CISCO Security Cloud App

Спецификации

• Име на продукта: Приложение Cisco Security Cloud
• производител: Cisco
• Интеграция: Работи с различни продукти на Cisco

Инструкции за употреба на продукта

Настройте приложение
Настройката на приложението е първоначалният потребителски интерфейс за приложението Security Cloud. Следвайте тези стъпки, за да конфигурирате приложение:

1. Отидете до страницата Настройка на приложението > Продукти на Cisco.
2. Изберете желаното приложение на Cisco и щракнете върху Конфигуриране на приложение.
3. Попълнете формуляра за конфигурация, който включва кратко описание на приложението, връзки към документация и подробности за конфигурацията.
4. Щракнете върху Запазване. Уверете се, че всички полета са попълнени правилно, за да активирате бутона Запазване.

Конфигурирайте продукти на Cisco
За да конфигурирате продуктите на Cisco в приложението Security Cloud, изпълнете следните стъпки:

1. На страницата Продукти на Cisco изберете конкретния продукт на Cisco, който искате да конфигурирате.
2. Кликнете върху Конфигуриране на приложение за този продукт.
3. Попълнете задължителните полета, включително име на вход, интервал, индекс и тип източник.
4. Запазете конфигурацията. Коригирайте всички грешки, ако бутонът Запазване е деактивиран.

Конфигурация на Cisco Duo
За да конфигурирате Cisco Duo в приложението Security Cloud, изпълнете следните стъпки:

1. В страницата за конфигурация на Duo въведете името на входа.
2. Предоставете идентификационните данни на API на администратора в полетата Ключ за интегриране, Тайен ключ и име на хост на API.
3. Ако нямате тези идентификационни данни, регистрирайте нов акаунт, за да ги получите.

Често задавани въпроси (FAQ)

• Въпрос: Кои са общите полета, необходими за конфигуриране на приложения?
  A: Общите полета включват име на вход, интервал, индекс и тип източник.
• Въпрос: Как мога да се справя с оторизацията с Duo API?
  A: Упълномощаването с Duo API се обработва с помощта на Duo SDK за Python. Трябва да предоставите името на хоста на API, получено от административния панел на Duo, заедно с други незадължителни полета, както се изисква.

Тази глава ви води през процеса на добавяне и конфигуриране на входове за различни приложения (продукти на Cisco) в рамките на приложението Security Cloud. Входящите данни са от решаващо значение, защото те определят източниците на данни, които приложението Security Cloud използва за целите на наблюдението. Правилната конфигурация на входовете гарантира, че вашето покритие за сигурност е изчерпателно и че всички данни се показват правилно за бъдещо проследяване и наблюдение.

Настройте приложение

Настройката на приложението е първият потребителски интерфейс за приложението Security Cloud. Страницата за настройка на приложението се състои от два раздела:

Фигура 1: Моите приложения

• Секцията Моите приложения на страницата за настройка на приложението показва всички конфигурации за въвеждане от потребителя.
• Щракнете върху продуктова хипервръзка, за да отидете до таблото за управление на продукта.
• За да редактирате входове, щракнете върху Редактиране на конфигурация под менюто за действие.
• За да изтриете входове, щракнете върху Изтриване под менюто за действие.

Фигура 2: Продукти на Cisco

• Страницата за продукти на Cisco показва всички налични продукти на Cisco, които са интегрирани с приложението Security Cloud.
• Можете да конфигурирате входове за всеки продукт на Cisco в този раздел.

Конфигуриране на приложение

• Някои конфигурационни полета са общи за всички продукти на Cisco и са описани в този раздел.
• Полетата за конфигурация, които са специфични за даден продукт, са описани в следващите раздели.

Таблица 1: Общи полета

Поле	Описание
Въведете име	(Задължително) Уникално име за входове на приложението.
Интервал	(Задължително) Времеви интервал в секунди между API заявки.
Индекс	(Задължително) Индекс на местоназначение за регистрационните файлове на приложението. Може да се промени, ако е необходимо. За това поле е предвидено автоматично попълване.
Тип източник	(Задължително) За повечето приложения това е стойност по подразбиране и е деактивирано. Можете да промените стойността му в Предварителни настройки.

