はじめに
Cisco Umbrella はセキュア ウェブ ゲートウェイ製品で、クラウド DNS セキュリティやクラウドプロキシ機能を提供しています。今回こちらのログを Sentinel に取り込んでみます。
AWS S3 バケットの設定
Umbrella はログを自身が保有する AWS S3 バケットに保存することが可能です。そのため、まずは S3 バケットのポリシーを設定をします。公式ドキュメントはこちら。
ガイドに従い、バケットポリシーを設定します。
Umbrella の設定
ログを S3 バケットに保存する設定をします。
[管理] > [ログ管理] で [会社が管理するAmazon S3バケットを使用] を選択、S3 バケット名を入力し、[確認] をクリックします。
アクセス確認が完了すると、S3 バケットに 「README_FROM_UMBRELLA.txt」 ファイルが配置されます。そのファイルからトークンを取得し入力します。
Sentinel Umbrella コネクタの設定
Umbrella のデータコネクタを設定します。Umbrella コネクタは Sentinel に組み込みではなく、個別に Functions がデプロイされる仕組みになっています。なので Functions の課金も発生します。
まず、S3 バケットにアクセスするため、アクセスキーを作成します。
IAM から S3 REST API にアクセスするユーザーを作成し、AmazonS3ReadOnlyAccess のポリシーを付与、[セキュリティ認証情報] タブからアクセスキーを生成します。
次にコンテンツ ハブから Umbella のパッケージをインストールします。Log Analytics ワークスペースを指定して、他はそのままで OK です。
コネクタ用の Functions をデプロイします。[データ コネクタ] のメニューから [Cisco Umbrella] を検索して開きます。
いろいろ注意事項が書いてありますが、とりあえず [Deploy to Azure] をクリックします。
本来は 直接埋め込むよりも Key Vault 使ったほうがよいのですが、検証目的ということもあるので、Log Analytics ワークスペースの ID、アクセスキー、S3 バケットアクセス用のアクセスキー ID、アクセスキーを入力してデプロイします。
ログ確認
正常にログ取得ができると、以下のように確認が可能です。
ASIM (Advanced Security Information Model) で正規化もできていました。
正常に取得できていない場合は Functions のページで[関数]を開き、[モニター] から実行状況を確認します。
ログの活用
あとは分析ルールの [規則のテンプレート] タブからデータソースで Umbrella に絞り、ルールを作成すればインシデントが作成できます。
その他、ハンティング クエリやブックも用意されています。
Discussion