Aplikacja CISCO Security Cloud
Specyfikacje
- Nazwa produktu: Aplikacja Cisco Security Cloud
- Producent: Cisco
- Integracja: Działa z różnymi produktami Cisco
Instrukcje użytkowania produktu
Skonfiguruj aplikację
Konfiguracja aplikacji to początkowy interfejs użytkownika dla aplikacji Security Cloud. Wykonaj następujące kroki, aby skonfigurować aplikację:
- Przejdź do strony Konfiguracja aplikacji > Produkty Cisco.
- Wybierz żądaną aplikację Cisco i kliknij Konfiguruj aplikację.
- Wypełnij formularz konfiguracji, który zawiera krótki opis aplikacji, linki do dokumentacji i szczegóły konfiguracji.
- Kliknij Zapisz. Upewnij się, że wszystkie pola są poprawnie wypełnione, aby włączyć przycisk Zapisz.
Konfiguruj produkty Cisco
Aby skonfigurować produkty Cisco w aplikacji Security Cloud, wykonaj następujące czynności:
- Na stronie Produkty Cisco wybierz konkretny produkt Cisco, który chcesz skonfigurować.
- Kliknij Konfiguruj aplikację dla tego produktu.
- Wypełnij wymagane pola, w tym: Nazwa wejściowa, Interwał, Indeks i Typ źródła.
- Zapisz konfigurację. Popraw wszelkie błędy, jeśli przycisk Save jest wyłączony.
Konfiguracja Cisco Duo
Aby skonfigurować Cisco Duo w aplikacji Security Cloud, wykonaj następujące czynności:
- Na stronie konfiguracji Duo wprowadź nazwę wejściową.
- Podaj dane uwierzytelniające interfejsu API administratora w polach Klucz integracji, Klucz tajny i Nazwa hosta interfejsu API.
- Jeśli nie posiadasz tych danych, zarejestruj nowe konto, aby je uzyskać.
Często zadawane pytania (FAQ)
- P: Jakie pola są najczęściej wymagane do konfiguracji aplikacji?
A: Typowe pola obejmują: nazwę wejściową, interwał, indeks i typ źródła. - P: W jaki sposób mogę obsługiwać autoryzację za pomocą Duo API?
A: Autoryzacja z Duo API jest obsługiwana za pomocą Duo SDK dla Pythona. Musisz podać nazwę hosta API uzyskaną z Duo Admin Panel wraz z innymi opcjonalnymi polami, jeśli jest to wymagane.
Ten rozdział przeprowadzi Cię przez proces dodawania i konfigurowania danych wejściowych dla różnych aplikacji (produktów Cisco) w Security Cloud App. Dane wejściowe są kluczowe, ponieważ definiują źródła danych, których Security Cloud App używa do celów monitorowania. Prawidłowa konfiguracja danych wejściowych zapewnia, że Twoje pokrycie bezpieczeństwa jest kompleksowe i że wszystkie dane są prawidłowo wyświetlane do przyszłego śledzenia i monitorowania.
Skonfiguruj aplikację
Konfiguracja aplikacji to pierwszy interfejs użytkownika dla aplikacji Security Cloud. Strona Konfiguracja aplikacji składa się z dwóch sekcji:
Rysunek 1: Moje aplikacje
- Sekcja Moje aplikacje na stronie Konfiguracji aplikacji wyświetla wszystkie konfiguracje wprowadzone przez użytkownika.
- Kliknij hiperłącze produktu, aby przejść do pulpitu nawigacyjnego produktu.
- Aby edytować dane wejściowe, kliknij Edytuj konfigurację w menu akcji.
- Aby usunąć dane wejściowe, kliknij Usuń w menu akcji.
Rysunek 2: Produkty Cisco
- Na stronie Produkty Cisco wyświetlane są wszystkie dostępne produkty Cisco zintegrowane z aplikacją Security Cloud App.
- W tej sekcji możesz skonfigurować dane wejściowe dla każdego produktu Cisco.
Konfigurowanie aplikacji
- Niektóre pola konfiguracji są wspólne dla wszystkich produktów Cisco i zostały opisane w tej sekcji.
