Апликација CISCO Security Cloud

Спецификации

• Име на производ: Апликација Cisco Security Cloud
• Производител: Cisco
• Интеграција: Работи со различни производи на Cisco

Упатство за употреба на производот

Поставете апликација
Application Setup е почетниот кориснички интерфејс за апликацијата Security Cloud. Следете ги овие чекори за да конфигурирате апликација:

1. Одете до страницата Поставување апликација > Производи на Cisco.
2. Изберете ја саканата апликација на Cisco и кликнете на Конфигурирај апликација.
3. Пополнете го формуларот за конфигурација кој вклучува Краток опис на апликацијата, линкови за документација и детали за конфигурацијата.
4. Кликнете Зачувај. Проверете дали сите полиња се пополнети правилно за да го овозможите копчето Зачувај.

Конфигурирајте ги производите на Cisco
За да ги конфигурирате производите на Cisco во апликацијата Security Cloud, следете ги овие чекори:

1. На страницата Cisco Products, изберете го конкретниот производ на Cisco што сакате да го конфигурирате.
2. Кликнете на Конфигурирај апликација за тој производ.
3. Пополнете ги бараните полиња, вклучувајќи ги внесените имиња, интервалот, индексот и типот на изворот.
4. Зачувајте ја конфигурацијата. Поправете ги сите грешки ако копчето Зачувај е оневозможено.

Конфигурација на Cisco Duo
За конфигурирање на Cisco Duo во апликацијата Security Cloud, следете ги овие чекори:

1. На страницата за конфигурација на Duo, внесете го влезното име.
2. Наведете ги ингеренциите за администратор API во полињата за интеграција, Таен клуч и име на домаќин на API.
3. Ако ги немате овие ингеренции, регистрирајте нова сметка за да ги добиете.

Најчесто поставувани прашања (ЧПП)

• П: Кои се заедничките полиња потребни за конфигурирање на апликациите?
  A: Заедничките полиња вклучуваат влезно име, интервал, индекс и тип на извор.
• П: Како можам да се справам со овластувањето со Duo API?
  A: Овластувањето со Duo API се постапува со користење на Duo SDK за Python. Треба да го наведете името на домаќинот API добиено од административниот панел на Duo заедно со други изборни полиња по потреба.

Ова поглавје ве води низ процесот на додавање и конфигурирање на влезови за различни апликации (производи на Cisco) во апликацијата Security Cloud. Влезовите се клучни бидејќи ги дефинираат изворите на податоци што ги користи апликацијата Security Cloud за следење. Правилната конфигурација на влезовите гарантира дека вашата безбедносна покриеност е сеопфатна и дека сите податоци се правилно прикажани за идно следење и следење.

Поставете апликација

Application Setup е првиот кориснички интерфејс за апликацијата Security Cloud. Страницата за поставување апликација се состои од два дела:

Слика 1: Мои апликации

• Делот Мои апликации на страницата за поставување апликации ги прикажува сите конфигурации за внесување на корисникот.
• Кликнете на хиперврска на производот за да отидете на контролната табла на производот.
• За да ги уредите влезовите, кликнете на Уреди конфигурација во менито за акција.
• За да ги избришете влезовите, кликнете Избриши под менито за акција.

Слика 2: Производи на Cisco

• Страницата Cisco Products ги прикажува сите достапни производи на Cisco кои се интегрирани со апликацијата Security Cloud.
• Можете да конфигурирате влезови за секој производ на Cisco во овој дел.

Конфигурирајте апликација

• Некои полиња за конфигурација се вообичаени за сите производи на Cisco и тие се опишани во овој дел.
• Полињата за конфигурација кои се специфични за некој производ се опишани во подоцнежните делови.

Табела 1: Заеднички полиња

Поле	Опис
Внесете име	(Задолжително) Единствено име за влезови на апликацијата.
Интервал	(Задолжително) Временски интервал во секунди помеѓу барањата за API.
Индекс	(Задолжително) Индекс на дестинација за дневници на апликации. Може да се смени доколку е потребно. За ова поле е обезбедено автоматско комплетирање.
Тип на извор	(Задолжително) За повеќето апликации, таа е стандардна вредност и е оневозможена. Можете да ја промените неговата вредност во Напредни поставки.

