XDRとUmbrellaの統合

概要

このドキュメントでは、XDRとUmbrellaを統合する方法について説明します。

前提条件

• XDR管理者アカウント
• Umbrella管理者アカウント
• 包括Investigate API
• 包括的な適用API
• 包括的なレポートAPI

要件

使用するコンポーネント

XDRコンソール。

Umbrellaコンソール

設定

XDRで、Administration > Integrationsの順に移動します。

Cisco IntegrationsでUmbrellaを検索し、 Get Started.

統合に名前を付けます。

組織IDを取得するには、Umbrellaに移動してログインし、URLを確認します。組織IDは、umbrella.comドメインの横に表示されます。

それをコピーして、XDRの適切なフィールドに貼り付けます。

Investigate APIを入手するには、に移動します。 Umbrella > Investigate > API keys.

新しいトークンを作成し、XDRのInvestigate APIフィールドにアクセストークンをコピーします。

適用URLを取得するには、 Umbrella > Policies > Integrations settings を参照。

統合を追加して名前を付け、統合が有効になっていることを確認します。

Integration Enabledオプションの下で、Integration URLを見つけてコピーし、XDRの適切なフィールドに貼り付けることができます。

レポートAPiキーとAPiシークレットを取得するには、 Umbrella > Admin > Api Keys.

APIとシークレットを作成する必要がある場合は、 Legacy keys > Umbrella Reporting.

Generate Tokenをクリックします。

キーとシークレットをコピーします。シークレットは取得できず、紛失した場合はAPIキーを更新する必要があるため、キーとシークレットは安全に保持してください。

XDRの適切なフィールドに貼り付けます。

リクエスト期間の日数については、空白のままにするか、30日を設定できます

[Add] をクリックします。

確認

移動先 Administration > Integrations.

[マイ統合]パネルを展開します。

作成した統合名を検索します。

トラブルシュート

不明なAPIキーが統合に成功しませんでした。

この問題が発生する場合は、Reporting APIのAPIキーとAPIシークレットが正しいことを確認します。APIキーがUmbrellaの情報と一致しない場合は、APIキーを更新して新しい値を貼り付ける必要があります。

イベントがXDRダッシュボードに入力されていません。

イベントがUmbrellaダッシュボードに入力されていることを確認します。

XDRのUmbrellaタイルは5分のキャッシュに従うので、XDRのデータを見るには5分ほど待つ必要があることに注意してください。