Aplicația CISCO Security Cloud
Specificații
- Nume produs: Aplicația Cisco Security Cloud
- Producător: Cisco
- Integrare: Funcționează cu diverse produse Cisco
Instrucțiuni de utilizare a produsului
Configurați o aplicație
Configurarea aplicației este interfața de utilizator inițială pentru aplicația Security Cloud. Urmați acești pași pentru a configura o aplicație:
- Navigați la pagina Configurare aplicație > Produse Cisco.
- Alegeți aplicația Cisco dorită și faceți clic pe Configurare aplicație.
- Completați formularul de configurare care include o descriere succintă a aplicației, legături de documentație și detalii de configurare.
- Faceți clic pe Salvare. Asigurați-vă că toate câmpurile sunt completate corect pentru a activa butonul Salvare.
Configurați produsele Cisco
Pentru a configura produsele Cisco în aplicația Security Cloud, urmați acești pași:
- Pe pagina Produse Cisco, selectați produsul Cisco specific pe care doriți să îl configurați.
- Faceți clic pe Configurare aplicație pentru acel produs.
- Completați câmpurile obligatorii, inclusiv Nume de intrare, Interval, Index și Tip sursă.
- Salvați configurația. Corectați orice erori dacă butonul Salvare este dezactivat.
Configurare Cisco Duo
Pentru a configura Cisco Duo în aplicația Security Cloud, urmați acești pași:
- În pagina Configurare Duo, introduceți numele de intrare.
- Furnizați acreditările API de administrator în câmpurile Cheie de integrare, Cheie secretă și Nume gazdă API.
- Dacă nu aveți aceste acreditări, înregistrați un cont nou pentru a le obține.
Întrebări frecvente (FAQ)
- Î: Care sunt câmpurile comune necesare pentru configurarea aplicațiilor?
A: Câmpurile comune includ Nume de intrare, Interval, Index și Tip sursă. - Î: Cum pot gestiona autorizarea cu API-ul Duo?
A: Autorizarea cu API-ul Duo este gestionată folosind SDK-ul Duo pentru Python. Trebuie să furnizați numele de gazdă API obținut din panoul de administrare Duo împreună cu alte câmpuri opționale, după cum este necesar.
Acest capitol vă ghidează prin procesul de adăugare și configurare a intrărilor pentru diverse aplicații (produse Cisco) în cadrul aplicației Security Cloud. Intrările sunt cruciale deoarece definesc sursele de date pe care aplicația Security Cloud le folosește în scopuri de monitorizare. Configurarea corectă a intrărilor asigură că acoperirea dumneavoastră de securitate este cuprinzătoare și că toate datele sunt afișate corect pentru urmărirea și monitorizarea viitoare.
Configurați o aplicație
Configurarea aplicației este prima interfață de utilizator pentru aplicația Security Cloud. Pagina de configurare a aplicației este formată din două secțiuni:
Figura 1: Aplicațiile mele
- Secțiunea Aplicațiile mele din pagina Configurare aplicație afișează toate configurațiile de intrare de utilizator.
- Faceți clic pe un hyperlink de produs pentru a accesa tabloul de bord al produsului.
- Pentru a edita intrările, faceți clic pe Editare configurație din meniul de acțiuni.
- Pentru a șterge intrările, faceți clic pe Ștergere din meniul de acțiuni.
Figura 2: Produse Cisco
- Pagina Produse Cisco afișează toate produsele Cisco disponibile care sunt integrate cu aplicația Security Cloud.
- Puteți configura intrările pentru fiecare produs Cisco în această secțiune.
Configurați o aplicație
- Unele câmpuri de configurare sunt comune pentru toate produsele Cisco și sunt descrise în această secțiune.
- Câmpurile de configurare care sunt specifice unui produs sunt descrise în secțiunile ulterioare.
Tabelul 1: Câmpuri comune
| Domeniu |
Descriere |
| Nume de intrare | (Obligatoriu) Un nume unic pentru intrările aplicației. |
| Interval | (Obligatoriu) Interval de timp în secunde între interogările API. |
| Index | (Obligatoriu) Index de destinație pentru jurnalele de aplicații. Poate fi schimbat dacă este necesar.
Pentru acest câmp este furnizată completarea automată. |
| Tip sursă | (Obligatoriu) Pentru majoritatea aplicațiilor, aceasta este o valoare implicită și este dezactivată.
Îi puteți modifica valoarea în Setări avansate. |
- Pasul 1 În pagina Configurare aplicație > Produse Cisco, navigați la aplicația Cisco necesară.
