Uporabniški priročnik za aplikacijo CISCO Security Cloud

Nastavite aplikacijo
Nastavitev aplikacije je začetni uporabniški vmesnik za aplikacijo Security Cloud. Za konfiguracijo aplikacije sledite tem korakom:

Pomaknite se do strani Nastavitev aplikacije > Izdelki Cisco.
Izberite želeno aplikacijo Cisco in kliknite Konfiguriraj aplikacijo.
Izpolnite konfiguracijski obrazec, ki vključuje kratek opis aplikacije, povezave do dokumentacije in podrobnosti o konfiguraciji.
Kliknite Shrani. Prepričajte se, da so vsa polja pravilno izpolnjena, da omogočite gumb Shrani.

Konfigurirajte izdelke Cisco
Če želite konfigurirati izdelke Cisco v aplikaciji Security Cloud, sledite tem korakom:

Na strani Izdelki Cisco izberite določen izdelek Cisco, ki ga želite konfigurirati.
Kliknite Konfiguriraj aplikacijo za ta izdelek.
Izpolnite zahtevana polja, vključno z imenom vnosa, intervalom, indeksom in vrsto vira.
Shranite konfiguracijo. Popravite morebitne napake, če je gumb Shrani onemogočen.

Konfiguracija Cisco Duo
Za konfiguracijo Cisco Duo v aplikaciji Security Cloud sledite tem korakom:

Na strani s konfiguracijo Duo vnesite ime vnosa.
Navedite poverilnice skrbniškega API-ja v poljih Integracijski ključ, Skrivni ključ in Ime gostitelja API-ja.
Če teh poverilnic nimate, registrirajte nov račun, da jih pridobite.

Pogosto zastavljena vprašanja (FAQ)

V: Katera so običajna polja, potrebna za konfiguriranje aplikacij?
A: Skupna polja vključujejo ime vnosa, interval, indeks in vrsto vira.
V: Kako lahko obravnavam avtorizacijo z Duo API?
A: Avtorizacija z Duo API se izvaja s pomočjo Duo SDK za Python. Navesti morate ime gostitelja API-ja, pridobljeno na skrbniški plošči Duo, skupaj z drugimi izbirnimi polji, kot je zahtevano.

To poglavje vas vodi skozi postopek dodajanja in konfiguriranja vnosov za različne aplikacije (izdelke Cisco) znotraj aplikacije Security Cloud. Vnosi so ključni, ker določajo vire podatkov, ki jih aplikacija Security Cloud uporablja za namene nadzora. Pravilna konfiguracija vnosov zagotavlja, da je vaša varnostna pokritost celovita in da so vsi podatki pravilno prikazani za prihodnje sledenje in spremljanje.

Nastavite aplikacijo

Nastavitev aplikacije je prvi uporabniški vmesnik za aplikacijo Security Cloud. Stran z nastavitvami aplikacije je sestavljena iz dveh razdelkov:

Slika 1: Moje aplikacije

V razdelku Moje aplikacije na strani z nastavitvami aplikacije so prikazane vse konfiguracije uporabniškega vnosa.
Kliknite hiperpovezavo izdelka, da odprete nadzorno ploščo izdelka.
Za urejanje vnosov kliknite Uredi konfiguracijo pod menijem dejanj.
Če želite izbrisati vnose, kliknite Izbriši pod menijem dejanj.

Slika 2: Izdelki Cisco

Stran z izdelki Cisco prikazuje vse razpoložljive izdelke Cisco, ki so integrirani z aplikacijo Security Cloud.
V tem razdelku lahko konfigurirate vnose za vsak izdelek Cisco.

Konfigurirajte aplikacijo

Nekatera konfiguracijska polja so skupna vsem izdelkom Cisco in so opisana v tem razdelku.
Konfiguracijska polja, ki so specifična za izdelek, so opisana v naslednjih razdelkih.

Tabela 1: Skupna polja

Polje	Opis
Vnesite ime	(Obvezno) Enolično ime za vnose aplikacije.
Interval	(Obvezno) Časovni interval v sekundah med poizvedbami API.
Kazalo	(Obvezno) Ciljni indeks za dnevnike aplikacij. Po potrebi se lahko spremeni. Za to polje je na voljo samodokončanje.
Vrsta vira	(Obvezno) Za večino aplikacij je to privzeta vrednost in je onemogočena. Njegovo vrednost lahko spremenite v Napredne nastavitve.