• Чекор 1 Во страницата Application Setup > Cisco Products, одете до бараната апликација Cisco.
• Чекор 2 Кликнете Конфигурирај апликација.
  Страницата за конфигурација се состои од три секции: Краток опис на апликацијата, Документација со линкови до корисни ресурси и Форма за конфигурација.
• Чекор 3 Пополнете го формуларот за конфигурација. Забележете го следново:
  • Задолжителните полиња се означени со ѕвездичка *.
  • Има и изборни полиња.
  • Следете ги упатствата и советите опишани во делот за одредена апликација на страницата.
• Чекор 4 Кликнете Зачувај.
  Ако има грешка или празни полиња, копчето Зачувај е оневозможено. Поправете ја грешката и зачувајте го формуларот.

Cisco Duo

Слика 3: Страница за конфигурација на Duo

Покрај задолжителните полиња опишани во делот Конфигурирај апликација, на страница 2, потребни се следните акредитиви за авторизација со Duo API:

• ikey (клуч за интегрирање)
• скеј (таен клуч)

Овластувањето го управува Duo SDK за Python.

Табела 2: Полиња за конфигурација на Duo

Поле	Опис
Име на домаќин на API	(Задолжително ) Сите API методи го користат името на домаќинот API. https://api-XXXXXXXX.duosecurity.com. Добијте ја оваа вредност од административниот панел на Duo и употребете ја точно како што е прикажано таму.
Дневници за безбедност на Duo	Факултативно.
Ниво на логирање	(Изборно) Ниво на евиденција за пораки напишани во дневници за внесување во $SPLUNK_HOME/var/log/splunk/duo_splunkapp/

• Чекор 1 На страницата за конфигурација на Duo, внесете го влезното име.
• Чекор 2 Внесете ги акредитивите на администраторот API во полињата за интеграција, Таен клуч и име на домаќин на API. Ако ги немате овие ингеренции, регистрирајте нова сметка.
  • Одете до Апликации > Заштита на апликација > АПИ на администратор за да креирате нов АПИ на администратор.
• Чекор 3 Дефинирајте го следново доколку е потребно:
  • Дневници за безбедност на Duo
  • Ниво на логирање
• Чекор 4 Кликнете Зачувај.

Cisco Secure Malware Analytics

Слика 4: Страна за конфигурација на безбедна аналитика на малициозен софтвер

Забелешка
Потребен ви е клуч API (api_key) за овластување со Secure Malware Analytics (SMA) API Префрлете го клучот API како тип на носител во знакот за авторизација на барањето.

Безбедни податоци за конфигурација на „Malware Analytics“.

1. Домаќин: (Задолжително) Го одредува името на сметката SMA.
2. Поставки за прокси: (Изборно) Се состои од Тип на прокси, прокси URL, Порта, Корисничко име и Лозинка.
3. Поставки за евиденција: (Изборно) Дефинирајте ги поставките за евиденција на информации.

• Чекор 1 Во конфигурациската страница за безбедна аналитика на малициозен софтвер, внесете име во Влезното име.
• Чекор 2 Внесете ги полињата Домаќин и клучот API.
• Чекор 3 Дефинирајте го следново доколку е потребно:
  • Поставки за прокси
  • Поставки за евиденција
• Чекор 4 Кликнете Зачувај.

Центар за управување со заштитниот ѕид на Cisco Secure

Слика 5: Страница за конфигурација на безбеден центар за управување со заштитен ѕид

• Може да внесувате податоци во апликацијата Secure Firewall користејќи кој било од двата рационализирани процеси: eStreamer и Syslog.
• Страницата за конфигурација на Secure Firewall обезбедува две јазичиња, од кои секоја одговара на различен метод за увоз на податоци. Може да се префрлате помеѓу овие јазичиња за да ги конфигурирате соодветните влезови на податоци.

Заштитен ѕид е-Стример

eStreamer SDK се користи за комуникација со Центарот за управување со безбеден заштитен ѕид.

Слика 6: таб за безбеден огнен ѕид E-Streamer

Табела 3: Безбедни податоци за конфигурација на заштитен ѕид

Поле	Опис
Домаќин на FMC	(Задолжително) Го одредува името на домаќинот на центарот за управување.
Пристаниште	(Задолжително) Ја одредува портата за сметката.
PKCS сертификат	(Задолжително) Сертификатот мора да се креира на Конзолата за управување со Firewall – eStreamer сертификат Создавање. Системот поддржува само pkcs12 file тип.
Лозинка	(Задолжително) Лозинка за сертификатот PKCS.
Типови на настани	(Задолжително) Изберете го типот на настани што ќе се внесат (Сите, Врска, Упад, File, Пакет за упад).