- Pola konfiguracji specyficzne dla danego produktu opisano w dalszych sekcjach.
Tabela 1: Pola wspólne
| Pole |
Opis |
| Wprowadź nazwę | (Obowiązkowe) Unikalna nazwa dla danych wejściowych aplikacji. |
| Interwał | (Obowiązkowe) Odstęp czasu w sekundach pomiędzy zapytaniami API. |
| Indeks | (Obowiązkowy) Indeks docelowy dla logów aplikacji. Można go zmienić, jeśli jest to wymagane.
To pole posiada funkcję automatycznego uzupełniania. |
| Typ źródła | (Obowiązkowe) W przypadku większości aplikacji jest to wartość domyślna, która jest wyłączona.
Możesz zmienić jego wartość w Ustawienia zaawansowane. |
- Krok 1 Na stronie Konfiguracja aplikacji > Produkty Cisco przejdź do wymaganej aplikacji Cisco.
- Krok 2 Kliknij Konfiguruj aplikację.
Strona konfiguracji składa się z trzech sekcji: Krótki opis aplikacji, Dokumentacja z linkami do przydatnych zasobów i Formularz konfiguracji.
- Krok 3 Wypełnij formularz konfiguracji. Zwróć uwagę na następujące kwestie:
- Pola obowiązkowe oznaczone są gwiazdką *.
- Istnieją również pola opcjonalne.
- Postępuj zgodnie z instrukcjami i wskazówkami opisanymi w sekcji strony poświęconej konkretnej aplikacji.
- Krok 4 Kliknij Zapisz.
Jeśli występuje błąd lub pola są puste, przycisk Zapisz jest wyłączony. Popraw błąd i zapisz formularz.
Cisco Duo
Rysunek 3: Strona konfiguracji Duo
Oprócz obowiązkowych pól opisanych w sekcji Konfigurowanie aplikacji na stronie 2, do autoryzacji za pomocą Duo API wymagane są następujące dane uwierzytelniające:
- ikey (klucz integracyjny)
- skey (Klucz tajny)
Autoryzacją zajmuje się pakiet Duo SDK dla języka Python.
Tabela 2: Pola konfiguracji Duo
|
Pole |
Opis |
| Nazwa hosta API | (Obowiązkowe) Wszystkie metody API korzystają z nazwy hosta API. https://api-XXXXXXXX.duosecurity.com.
Uzyskaj tę wartość z Panelu administracyjnego Duo i użyj jej dokładnie tak, jak tam pokazano. |
| Dzienniki zabezpieczeń Duo | Fakultatywny. |
| Poziom rejestrowania | (Opcjonalnie) Poziom rejestrowania wiadomości zapisywanych do dzienników wejściowych w $SPLUNK_HOME/var/log/splunk/duo_splunkapp/ |
- Krok 1 Na stronie konfiguracji Duo wprowadź nazwę wejściową.
- Krok 2 Wprowadź dane uwierzytelniające interfejsu API administratora w polach Klucz integracji, Klucz tajny i Nazwa hosta interfejsu API. Jeśli nie masz tych danych uwierzytelniających, zarejestruj nowe konto.
- Aby utworzyć nowy interfejs API administratora, przejdź do pozycji Aplikacje > Chroń aplikację > Interfejs API administratora.
- Aby utworzyć nowy interfejs API administratora, przejdź do pozycji Aplikacje > Chroń aplikację > Interfejs API administratora.
- Krok 3 W razie potrzeby zdefiniuj poniższe informacje:
- Dzienniki zabezpieczeń Duo
- Poziom rejestrowania
- Krok 4 Kliknij Zapisz.
Cisco Secure Malware Analytics
Rysunek 4: Strona konfiguracji Secure Malware Analytics
Notatka
Do autoryzacji za pomocą Secure Malware Analytics (SMA) API potrzebny jest klucz API (api_key). Przekaż klucz API jako typ nośnika w tokenie autoryzacyjnym żądania.
Zabezpiecz dane konfiguracji analizy złośliwego oprogramowania
- Gospodarz: (Obowiązkowe) Określa nazwę konta SMA.