1. korak Na strani Nastavitev aplikacije > Izdelki Cisco se pomaknite do zahtevane aplikacije Cisco.
2. korak Kliknite Konfiguriraj aplikacijo.
Konfiguracijska stran je sestavljena iz treh razdelkov: Kratek opis aplikacije, Dokumentacija s povezavami do uporabnih virov in Obrazec za konfiguracijo.
3. korak Izpolnite konfiguracijski obrazec. Upoštevajte naslednje:
- Obvezna polja so označena z zvezdico *.
- Obstajajo tudi neobvezna polja.
- Upoštevajte navodila in nasvete, opisane v razdelku za posamezne aplikacije na strani.
4. korak Kliknite Shrani.
Če je napaka ali prazna polja, je gumb Shrani onemogočen. Popravite napako in shranite obrazec.

Cisco Duo

Slika 3: Stran s konfiguracijo Duo

Poleg obveznih polj, opisanih v razdelku Konfiguracija aplikacije na strani 2, so za avtorizacijo z API-jem Duo potrebne naslednje poverilnice:

ikey (ključ za integracijo)
skey (skrivni ključ)

Za avtorizacijo skrbi Duo SDK za Python.

Tabela 2: Konfiguracijska polja Duo

Polje	Opis
Ime gostitelja API-ja	(Obvezno ) Vse metode API uporabljajo ime gostitelja API. https://api-XXXXXXXX.duosecurity.com. Pridobite to vrednost na skrbniški plošči Duo in jo uporabite točno tako, kot je tam prikazano.
Varnostni dnevniki Duo	Neobvezno.
Stopnja beleženja	(Izbirno) Raven beleženja za sporočila, zapisana v vhodne dnevnike v $SPLUNK_HOME/var/log/splunk/duo_splunkapp/

1. korak Na konfiguracijski strani Duo vnesite ime vnosa.
2. korak Vnesite poverilnice skrbniškega API-ja v polja Integracijski ključ, Skrivni ključ in Ime gostitelja API-ja. Če teh poverilnic nimate, registrirajte nov račun.
- Pomaknite se do Aplikacije > Zaščitite aplikacijo > Skrbniški API, da ustvarite nov skrbniški API.
3. korak Po potrebi določite naslednje:
- Varnostni dnevniki Duo
- Stopnja beleženja
4. korak Kliknite Shrani.

Cisco Secure Analitika zlonamerne programske opreme

Slika 4: Konfiguracijska stran za varno analizo zlonamerne programske opreme

Opomba
Potrebujete ključ API (api_key) za avtorizacijo z API-jem Secure Malware Analytics (SMA). Posredujte ključ API kot vrsto nosilca v avtorizacijskem žetonu zahteve.

Varni konfiguracijski podatki analitike zlonamerne programske opreme

Gostitelj: (Obvezno) Določa ime računa SMA.
Nastavitve proxyja: (Izbirno) Sestavljeno iz tipa proxy, proxy URL, vrata, uporabniško ime in geslo.
Nastavitve beleženja: (Izbirno) Določite nastavitve za podatke o beleženju.

1. korak Na konfiguracijski strani Secure Malware Analytics vnesite ime v polje Input Name.
2. korak Vnesite polji Host in API Key.
3. korak Po potrebi definirajte naslednje:
- Nastavitve posrednika
- Nastavitve beleženja
Korak 4 Kliknite Shrani.

Center za upravljanje varnega požarnega zidu Cisco

Slika 5: Konfiguracijska stran Secure Firewall Management Center

Podatke lahko uvozite v aplikacijo Secure Firewall s katerim koli od dveh poenostavljenih procesov: eStreamer in Syslog.
Stran s konfiguracijo varnega požarnega zidu ponuja dva zavihka, od katerih vsak ustreza različni metodi uvoza podatkov. Med temi zavihki lahko preklapljate, da konfigurirate ustrezne vnose podatkov.

Požarni zid e-Streamer

eStreamer SDK se uporablja za komunikacijo s centrom za upravljanje varnega požarnega zidu.

Slika 6: Zavihek Secure Firewall E-Streamer

Tabela 3: Podatki o konfiguraciji varnega požarnega zidu

Polje	Opis
FMC gostitelj	(Obvezno) Podaja ime gostitelja centra za upravljanje.
Pristanišče	(Obvezno) Določa vrata za račun.
PKCS certifikat	(Obvezno) Certifikat mora biti ustvarjen na konzoli za upravljanje požarnega zidu – Potrdilo eStreamer Ustvarjanje. Sistem podpira samo pkcs12 file vrsta.
Geslo	(Obvezno) Geslo za potrdilo PKCS.
Vrste dogodkov	(Obvezno) Izberite vrsto dogodkov za vnos (Vsi, Povezava, Vdor, File, vdorni paket).

1. korak Na zavihku E-Streamer na strani Add Secure Firewall v polje Input Name vnesite ime.
2. korak V prostor za potrdilo PKCS naložite .pkcs12 file za nastavitev potrdila PKCS.
3. korak V polje Geslo vnesite geslo.
4. korak Izberite dogodek pod vrstami dogodkov.
5. korak Po potrebi določite naslednje:
- Varnostni dnevniki Duo
- Stopnja beleženja
  Opomba
  Če preklapljate med zavihkoma E-Streamer in Syslog, se shrani samo aktivni zavihek konfiguracije. Zato lahko naenkrat nastavite samo en način uvoza podatkov.
Korak 6 Kliknite Shrani.

Sistemski dnevnik požarnega zidu
Poleg obveznih polj, ki so opisana v razdelku Konfiguracija aplikacije, so naslednje konfiguracije, ki so zahtevane na strani centra za upravljanje.

Tabela 4: Konfiguracijski podatki varnostnega požarnega zidu Syslog

Polje	Opis
TCP/UDP	(Obvezno) Določa vrsto vhodnih podatkov.
Pristanišče	(Obvezno) Določa edinstvena vrata za račun.

1. korak Na zavihku Syslog na strani Add Secure Firewall nastavite povezavo na strani centra za upravljanje, v polje Input Name vnesite ime.
2. korak Za vrsto vnosa izberite TCP ali UDP.
3. korak V polje Vrata vnesite številko vrat
4. korak Na spustnem seznamu Vrsta vira izberite vrsto.
5. korak Izberite vrste dogodkov za izbrano vrsto vira.
Opomba
Če preklapljate med zavihkoma E-Streamer in Syslog, se shrani samo aktivni zavihek konfiguracije. Zato lahko naenkrat nastavite samo en način uvoza podatkov.
Korak 6 Kliknite Shrani.

Cisco MultiCloud Defense

Slika 7: Konfiguracijska stran za varno analizo zlonamerne programske opreme

Multicloud Defense (MCD) uporablja funkcijo HTTP Event Collector Splunk namesto komunikacije prek API-ja.
Ustvarite primerek v Cisco Defense Orchestrator (CDO) tako, da sledite korakom, ki so opredeljeni v razdelku Navodila za namestitev na konfiguracijski strani Multicloud Defense.

Za avtorizacijo z Multicloud Defense so potrebna samo obvezna polja, opredeljena v razdelku Konfiguriraj aplikacijo.

1. korak Namestite primerek Multicloud Defense v CDO tako, da sledite navodilom za namestitev na konfiguracijski strani.
2. korak V polje Vnosno ime vnesite ime.
Korak 3 Kliknite Shrani.

Cisco XDR

Slika 8: Stran s konfiguracijo XDR

Za avtorizacijo z Private Intel API so potrebne naslednje poverilnice:

client_id
odjemalska_skrivnost

Vsak zagon vnosa povzroči klic končne točke GET /iroh/oauth2/token za pridobitev žetona, ki je veljaven 600 sekund.

Tabela 5: Podatki o konfiguraciji Cisco XDR

Polje	Opis
Regija	(Obvezno) Izberite regijo, preden izberete metodo preverjanja pristnosti.
Preverjanje pristnosti Metoda	(Obvezno) Na voljo sta dva načina preverjanja pristnosti: z uporabo ID-ja odjemalca in OAuth.
Časovni obseg uvoza	(Obvezno) Na voljo so tri možnosti uvoza: uvoz vseh podatkov o dogodkih, uvoz iz ustvarjenega datuma in časa ter uvoz iz definiranega datuma in časa.
Promovirati incidente XDR uglednim ES?	(Izbirno) Splunk Enterprise Security (ES) promovira Notables. Če niste omogočili podjetniške varnosti, lahko še vedno izberete povišanje v pomembne, vendar se dogodki ne prikažejo v tem indeksu ali makrih opaznih. Ko omogočite Enterprise Security, so dogodki prisotni v indeksu. Izberete lahko vrsto incidentov, ki jih želite zaužiti (vsi, kritični, srednji, nizki, informacije, neznano, noben).