• Чекор 1 Во табулаторот E-Streamer на страницата Додај безбеден заштитен ѕид, во полето Input Name, внесете име.
• Чекор 2 Во просторот за сертификат PKCS, поставете .pkcs12 file за да го поставите сертификатот PKCS.
• Чекор 3 Во полето Лозинка, внесете ја лозинката.
• Чекор 4 Изберете настан под Типови на настани.
• Чекор 5 Дефинирајте го следново доколку е потребно:
  • Дневници за безбедност на Duo
  • Ниво на логирање
    Забелешка
    Ако се префрлате помеѓу табовите E-Streamer и Syslog, се зачувува само активниот таб за конфигурација. Затоа, можете да поставите само еден метод за увоз на податоци во исто време.
• Чекор 6 Кликнете Зачувај.

Заштитен ѕид Сислог
Покрај задолжителните полиња што се опишани во делот Конфигурирај апликација, следните се конфигурациите што се потребни на страната на центарот за управување.

Табела 4: Податоците за конфигурација на безбеден огнен ѕид Сислог

Поле	Опис
TCP/UDP	(Задолжително) Го одредува типот на влезните податоци.
Пристаниште	(Задолжително) Одредува единствена порта за сметката.

• Чекор 1 Во картичката Syslog на страницата Додај безбеден заштитен ѕид, поставете ја врската на страната на центарот за управување, во полето Input Name, внесете име.
• Чекор 2 Изберете TCP или UDP за тип на влез.
• Чекор 3 Во полето Порт, внесете го бројот на портата
• Чекор 4 Изберете тип од паѓачката листа Тип на извор.
• Чекор 5 Изберете типови на настани за избраниот тип на извор.
  Забелешка
  Ако се префрлате помеѓу табовите E-Streamer и Syslog, се зачувува само активниот таб за конфигурација. Затоа, можете да поставите само еден метод за увоз на податоци во исто време.
• Чекор 6 Кликнете Зачувај.

Cisco Multicloud Defense

Слика 7: Страна за конфигурација на безбедна аналитика на малициозен софтвер

• Multicloud Defense (MCD) ја користи функционалноста на HTTP Event Collector на Splunk наместо да комуницира преку API.
• Направете пример во Cisco Defense Orchestrator (CDO), следејќи ги чекорите што се дефинирани во делот Упатство за поставување на страницата за конфигурација на Multicloud Defense.

Само задолжителните полиња дефинирани во делот Конфигурирај апликација, се потребни за овластување со Multicloud Defense.

• Чекор 1 Инсталирајте примерок Multicloud Defense во CDO следејќи го Водичот за поставување на страницата за конфигурација.
• Чекор 2 Внесете име во полето Input Name.
• Чекор 3 Кликнете Зачувај.

Cisco XDR

Слика 8: страница за конфигурација на XDR

Следниве акредитиви се потребни за овластување со Private Intel API:

• клиент_ид
• клиент_тајна

Секое влезно извршување резултира со повик до крајната точка GET /iroh/oauth2/token за да се добие токен кој важи 600 секунди.

Табела 5: Податоци за конфигурација на Cisco XDR

Поле	Опис
Регионот	(Задолжително) Изберете регион пред да изберете метод за автентикација.
Автентикација Метод	(Задолжително) Достапни се два методи за автентикација: Користење на клиент ID и OAuth.
Временски опсег на увоз	(Задолжително) Достапни се три опции за увоз: Увези ги сите податоци за инцидентот, Увези од креираниот датум-време и Увези од дефинираниот датум-време.
Да се ​​промовираат инциденти на XDR кај познатите од ЕС?	(Незадолжително) Splunk Enterprise Security (ES) промовира значајни. Ако не сте ја овозможиле Enterprise Security, сè уште можете да изберете да промовирате на значајни, но настаните не се појавуваат во тој индекс или забележителни макроа. Откако ќе ја овозможите Enterprise Security, настаните се присутни во индексот. Можете да изберете тип на инциденти што ќе ги внесете (Сите, Критични, Средни, Ниски, Информации, Непознати, Нема).

