简介
本文档介绍如何将XDR与Umbrella集成。
先决条件
- XDR管理员帐户
- Umbrella管理员帐户
- Umbrella Investigate API
- Umbrella实施API
- Umbrella报告API
要求
使用的组件
XDR控制台。
Umbrella控制台。
配置
在XDR中,导航到Administration > Integrations。
在Cisco Integrations下,搜索Umbrella,点击 Get Started.
为您的集成命名。
要获取组织ID,请导航到Umbrella,登录,然后查看URL,组织ID将位于umbrella.com域旁边。
将其复制并粘贴到XDR中的相应字段中。
要获取调查API,请导航至 Umbrella > Investigate > API keys.
创建新令牌,在XDR的Investigate API字段中复制访问令牌。
要获取实施URL,请导航至 Umbrella > Policies > Integrations settings
.
添加集成,为集成命名,并确保集成已启用。
在Integration Enabled选项下,您可以找到集成URL,将其复制并粘贴到XDR中的相应字段。
要获取报告APi密钥和APi密钥,请导航至 Umbrella > Admin > Api Keys
.
如果您必须创建API和密码,请导航至 Legacy keys > Umbrella Reporting.
点击Generate Token。
复制密钥和密钥,确保它们安全,因为无法检索密钥,并且丢失密钥时,您需要刷新API密钥。
将其粘贴到XDR的相应字段中。
对于请求时间范围的天数,您可以将其留空或配置30天
点击Add。
注:在页面顶部,您必须看到一个运行状况检查说明:此集成模块没有问题。
验证
导航至 Administration > Integrations.
展开我的集成面板。
搜索您刚刚创建的集成名称。
故障排除
集成未成功获得未知的API密钥。
如果遇到此问题,请确保报告API的API密钥和API密钥正确,如果API密钥与Umbrella中的信息不匹配,则必须刷新API密钥并粘贴新值。
事件未填充XDR控制面板。
确保事件正在填充Umbrella Dashboard。
请记住,XDR中的Umbrella磁贴有5分钟的缓存,因此您必须等待约5分钟才能开始在XDR中查看数据。