將XDR與Umbrella整合

簡介

本文檔介紹如何將XDR與Umbrella整合。

必要條件

• XDR管理員帳戶
• Umbrella Admin帳戶
• Umbrella調查API
• Umbrella強制執行API
• Umbrella報告API

需求

採用元件

XDR控制檯。

Umbrella控制檯。

設定

在XDR中，導航到Administration > Integrations。

在Cisco Integrations下，搜尋Umbrella，點選 Get Started.

為您的整合提供一個名稱。

要獲取組織ID，請導航到Umbrella，登入，然後檢視URL，組織ID將位於umbrella.com域旁邊。

將其複製並貼上到XDR中的相應欄位中。

要獲取調查API，請導航至 Umbrella > Investigate > API keys.

建立新令牌，在XDR的Investigate API欄位中複製訪問令牌。

要獲取實施URL，請導航至 Umbrella > Policies > Integrations settings .

新增整合，為其指定一個名稱，並確保整合已啟用。

在Integration Enabled選項下，您可以找到整合URL，將其複製並貼上到XDR中的相應欄位。

要獲取報告APi金鑰和APi金鑰，請導航至 Umbrella > Admin > Api Keys.

如果您必須建立API和Secret，請導航至 Legacy keys > Umbrella Reporting.

點選Generate Token。

複製金鑰和金鑰，確保它們安全，因為無法檢索金鑰，並且如果丟失金鑰，您需要刷新API金鑰。

將其貼上到XDR中的相應欄位中。

對於請求時間範圍天數，您可以將其留空或配置30天

點選Add。

驗證

導航至 Administration > Integrations.

展開「我的整合」面板。

搜尋您剛剛建立的整合名稱。

疑難排解

整合未成功獲得未知的API金鑰。

如果遇到此問題，請確保報告API的API金鑰和API金鑰正確，如果API金鑰與Umbrella中的資訊不匹配，則必須刷新API金鑰並貼上新值。

事件未填充XDR儀表板。

確保事件正在填充Umbrella Dashboard。

請記住，XDR中的Umbrella磁貼有5分鐘的快取時間，因此您必須等待約5分鐘才能開始檢視XDR中的資料。