購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
7161
閲覧回数
7
いいね!
0
コメント

Umbrella: ダッシュボード内のログ管理について

tkitahar
Cisco Employee
Cisco Employee

‎2018-03-30 10:21 AM ‎2023-01-26 04:57 PM 更新

 

2023 年 1 月 26 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、Umbrella Dashboard の管理 > ログ管理 (Log Management) で利用可能な機能について説明します。

 

2. Data Storage

 

Data Storage では、Umbrella Dashboard のレポート メニューにある各種レポート画面で使われている実際のデータの保存先 (ロケーション) を指定できます。

 

tkitahar_1-1674719284010.png

 

 デフォルトでは、カリフォルニアにあるデータセンターが設定されていますが、データ保持に関する法令などに順守する目的で、データのロケーションをヨーロッパのデータセンターに変更することが可能です。

 

※ ポリシーの設定情報など、レポート以上の組織固有の情報については、常にカリフォルニアに保存されます

※ データの保存先を日本にすることはできません

 

なお、設定の変更を行っても、元のロケーションに既に保存されたデータが移動されることはありません。あくまで、これから保存されるデータのロケーションが変わる機能となります。

 

また、別のロケーションに保存されたデータは、Umbrella Dashboard のレポートには表示されないため、切り替えを頻繁に行うと、データが分散してしまい、レポート機能を活用する上での支障となります。

 

3. Amazon S3

 

Amazon S3 機能は、アクティビティ検索レポート (および管理者監査ログ) のログを Cisco の外部サーバー (Amazon S3) にも保存する機能です。

 

この機能を使うと、直近 10 分間のログが CSV に変換され、gzip 形式で圧縮されてから Amazon S3 に送信されます。

 

そもそも、なぜこのような機能が用意されたかというと、主に以下 2 つの理由があります。

 

  • アクティビティ ログの保持期間 (1 ヵ月) よりも長くログを保持しておきたい
  • アクティビティ ログを SIEM (Security Information and Event Management) 製品などに送りたい

 

特に後者は重要で、現時点においてアクティビティ ログを他製品に送るには、Amazon S3 を受け渡し場所として使う必要があります。

 

なお、Amazon S3 機能は、以前は組織が所有する Amazon S3 の契約 (Company-managed と呼ばれる) のみを使用することが可能でした。Company-managed の設定方法は以下の公開文書に記載があります。

 

Enable Logging to Your Own S3 Bucket

https://docs.umbrella.com/umbrella-user-guide/docs/enable-logging-to-your-own-s3-bucket

 

現在は、Cisco-managed の Amazon S3 機能を利用できるようになりました。次項で詳しく説明します。

 

4. Cisco-managed Amazon S3

 

Cisco-managed というのは、Cisco が契約している Amazon S3 にログを保存するという意味で、Umbrella の契約があれば、無料で利用することが可能です。

 

tkitahar_0-1674718760548.png

 

こちらを選択するメリットは以下の 2 点です。

 

  • Amazon S3 のアカウントを用意する必要がない
  • ウィザードを進めていくだけで設定が可能で、非常に簡単である

 

実際の設定方法については、以下の公開文書に記載があります。

 

 Enable Logging to a Cisco-managed S3 Bucket

https://docs.umbrella.com/umbrella-user-guide/docs/enable-logging-to-a-cisco-managed-s3-bucket

 

ただし、以下のようなデメリットがありますので、注意が必要です。

 

  • Amazon S3 内のログの保存期間は最長 30 日である
  • Cisco が管理しているため、ユーザーには読み取り権限しか与えられておらず、一部の SIEM との連携が動作しない場合がある
  • 読み取り権限しかないため、ログ以外の別のファイルを保存する機能はない
  • Amazon のサポートを直接受けられない

 

特に 1 つ目については、Amazon S3 との連携のメリットの 1 つである「長期間のログの保持」がなくなってしまいますので、定期的に SIEM やその他のストレージにログを転送するなど、導入にあたっては十分な検討が必要です。

 

以上のことから、このオプションは「SIEM とのログの連携をノーコストで試す手段」と割り切って考えていただければと思います。

 

なお、実際にログの連携を行う方法については、以下のサポート記事が参考になるものと思います。

 

Configuring Splunk for use with Cisco Umbrella Log Management in AWS S3

https://support.umbrella.com/hc/en-us/articles/230650987-Configuring-Splunk-for-use-with-Cisco-Umbrella-Log-Management-in-AWS-S3

 

Configuring QRadar for use with Cisco Umbrella Log Management in AWS S3

https://support.umbrella.com/hc/en-us/articles/231248488-Configuring-QRadar-for-use-with-Cisco-Umbrella-Log-Management-in-AWS-S3

 

また、連携をする上で、CSV のフォーマットの詳細を知りたい場合、以下の公開文書に記載があります。

 

Log Formats and Versioning

https://docs.umbrella.com/umbrella-user-guide/docs/log-format-and-versioning

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents