シスコアンブレラ

JSA DSM for Cisco Umbrella は、Amazon S3 互換 API を使用して Cisco Umbrella ストレージから DNS ログを収集します。

Cisco Umbrella を JSA と統合するには、次の手順を実行します。

自動更新が設定されていない場合は、 JSA コンソールに以下の RPM の最新バージョンをダウンロードします。
- プロトコル共通RPM
- Amazon AWS REST API Protocol RPM
- Cisco Cloud Web Security DSM RPM
- Cisco Umbrella DSM RPM
JSA と通信するように Cisco Umbrella を設定します。

JSA コンソールで Cisco Umbrella ログソースを追加します。次の表では、Cisco Umbrella イベントコレクションに特定の値を必要とするパラメータについて説明します。

表 1: Amazon AWS S3 REST API ログのソースパラメータ
パラメーター	値
ログ・ソース・タイプ	シスコアンブレラ
プロトコル構成	Amazon AWS S3 REST API
ログ・ソースID	ログ・ソース ID は任意の有効な値にすることができ、特定のサーバーを参照する必要はありません。「ログ・ソース ID」は、「ログ・ソース名」と同じ値にすることができます。複数の Cisco Umbrella ログソースを設定した場合、最初のログソースを、2 番目のログソースを、3 番目のログソース`ciscoumbrella1ciscoumbrella2ciscoumbrella3`をとして識別できます。
リージョン名 (署名 V4 のみ)	Amazon S3 バケットに関連付けられているリージョン。
バケット名	ログファイルが保存されている AWS S3 バケットの名前。たとえば、バケット名が cisco-managed-us-west-1 であるとします。
S3 エンドポイント URL	https://s3.amazonaws.com/`<bucketname>` AWS S3 REST API のクエリに使用されるエンドポイント URL。エンドポイント URL は、デバイスの構成によって異なる場合があります。メモ：シスコが管理する AWS S3 バケットとカスタマー管理の AWS S3 バケットを設定するには、エンドポイント URL が必要です。
ディレクトリプレフィックス	<パス>/ Cisco Umbrella ログの取得元となる Cisco Umbrella ストレージバケット上のルートディレクトリの場所。たとえば、ルートディレクトリの場所は dnslogs/ です。
ファイルパターン	.*?\.csv\.gz
イベント形式	リストから [ Cisco Umbrella CSV ] を選択します。ログ・ソースは、CSV 形式のイベントを取得します。

Amazon AWS S3 REST API プロトコルパラメータとその値の完全なリストについては、「 Amazon AWS S3 REST API プロトコル設定オプション」を参照してください。

JSA と通信するための Cisco Umbrella の設定

JSA は、Amazon S3 バケットから Cisco Umbrella イベントを収集します。イベントを JSA に転送するには、Cisco Umbrella を設定する必要があります。

Cisco Umbrella を設定するには、シスコのマニュアルを参照してください。

メモ：

Cisco 管理の AWS S3 バケットとカスタマー管理の AWS S3 バケットを設定するには、エンドポイント URL が必要です。

Cisco Umbrella DSM の仕様

次の表に、Cisco Umbrella DSM の仕様を示します。

表 2: Cisco Umbrella DSM の仕様
仕様	値
メーカー	シスコ
DSM 名	シスコアンブレラ
RPMファイル名	DSM-シスコアンブレラ-`JSA_version-build_number.noarch.rpm`
サポートされているバージョン	N/a
プロトコル	Amazon AWS S3 REST API
イベント形式	シスコアンブレラCSV
記録されたイベントの種類	監査
自動的に検出されますか?	いいえ
アイデンティティを含みますか?	いいえ
カスタムプロパティが含まれていますか?	いいえ
詳細情報	(https://umbrella.cisco.com)

Cisco Umbrella サンプルイベントメッセージ

これらのサンプルイベントメッセージは、 JSAとの統合が成功したことを確認する方法として使用します。

次の表に、カーボンブラックプロテクション DSM のイベントメッセージの例を示します。

表 3: Cisco Umbrella サンプル Syslog メッセージ
イベント名	低レベルカテゴリ	サンプルログメッセージ
エラーなし	18081 (DNS が進行中です)	{"sourceFile":"test_2017-11-17-15-30-dcd8. csv.gz","EventType":"DNSLog","Timestamp": "2017-11-17 15:30:27","MostGranularIdenti ty":"Test","Identities":"Test","Internal Ip":"<IP_address>","ExternalIp": "<External_IP_address>","Action": "Allowed","QueryType":"28 (AAAA)","ResponseCode":"NOERROR","Domain" :"abc.aws.amazon.com.","Categories": "Ecommerce/Shopping"}

表 3: Cisco Umbrella サンプル Syslog メッセージ

イベント名

低レベルカテゴリ

サンプルログメッセージ

エラーなし

18081 (DNS が進行中です)

{"sourceFile":"test_2017-11-17-15-30-dcd8.
csv.gz","EventType":"DNSLog","Timestamp":
"2017-11-17 15:30:27","MostGranularIdenti
ty":"Test","Identities":"Test","Internal
Ip":"<IP_address>","ExternalIp":
"<External_IP_address>","Action":
"Allowed","QueryType":"28
(AAAA)","ResponseCode":"NOERROR","Domain"
:"abc.aws.amazon.com.","Categories":
"Ecommerce/Shopping"}

表 4: Cisco Umbrella サンプルイベントメッセージ
イベント名	低レベルカテゴリ	サンプルログメッセージ
エラーなし	18081 (DNS が進行中です)	"2015-01-16 17:48:41","Active DirectoryUserName","ActiveDirectoryUser Name,ADSite,Network","<IP_address1>", "<IP_address2>","Allowed","1 (A)", "NOERROR","domain-visited.com.", "Chat,Photo Sharing,Social Network ing,Allow List"

表 4: Cisco Umbrella サンプルイベントメッセージ