소개
이 문서에서는 XDR을 Umbrella와 통합하는 방법에 대해 설명합니다.
사전 요구 사항
- XDR 관리자 계정
- Umbrella 관리자 계정
- Umbrella Investigate API
- Umbrella 시행 API
- Umbrella 보고 API
요구 사항
사용되는 구성 요소
XDR 콘솔.
Umbrella 콘솔
구성
XDR에서 관리 > 통합으로 이동합니다.
Cisco Integrations에서 Umbrella를 검색하고 Get Started.
통합에 이름을 지정합니다.
조직 ID를 가져오려면 Umbrella로 이동하여 로그인하고 URL을 보면 umbrella.com 도메인 옆에 조직 ID가 표시됩니다.
복사하여 XDR의 해당 필드에 붙여넣습니다.
Investigate API를 가져오려면 Umbrella > Investigate > API keys.
새 토큰을 만들고 XDR의 Investigate API 필드에 액세스 토큰을 복사합니다.
적용 URL을 가져오려면 Umbrella > Policies > Integrations settings
.
통합을 추가하고 이름을 지정한 다음 통합이 활성화되었는지 확인합니다.
통합 사용 옵션에서 통합 URL을 찾아 복사하여 XDR의 해당 필드에 붙여넣을 수 있습니다.
보고 APi 키 및 APi 암호를 얻으려면 Umbrella > Admin > Api Keys
.
API 및 암호를 생성해야 하는 경우 Legacy keys > Umbrella Reporting.
Generate Token을 클릭합니다.
키와 암호를 복사하고, 암호를 검색할 수 없으므로 API 키를 분실할 경우 새로 고쳐야 하므로 안전하게 보관하십시오.
XDR의 해당 필드에 붙여넣습니다.
요청 기간(일)의 경우 비워두거나 30일을 구성할 수 있습니다
Add(추가)를 클릭합니다.
참고: 페이지 상단에는 Healthcheck(상태 확인)가 표시되어야 합니다. 이 통합 모듈에는 문제가 없습니다.
다음을 확인합니다.
탐색 Administration > Integrations.
내 통합 패널을 확장합니다.
방금 생성한 통합 이름을 검색합니다.
문제 해결
통합에서 알 수 없는 API 키를 성공하지 못했습니다.
이 문제에 직면한 경우 Reporting API의 API 키 및 API 암호가 올바른지 확인하고, API 키가 Umbrella의 정보와 일치하지 않으면 API 키를 새로 고치고 새 값을 붙여넣어야 합니다.
이벤트가 XDR 대시보드를 채우지 않습니다.
이벤트가 Umbrella Dashboard를 채우고 있는지 확인합니다.
XDR의 Umbrella 타일은 5분 동안 캐시에 저장되므로 XDR에서 데이터를 보려면 5분 정도 기다려야 합니다.