Indhold skjule
1 CISCO Security Cloud App
2 Produktbrugsvejledning
3 Konfigurer en applikation
4 Konfigurer en applikation
5 Cisco Duo
6 Cisco Secure Malware Analytics
7 Cisco Secure Firewall Management Center
8 Cisco Multicloud Defense
9 Cisco XDR
10 Cisco Secure Email Threat Defense
11 Cisco Secure Network Analytics
12 Dokumenter/ressourcer
12.1 Referencer

CISCO-logo

CISCO Security Cloud App

CISCO-Security-Cloud-App-produkt

Specifikationer

  • Produktnavn: Cisco Security Cloud-app
  • Fabrikant: Cisco
  • Integration: Arbejder med forskellige Cisco-produkter

Produktbrugsvejledning

Konfigurer en applikation
Applikationsopsætning er den første brugergrænseflade til Security Cloud-appen. Følg disse trin for at konfigurere en applikation:

  1. Naviger til siden Applikationsopsætning > Cisco-produkter.
  2. Vælg den ønskede Cisco-applikation, og klik på Konfigurer applikation.
  3. Udfyld konfigurationsformularen, som inkluderer en kort appbeskrivelse, dokumentationslinks og konfigurationsdetaljer.
  4. Klik på Gem. Sørg for, at alle felter er udfyldt korrekt for at aktivere knappen Gem.

Konfigurer Cisco-produkter
Følg disse trin for at konfigurere Cisco-produkter i Security Cloud-appen:

  1. På siden Cisco-produkter skal du vælge det specifikke Cisco-produkt, du vil konfigurere.
  2. Klik på Konfigurer applikation for det pågældende produkt.
  3. Udfyld de påkrævede felter inklusive inputnavn, interval, indeks og kildetype.
  4. Gem konfigurationen. Ret eventuelle fejl, hvis knappen Gem er deaktiveret.

Cisco Duo-konfiguration
Følg disse trin for at konfigurere Cisco Duo i Security Cloud-appen:

  1. Indtast inputnavnet på siden Duo-konfiguration.
  2. Angiv Admin API-legitimationsoplysningerne i felterne Integrationsnøgle, Secret key og API-værtsnavn.
  3. Hvis du ikke har disse legitimationsoplysninger, skal du registrere en ny konto for at få dem.

Ofte stillede spørgsmål (FAQ)

  • Sp: Hvad er de almindelige felter, der kræves for at konfigurere programmer?
    A: De almindelige felter omfatter inputnavn, interval, indeks og kildetype.
  • Q: Hvordan kan jeg håndtere godkendelse med Duo API?
    A: Godkendelse med Duo API håndteres ved hjælp af Duo SDK til Python. Du skal angive API-værtsnavnet fra Duo Admin Panel sammen med andre valgfrie felter efter behov.

Dette kapitel guider dig gennem processen med at tilføje og konfigurere input til forskellige applikationer (Cisco-produkter) i Security Cloud-appen. Input er afgørende, fordi de definerer de datakilder, som Security Cloud-appen bruger til overvågningsformål. Korrekt konfiguration af input sikrer, at din sikkerhedsdækning er omfattende, og at alle data vises korrekt til fremtidig sporing og overvågning.

Konfigurer en applikation

Application Setup er den første brugergrænseflade til Security Cloud-appen. Applikationsopsætningssiden består af to sektioner:

Figur 1: Mine apps

CISCO-Security-Cloud-App-Fig- (1)

  • Afsnittet Mine apps på siden Applikationsopsætning viser alle brugerinputkonfigurationer.
  • Klik på et produkthyperlink for at gå til produktdashboardet.CISCO-Security-Cloud-App-Fig- (2)
  • For at redigere input skal du klikke på Rediger konfiguration under handlingsmenuen.
  • For at slette input skal du klikke på Slet under handlingsmenuen.CISCO-Security-Cloud-App-Fig- (3)

Figur 2: Cisco-produkter

CISCO-Security-Cloud-App-Fig- (4)

  • Siden Cisco-produkter viser alle tilgængelige Cisco-produkter, der er integreret med Security Cloud-appen.
  • Du kan konfigurere input for hvert Cisco-produkt i dette afsnit.

Konfigurer en applikation

  • Nogle konfigurationsfelter er fælles for alle Cisco-produkter, og de er beskrevet i dette afsnit.
  • Konfigurationsfelter, der er specifikke for et produkt, er beskrevet i de senere afsnit.

Tabel 1: Fælles felter

Felt

Beskrivelse
Input navn (Obligatorisk) Et unikt navn for input af applikationen.
Interval (Obligatorisk) Tidsinterval i sekunder mellem API-forespørgsler.
Indeks (Obligatorisk) Destinationsindeks for applikationslogfiler. Det kan ændres, hvis det er nødvendigt.