• Стъпка 1 В страницата Настройка на приложението > Продукти на Cisco отидете до необходимото приложение на Cisco.
• Стъпка 2 Щракнете върху Конфигуриране на приложение.
  Страницата за конфигурация се състои от три раздела: Кратко описание на приложението, Документация с връзки към полезни ресурси и Форма за конфигурация.
• Стъпка 3 Попълнете формата за конфигурация. Обърнете внимание на следното:
  • Задължителните полета са отбелязани със звездичка *.
  • Има и незадължителни полета.
  • Следвайте инструкциите и съветите, описани в раздела за конкретно приложение на страницата.
• Стъпка 4 Щракнете върху Запазване.
  Ако има грешка или празни полета, бутонът Запазване е деактивиран. Коригирайте грешката и запазете формата.

Cisco Duo

Фигура 3: Страница за конфигурация на Duo

В допълнение към задължителните полета, описани в раздела Конфигуриране на приложение, на страница 2, следните идентификационни данни са необходими за оторизация с Duo API:

• ikey (ключ за интегриране)
• ски (таен ключ)

Упълномощаването се обработва от Duo SDK за Python.

Таблица 2: Полета за конфигуриране на Duo

Поле	Описание
API хост име	(Задължително) Всички методи на API използват името на хоста на API. https://api-XXXXXXXX.duosecurity.com. Вземете тази стойност от административния панел на Duo и я използвайте точно както е показано там.
Дневници за сигурност на Duo	Не е задължително.
Ниво на регистриране	(По избор) Ниво на регистриране за съобщения, записани във входни регистрационни файлове в $SPLUNK_HOME/var/log/splunk/duo_splunkapp/

• Стъпка 1 В страницата за конфигурация на Duo въведете името на входа.
• Стъпка 2 Въведете идентификационните данни на API на администратора в полетата Ключ за интегриране, Секретен ключ и име на хост на API. Ако нямате тези идентификационни данни, регистрирайте нов акаунт.
  • Отидете до Приложения > Защита на приложение > API за администратор, за да създадете нов API за администратор.
• Стъпка 3 Дефинирайте следното, ако е необходимо:
  • Дневници за сигурност на Duo
  • Ниво на регистриране
• Стъпка 4 Щракнете върху Запазване.

Cisco Secure Анализ на зловреден софтуер

Фигура 4: Страница за конфигуриране на анализ на защитен злонамерен софтуер

Забележка
Имате нужда от API ключ (api_key) за упълномощаване с API за защитен анализ на зловреден софтуер (SMA) Подайте API ключа като тип носител в токена за оторизация на заявката.

Данни за конфигурацията на Secure Malware Analytics

1. Домакин: (Задължително) Указва името на SMA акаунта.
2. Настройки на прокси сървъра: (По избор) Състои се от тип прокси, прокси URL, порт, потребителско име и парола.
3. Настройки за регистриране: (По избор) Дефинирайте настройките за регистриране на информация.

• Стъпка 1 В конфигурационната страница на Secure Malware Analytics въведете име в полето Input Name.
• Стъпка 2 Въведете полетата Host и API Key.
• Стъпка 3 Дефинирайте следното, ако е необходимо:
  • Настройки на прокси сървъра
  • Настройки за регистриране
• Стъпка 4 Щракнете върху Запазване.

Център за управление на защитена защитна стена на Cisco

Фигура 5: Страница за конфигуриране на Secure Firewall Management Center

• Можете да импортирате данни в приложението Secure Firewall, като използвате всеки един от двата рационализирани процеса: eStreamer и Syslog.
• Страницата за конфигурация на Secure Firewall предоставя два раздела, всеки от които съответства на различен метод за импортиране на данни. Можете да превключвате между тези раздели, за да конфигурирате съответните входни данни.

Защитна стена e-Streamer

eStreamer SDK се използва за комуникация с Secure Firewall Management Center.

Фигура 6: Раздел Secure Firewall E-Streamer

Таблица 3: Конфигурационни данни за защитена защитна стена

Поле	Описание
Домакин на FMC	(Задължително) Указва името на хоста на центъра за управление.
Порт	(Задължително) Указва порта за акаунта.
PKCS сертификат	(Задължително) Сертификатът трябва да бъде създаден на конзолата за управление на защитната стена – Сертификат за eStreamer Създаване. Системата поддържа само pkcs12 file тип.
Парола	(Задължително) Парола за PKCS сертификата.
Видове събития	(Задължително) Изберете типа събития за приемане (всички, връзка, проникване, File, Пакет за проникване).

