": \"arn:aws:s3:::\u003cvar translate=\"no\"\u003eBUCKET_NAME\u003c/var\u003e\"\n }\n ]\n }\n\n - Replace \u003cvar translate=\"no\"\u003eBUCKET_NAME\u003c/var\u003e with the Amazon S3 bucket name you provided.\n5. Click **Save**.\n\nOptional: Required Verification for self-managed Amazon S3 bucket\n-----------------------------------------------------------------\n\n1. In the **Cisco Umbrella** dashboard, select **Admin \\\u003e Log management \\\u003e Amazon S3**.\n2. In the **Bucket name** field, specify your exact Amazon S3 bucket name, and then click **Verify**.\n3. As part of the verification process, a file named `README_FROM_UMBRELLA.txt` is uploaded from Cisco Umbrella to your Amazon S3 bucket. You may need to refresh your browser in order to see the readme file when it is uploaded.\n4. Download the `README_FROM_UMBRELLA.txt` file, and open it using a text editor.\n5. Copy and save the unique **Cisco Umbrella** token from the file.\n6. Go to the **Cisco Umbrella** dashboard.\n7. In the **Token number** field, specify the token and click **Save**.\n8. If successful, you get a confirmation message in your dashboard indicating that the bucket was successfully verified. If you receive an error indicating that your bucket can't be verified, re-check the syntax of the bucket name and review the configuration.\n\nConfigure a feed in Google SecOps to ingest the Cisco Umbrella Web Proxy logs\n-----------------------------------------------------------------------------\n\n1. Go to **SIEM Settings \\\u003e Feeds**.\n2. Click **Add new**.\n3. In the **Feed name** field, enter a name for the feed; for example, **Cisco Umbrella Web Proxy Logs**.\n4. Select **Amazon S3 V2** as the **Source type**.\n5. Select **Cisco Umbrella Web Proxy** as the **Log type**.\n6. Click **Next**.\n7. Specify values for the following input parameters:\n\n - **S3 URI** : the bucket URI.\n - `s3:/BUCKET_NAME`\n - Replace `BUCKET_NAME` with the actual name of the bucket.\n - **Source deletion options**: select deletion option according to your preference.\n\n | **Note:** If you select the `Delete transferred files` or `Delete transferred files and empty directories` option, make sure that you granted appropriate permissions to the service account. \\* **Maximum File Age** : Includes files modified in the last number of days. Default is 180 days. \\* **Access Key ID** : enter the User access key with access to the s3 bucket. \\* **Secret Access Key** : enter the User secret key with access to the s3 bucket. \\* Optional: **Asset namespace** : provide the [asset namespace](/chronicle/docs/investigation/asset-namespaces). \\* Optional: **Ingestion labels**: provide the label to be applied to the events from this feed.\n8. Click **Next**.\n\n9. Review your new feed configuration in the **Finalize** screen, and then click **Submit**.\n\nUDM Mapping Table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]