Introduction
Ce document décrit comment intégrer XDR avec Umbrella.
Conditions préalables
- Compte d'administration XDR
- Compte admin parapluie
- API Umbrella Investigate
- API d'application Umbrella
- API de rapport Umbrella
Exigences
Composants utilisés
Console XDR.
Console de parapluie.
Configurer
Dans XDR, accédez à Administration > Integrations.
Sous Cisco Integrations, recherchez Umbrella, cliquez sur Get Started.
Attribuez un nom à votre intégration.
Afin d'obtenir l'ID d'organisation, naviguez jusqu'à Umbrella, connectez-vous et, regardez l'URL, l'ID d'organisation viendra à côté du domaine umbrella.com.
Copiez-le et collez-le dans le champ approprié dans XDR.
Pour obtenir l'API Investigate, accédez à Umbrella > Investigate > API keys.
Créez un nouveau jeton, copiez le jeton d'accès dans le champ Investigate API de XDR.
Pour obtenir l'URL d'application, accédez à Umbrella > Policies > Integrations settings
.
Ajoutez une intégration, donnez-lui un nom et assurez-vous que l'intégration est activée.
Sous l'option Integration Enabled (Intégration activée), vous pouvez rechercher l'URL d'intégration, la copier et la coller dans le champ approprié de XDR.
Pour obtenir la clé APi de signalement et le secret APi, accédez à Umbrella > Admin > Api Keys
.
Si vous devez créer une API et un mot de passe secret, accédez à Legacy keys > Umbrella Reporting.
Cliquez sur Generate Token.
Copiez la clé et le secret, assurez-vous de les garder en sécurité car le secret ne peut pas être récupéré et vous devrez actualiser vos clés d'API si vous le perdez.
Collez-les dans le champ approprié dans XDR.
Pour les jours de délai de demande, vous pouvez le laisser vide ou configurer 30 jours
Cliquez sur Ajouter.
Remarque : en haut de la page, vous devez voir un bilan de santé indiquant : Ce module d'intégration n'a pas de problème.
Vérifier
Naviguez jusqu'à Administration > Integrations.
Développez le panneau Mes intégrations.
Recherchez le nom d'intégration que vous venez de créer.
Dépannage
L'intégration n'a pas réussi la clé API inconnue.
Si vous rencontrez ce problème, assurez-vous que la clé API et le secret API de Reporting API sont corrects. Si la clé API ne correspond pas aux informations d'Umbrella, vous devez actualiser la clé API et coller les nouvelles valeurs.
Les événements ne remplissent pas le tableau de bord XDR.
Assurez-vous que les événements remplissent le tableau de bord Umbrella.
Gardez à l'esprit que les carreaux de parapluie dans XDR sont soumis à un cache de 5 minutes, de sorte que vous devez attendre environ 5 minutes pour commencer à voir les données dans XDR.