Кіраўніцтва карыстальніка CISCO Security Cloud App

CISCO Security Cloud App

Тэхнічныя характарыстыкі

• Назва прадукту: Cisco Security Cloud App
• вытворца: Cisco
• Інтэграцыя: Працуе з рознымі прадуктамі Cisco

Інструкцыя па ўжыванні прадукту

Наладзьце прыкладанне
Настройка прыкладання - гэта пачатковы карыстацкі інтэрфейс для прыкладання Security Cloud. Каб наладзіць прыкладанне, выканайце наступныя дзеянні:

1. Перайдзіце на старонку «Настройка прыкладання > Прадукты Cisco».
2. Выберыце патрэбнае прыкладанне Cisco і націсніце «Наладзіць прыкладанне».
3. Запоўніце форму канфігурацыі, якая змяшчае кароткае апісанне праграмы, спасылкі на дакументацыю і дэталі канфігурацыі.
4. Націсніце Захаваць. Упэўніцеся, што ўсе палі запоўнены правільна, каб уключыць кнопку "Захаваць".

Наладзьце прадукты Cisco
Каб наладзіць прадукты Cisco у дадатку Security Cloud, выканайце наступныя дзеянні:

1. На старонцы прадуктаў Cisco выберыце канкрэтны прадукт Cisco, які вы хочаце наладзіць.
2. Націсніце Наладзіць прыкладанне для гэтага прадукта.
3. Запоўніце неабходныя палі, уключаючы імя ўводу, інтэрвал, індэкс і тып крыніцы.
4. Захавайце канфігурацыю. Выпраўце ўсе памылкі, калі кнопка "Захаваць" адключана.

Канфігурацыя Cisco Duo
Каб наладзіць Cisco Duo у праграме Security Cloud, выканайце наступныя дзеянні:

1. На старонцы канфігурацыі Duo увядзіце імя ўводу.
2. Увядзіце ўліковыя даныя API адміністратара ў палях Ключ інтэграцыі, Сакрэтны ключ і імя хаста API.
3. Калі ў вас няма гэтых уліковых дадзеных, зарэгіструйце новы ўліковы запіс, каб атрымаць іх.

Часта задаюць пытанні (FAQ)

• Пытанне: Якія агульныя палі неабходныя для канфігурацыі прыкладанняў?
  A: Агульныя палі ўключаюць назву ўводу, інтэрвал, індэкс і тып крыніцы.
• Пытанне: як я магу апрацаваць аўтарызацыю з Duo API?
  A: Аўтарызацыя з дапамогай Duo API апрацоўваецца з дапамогай Duo SDK для Python. Вам трэба ўказаць імя хаста API, атрыманае з панэлі адміністратара Duo, а таксама іншыя дадатковыя палі, калі патрабуецца.

Гэты раздзел правядзе вас праз працэс дадання і канфігурацыі ўваходных дадзеных для розных прыкладанняў (прадуктаў Cisco) у праграме Security Cloud. Уваходныя дадзеныя вельмі важныя, таму што яны вызначаюць крыніцы даных, якія праграма Security Cloud выкарыстоўвае для маніторынгу. Правільная канфігурацыя ўваходных дадзеных гарантуе, што ваша бяспека з'яўляецца ўсёабдымнай і што ўсе даныя правільна адлюстроўваюцца для будучага адсочвання і кантролю.

Наладзьце прыкладанне

Налада прыкладання - гэта першы карыстальніцкі інтэрфейс для прыкладання Security Cloud. Старонка наладкі прыкладання складаецца з двух раздзелаў:

Малюнак 1: Мае праграмы

• У раздзеле "Мае прыкладанні" на старонцы наладкі прыкладання адлюстроўваюцца ўсе канфігурацыі ўводу карыстальнікам.
• Пстрыкніце гіперспасылку прадукту, каб перайсці на прыборную панэль прадукту.
• Каб адрэдагаваць увод, націсніце "Рэдагаваць канфігурацыю" ў меню дзеянняў.
• Каб выдаліць увод, націсніце «Выдаліць» у меню дзеянняў.