Autofuldførelse er angivet for dette felt.
Kildetype (Obligatorisk) For de fleste apps er det en standardværdi og er deaktiveret.

Du kan ændre dens værdi i Avancerede indstillinger.
  • Trin 1 På siden Applikationsopsætning > Cisco-produkter skal du navigere til det nødvendige Cisco-program.
  • Trin 2 Klik på Konfigurer applikation.
    Konfigurationssiden består af tre sektioner: Kort appbeskrivelse, Dokumentation med links til nyttige ressourcer og Konfigurationsformular.CISCO-Security-Cloud-App-Fig- (5)
  • Trin 3 Udfyld konfigurationsformularen. Bemærk følgende:
    • Påkrævede felter er markeret med en stjerne *.
    • Der er også valgfrie felter.
    • Følg instruktionerne og tips, der er beskrevet i den specifikke app-sektion på siden.
  • Trin 4 Klik på Gem.
    Hvis der er en fejl eller tomme felter, er knappen Gem deaktiveret. Ret fejlen og gem formularen.

Cisco Duo

Figur 3: Duo-konfigurationsside

CISCO-Security-Cloud-App-Fig- (6)

Ud over de obligatoriske felter, der er beskrevet i afsnittet Konfigurer en applikation, på side 2, kræves følgende legitimationsoplysninger for godkendelse med Duo API:

  • ikey (integrationsnøgle)
  • skey (hemmelig nøgle)

Godkendelse håndteres af Duo SDK for Python.

Tabel 2: Duo-konfigurationsfelter

Felt

Beskrivelse
API-værtsnavn (Obligatorisk) Alle API-metoder bruger API-værtsnavnet. https://api-XXXXXXXX.duosecurity.com.

Få denne værdi fra Duo Admin Panel og brug den nøjagtigt som vist der.
Duo sikkerhedslogfiler Valgfri.
Logningsniveau (Valgfrit) Logningsniveau for meddelelser skrevet til inputlogfiler i $SPLUNK_HOME/var/log/splunk/duo_splunkapp/
  • Trin 1 Indtast inputnavnet på Duo-konfigurationssiden.
  • Trin 2 Indtast Admin API-legitimationsoplysningerne i felterne Integrationsnøgle, Secret key og API-værtsnavn. Hvis du ikke har disse legitimationsoplysninger, registrere en ny konto.
    • Naviger til Applikationer > Beskyt en applikation > Admin API for at oprette en ny Admin API.CISCO-Security-Cloud-App-Fig- (7)
  • Trin 3 Definer følgende om nødvendigt:
    • Duo sikkerhedslogfiler
    • Logningsniveau
  • Trin 4 Klik på Gem.

Cisco Secure Malware Analytics

Figur 4: Secure Malware Analytics-konfigurationsside

CISCO-Security-Cloud-App-Fig- (8)CISCO-Security-Cloud-App-Fig- (9)

Note
Du skal bruge en API-nøgle (api_key) til godkendelse med Secure Malware Analytics (SMA) API. Send API-nøglen som bærertypen i godkendelsestokenet for anmodningen.

Sikker Malware Analytics-konfigurationsdata

  1. Vært: (Obligatorisk) Angiver navnet på SMA-kontoen.
  2. Proxyindstillinger: (Valgfrit) Består af Proxy Type, Proxy URL, Port, Brugernavn og Adgangskode.
  3. Logningsindstillinger: (Valgfrit) Definer indstillingerne for logningsoplysninger.
  • Trin 1 Indtast et navn i Input Name på konfigurationssiden for Secure Malware Analytics.
  • Trin 2 Indtast felterne Vært og API-nøgle.
  • Trin 3 Definer følgende om nødvendigt:
    • Proxy-indstillinger
    • Indstillinger for logning
  • Trin 4 Klik på Gem.

Cisco Secure Firewall Management Center

Figur 5: Konfigurationsside for Secure Firewall Management Center

CISCO-Security-Cloud-App-Fig- (10)

  • Du kan importere data til Secure Firewall-applikationen ved at bruge en af ​​de to strømlinede processer: eStreamer og Syslog.
  • Konfigurationssiden for sikker firewall indeholder to faner, der hver svarer til en anden dataimportmetode. Du kan skifte mellem disse faner for at konfigurere de respektive dataindgange.

Firewall e-streamer

eStreamer SDK bruges til kommunikation med Secure Firewall Management Center.

