« Cisco Secure Endpoint 集成 Cisco Meraki 指标集成 »
Elastic 文档 Elastic 集成 Cisco

Cisco Umbrella 集成

编辑

Cisco Umbrella 集成

编辑

版本

1.27.0 ( 查看全部 )

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

此集成适用于 Cisco Umbrella。它包括以下数据集,用于从使用 SQS 通知队列的 AWS S3 存储桶和不使用 SQS 的 Cisco 管理的 S3 存储桶接收日志

  • log 数据集:支持 Cisco Umbrella 日志。

日志

编辑
Umbrella
编辑

当使用不使用 SQS 的 Cisco 管理的 S3 存储桶时,多个代理没有负载均衡的可能性,应配置单个代理来轮询 S3 存储桶中的新增和更新文件,并且可以配置 worker 的数量以进行垂直扩展。

log 数据集收集 Cisco Umbrella 日志。

示例

log 的示例事件如下所示

{
    "@timestamp": "2024-03-14T18:59:23.000Z",
    "agent": {
        "ephemeral_id": "4b522414-3f7d-4cec-a7f7-7df2a87de0c9",
        "id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.13.0"
    },
    "aws": {
        "s3": {
            "bucket": {
                "arn": "arn:aws:s3:::elastic-package-cisco-umbrella-bucket-37380",
                "name": "elastic-package-cisco-umbrella-bucket-37380"
            },
            "object": {
                "key": "auditlogs.log"
            }
        }
    },
    "cisco": {
        "umbrella": {
            "audit": {
                "after": [
                    "includeAuditLog: 1"
                ],
                "after_values": {
                    "includeAuditLog": "1"
                },
                "type": "logexportconfigurations"
            }
        }
    },
    "cloud": {
        "provider": "",
        "region": "us-east-1"
    },
    "data_stream": {
        "dataset": "cisco_umbrella.log",
        "namespace": "27145",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "d2a14a09-96fc-4f81-94ef-b0cd75ad71e7",
        "snapshot": false,
        "version": "8.13.0"
    },
    "event": {
        "action": "update",
        "agent_id_status": "verified",
        "category": [
            "configuration"
        ],
        "dataset": "cisco_umbrella.log",
        "id": "1757843536",
        "ingested": "2024-06-12T03:03:50Z",
        "kind": "event",
        "original": "\"1757843536\",\"2024-03-14 18:59:23\",\"[email protected]\",\"Administrator\",\"logexportconfigurations\",\"update\",\"81.2.69.144\",\"\",\"includeAuditLog: 1\n\"",
        "type": [
            "change"
        ]
    },
    "input": {
        "type": "aws-s3"
    },
    "log": {
        "file": {
            "path": "https://elastic-package-cisco-umbrella-bucket-37380.s3.us-east-1.amazonaws.com/auditlogs.log"
        },
        "offset": 529
    },
    "observer": {
        "product": "Umbrella",
        "vendor": "Cisco"
    },
    "related": {
        "ip": [
            "81.2.69.144"
        ],
        "user": [
            "Administrator"
        ]
    },
    "source": {
        "address": "81.2.69.144",
        "geo": {
            "city_name": "London",
            "continent_name": "Europe",
            "country_iso_code": "GB",
            "country_name": "United Kingdom",
            "location": {
                "lat": 51.5142,
                "lon": -0.0931
            },
            "region_iso_code": "GB-ENG",
            "region_name": "England"
        },
        "ip": "81.2.69.144"
    },
    "tags": [
        "preserve_original_event",
        "cisco-umbrella",
        "forwarded"
    ],
    "user": {
        "email": "[email protected]",
        "id": "[email protected]",
        "name": "Administrator"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件产生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

日期

aws.s3.bucket.arn

AWS S3 存储桶 ARN。

关键词

aws.s3.bucket.name

AWS S3 存储桶名称。

关键词

aws.s3.object.key

AWS S3 对象键。

关键词

cisco.umbrella.action

请求是被允许还是被阻止。

关键词

cisco.umbrella.amp_disposition

作为 Umbrella 文件检查功能的一部分,由 Cisco Advanced Malware Protection (AMP) 代理和扫描的文件的状态;可以是 Clean、Malicious 或 Unknown。