• Чекор 1 На страницата за конфигурација на Cisco XDR, внесете име во полето Input Name.
• Чекор 2 Изберете метод од паѓачката листа Метод за автентикација.
  • ID на клиент:
    • Кликнете на копчето Go to XDR за да креирате клиент за вашата сметка во XDR.
    • Копирајте го и залепете го идентификаторот на клиентот
    • Поставете лозинка (Client_secret)
  • OAuth:
    • Следете ја генерираната врска и проверете ја автентичноста. Треба да имате XDR сметка.
    • Ако првата врска со кодот не функционираше, во втората врска, копирајте ја Корисничката шифра и залепете ја рачно.
• Чекор 3 Дефинирајте време на увоз во полето Временски опсег на увоз.
• Чекор 4 Доколку е потребно, изберете вредност во Промовирање на инциденти на XDR во ES значајни. поле.
• Чекор 5 Кликнете Зачувај.

Cisco безбедна одбрана од закани за е-пошта

Слика 9: Страна за конфигурација за безбедна заштита од закани по е-пошта

Следниве акредитиви се потребни за овластување на АПИ за безбедна е-пошта за одбрана од закани:

• api_key
• клиент_ид
• клиент_тајна

Табела 6: Податоци за конфигурација за безбедна е-пошта за одбрана од закани

Поле	Опис
Регионот	(Задолжително) Можете да го уредите ова поле за да го промените регионот.
Временски опсег на увоз	(Задолжително) Достапни се три опции: Увези ги сите податоци за пораки, Увези од креираниот датум-време или Увези од дефинираниот датум-време.

• Чекор 1 На страницата за конфигурација за безбедна е-пошта од закани, внесете име во полето Внесено име.
• Чекор 2 Внесете го клучот API, ИД на клиентот и Тајниот клуч на клиентот.
• Чекор 3 Изберете регион од паѓачката листа Регион.
• Чекор 4 Поставете време за увоз под Временски опсег на увоз.
• Чекор 5 Кликнете Зачувај.

Cisco Secure Network Analytics

Безбедна мрежна анализа (SNA), порано позната како Stealthwatch, ги анализира постојните мрежни податоци за да помогне да се идентификуваат заканите кои можеби нашле начин да ги заобиколат постојните контроли.

Слика 10: Страница за конфигурација на безбедна мрежна аналитика

Потребни акредитиви за овластување:

• smc_host: (IP адреса или име на домаќин на конзолата за управување со Stealthwatch)
• tenant_id (ID на домен на конзолата за управување со Stealthwatch за оваа сметка)
• корисничко име (корисничко име на Stealthwatch Management Console)
• лозинка (лозинка за управување со Stealthwatch за оваа сметка)

Табела 7: Податоци за конфигурација на безбедна мрежна аналитика

Поле	Опис
Тип на прокси	изберете вредност од паѓачката листа: • Домаќин • Пристаниште • Корисничко име • Лозинка
Интервал	(Задолжително) Временски интервал во секунди помеѓу барањата за API. Стандардно, 300 секунди.
Тип на извор	(Задолжително)
Индекс	(Задолжително) Го одредува индексот на дестинација за SNA безбедносни дневници. Стандардно, наведете: cisco_sna.
По	(Задолжително) Почетната вредност по се користи при барање на Stealthwatch API. Стандардно, вредноста е пред 10 минути.

• Чекор 1 На страницата за конфигурација на безбедна мрежна аналитика, внесете име во полето Внесено име.
• Чекор 2 Внесете ја адресата на менаџерот (IP или домаќин), ID на домен, корисничко име и лозинка.
• Чекор 3 Доколку е потребно, поставете го следново под поставките за прокси:
  • Изберете прокси од паѓачката листа Тип на прокси.
  • Внесете го домаќинот, портата, корисничкото име и лозинката во соодветните полиња.
• Чекор 4 Дефинирајте ги влезните конфигурации:
  • Поставете време под Интервал. Стандардно, интервалот е поставен на 300 секунди (5 минути).
  • Можете да го промените типот на изворот под Напредни поставки доколку е потребно. Стандардната вредност е cisco:sna.
  • Внесете го дестинацискиот индекс за дневниците за безбедност во полето Индекс.
• Чекор 5 Кликнете Зачувај.

Документи / ресурси

	Апликација CISCO Security Cloud [pdf] Упатство за корисникот Апликација за безбедност во облак, апликација за облак, апликација
	Апликација CISCO Security Cloud [pdf] Упатство за корисникот Безбедност, Безбедносен облак, Облак, Апликација за безбедност во облак, апликација
	Апликација CISCO Security Cloud [pdf] Упатство за корисникот Апликација за безбедност во облак, апликација за облак, апликација

Референци

• Упатство за употреба