Cisco Umbrella
Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Rete”.
Cisco Umbrella può essere integrato con Sophos Central per consentire l’invio di dati a Sophos, a scopo di analisi.
Questa integrazione è basata su API.
I passaggi chiave sono:
- Ottenere API Key (Chiave API) e Key Secret (Segreto chiave) da Umbrella.
- Configurare un’integrazione in Sophos Central.
Recupero di API Key e Key Secret
Occorre avere un account utente Umbrella con il ruolo Full Admin (Amministratore completo).
Per ottenere da Umbrella l’API Key (Chiave API) e il Key Secret (Segreto chiave) necessari per l’integrazione, procedere come segue:
-
Nella Console di amministrazione di Umbrella, selezionare Admin (Amministrazione) > API Keys (Chiavi API).
In alternativa, in una console Multi-Org, Managed Service Provider (MSP) o Managed Secure Service Provider (MSSP), selezionare Console Settings (Impostazione della console) > API Keys.
-
Cliccare su API Keys e successivamente su Add (Aggiungi).
-
Inserire un nome e una descrizione per la chiave.
Il nome non deve superare i 256 caratteri. La descrizione è facoltativa.
-
In Key Scope (Ambito chiave), è necessario selezionare gli ambiti richiesti per l’accesso agli endpoint. Selezionare Reports.
-
Espandere Reports per visualizzare le categorie selezionabili e procedere come segue:
- Selezionare Aggregations (Aggregazioni), Utilities (Utilità) e Granular Events (Eventi granulari).
- Selezionare l’accesso Read-only (Sola lettura) per ogni categoria.
-
In Expiry Date (Data di scadenza), selezionare Never Expire (Nessuna scadenza).
-
Cliccare su Create Key (Crea chiave).
-
Copiare e salvare l’API Key e il Key Secret. Salvare queste informazioni in un luogo sicuro. Occorrerà utilizzarla dopo in Sophos Central.
-
Cliccare su Accept and Close (Accetta e chiudi).
Configurare quindi un’integrazione in Sophos Central.
Configurazione di un’integrazione
Per integrare Cisco Umbrella con Sophos Central, procedere come segue:
- In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
-
Cliccare su Cisco Umbrella (API).
Si apre la pagina Cisco Umbrella (API). Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.
-
Cliccare su Aggiungi configurazione.
Nota
Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.
-
Nei Passaggi di integrazione, procedere come segue:
- Immettere il Nome dell’integrazione e la Descrizione dell’integrazione.
- Inserire l’API Key e il Key Secret ottenuti da Umbrella.
-
Cliccare su Salva.
L’integrazione verrà creata e visualizzata nell’elenco. Se l’icona di stato mostra una spunta verde, i dati dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.