Малюнак 2: Прадукты Cisco

• На старонцы прадуктаў Cisco паказаны ўсе даступныя прадукты Cisco, інтэграваныя з праграмай Security Cloud App.
• У гэтым раздзеле вы можаце наладзіць уводы для кожнага прадукту Cisco.

Наладзьце прыкладанне

• Некаторыя палі канфігурацыі агульныя для ўсіх прадуктаў Cisco, і яны апісаны ў гэтым раздзеле.
• Палі канфігурацыі, характэрныя для прадукту, апісаны ў наступных раздзелах.

Табліца 1: Агульныя палі

Палявы	Апісанне
Імя ўводу	(Абавязкова) Унікальнае імя для ўваходных дадзеных прыкладання.
Інтэрвал	(Абавязкова) Інтэрвал часу ў секундах паміж запытамі API.
Паказальнік	(Абавязковы) Індэкс прызначэння для часопісаў прыкладанняў. Пры неабходнасці яго можна змяніць. Для гэтага поля прадугледжана аўтазапаўненне.
Тып крыніцы	(Абавязкова) Для большасці праграм гэта значэнне па змаўчанні і адключана. Вы можаце змяніць яго значэнне ў Дадатковыя налады.

• Крок 1 На старонцы «Настройка прыкладання > Прадукты Cisco» перайдзіце да неабходнага прыкладання Cisco.
• Крок 2 Націсніце Наладзіць прыкладанне.
  Старонка канфігурацыі складаецца з трох раздзелаў: Кароткае апісанне праграмы, Дакументацыя са спасылкамі на карысныя рэсурсы і Форма канфігурацыі.
• Крок 3 Запоўніце форму канфігурацыі. Звярніце ўвагу на наступнае:
  • Абавязковыя для запаўнення палі пазначаны зорачкай *.
  • Ёсць таксама дадатковыя палі.
  • Выконвайце інструкцыі і парады, апісаныя ў раздзеле канкрэтнай праграмы на старонцы.
• Крок 4 Націсніце Захаваць.
  Калі ёсць памылка або пустыя палі, кнопка «Захаваць» не працуе. Выпраўце памылку і захавайце форму.

Cisco Duo

Малюнак 3: старонка канфігурацыі Duo

У дадатак да абавязковых палёў, апісаных у раздзеле «Настройка прыкладання» на старонцы 2, для аўтарызацыі з дапамогай Duo API патрабуюцца наступныя ўліковыя даныя:

• ikey (ключ інтэграцыі)
• skey (сакрэтны ключ)

Аўтарызацыя ажыццяўляецца Duo SDK для Python.

Табліца 2: Палі канфігурацыі Duo

Палявы	Апісанне
Імя хоста API	(Абавязкова) Усе метады API выкарыстоўваюць імя хаста API. https://api-XXXXXXXX.duosecurity.com. Атрымайце гэта значэнне з панэлі адміністратара Duo і выкарыстоўвайце яго дакладна так, як паказана там.
Журналы бяспекі Duo	Дадаткова.
Узровень запісу	(Неабавязкова) Узровень рэгістрацыі для паведамленняў, запісаных у журналы ўводу ў $SPLUNK_HOME/var/log/splunk/duo_splunkapp/

• Крок 1 На старонцы канфігурацыі Duo увядзіце імя ўводу.
• Крок 2 Увядзіце ўліковыя даныя API адміністратара ў палі Ключ інтэграцыі, Сакрэтны ключ і імя хаста API. Калі ў вас няма гэтых уліковых дадзеных, зарэгістраваць новы рахунак.
  • Перайдзіце ў меню «Прыкладанні > Абараніць прыкладанне > API адміністратара», каб стварыць новы API адміністратара.
• Крок 3 Пры неабходнасці вызначце наступнае:
  • Журналы бяспекі Duo
  • Узровень запісу
• Крок 4 Націсніце Захаваць.

Cisco Secure Analysis Malware

Малюнак 4: Старонка канфігурацыі Secure Malware Analytics

Заўвага
Вам патрэбны ключ API (api_key) для аўтарызацыі з дапамогай API бяспечнай аналітыкі шкоднасных праграм (SMA). Перадайце ключ API ў якасці тыпу носьбіта ў токене аўтарызацыі запыту.