关键词

cisco.umbrella.amp_malware_name

如果为 Malicious,则为 AMP 提供的恶意软件名称。

关键词

cisco.umbrella.amp_score

来自 AMP 的恶意软件分数。此字段当前未使用,将为空白。

关键词

cisco.umbrella.audit.after

更改后策略或设置。

关键词

cisco.umbrella.audit.after_values.*

更改后策略或设置的各个值。

对象

cisco.umbrella.audit.before

更改前的策略或设置。

关键词

cisco.umbrella.audit.before_values.*

更改前策略或设置的各个值。

对象

cisco.umbrella.audit.type

进行更改的位置,例如设置或策略。

关键词

cisco.umbrella.av_detections

根据文件检查中使用的防病毒引擎提供的检测名称。

关键词

cisco.umbrella.blocked_categories

导致目标被阻止的类别。在 4 及更高版本中可用。

关键词

cisco.umbrella.categories

目标匹配的安全或内容类别。

关键词

cisco.umbrella.certificate_errors

请求中的任何证书或协议错误。

关键词

cisco.umbrella.classification

由规则检测到的攻击类别,该规则是更一般类型的攻击类别的一部分,例如 trojan-activity、attempted-user 和 unknown。

关键词

cisco.umbrella.cves

有关安全漏洞和暴露的信息列表。

关键词

cisco.umbrella.data_classification

数据标识符匹配违规的数据分类。

关键词

cisco.umbrella.data_identifier

与请求匹配的数据标识符。

关键词

cisco.umbrella.datacenter

处理用户生成流量的 Umbrella 数据中心的名称。

关键词

cisco.umbrella.destination_lists_id

Umbrella 分配给目标列表的 ID 号。

关键词

cisco.umbrella.dlp_status

如果请求因 DLP 而被阻止。

关键词

cisco.umbrella.file_action

在远程浏览器隔离会话中对文件执行的操作。

关键词

cisco.umbrella.file_label

与文件属性匹配的文件名称标签。

关键词

cisco.umbrella.fqdns

与请求匹配的完全限定域名 (FQDN)。

关键词

cisco.umbrella.gid

分配给生成事件的 IPS 部分的唯一 ID。

关键词

cisco.umbrella.identities

与事件相关的不同标识的数组。

关键词

cisco.umbrella.identity

发出请求的标识。标识可以是系统内的高级实体(例如网络)或非常精细的实体(例如单个用户)

关键词

cisco.umbrella.identity_types

发出请求的标识类型。例如,漫游计算机或网络。

关键词

cisco.umbrella.isolate_action

与请求关联的远程浏览器隔离状态。

关键词

cisco.umbrella.message

签名的简短描述。

关键词

cisco.umbrella.origin_id

网络隧道的唯一标识。

关键词

cisco.umbrella.policy_identity_type

与此请求匹配的第一个标识类型。在 3 及更高版本中可用。

关键词

cisco.umbrella.puas

防病毒扫描程序返回的代理文件的所有潜在不需要应用程序 (PUA) 结果的列表。

关键词

cisco.umbrella.ruleset_id

Umbrella 分配给规则集的 ID 号。

关键词

cisco.umbrella.severity

规则的严重性级别,例如高、中、低和非常低。

关键词

cisco.umbrella.sha_sha256

响应内容的十六进制摘要。

关键词

cisco.umbrella.sid

用于唯一标识签名。

关键词

cisco.umbrella.signature_list_id

分配给默认或自定义签名列表的唯一 ID。

关键词

cisco.umbrella.warn_status

与请求关联的警告页面状态。

关键词

cloud.image.id

云实例的映像 ID。

关键词

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

event.dataset

事件数据集

常量关键字

event.module

事件模块

常量关键字

host.containerized

主机是否为容器。

布尔值

host.os.build

操作系统构建信息。

关键词

host.os.codename

操作系统代号(如果有)。

关键词

input.type

Filebeat 输入的类型。

关键词

log.offset

长整型

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

1.27.0

增强功能 (查看拉取请求)
event.kind 设置为“pipeline_error”的文档添加“preserve_original_event”标签。

8.13.0 或更高版本

1.26.2

缺陷修复 (查看拉取请求)
在引用提取管道中的变量时,使用三重大括号 Mustache 模板。

8.13.0 或更高版本

1.26.1

缺陷修复 (查看拉取请求)
在引用提取管道中的变量时,使用三重大括号 Mustache 模板。

8.13.0 或更高版本

1.26.0

增强功能 (查看拉取请求)
允许 @custom 管道访问 event.original,而无需设置 preserve_original_event。

8.13.0 或更高版本

1.25.1

缺陷修复 (查看拉取请求)
使 file_selectors 可配置,以防止分析器被意外覆盖。

8.13.0 或更高版本

1.25.0

增强功能 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板导致的冗余 ECS 字段。

8.13.0 或更高版本

1.24.1

缺陷修复 (查看拉取请求)
修复示例事件。

8.12.0 或更高版本

1.24.0

增强功能 (查看拉取请求)
使 event.category 字段符合 ECS 字段定义。

8.12.0 或更高版本

1.23.0

增强功能 (查看拉取请求)
添加仪表板。

8.12.0 或更高版本

1.22.0

增强功能 (查看拉取请求)
将敏感值设置为机密。

8.12.0 或更高版本

1.21.2

增强功能 (查看拉取请求)
更改所有者

8.4.0 或更高版本

1.21.1

缺陷修复 (查看拉取请求)
修复处理电子邮件标识时的中间数据。

8.4.0 或更高版本

1.21.0

增强功能 (查看拉取请求)
ECS 版本已更新至 8.11.0。

8.4.0 或更高版本

1.20.1

缺陷修复 (查看拉取请求)
添加 Beats 输入中缺少的字段

8.4.0 或更高版本

1.20.0

增强功能 (查看拉取请求)
改进 event.original 检查,以避免在设置时出错。

8.4.0 或更高版本

1.19.0

增强 (查看拉取请求)
ECS 版本更新至 8.10.0。

8.4.0 或更高版本

1.18.0

增强 (查看拉取请求)
包清单中的 format_version 从 2.11.0 更改为 3.0.0。 从包清单中删除了带点的 YAML 键。 向包清单添加了 owner.type: elastic