1. korak Na konfiguracijski strani Cisco XDR vnesite ime v polje Vnosno ime.
2. korak Na spustnem seznamu Authentication Method izberite metodo.
- ID stranke:
  - Kliknite gumb Pojdi na XDR, da ustvarite odjemalca za svoj račun v XDR.
  - Kopirajte in prilepite ID odjemalca
  - Nastavite geslo (Client_secret)
- OAuth:
  - Sledite ustvarjeni povezavi in se potrdite. Imeti morate račun XDR.
  - Če prva povezava s kodo ni delovala, v drugi povezavi kopirajte uporabniško kodo in jo prilepite ročno.
3. korak Določite čas uvoza v polju Časovni obseg uvoza.
4. korak Po potrebi izberite vrednost v Promote XDR Incidents to ES Notables. polje.
Korak 5 Kliknite Shrani.

Cisco Secure Email Threat Defense

Slika 9: Stran s konfiguracijo zaščite pred grožnjami po varni e-pošti

Za avtorizacijo API-jev zaščite pred grožnjami varne e-pošte so potrebne naslednje poverilnice:

api_key
client_id
odjemalska_skrivnost

Tabela 6: Podatki o konfiguraciji zaščite pred grožnjami po varni e-pošti

Polje	Opis
Regija	(Obvezno) To polje lahko uredite, da spremenite regijo.
Časovni obseg uvoza	(Obvezno) Na voljo so tri možnosti: Uvoz vseh podatkov sporočila, Uvoz iz ustvarjenega datuma in časa ali Uvoz iz definiranega datuma in časa.

Korak 1 Na konfiguracijski strani varne elektronske pošte Threat Defense vnesite ime v polje Input Name.
2. korak Vnesite ključ API, ID odjemalca in tajni ključ odjemalca.
3. korak Na spustnem seznamu Regija izberite regijo.
4. korak Nastavite čas uvoza pod Časovni obseg uvoza.
Korak 5 Kliknite Shrani.

Cisco Secure Network Analytics

Secure Network Analytics (SNA), prej znan kot Stealthwatch, analizira obstoječe omrežne podatke za pomoč pri prepoznavanju groženj, ki so morda našle način, da zaobidejo obstoječe kontrole.

Slika 10: Stran s konfiguracijo analitike varnega omrežja

Poverilnice, potrebne za avtorizacijo:

smc_host: (naslov IP ali ime gostitelja konzole za upravljanje Stealthwatch)
tenant_id (ID domene Stealthwatch Management Console za ta račun)
uporabniško ime (uporabniško ime Stealthwatch Management Console)
geslo (geslo Stealthwatch Management Console za ta račun)

Tabela 7: Podatki o konfiguraciji analitike varnega omrežja

Polje	Opis
Vrsta posrednika	izberite vrednost s spustnega seznama: • Gostitelj • Pristanišče • Uporabniško ime • Geslo
Interval	(Obvezno) Časovni interval v sekundah med poizvedbami API. Privzeto 300 sekund.
Vrsta vira	(obvezno)
Kazalo	(Obvezno) Podaja ciljni indeks za varnostne dnevnike SNA. Privzeto stanje: cisco_sna.
Po	(Obvezno) Začetna vrednost za se uporablja pri poizvedovanju API-ja Stealthwatch. Privzeta vrednost je pred 10 minutami.

1. korak Na konfiguracijski strani Secure Network Analytics v polje Vnosno ime vnesite ime.
2. korak Vnesite naslov upravitelja (IP ali gostitelj), ID domene, uporabniško ime in geslo.
3. korak Po potrebi nastavite naslednje v nastavitvah proxyja:
- Na spustnem seznamu Vrsta posrednika izberite proxy.
- V ustrezna polja vnesite gostitelja, vrata, uporabniško ime in geslo.
4. korak Določite vhodne konfiguracije:
- Nastavite čas pod Interval. Privzeto je interval nastavljen na 300 sekund (5 minut).
- Po potrebi lahko spremenite vrsto vira pod Naprednimi nastavitvami. Privzeta vrednost je cisco:sna.
- V polje Indeks vnesite ciljni indeks za varnostne dnevnike.
Korak 5 Kliknite Shrani.

Dokumenti / Viri

	Aplikacija CISCO Security Cloud [pdf] Uporabniški priročnik Varnostna aplikacija v oblaku, aplikacija v oblaku, aplikacija
	Aplikacija CISCO Security Cloud [pdf] Uporabniški priročnik Varnost, varnostni oblak, oblak, aplikacija varnostni oblak, aplikacija
	Aplikacija CISCO Security Cloud [pdf] Uporabniški priročnik Varnostna aplikacija v oblaku, aplikacija v oblaku, aplikacija

Reference

Uporabniški priročnik

Pustite komentar

Prekliči odgovor