Figur 6: Fanen Secure Firewall E-Streamer

CISCO-Security-Cloud-App-Fig- (11)

Tabel 3: Sikker Firewall-konfigurationsdata

Felt

Beskrivelse
FMC vært (Obligatorisk) Angiver navnet på administrationscenterværten.
Havn (Obligatorisk) Angiver porten for kontoen.
PKCS certifikat (Obligatorisk) Certifikatet skal oprettes på Firewall Management Console – eStreamer-certifikat Skabelse. Systemet understøtter kun pkcs12 file type.
Adgangskode (Obligatorisk) Adgangskode til PKCS-certifikatet.
Begivenhedstyper (Obligatorisk) Vælg den type hændelser, der skal indtages (Alle, Forbindelse, Indtrængen, File, Indbrudspakke).
  • Trin 1 Indtast et navn i feltet Input Name på fanen E-Streamer på siden Tilføj sikker firewall.
  • Trin 2 I PKCS-certifikatområdet skal du uploade en .pkcs12 file for at konfigurere PKCS-certifikatet.
  • Trin 3 Indtast adgangskoden i feltet Adgangskode.
  • Trin 4 Vælg en begivenhed under Hændelsestyper.
  • Trin 5 Definer følgende om nødvendigt:
    • Duo sikkerhedslogfiler
    • Logningsniveau
      Note
      Hvis du skifter mellem fanerne E-Streamer og Syslog, gemmes kun den aktive konfigurationsfane. Derfor kan du kun indstille én dataimportmetode ad gangen.
  • Trin 6 Klik på Gem.

Firewall Syslog
Ud over de obligatoriske felter, der er beskrevet i afsnittet Konfigurer en applikation, er følgende de konfigurationer, der kræves på administrationscentersiden.

CISCO-Security-Cloud-App-Fig- (12)

Tabel 4: Secure Firewall Syslog-konfigurationsdata

Felt

Beskrivelse
TCP/UDP (Obligatorisk) Angiver typen af ​​inputdata.
Havn (Obligatorisk) Angiver en unik port for kontoen.
  • Trin 1 På fanen Syslog på siden Tilføj sikker firewall skal du konfigurere forbindelsen på administrationscentersiden. Indtast et navn i feltet Input Name.
  • Trin 2 Vælg TCP eller UDP som inputtype.
  • Trin 3 Indtast portnummeret i feltet Port
  • Trin 4 Vælg en type på rullelisten Kildetype.
  • Trin 5 Vælg hændelsestyper for den valgte kildetype.
    Note
    Hvis du skifter mellem fanerne E-Streamer og Syslog, gemmes kun den aktive konfigurationsfane. Derfor kan du kun indstille én dataimportmetode ad gangen.
  • Trin 6 Klik på Gem.

Cisco Multicloud Defense

Figur 7: Secure Malware Analytics-konfigurationsside

CISCO-Security-Cloud-App-Fig- (13)

  • Multicloud Defense (MCD) udnytter HTTP Event Collector-funktionaliteten i Splunk i stedet for at kommunikere gennem en API.
  • Opret en forekomst i Cisco Defence Orchestrator (CDO) ved at følge de trin, der er defineret i afsnittet Opsætningsvejledning på konfigurationssiden for Multicloud Defense.

CISCO-Security-Cloud-App-Fig- (14)

Kun de obligatoriske felter, der er defineret i afsnittet Konfigurer en applikation, kræves for autorisation med Multicloud Defense.

  • Trin 1 Installer en Multicloud Defense-instans i CDO ved at følge opsætningsvejledningen på konfigurationssiden.
  • Trin 2 Indtast et navn i feltet Indtast navn.
  • Trin 3 Klik på Gem.

Cisco XDR

Figur 8: XDR-konfigurationsside

CISCO-Security-Cloud-App-Fig- (15)

Følgende legitimationsoplysninger kræves for godkendelse med Private Intel API:

  • klient_id
  • klient_hemmelighed

Hver inputkørsel resulterer i et opkald til GET /iroh/oauth2/token-slutpunktet for at opnå et token, der er gyldigt i 600 sekunder.

Tabel 5: Cisco XDR-konfigurationsdata

Felt

Beskrivelse
Område (Obligatorisk) Vælg et område, før du vælger en godkendelsesmetode.
Autentificering Metode (Obligatorisk) To godkendelsesmetoder er tilgængelige: Brug af klient-id og OAuth.
Importer tidsinterval (Obligatorisk) Tre importmuligheder er tilgængelige: Importer alle hændelsesdata, Importer fra det oprettede dato-klokkeslæt og Importer fra det definerede dato-klokkeslæt.
Markedsfør XDR Incidents til ES Notables? (Valgfrit) Splunk Enterprise Security (ES) promoverer notables.

Hvis du ikke har aktiveret Enterprise Security, kan du stadig vælge at promovere til notabler, men begivenheder vises ikke i det indeks eller bemærkelsesværdige makroer.

Når du har aktiveret Enterprise Security, er hændelser til stede i indekset.