8.4.0 或更高版本

1.17.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和保存的搜索标记为“安全解决方案”,并在安全解决方案 UI 中显示。

8.4.0 或更高版本

1.16.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.9.0。

8.4.0 或更高版本

1.15.0

增强 (查看拉取请求)
文档化持续时间单位。

8.4.0 或更高版本

1.14.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

8.4.0 或更高版本

1.13.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.8.0。

8.4.0 或更高版本

1.12.0

增强 (查看拉取请求)
将 host.name 字段转换为小写

8.4.0 或更高版本

1.11.1

错误修复 (查看拉取请求)
处理具有扩展电子邮件值的用户身份。

8.4.0 或更高版本

1.11.0

增强 (查看拉取请求)
将 package-spec 版本更新至 2.7.0。

8.4.0 或更高版本

1.10.1

增强 (查看拉取请求)
将移动设备添加为主机

8.0.0 或更高版本

1.10.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.7.0。

8.0.0 或更高版本

1.9.2

错误修复 (查看拉取请求)
还原 Umbrella S3 多行。

8.0.0 或更高版本

1.9.1

错误修复 (查看拉取请求)
修复缩进。

8.0.0 或更高版本

1.9.0

增强 (查看拉取请求)
添加 DLP 和入侵数据集。

8.0.0 或更高版本

1.8.0

增强 (查看拉取请求)
正式发布 Cisco Umbrella 数据流。

8.0.0 或更高版本

1.7.0

增强 (查看拉取请求)
拆分身份类型。

8.0.0 或更高版本

1.6.2

增强 (查看拉取请求)
添加 v8 代理日志 CSV 字段

8.0.0 或更高版本

1.6.1

增强 (查看拉取请求)
添加了类别和/或子类别。

8.0.0 或更高版本

1.6.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.6.0。

8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.5.0。

8.0.0 或更高版本

1.4.2

增强 (查看拉取请求)
删除重复字段。

8.0.0 或更高版本

1.4.1

错误修复 (查看拉取请求)
删除 Cisco 管理的 S3 存储桶列表前缀的提示

8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
将默认区域设置公开到 UI

8.0.0 或更高版本

1.3.3

增强 (查看拉取请求)
使用 ECS geo.location 定义。

8.0.0 或更高版本

1.3.2

错误修复 (查看拉取请求)
修复代理日志 CSV 字段

8.0.0 或更高版本

1.3.1

错误修复 (查看拉取请求)
将默认端点设置为空字符串

8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.4.0

8.0.0 或更高版本

1.2.2

错误修复 (查看拉取请求)
修复代理 URL 文档呈现。

8.0.0 或更高版本

1.2.1

增强 (查看拉取请求)
向 S3 输入添加缺少的代理配置

8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
丰富 DNS 字段

8.0.0 或更高版本

1.1.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.3.0。

8.0.0 或更高版本

1.0.1

增强 (查看拉取请求)
更新至 readme。添加了指向 Cisco 文档的链接

8.0.0 或更高版本

1.0.0

增强 (查看拉取请求)
设为正式版

8.0.0 或更高版本

0.7.0

增强 (查看拉取请求)
添加审核日志

0.6.1

错误修复 (查看拉取请求)
修复 DNS 日志中使用 destination.ip 而不是 source.nat.ip 的问题

0.6.0

增强 (查看拉取请求)
更新至 ECS 8.2

0.5.1

增强 (查看拉取请求)
添加多字段的文档

0.5.0

增强 (查看拉取请求)
更新至 ECS 8.0

0.4.0

错误修复 (查看拉取请求)
更新配置以支持 Cisco 管理的 S3

0.3.2

错误修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

0.3.1

错误修复 (查看拉取请求)
将测试公共 IP 更改为支持的子集

0.3.0

增强 (查看拉取请求)
添加 8.0.0 版本约束

0.2.2

增强 (查看拉取请求)
更新标题和描述。

0.2.1

错误修复 (查看拉取请求)
修复检查 forwarded 标签的逻辑

0.2.0

增强 (查看拉取请求)
更新至 ECS 1.12.0

0.1.0

增强 (查看拉取请求)
从 Filebeat 模块进行初始迁移

« Cisco Secure Endpoint 集成 Cisco Meraki 指标集成 »