- Ustawienia serwera proxy: (Opcjonalnie) Składa się z typu proxy, proxy URL, Port, nazwa użytkownika i hasło.
- Ustawienia rejestrowania: (Opcjonalnie) Zdefiniuj ustawienia rejestrowania informacji.
- Krok 1 Na stronie konfiguracji Secure Malware Analytics wprowadź nazwę w polu Nazwa wejściowa.
- Krok 2 Wypełnij pola Host i Klucz API.
- Krok 3 W razie potrzeby zdefiniuj poniższe informacje:
- Ustawienia proxy
- Ustawienia logowania
- Krok 4 Kliknij Zapisz.
Centrum zarządzania bezpieczną zaporą Cisco
Rysunek 5: Strona konfiguracji Centrum zarządzania bezpieczną zaporą sieciową
- Dane do aplikacji Secure Firewall można zaimportować przy użyciu dowolnego z dwóch uproszczonych procesów: eStreamer i Syslog.
- Strona konfiguracji Secure Firewall zawiera dwie zakładki, z których każda odpowiada innej metodzie importu danych. Możesz przełączać się między tymi zakładkami, aby skonfigurować odpowiednie dane wejściowe.
Zapora sieciowa e-Streamer
Zestaw SDK eStreamer służy do komunikacji z Secure Firewall Management Center.
Rysunek 6: Karta Secure Firewall E-Streamer
Tabela 3: Dane konfiguracji bezpiecznej zapory sieciowej
|
Pole |
Opis |
| Gospodarz FMC | (Obowiązkowe) Określa nazwę hosta centrum zarządzania. |
| Port | (Obowiązkowe) Określa port dla konta. |
| Certyfikat PKCS | (Obowiązkowe) Certyfikat musi zostać utworzony w Konsoli zarządzania zaporą sieciową – Certyfikat eStreamer Tworzenie. System obsługuje tylko pkcs12 file typ. |
| Hasło | (Obowiązkowe) Hasło dla certyfikatu PKCS. |
| Typy zdarzeń | (Obowiązkowe) Wybierz typ zdarzeń do pobrania (Wszystkie, Połączenie, Włamanie, File, Pakiet włamaniowy). |
- Krok 1 Na karcie E-Streamer na stronie Dodaj bezpieczną zaporę sieciową w polu Wprowadź nazwę wprowadź nazwę.
- Krok 2 W obszarze Certyfikat PKCS prześlij plik .pkcs12 file aby skonfigurować certyfikat PKCS.
- Krok 3 W polu Hasło wpisz hasło.
- Krok 4 Wybierz wydarzenie w obszarze Typy wydarzeń.
- Krok 5 W razie potrzeby zdefiniuj poniższe elementy:
- Dzienniki zabezpieczeń Duo
- Poziom rejestrowania
Notatka
Jeśli przełączasz się między kartami E-Streamer i Syslog, zapisywana jest tylko aktywna karta konfiguracji. Dlatego możesz ustawić tylko jedną metodę importu danych na raz.
- Krok 6 Kliknij Zapisz.
Zapora sieciowa Syslog
Oprócz pól obowiązkowych opisanych w sekcji Konfigurowanie aplikacji, poniżej przedstawiono konfiguracje wymagane po stronie centrum zarządzania.
Tabela 4: Dane konfiguracji Syslog bezpiecznej zapory sieciowej
|
Pole |
Opis |
| TCP/UDP | (Obowiązkowe) Określa typ danych wejściowych. |
| Port | (Obowiązkowe) Określa unikalny port dla konta. |
- Krok 1 Na karcie Syslog strony Dodaj bezpieczną zaporę sieciową skonfiguruj połączenie po stronie centrum zarządzania i w polu Nazwa wprowadź nazwę.
- Krok 2 Wybierz TCP lub UDP jako typ danych wejściowych.
- Krok 3 W polu Port wprowadź numer portu
- Krok 4 Wybierz typ z listy rozwijanej Typ źródła.
- Krok 5 Wybierz typy zdarzeń dla wybranego typu źródła.