- Pasul 2 Faceți clic pe Configurare aplicație.
Pagina de configurare este formată din trei secțiuni: Descrierea pe scurt a aplicației, Documentație cu link-uri către resurse utile și Formular de configurare.
- Pasul 3 Completați formularul de configurare. Rețineți următoarele:
- Câmpurile obligatorii sunt marcate cu un asterisc *.
- Există și câmpuri opționale.
- Urmați instrucțiunile și sfaturile descrise în secțiunea de aplicație specifică a paginii.
- Pasul 4 Faceți clic pe Salvare.
Dacă există o eroare sau câmpuri goale, butonul Salvare este dezactivat. Corectați eroarea și salvați formularul.
Cisco Duo
Figura 3: Pagina de configurare Duo
În plus față de câmpurile obligatorii descrise în secțiunea Configurarea unei aplicații, la pagina 2, sunt necesare următoarele acreditări pentru autorizarea cu Duo API:
- ikey (cheie de integrare)
- skey (cheie secretă)
Autorizarea este gestionată de SDK-ul Duo pentru Python.
Tabelul 2: Câmpurile de configurare Duo
|
Domeniu |
Descriere |
| Nume gazdă API | (Obligatoriu) Toate metodele API folosesc numele de gazdă API. https://api-XXXXXXXX.duosecurity.com.
Obțineți această valoare din panoul de administrare Duo și utilizați-o exact așa cum se arată acolo. |
| Jurnalele de securitate Duo | Opțional. |
| Nivel de înregistrare | (Opțional) Nivel de înregistrare pentru mesajele scrise în jurnalele de intrare în $SPLUNK_HOME/var/log/splunk/duo_splunkapp/ |
- Pasul 1 În pagina de configurare Duo, introduceți numele de intrare.
- Pasul 2 Introduceți acreditările API de administrator în câmpurile Cheie de integrare, Cheie secretă și Numele de gazdă API. Dacă nu aveți aceste acreditări, înregistrați un cont nou.
- Navigați la Aplicații > Protejați o aplicație > API de administrare pentru a crea un nou API de administrare.
- Navigați la Aplicații > Protejați o aplicație > API de administrare pentru a crea un nou API de administrare.
- Pasul 3 Definiți următoarele, dacă este necesar:
- Jurnalele de securitate Duo
- Nivel de înregistrare
- Pasul 4 Faceți clic pe Salvare.
Cisco Secure Malware Analytics
Figura 4: Pagina de configurare Secure Malware Analytics
Nota
Aveți nevoie de o cheie API (api_key) pentru autorizare cu API-ul Secure Malware Analytics (SMA) Transmiteți cheia API ca tip de purtător în simbolul de autorizare al cererii.
Securizarea datelor de configurare a malware Analytics
- Gazdă: (Obligatoriu) Specifică numele contului SMA.
- Setări proxy: (Opțional) Constă din Tipul de proxy, Proxy URL, Port, Nume de utilizator și Parolă.
- Setări de înregistrare: (Opțional) Definiți setările pentru informațiile de înregistrare.
- Pasul 1 În pagina de configurare Secure Malware Analytics, introduceți un nume în Nume de intrare.
- Pasul 2 Introduceți câmpurile Gazdă și Cheia API.
- Pasul 3 Definiți următoarele, dacă este necesar:
- Setări proxy
- Setări de înregistrare
- Pasul 4 Faceți clic pe Salvare.
Centrul de gestionare Cisco Secure Firewall
Figura 5: Pagina de configurare Secure Firewall Management Center
- Puteți importa date în aplicația Secure Firewall utilizând oricare dintre cele două procese simplificate: eStreamer și Syslog.
- Pagina de configurare Secure Firewall oferă două file, fiecare corespunzând unei metode diferite de import de date. Puteți comuta între aceste file pentru a configura intrările de date respective.
Firewall e-Streamer
eStreamer SDK este utilizat pentru comunicarea cu Secure Firewall Management Center.
Figura 6: Fila Secure Firewall E-Streamer
Tabelul 3: Date de configurare Secure Firewall
|
Domeniu |
Descriere |
| Gazdă FMC | (Obligatoriu) Specifică numele gazdei centrului de management. |
| Port | (Obligatoriu) Specifică portul pentru cont. |
| Certificat PKCS | (Obligatoriu) Certificatul trebuie creat pe Consola de gestionare a paravanului de protecție – Certificat eStreamer Creare. Sistemul acceptă numai pkcs12 file tip. |
| Parolă | (Obligatoriu) Parolă pentru certificatul PKCS. |
| Tipuri de evenimente | (Obligatoriu) Alegeți tipul de evenimente de asimilat (Toate, Conexiune, Intruziune, File, Pachet de intruziune). |
- Pasul 1 În fila E-Streamer a paginii Add Secure Firewall, în câmpul Nume de intrare, introduceți un nume.