Даныя канфігурацыі Secure Malware Analytics

1. Вядучы: (Абавязкова) Вызначае назву ўліковага запісу SMA.
2. Налады проксі: (Неабавязкова) Складаецца з тыпу проксі, проксі URL, порт, імя карыстальніка і пароль.
3. Налады запісу: (Неабавязкова) Вызначце параметры для запісу інфармацыі.

• Крок 1 На старонцы канфігурацыі Secure Malware Analytics увядзіце імя ў поле Input Name.
• Крок 2 Увядзіце палі Host і API Key.
• Крок 3, калі патрабуецца, вызначце наступнае:
  • Налады проксі
  • Налады запісу
• Крок 4 Націсніце Захаваць.

Цэнтр кіравання бяспечным брандмаўэрам Cisco

Малюнак 5: Старонка канфігурацыі Secure Firewall Management Center

• Вы можаце імпартаваць дадзеныя ў праграму Secure Firewall з дапамогай любога з двух аптымізаваных працэсаў: eStreamer і Syslog.
• На старонцы канфігурацыі бяспечнага брандмаўэра ёсць дзве ўкладкі, кожная з якіх адпавядае рознаму метаду імпарту дадзеных. Вы можаце пераключацца паміж гэтымі ўкладкамі, каб наладзіць адпаведныя ўводы даных.

Брандмаўэр e-Streamer

eStreamer SDK выкарыстоўваецца для сувязі з Secure Firewall Management Center.

Малюнак 6: Укладка Secure Firewall E-Streamer

Табліца 3: Даныя канфігурацыі бяспечнага брандмаўэра

Палявы	Апісанне
Хост FMC	(Абавязкова) Вызначае назву хоста цэнтра кіравання.
Порт	(Абавязкова) Вызначае порт для ўліковага запісу.
Сертыфікат PKCS	(Абавязкова) Сертыфікат павінен быць створаны на кансолі кіравання брандмаўэрам – Сертыфікат eStreamer Стварэнне. Сістэма падтрымлівае толькі pkcs12 file тыпу.
Пароль	(Абавязковы) Пароль для сертыфіката PKCS.
Тыпы падзей	(Абавязкова) Выберыце тып падзей для прыёму (Усе, Злучэнне, Уварванне, File, Пакет пранікнення).

• Крок 1 На ўкладцы E-Streamer старонкі Add Secure Firewall у полі Input Name увядзіце імя.
• Крок 2 У поле сертыфіката PKCS загрузіце .pkcs12 file каб наладзіць сертыфікат PKCS.
• Крок 3 У полі Пароль увядзіце пароль.
• Крок 4 Выберыце падзею ў раздзеле "Тыпы падзей".
• Крок 5. Пры неабходнасці вызначце наступнае:
  • Журналы бяспекі Duo
  • Узровень запісу
    Заўвага
    Калі вы пераключаецеся паміж укладкамі E-Streamer і Syslog, захоўваецца толькі актыўная ўкладка канфігурацыі. Такім чынам, вы можаце ўсталяваць толькі адзін метад імпарту дадзеных адначасова.
• Крок 6 Націсніце Захаваць.

Сістэмны часопіс брандмаўэра
У дадатак да абавязковых палёў, апісаных у раздзеле "Настройка прыкладання", наступныя канфігурацыі неабходныя для цэнтра кіравання.

Табліца 4: Даныя канфігурацыі сістэмнага часопіса бяспечнага брандмаўэра

Палявы	Апісанне
TCP/UDP	(Абавязкова) Вызначае тып ўваходных даных.
Порт	(Абавязкова) Вызначае ўнікальны порт для ўліковага запісу.