Du kan vælge den type hændelser, der skal indtages (Alle, Kritiske, Medium, Lav, Info, Ukendt, Ingen).
  • Trin 1 På Cisco XDR-konfigurationssiden skal du indtaste et navn i feltet Input Name.
  • Trin 2 Vælg en metode på rullelisten Godkendelsesmetode.
    • Klient-id:
      • Klik på knappen Gå til XDR for at oprette en klient til din konto i XDR.
      • Kopiér og indsæt klient-id'et
      • Indstil en adgangskode (Client_secret)
    • OAuth:
      • Følg det genererede link og godkend. Du skal have en XDR-konto.
      • Hvis det første link med koden ikke virkede, skal du kopiere brugerkoden i det andet link og indsætte det manuelt.
  • Trin 3 Definer et importtidspunkt i feltet Import Time Range.
  • Trin 4 Vælg om nødvendigt en værdi i Promote XDR Incidents to ES Notables. felt.
  • Trin 5 Klik på Gem.

Cisco Secure Email Threat Defense

Figur 9: Konfigurationsside for sikker e-mail-trusselforsvar

CISCO-Security-Cloud-App-Fig- (16)

Følgende legitimationsoplysninger er påkrævet for at godkende Secure Email Threat Defense API'er:

  • api_key
  • klient_id
  • klient_hemmelighed

Tabel 6: Konfigurationsdata for sikker e-mail-trusselforsvar

Felt

Beskrivelse
Område (Obligatorisk) Du kan redigere dette felt for at ændre regionen.
Importer tidsinterval (Obligatorisk) Tre muligheder er tilgængelige: Importer alle beskeddata, Importer fra det oprettede dato-klokkeslæt eller Importer fra det definerede dato-klokkeslæt.
  • Trin 1 Indtast et navn i feltet Input Name på konfigurationssiden til Secure Email Threat Defense.
  • Trin 2 Indtast API-nøglen, klient-id'et og klientens hemmelige nøgle.
  • Trin 3 Vælg en region fra rullelisten Region.
  • Trin 4 Indstil et importtidspunkt under Importtidsområde.
  • Trin 5 Klik på Gem.

Cisco Secure Network Analytics

Secure Network Analytics (SNA), tidligere kendt som Stealthwatch, analyserer de eksisterende netværksdata for at hjælpe med at identificere trusler, der kan have fundet en måde at omgå de eksisterende kontroller.

Figur 10: Konfigurationsside for sikker netværksanalyse

CISCO-Security-Cloud-App-Fig- (17)

Påkrævet legitimationsoplysninger for godkendelse:

  • smc_host: (IP-adresse eller værtsnavn på Stealthwatch Management Console)
  • tenant_id (domæne-id for Stealthwatch Management Console for denne konto)
  • brugernavn (brugernavn til Stealthwatch Management Console)
  • adgangskode (adgangskode til Stealthwatch Management Console for denne konto)

Tabel 7: Konfigurationsdata for sikker netværksanalyse

Felt

Beskrivelse
Proxy type vælg en værdi fra rullelisten:

• Vært

• Port

• Brugernavn

• Adgangskode
Interval (Obligatorisk) Tidsinterval i sekunder mellem API-forespørgsler. Som standard 300 sek.
Kildetype (Obligatorisk)
Indeks (Obligatorisk) Angiver destinationsindekset for SNA-sikkerhedslogfiler. Angiv som standard: cisco_sna.
Efter (Obligatorisk) Den initiale efter-værdi bruges, når der forespørges på Stealthwatch API. Som standard er værdien 10 minutter siden.
  • Trin 1 Indtast et navn i feltet Input Name på konfigurationssiden for Secure Network Analytics.
  • Trin 2 Indtast administratoradressen (IP eller vært), domæne-id, brugernavn og adgangskode.
  • Trin 3 Indstil om nødvendigt følgende under Proxyindstillinger:
    • Vælg en proxy fra rullelisten Proxytype.
    • Indtast værten, porten, brugernavnet og adgangskoden i de respektive felter.
  • Trin 4 Definer input-konfigurationerne:
    • Indstil en tid under Interval. Som standard er intervallet indstillet til 300 sekunder (5 minutter).
    • Du kan om nødvendigt ændre kildetypen under Avancerede indstillinger. Standardværdien er cisco:sna.
    • Indtast destinationsindekset for sikkerhedslogfilerne i feltet Indeks.
  • Trin 5 Klik på Gem.

Dokumenter/ressourcer

CISCO Security Cloud App [pdfBrugervejledning
Security Cloud App, Cloud App, App
CISCO Security Cloud App [pdfBrugervejledning
Sikkerhed, Security Cloud, Cloud, Security Cloud App, App
CISCO Security Cloud App [pdfBrugervejledning
Security Cloud App, Cloud App, App

Referencer

Efterlad en kommentar

Din e-mailadresse vil ikke blive offentliggjort. Påkrævede felter er markeret *