Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengumpulkan log Cisco Umbrella Web Proxy

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Cisco Umbrella Web Proxy ke Google Security Operations menggunakan Amazon S3. Cisco Umbrella Web Proxy memberikan visibilitas dan kontrol URL penuh untuk traffic web, yang bertindak sebagai gateway web aman (SWG) berbasis cloud. Log Web Proxy menangkap detail traffic HTTP dan HTTPS, termasuk URL lengkap, identitas pengguna, jenis konten, dan hasil keamanan untuk permintaan yang di-proxy melalui proxy cerdas Umbrella.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps.
Akses istimewa ke dasbor Cisco Umbrella dengan peran Admin Penuh atau Admin Baca Saja.
Akses istimewa ke AWS (S3, IAM).
Lisensi Cisco Umbrella Secure Internet Gateway (SIG) atau DNS Security Advantage dengan proxy cerdas diaktifkan.

Mengonfigurasi ekspor log Cisco Umbrella ke Amazon S3

Cisco Umbrella secara native mendukung ekspor log Web Proxy ke bucket Amazon S3 yang Anda kelola. Jika Anda telah mengonfigurasi ekspor log S3 untuk log DNS Umbrella, bucket S3 dan konfigurasi IAM yang sama dapat digunakan kembali. Umbrella menyimpan log proxy dalam awalan terpisah.

Login ke dasbor Cisco Umbrella di https://dashboard.umbrella.com.
Buka Admin > Log Management.
Jika ekspor log S3 belum dikonfigurasi, klik Use your company-managed Amazon S3 bucket.
Berikan detail konfigurasi berikut:
- Nama Bucket: Masukkan nama bucket S3 (misalnya, umbrella-logs).
- Region: Pilih region AWS tempat bucket Anda berada.
Salin AWS Account ID dan External ID yang ditampilkan oleh Umbrella jika belum disimpan.
Klik Save.

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, umbrella-logs).
Buat User dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
Pilih User yang dibuat.
Pilih tab Security credentials.
Klik Create Access Key di bagian Access Keys.
Pilih Third-party service sebagai Use case.
Klik Next.
Opsional: Tambahkan tag deskripsi.
Klik Create access key.
Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key sebagai referensi di masa mendatang.
Klik Done.
Pilih tab Permissions.
Klik Add permissions di bagian Permissions policies.
Pilih Add permissions.
Pilih Attach policies directly.
Telusuri kebijakan AmazonS3FullAccess.
Pilih kebijakan.
Klik Next.
Klik Add permissions.

Mengonfigurasi kebijakan dan peran IAM untuk akses Cisco Umbrella S3

Cisco Umbrella memerlukan peran IAM lintas akun untuk menulis log ke bucket S3 Anda.

Di konsol AWS, buka IAM > Policies > Create policy > JSON tab.

Salin dan tempel kebijakan berikut (ganti umbrella-logs jika Anda memasukkan nama bucket yang berbeda):

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowUmbrellaPutObjects",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::umbrella-logs",
        "arn:aws:s3:::umbrella-logs/*"
      ]
    }
  ]
}

Klik Next > Create policy. Beri nama UmbrellaS3WritePolicy.
Buka IAM > Roles > Create role > Custom trust policy.

Tempel kebijakan kepercayaan berikut, ganti UMBRELLA_AWS_ACCOUNT_ID dan UMBRELLA_EXTERNAL_ID dengan nilai yang disalin dari dasbor Umbrella:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::UMBRELLA_AWS_ACCOUNT_ID:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "UMBRELLA_EXTERNAL_ID"
        }
      }
    }
  ]
}

Klik Next.
Lampirkan kebijakan UmbrellaS3WritePolicy.
Beri nama peran UmbrellaS3Role, lalu klik Create role.
Salin Role ARN untuk digunakan di dasbor Umbrella.

Memverifikasi ekspor log Cisco Umbrella

Kembali ke dasbor Cisco Umbrella.
Buka Admin > Log Management.
Masukkan Role ARN dari peran IAM yang Anda buat (jika belum dikonfigurasi).
Klik Verify untuk mengonfirmasi bahwa Umbrella dapat menulis ke bucket S3.
Setelah verifikasi berhasil, Umbrella akan mulai mengekspor log proxy ke bucket S3.