• Крок 1 На ўкладцы Syslog старонкі Add Secure Firewall наладзьце злучэнне з боку цэнтра кіравання, у полі Input Name увядзіце імя.
• Крок 2 Выберыце TCP або UDP для тыпу ўводу.
• Крок 3 У полі Порт увядзіце нумар порта
• Крок 4 Выберыце тып з выпадальнага спісу "Тып крыніцы".
• Крок 5 Выберыце тыпы падзей для абранага тыпу крыніцы.
  Заўвага
  Калі вы пераключаецеся паміж укладкамі E-Streamer і Syslog, захоўваецца толькі актыўная ўкладка канфігурацыі. Такім чынам, вы можаце ўсталяваць толькі адзін метад імпарту дадзеных адначасова.
• Крок 6 Націсніце Захаваць.

Шматвоблачная абарона Cisco

Малюнак 7: Старонка канфігурацыі Secure Malware Analytics

• Multicloud Defense (MCD) выкарыстоўвае функцыянальнасць HTTP Event Collector Splunk замест сувязі праз API.
• Стварыце асобнік у Cisco Defense Orchestrator (CDO), выканаўшы дзеянні, вызначаныя ў раздзеле Кіраўніцтва па наладжванні на старонцы канфігурацыі Multicloud Defense.

Для аўтарызацыі з дапамогай Multicloud Defense патрабуюцца толькі абавязковыя палі, вызначаныя ў раздзеле «Настройка прыкладання».

• Крок 1 Усталюйце асобнік Multicloud Defense у CDO, прытрымліваючыся Кіраўніцтва па наладцы на старонцы канфігурацыі.
• Крок 2 Увядзіце імя ў поле Input Name.
• Крок 3 Націсніце Захаваць.

Cisco XDR

Малюнак 8: Старонка канфігурацыі XDR

Для аўтарызацыі з дапамогай Private Intel API патрабуюцца наступныя ўліковыя даныя:

• ідэнтыфікатар_кліента
• сакрэт_кліента

Кожны запуск уводу прыводзіць да выкліку канчатковай кропкі GET /iroh/oauth2/token для атрымання маркера, які дзейнічае на працягу 600 секунд.

Табліца 5: Даныя канфігурацыі Cisco XDR

Палявы	Апісанне
Рэгіён	(Абавязкова) Выберыце рэгіён перад выбарам метаду аўтэнтыфікацыі.
Аўтэнтыфікацыя Метад	(Абавязкова) Даступны два метады аўтэнтыфікацыі: з дапамогай ідэнтыфікатара кліента і OAuth.
Дыяпазон часу імпарту	(Абавязкова) Даступны тры варыянты імпарту: імпарт усіх даных пра здарэнні, імпарт з створанай даты і часу і імпарт з вызначанай даты і часу.
Рэкламаваць XDR-інцыдэнты сярод вядомых асоб ES?	(Неабавязкова) Splunk Enterprise Security (ES) прасоўвае Notables. Калі вы не ўключылі бяспеку прадпрыемства, вы ўсё яшчэ можаце выбраць павышэнне да прыкметных, але падзеі не адлюстроўваюцца ў гэтым індэксе або прыкметных макрасах. Пасля ўключэння бяспекі прадпрыемства падзеі прысутнічаюць у індэксе. Вы можаце выбраць тып інцыдэнтаў для апрацоўкі (Усе, Крытычныя, Сярэдні, Нізкі, Інфармацыя, Невядомы, Няма).

• Крок 1 На старонцы канфігурацыі Cisco XDR увядзіце імя ў поле Input Name.
• Крок 2 Выберыце метад з выпадальнага спісу Метад аўтэнтыфікацыі.
  • ID кліента:
    • Націсніце кнопку «Перайсці да XDR», каб стварыць кліент для вашага ўліковага запісу ў XDR.
    • Скапіруйце і ўстаўце ідэнтыфікатар кліента
    • Усталюйце пароль (Client_secret)
  • OAuth:
    • Перайдзіце па згенераванай спасылцы і прайдзіце аўтэнтыфікацыю. Вам неабходна мець уліковы запіс XDR.
    • Калі першая спасылка з кодам не спрацавала, па другой спасылцы скапіруйце код карыстальніка і ўстаўце яго ўручную.
• Крок 3. Вызначце час імпарту ў полі «Дыяпазон часу імпарту».
• Крок 4. Пры неабходнасці выберыце значэнне ў раздзеле "Прымяшчэнне інцыдэнтаў XDR да ES Notables". поле.
• Крок 5 Націсніце Захаваць.

