Introduzione
Questo documento descrive come integrare XDR con Umbrella.
Prerequisiti
- Account XDR Admin
- Account Umbrella Admin
- API Umbrella Investigate
- API di imposizione Umbrella
- API di report Umbrella
Requisiti
Componenti usati
Console XDR.
Umbrella Console.
Configurazione
In XDR, selezionare Amministrazione > Integrazioni.
In Cisco Integration, cercare Umbrella, fare clic su Get Started.
Dai un nome alla tua integrazione.
Per ottenere l'ID organizzazione, passare a Umbrella, eseguire l'accesso e, controllare l'URL, l'ID organizzazione verrà visualizzato accanto al dominio umbrella.com.
Copiarlo e incollarlo nel campo appropriato in XDR.
Per ottenere l'API Indaga, passare a Umbrella > Investigate > API keys.
Creare un nuovo token, copiare il token di accesso nel campo Investigate API di XDR.
Per ottenere l'URL di imposizione, passare a Umbrella > Policies > Integrations settings
.
Aggiungere un'integrazione, assegnarle un nome e verificare che l'integrazione sia abilitata.
Con l'opzione Integrazione abilitata è possibile trovare l'URL di integrazione, copiarlo e incollarlo nel campo appropriato di XDR.
Per ottenere la chiave APi di reporting e il segreto APi, passare a Umbrella > Admin > Api Keys
.
Se è necessario creare un'API e un segreto, passare a Legacy keys > Umbrella Reporting.
Fare clic su Generate Token.
Copiare la Chiave e il Segreto, assicurarsi di tenerli al sicuro poiché il Segreto non può essere recuperato e sarà necessario aggiornare le chiavi API se lo si perde.
Incollarle nel campo appropriato in XDR.
Per i giorni dell'intervallo di tempo della richiesta, è possibile lasciare vuoto il campo o configurare 30 giorni
Fare clic su Aggiungi.
Nota: nella parte superiore della pagina, è necessario vedere un controllo di stato che dice: Questo modulo di integrazione non ha problemi.
Verifica
Passa a Administration > Integrations.
Espandete il pannello Integrazioni personali.
Cercare il nome di integrazione appena creato.
Risoluzione dei problemi
L'integrazione non è riuscita con una chiave API sconosciuta.
Se si verifica questo problema, assicurarsi che la chiave API e il segreto API dell'API di reporting siano corretti. Se la chiave API non corrisponde alle informazioni fornite da Umbrella, è necessario aggiornare la chiave API e incollare i nuovi valori.
Gli eventi non stanno popolando XDR Dashboard.
Assicurarsi che gli eventi vengano inseriti nel dashboard ombrello.
Tenete presente che le sezioni Umbrella in XDR sono soggette a una cache di 5 minuti, quindi dovete attendere circa 5 minuti per iniziare a vedere i dati in XDR.