概要
このドキュメントでは、XDRとUmbrellaを統合する方法について説明します。
前提条件
- XDR管理者アカウント
- Umbrella管理者アカウント
- 包括Investigate API
- 包括的な適用API
- 包括的なレポートAPI
要件
使用するコンポーネント
XDRコンソール。
Umbrellaコンソール
設定
XDRで、Administration > Integrationsの順に移動します。
Cisco IntegrationsでUmbrellaを検索し、 Get Started.
統合に名前を付けます。
組織IDを取得するには、Umbrellaに移動してログインし、URLを確認します。組織IDは、umbrella.comドメインの横に表示されます。
それをコピーして、XDRの適切なフィールドに貼り付けます。
Investigate APIを入手するには、に移動します。 Umbrella > Investigate > API keys.
新しいトークンを作成し、XDRのInvestigate APIフィールドにアクセストークンをコピーします。
適用URLを取得するには、 Umbrella > Policies > Integrations settings
を参照。
統合を追加して名前を付け、統合が有効になっていることを確認します。
Integration Enabledオプションの下で、Integration URLを見つけてコピーし、XDRの適切なフィールドに貼り付けることができます。
レポートAPiキーとAPiシークレットを取得するには、 Umbrella > Admin > Api Keys
.
APIとシークレットを作成する必要がある場合は、 Legacy keys > Umbrella Reporting.
Generate Tokenをクリックします。
キーとシークレットをコピーします。シークレットは取得できず、紛失した場合はAPIキーを更新する必要があるため、キーとシークレットは安全に保持してください。
XDRの適切なフィールドに貼り付けます。
リクエスト期間の日数については、空白のままにするか、30日を設定できます
[Add] をクリックします。
注:ページの上部に、「この統合モジュールには問題はありません」というヘルスチェックが表示されます。
確認
移動先 Administration > Integrations.
[マイ統合]パネルを展開します。
作成した統合名を検索します。
トラブルシュート
不明なAPIキーが統合に成功しませんでした。
この問題が発生する場合は、Reporting APIのAPIキーとAPIシークレットが正しいことを確認します。APIキーがUmbrellaの情報と一致しない場合は、APIキーを更新して新しい値を貼り付ける必要があります。
イベントがXDRダッシュボードに入力されていません。
イベントがUmbrellaダッシュボードに入力されていることを確認します。
XDRのUmbrellaタイルは5分のキャッシュに従うので、XDRのデータを見るには5分ほど待つ必要があることに注意してください。