将XDR与Umbrella集成

简介

本文档介绍如何将XDR与Umbrella集成。

先决条件

• XDR管理员帐户
• Umbrella管理员帐户
• Umbrella Investigate API
• Umbrella实施API
• Umbrella报告API

要求

使用的组件

XDR控制台。

Umbrella控制台。

配置

在XDR中，导航到Administration > Integrations。

在Cisco Integrations下，搜索Umbrella，点击 Get Started.

为您的集成命名。

要获取组织ID，请导航到Umbrella，登录，然后查看URL，组织ID将位于umbrella.com域旁边。

将其复制并粘贴到XDR中的相应字段中。

要获取调查API，请导航至 Umbrella > Investigate > API keys.

创建新令牌，在XDR的Investigate API字段中复制访问令牌。

要获取实施URL，请导航至 Umbrella > Policies > Integrations settings .

添加集成，为集成命名，并确保集成已启用。

在Integration Enabled选项下，您可以找到集成URL，将其复制并粘贴到XDR中的相应字段。

要获取报告APi密钥和APi密钥，请导航至 Umbrella > Admin > Api Keys.

如果您必须创建API和密码，请导航至 Legacy keys > Umbrella Reporting.

点击Generate Token。

复制密钥和密钥，确保它们安全，因为无法检索密钥，并且丢失密钥时，您需要刷新API密钥。

将其粘贴到XDR的相应字段中。

对于请求时间范围的天数，您可以将其留空或配置30天

点击Add。

验证

导航至 Administration > Integrations.

展开我的集成面板。

搜索您刚刚创建的集成名称。

故障排除

集成未成功获得未知的API密钥。

如果遇到此问题，请确保报告API的API密钥和API密钥正确，如果API密钥与Umbrella中的信息不匹配，则必须刷新API密钥并粘贴新值。

事件未填充XDR控制面板。

确保事件正在填充Umbrella Dashboard。

请记住，XDR中的Umbrella磁贴有5分钟的缓存，因此您必须等待约5分钟才能开始在XDR中查看数据。