Notatka
Jeśli przełączasz się między kartami E-Streamer i Syslog, zapisywana jest tylko aktywna karta konfiguracji. Dlatego możesz ustawić tylko jedną metodę importu danych na raz. - Krok 6 Kliknij Zapisz.
Cisco Multicloud Defense
Rysunek 7: Strona konfiguracji Secure Malware Analytics
- Rozwiązanie Multicloud Defense (MCD) wykorzystuje funkcjonalność HTTP Event Collector narzędzia Splunk zamiast komunikować się za pośrednictwem interfejsu API.
- Utwórz instancję w programie Cisco Defense Orchestrator (CDO), wykonując czynności opisane w sekcji Przewodnik konfiguracji na stronie konfiguracji Multicloud Defense.
Do autoryzacji w usłudze Multicloud Defense wymagane jest wypełnienie wyłącznie pól obowiązkowych, zdefiniowanych w sekcji Konfigurowanie aplikacji.
- Krok 1 Zainstaluj instancję Multicloud Defense w CDO, postępując zgodnie z instrukcją konfiguracji na stronie konfiguracji.
- Krok 2 Wpisz nazwę w polu Nazwa wejściowa.
- Krok 3 Kliknij Zapisz.
Cisco XDR
Rysunek 8: Strona konfiguracji XDR
Do autoryzacji za pomocą Private Intel API wymagane są następujące dane uwierzytelniające:
- identyfikator_klienta
- sekret_klienta
Każde uruchomienie danych wejściowych powoduje wywołanie punktu końcowego GET /iroh/oauth2/token w celu uzyskania tokena ważnego przez 600 sekund.
Tabela 5: Dane konfiguracji Cisco XDR
|
Pole |
Opis |
| Region | (Obowiązkowe) Przed wybraniem metody uwierzytelniania wybierz region. |
| Uwierzytelnianie Metoda | (Obowiązkowe) Dostępne są dwie metody uwierzytelniania: za pomocą identyfikatora klienta i OAuth. |
| Zakres czasu importu | (Obowiązkowe) Dostępne są trzy opcje importu: Importuj wszystkie dane dotyczące incydentów, Importuj z utworzonej daty i godziny oraz Importuj z zdefiniowanej daty i godziny. |
| Promować incydenty XDR wśród osób notowanych w ES? | (Opcjonalnie) Splunk Enterprise Security (ES) promuje osoby o wyróżniającej się pozycji.
Jeśli nie włączono zabezpieczeń przedsiębiorstwa, nadal można wybrać awansowanie do ważnych zdarzeń, ale zdarzenia nie będą wyświetlane w tym indeksie ani w ważnych makrach. Po włączeniu zabezpieczeń przedsiębiorstwa zdarzenia będą widoczne w indeksie. Możesz wybrać typ zdarzeń, które chcesz przechwycić (Wszystkie, Krytyczne, Średnie, Niskie, Informacje, Nieznane, Brak). |
- Krok 1 Na stronie konfiguracji Cisco XDR wprowadź nazwę w polu Nazwa wejściowa.
- Krok 2 Wybierz metodę z listy rozwijanej Metoda uwierzytelniania.
- Identyfikator klienta:
- Kliknij przycisk Przejdź do XDR, aby utworzyć klienta dla swojego konta w XDR.
- Skopiuj i wklej identyfikator klienta
- Ustaw hasło (Client_secret)
- OAuth:
- Kliknij wygenerowany link i uwierzytelnij się. Musisz mieć konto XDR.
- Jeśli pierwszy link z kodem nie zadziałał, skopiuj kod użytkownika i wklej go ręcznie w drugim linku.
- Identyfikator klienta:
- Krok 3 Zdefiniuj czas importu w polu Zakres czasu importu.
- Krok 4 W razie potrzeby wybierz wartość w polu Promuj incydenty XDR do obiektów ES Notables.
- Krok 5 Kliknij Zapisz.