- Pasul 2 În spațiul Certificat PKCS, încărcați un .pkcs12 file pentru a configura certificatul PKCS.
- Pasul 3 În câmpul Parolă, introduceți parola.
- Pasul 4 Alegeți un eveniment din Tipuri de evenimente.
- Pasul 5 Definiți următoarele, dacă este necesar:
- Jurnalele de securitate Duo
- Nivel de înregistrare
Nota
Dacă comutați între filele E-Streamer și Syslog, numai fila de configurare activă este salvată. Prin urmare, puteți seta o singură metodă de import de date la un moment dat.
- Pasul 6 Faceți clic pe Salvare.
Firewall Syslog
În plus față de câmpurile obligatorii care sunt descrise în secțiunea Configurați o aplicație, următoarele sunt configurațiile care sunt necesare în partea centrului de management.
Tabelul 4: Date de configurare Syslog Secure Firewall
|
Domeniu |
Descriere |
| TCP/UDP | (Obligatoriu) Specifică tipul de date de intrare. |
| Port | (Obligatoriu) Specifică un port unic pentru cont. |
- Pasul 1 În fila Syslog a paginii Add Secure Firewall, configurați conexiunea pe partea centrului de management, în câmpul Input Name (Nume de intrare), introduceți un nume.
- Pasul 2 Alegeți TCP sau UDP pentru tipul de intrare.
- Pasul 3 În câmpul Port, introduceți numărul portului
- Pasul 4 Selectați un tip din lista verticală Tip sursă.
- Pasul 5 Alegeți tipurile de evenimente pentru tipul de sursă selectat.
Nota
Dacă comutați între filele E-Streamer și Syslog, numai fila de configurare activă este salvată. Prin urmare, puteți seta o singură metodă de import de date la un moment dat. - Pasul 6 Faceți clic pe Salvare.
Cisco Multicloud Defense
Figura 7: Pagina de configurare Secure Malware Analytics
- Multicloud Defense (MCD) folosește funcționalitatea HTTP Event Collector a Splunk în loc să comunice printr-un API.
- Creați o instanță în Cisco Defense Orchestrator (CDO), urmând pașii definiți în secțiunea Ghid de configurare a paginii de configurare Multicloud Defense.
Doar câmpurile obligatorii definite în secțiunea Configurați o aplicație sunt necesare pentru autorizarea cu Multicloud Defense.
- Pasul 1 Instalați o instanță Multicloud Defense în CDO urmând Ghidul de configurare de pe pagina de configurare.
- Pasul 2 Introduceți un nume în câmpul Nume de intrare.
- Pasul 3 Faceți clic pe Salvare.
Cisco XDR
Figura 8: Pagina de configurare XDR
Următoarele acreditări sunt necesare pentru autorizarea cu Private Intel API:
- client_id
- client_secret
Fiecare rulare de intrare are ca rezultat un apel către punctul final GET /iroh/oauth2/token pentru a obține un jeton care este valabil timp de 600 de secunde.
Tabelul 5: Date de configurare Cisco XDR
|
Domeniu |
Descriere |
| Regiune | (Obligatoriu) Selectați o regiune înainte de a selecta o metodă de autentificare. |
| Autentificare Metodă | (Obligatoriu) Sunt disponibile două metode de autentificare: Utilizarea ID client și OAuth. |
| Import interval de timp | (Obligatoriu) Sunt disponibile trei opțiuni de import: Importați toate datele incidentului, Importați de la data și ora create și Import de la data și ora definită. |
| Promovați incidentele XDR notabililor ES? | (Opțional) Splunk Enterprise Security (ES) promovează Notabili.
Dacă nu ați activat Enterprise Security, puteți alege în continuare să promovați notabil, dar evenimentele nu apar în acel index sau macrocomenzi notabile. După ce activați Enterprise Security, evenimentele sunt prezente în index. Puteți alege tipul de incidente de ingerat (Toate, Critice, Medie, Scăzută, Informații, Necunoscute, Niciuna). |
- Pasul 1 În pagina de configurare Cisco XDR, introduceți un nume în câmpul Nume de intrare.