Cisco Secure Email Threat Defense

Малюнак 9: Старонка канфігурацыі абароны ад пагроз бяспечнай электроннай пошты

Для аўтарызацыі API абароны ад пагроз бяспечнай электроннай пошты патрабуюцца наступныя ўліковыя даныя:

• api_key
• ідэнтыфікатар_кліента
• сакрэт_кліента

Табліца 6: Даныя канфігурацыі абароны ад пагроз бяспечнай электроннай пошты

Палявы	Апісанне
Рэгіён	(Абавязкова) Вы можаце адрэдагаваць гэтае поле, каб змяніць рэгіён.
Дыяпазон часу імпарту	(Абавязкова) Даступныя тры варыянты: Імпарт усіх даных паведамленняў, Імпарт з створанай даты і часу або Імпарт з вызначанай даты і часу.

• Крок 1 На старонцы канфігурацыі Secure Email Threat Defense увядзіце імя ў поле Input Name.
• Крок 2 Увядзіце ключ API, ідэнтыфікатар кліента і сакрэтны ключ кліента.
• Крок 3 Выберыце рэгіён з выпадальнага спісу «Рэгіён».
• Крок 4 Усталюйце час імпарту ў раздзеле «Дыяпазон часу імпарту».
• Крок 5 Націсніце Захаваць.

Cisco Secure Network Analytics

Secure Network Analytics (SNA), раней вядомы як Stealthwatch, аналізуе існуючыя сеткавыя даныя, каб дапамагчы вызначыць пагрозы, якія маглі знайсці спосаб абыйсці існуючыя элементы кіравання.

Малюнак 10: Старонка канфігурацыі Secure Network Analytics

Уліковыя дадзеныя, неабходныя для аўтарызацыі:

• smc_host: (IP-адрас або імя хаста кансолі кіравання Stealthwatch)
• tenant_id (Ідэнтыфікатар дамена кансолі кіравання Stealthwatch для гэтага ўліковага запісу)
• імя карыстальніка (імя карыстальніка кансолі кіравання Stealthwatch)
• пароль (пароль кансолі кіравання Stealthwatch для гэтага ўліковага запісу)

Табліца 7: Даныя канфігурацыі бяспечнай сеткавай аналітыкі

Палявы	Апісанне
Тып проксі	абярыце значэнне з выпадальнага спісу: • Гаспадар • Порт • Імя карыстальніка • Пароль
Інтэрвал	(Абавязкова) Інтэрвал часу ў секундах паміж запытамі API. Па змаўчанні 300 секунд.
Тып крыніцы	(Абавязкова)
Паказальнік	(Абавязкова) Вызначае індэкс прызначэння для часопісаў бяспекі SNA. Па змаўчанні стан: cisco_sna.
Пасля	(Абавязкова) Пачатковае значэнне пасля выкарыстоўваецца пры запытах Stealthwatch API. Па змаўчанні значэнне - 10 хвілін таму.

• Крок 1 На старонцы канфігурацыі Secure Network Analytics увядзіце імя ў поле Input Name.
• Крок 2 Увядзіце адрас кіраўніка (IP або хост), ідэнтыфікатар дамена, імя карыстальніка і пароль.
• Крок 3. Пры неабходнасці задайце наступнае ў раздзеле «Настройкі проксі-сервера»:
  • Выберыце проксі з выпадальнага спісу Тып проксі.
  • Увядзіце хост, порт, імя карыстальніка і пароль у адпаведныя палі.
• Крок 4. Вызначце канфігурацыі ўводу:
  • Усталюйце час у інтэрвале. Па змаўчанні інтэрвал усталяваны ў 300 секунд (5 хвілін).
  • Пры неабходнасці вы можаце змяніць тып крыніцы ў раздзеле «Дадатковыя налады». Значэнне па змаўчанні - cisco:sna.
  • Увядзіце індэкс прызначэння для часопісаў бяспекі ў поле Індэкс.
• Крок 5 Націсніце Захаваць.