Cisco Bezpieczna obrona przed zagrożeniami e-mail
Rysunek 9: Strona konfiguracji usługi Secure Email Threat Defense
Do autoryzacji interfejsów API Secure Email Threat Defense wymagane są następujące dane uwierzytelniające:
- klucz_api
- identyfikator_klienta
- sekret_klienta
Tabela 6: Dane konfiguracji Secure Email Threat Defense
|
Pole |
Opis |
| Region | (Obowiązkowe) Możesz edytować to pole, aby zmienić region. |
| Zakres czasu importu | (Obowiązkowe) Dostępne są trzy opcje: Importuj wszystkie dane wiadomości, Importuj z utworzonej daty i godziny lub Importuj z zdefiniowanej daty i godziny. |
- Krok 1 Na stronie konfiguracji usługi Secure Email Threat Defense wprowadź nazwę w polu Nazwa wejściowa.
- Krok 2 Wprowadź klucz API, identyfikator klienta i tajny klucz klienta.
- Krok 3 Wybierz region z listy rozwijanej Region.
- Krok 4 Ustaw czas importu w obszarze Zakres czasu importu.
- Krok 5 Kliknij Zapisz.
Analityka bezpiecznej sieci Cisco
Secure Network Analytics (SNA), wcześniej znana jako Stealthwatch, analizuje istniejące dane sieciowe, aby pomóc w identyfikacji zagrożeń, które mogły znaleźć sposób na ominięcie istniejących kontroli.
Rysunek 10: Strona konfiguracji Secure Network Analytics
Wymagane dane uwierzytelniające do autoryzacji:
- smc_host: (adres IP lub nazwa hosta konsoli zarządzającej Stealthwatch)
- tenant_id (identyfikator domeny konsoli zarządzania Stealthwatch dla tego konta)
- nazwa użytkownika (nazwa użytkownika konsoli zarządzania Stealthwatch)
- hasło (hasło do konsoli zarządzania Stealthwatch dla tego konta)
Tabela 7: Dane konfiguracji Secure Network Analytics
|
Pole |
Opis |
| Typ serwera proxy | wybierz wartość z listy rozwijanej:
• Gospodarz • Port • Nazwa użytkownika • Hasło |
| Interwał | (Obowiązkowe) Interwał czasu w sekundach między zapytaniami API. Domyślnie 300 sekund. |
| Typ źródła | (Obowiązkowy) |
| Indeks | (Obowiązkowe) Określa indeks docelowy dla dzienników zabezpieczeń SNA. Domyślnie stan: cisco_sna. |
| Po | (Obowiązkowe) Wartość początkowa after jest używana podczas zapytania Stealthwatch API. Domyślnie wartość wynosi 10 minut temu. |
- Krok 1 Na stronie konfiguracji Secure Network Analytics wprowadź nazwę w polu Nazwa wejściowa.
- Krok 2 Wprowadź adres menedżera (adres IP lub hosta), identyfikator domeny, nazwę użytkownika i hasło.
- Krok 3 Jeśli to konieczne, w ustawieniach serwera proxy ustaw następujące opcje:
- Wybierz serwer proxy z listy rozwijanej Typ serwera proxy.
- Wpisz hosta, port, nazwę użytkownika i hasło w odpowiednich polach.
- Krok 4 Zdefiniuj konfiguracje wejściowe:
- Ustaw czas w Interwał. Domyślnie interwał jest ustawiony na 300 sekund (5 minut).
- W razie potrzeby możesz zmienić typ źródła w Ustawieniach zaawansowanych. Wartość domyślna to cisco:sna.
- W polu Indeks wprowadź indeks docelowy dla dzienników zabezpieczeń.
- Krok 5 Kliknij Zapisz.
Dokumenty / Zasoby
 |
Aplikacja CISCO Security Cloud [plik PDF] Instrukcja użytkownika Aplikacja w chmurze bezpieczeństwa, aplikacja w chmurze, aplikacja |
 |
Aplikacja CISCO Security Cloud [plik PDF] Instrukcja użytkownika Bezpieczeństwo, Chmura Bezpieczeństwa, Chmura, Aplikacja Chmura Bezpieczeństwa, Aplikacja |
 |
Aplikacja CISCO Security Cloud [plik PDF] Instrukcja użytkownika Aplikacja w chmurze bezpieczeństwa, aplikacja w chmurze, aplikacja |