- Pasul 2 Selectați o metodă din lista verticală Metodă de autentificare.
- ID client:
- Faceți clic pe butonul Accesați XDR pentru a crea un client pentru contul dvs. în XDR.
- Copiați și lipiți ID-ul clientului
- Setați o parolă (Client_secret)
- OAuth:
- Urmați linkul generat și autentificați-vă. Trebuie să aveți un cont XDR.
- Dacă primul link cu codul nu a funcționat, în cel de-al doilea link, copiați Codul de utilizator și lipiți-l manual.
- ID client:
- Pasul 3 Definiți o oră de import în câmpul Import Time Range.
- Pasul 4 Dacă este necesar, selectați o valoare în Promovare incidente XDR către ES Notables. domeniu.
- Pasul 5 Faceți clic pe Salvare.
Cisco Secure Email Threat Defense
Figura 9: Pagina de configurare Secure Email Threat Defense
Următoarele acreditări sunt necesare pentru autorizarea API-urilor Secure Email Threat Defense:
- api_key
- client_id
- client_secret
Tabelul 6: Date de configurare Secure Email Threat Defense
|
Domeniu |
Descriere |
| Regiune | (Obligatoriu) Puteți edita acest câmp pentru a schimba regiunea. |
| Import interval de timp | (Obligatoriu) Sunt disponibile trei opțiuni: Importați toate datele mesajului, Importați de la data și ora create sau Importați de la data și ora definită. |
- Pasul 1 În pagina de configurare Secure Email Threat Defense, introduceți un nume în câmpul Nume de intrare.
- Pasul 2 Introduceți cheia API, ID-ul clientului și Cheia secretă client.
- Pasul 3 Selectați o regiune din lista derulantă Regiune.
- Pasul 4 Setați o oră de import în Interval de timp de import.
- Pasul 5 Faceți clic pe Salvare.
Cisco Secure Network Analytics
Secure Network Analytics (SNA), cunoscut anterior ca Stealthwatch, analizează datele existente ale rețelei pentru a ajuta la identificarea amenințărilor care ar fi putut găsi o modalitate de a ocoli controalele existente.
Figura 10: Pagina Configurare Secure Network Analytics
Acreditări necesare pentru autorizare:
- smc_host: (adresa IP sau numele gazdei Stealthwatch Management Console)
- tenant_id (ID de domeniu Stealthwatch Management Console pentru acest cont)
- nume de utilizator (nume de utilizator Stealthwatch Management Console)
- parola (parola Stealthwatch Management Console pentru acest cont)
Tabelul 7: Date de configurare Secure Network Analytics
|
Domeniu |
Descriere |
| Tip proxy | alegeți o valoare din lista derulantă:
• Gazdă • Port • Nume de utilizator • Parolă |
| Interval | (Obligatoriu) Interval de timp în secunde între interogările API. Implicit, 300 de secunde. |
| Tip sursă | (Obligatoriu) |
| Index | (Obligatoriu) Specifică indexul de destinație pentru jurnalele de securitate SNA. În mod implicit, starea: cisco_sna. |
| După | (Obligatoriu) Valoarea inițială după este utilizată la interogarea API-ului Stealthwatch. În mod implicit, valoarea este acum 10 minute. |
- Pasul 1 În pagina de configurare Secure Network Analytics, introduceți un nume în câmpul Nume de intrare.
- Pasul 2 Introduceți adresa managerului (IP sau gazdă), ID-ul domeniului, numele de utilizator și parola.
- Pasul 3 Dacă este necesar, setați următoarele sub Setări proxy:
- Alegeți un proxy din lista verticală Tip proxy.
- Introduceți gazda, portul, numele de utilizator și parola în câmpurile respective.
- Pasul 4 Definiți configurațiile de intrare:
- Setați un timp sub Interval. În mod implicit, intervalul este setat la 300 de secunde (5 minute).
- Dacă este necesar, puteți schimba tipul sursei din Setări avansate. Valoarea implicită este cisco:sna.
- Introduceți indexul de destinație pentru jurnalele de securitate în câmpul Index.
- Pasul 5 Faceți clic pe Salvare.
Documente/Resurse
 |
Aplicația CISCO Security Cloud [pdfGhid de utilizare Security Cloud App, Cloud App, App |
 |
Aplicația CISCO Security Cloud [pdfGhid de utilizare Securitate, Security Cloud, Cloud, Security Cloud App, App |
 |
Aplicația CISCO Security Cloud [pdfGhid de utilizare Security Cloud App, Cloud App, App |