Mengonfigurasi feed di Google SecOps untuk menyerap log Cisco Umbrella Web Proxy

Buka SIEM Settings > Feeds.
Klik + Add New Feed.
Di kolom Feed name, masukkan nama untuk feed (misalnya, Cisco Umbrella Web Proxy logs).
Pilih Amazon S3 V2 sebagai Source type.
Pilih Cisco Umbrella Web Proxy sebagai Log type.
Klik Next.
Tentukan nilai untuk parameter input berikut:
- S3 URI: s3://umbrella-logs/proxylogs/
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
- Usia File Maksimum: Sertakan file yang diubah dalam jumlah hari terakhir. Defaultnya adalah 180 hari.
- Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.
- Secret Access Key: Kunci rahasia pengguna dengan akses ke bucket S3.
- Asset namespace: Namespace aset.
- Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.
Klik Next.
Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`ampDisposition`	`security_result.detection_fields[].value`	Nilai `ampDisposition` dari log mentah.
`ampMalware`	`security_result.detection_fields[].value`	Nilai `ampMalware` dari log mentah.
`ampScore`	`security_result.detection_fields[].value`	Nilai `ampScore` dari log mentah.
`avDetections`	`security_result.detection_fields[].value`	Nilai `avDetections` dari log mentah.
`blockedCategories`	`security_result.threat_name`	Nilai `blockedCategories` dari log mentah.
`certificateErrors`	`security_result.detection_fields[].value`	Nilai `certificateErrors` dari log mentah.
`contentType`	`security_result.detection_fields[].value`	Nilai `contentType` dari log mentah.
`destinationIp`	`target.ip`	Nilai `destinationIp` dari log mentah.
`destinationListID`	`security_result.detection_fields[].value`	Nilai `destinationListID` dari log mentah.
`dlpstatus`	`security_result.detection_fields[].value`	Nilai `dlpstatus` dari log mentah.
`externalIp`	`principal.ip`	Nilai `externalIp` dari log mentah.
`fileAction`	`security_result.detection_fields[].value`	Nilai `fileAction` dari log mentah.
`fileName`	`target.file.names`	Nilai `fileName` dari log mentah.
`identitiesV8`	`principal.hostname`	Nilai `identitiesV8` dari log mentah.
`identity`	`principal.location.name`	Nilai `identity` dari log mentah.
`internalIp`	`principal.ip`	Nilai `internalIp` dari log mentah.
`isolateAction`	`security_result.detection_fields[].value`	Nilai `isolateAction` dari log mentah.
`referer`	`network.http.referral_url`	Nilai `referer` dari log mentah.
`requestMethod`	`network.http.method`	Nilai `requestMethod` dari log mentah.
`requestSize`	`security_result.detection_fields[].value`	Nilai `requestSize` dari log mentah.
`responseBodySize`	`security_result.detection_fields[].value`	Nilai `responseBodySize` dari log mentah.
`responseSize`	`security_result.detection_fields[].value`	Nilai `responseSize` dari log mentah.
`ruleID`	`security_result.rule_id`	Nilai `ruleID` dari log mentah.
`rulesetID`	`security_result.detection_fields[].value`	Nilai `rulesetID` dari log mentah.
`sha`	`security_result.about.file.sha256`	Nilai `sha` dari log mentah.
`statusCode`	`network.http.response_code`	Nilai `statusCode` dari log mentah.
`ts`	`timestamp`	Nilai `ts` dari log mentah, diuraikan menjadi stempel waktu.
`url`	`target.url`	Nilai `url` dari log mentah.
`userAgent`	`network.http.user_agent`	Nilai `userAgent` dari log mentah.
`verdict`	`security_result.detection_fields[].value`	Nilai `verdict` dari log mentah.
`warnstatus`	`security_result.detection_fields[].value`	Nilai `warnstatus` dari log mentah. Nilai `collection_time` dari log mentah. Hardcode ke `NETWORK_HTTP`. Hardcode ke `Cisco`. Hardcode ke `Umbrella`. Hardcode ke `UMBRELLA_WEBPROXY`. Diturunkan dari skema kolom URL (`http` atau `https`). Diuraikan dari kolom `userAgent` menggunakan library penguraian user agent. Nilai `requestSize` dari log mentah, dikonversi menjadi bilangan bulat. Nilai `responseSize` dari log mentah, dikonversi menjadi bilangan bulat. Diturunkan dari kolom `identity` saat `identityType` (atau `identityTypeV8` dengan `identitiesV8`) menunjukkan pengguna. Diuraikan lebih lanjut untuk mengekstrak detail pengguna seperti nama tampilan, nama depan, nama belakang, dan alamat email. Dipetakan dari kolom `verdict`: `allowed` atau `allowed` -> `ALLOW`, nilai lainnya -> `BLOCK`. Jika `categories` tidak kosong, tetapkan ke `NETWORK_CATEGORIZED_CONTENT`. Nilai `categories` dari log mentah. Berdasarkan `verdict` dan berpotensi kolom lainnya. Biasanya `Traffic allowed` atau `Traffic blocked`. Jika `verdict` bukan `allowed` atau `blocked` dan `statusCode` ada, ringkasannya adalah `Traffic %{statusCode}`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.