• Стъпка 1 В раздела E-Streamer на страницата Add Secure Firewall, в полето Input Name въведете име.
• Стъпка 2 В пространството за PKCS сертификат качете .pkcs12 file за да настроите PKCS сертификата.
• Стъпка 3 В полето Парола въведете паролата.
• Стъпка 4 Изберете събитие под Типове събития.
• Стъпка 5 Дефинирайте следното, ако е необходимо:
  • Дневници за сигурност на Duo
  • Ниво на регистриране
    Забележка
    Ако превключвате между разделите E-Streamer и Syslog, само активният раздел за конфигурация се запазва. Следователно можете да зададете само един метод за импортиране на данни в даден момент.
• Стъпка 6 Щракнете върху Запазване.

Системен журнал на защитната стена
В допълнение към задължителните полета, които са описани в раздела Конфигуриране на приложение, следните са конфигурациите, които са необходими от страна на центъра за управление.

Таблица 4: Данни за конфигурацията на Syslog на защитната стена

Поле	Описание
TCP/UDP	(Задължително) Указва вида на входните данни.
Порт	(Задължително) Указва уникален порт за акаунта.

• Стъпка 1 В раздела Syslog на страницата Add Secure Firewall настройте връзката от страната на центъра за управление, в полето Input Name въведете име.
• Стъпка 2 Изберете TCP или UDP за тип вход.
• Стъпка 3 В полето Порт въведете номера на порта
• Стъпка 4 Изберете тип от падащия списък Тип източник.
• Стъпка 5 Изберете типове събития за избрания тип източник.
  Забележка
  Ако превключвате между разделите E-Streamer и Syslog, само активният раздел за конфигурация се запазва. Следователно можете да зададете само един метод за импортиране на данни в даден момент.
• Стъпка 6 Щракнете върху Запазване.

Cisco Multicloud Defense

Фигура 7: Страница за конфигуриране на анализ на защитен злонамерен софтуер

• Multicloud Defense (MCD) използва функционалността на HTTP Event Collector на Splunk, вместо да комуникира чрез API.
• Създайте екземпляр в Cisco Defense Orchestrator (CDO), като следвате стъпките, които са дефинирани в раздела Ръководство за настройка на конфигурационната страница на Multicloud Defense.

Само задължителните полета, определени в раздела Конфигуриране на приложение, са необходими за оторизация с Multicloud Defense.

• Стъпка 1 Инсталирайте екземпляр на Multicloud Defense в CDO, като следвате Ръководството за настройка на страницата за конфигурация.
• Стъпка 2 Въведете име в полето Input Name.
• Стъпка 3 Щракнете върху Запазване.

Cisco XDR

Фигура 8: Страница за конфигурация на XDR

Следните идентификационни данни са необходими за оторизация с Private Intel API:

• client_id
• client_secret

Всяко изпълнение на въвеждане води до извикване на крайната точка GET /iroh/oauth2/token за получаване на токен, който е валиден за 600 секунди.

Таблица 5: Данни за конфигурацията на Cisco XDR

Поле	Описание
Регион	(Задължително) Изберете регион, преди да изберете метод за удостоверяване.
Удостоверяване Метод	(Задължително) Налични са два метода за удостоверяване: Използване на клиентски идентификатор и OAuth.
Времеви диапазон за импортиране	(Задължително) Налични са три опции за импортиране: Импортиране на всички данни за инциденти, Импортиране от създадената дата-час и Импортиране от определената дата-час.
Да популяризирате XDR инциденти сред забележителни ES?	(По избор) Splunk Enterprise Security (ES) популяризира забележителни лица. Ако не сте активирали Enterprise Security, все пак можете да изберете да повишите до notables, но събитията не се показват в този индекс или макроси на notable. След като активирате Enterprise Security, събитията присъстват в индекса. Можете да изберете типа инциденти, които да приемате (Всички, Критични, Средни, Ниски, Информационни, Неизвестни, Няма).

• Стъпка 1 В страницата за конфигурация на Cisco XDR въведете име в полето Input Name.
• Стъпка 2 Изберете метод от падащия списък Метод на удостоверяване.
  • Идент. № на клиента:
    • Щракнете върху бутона Отидете на XDR, за да създадете клиент за вашия акаунт в XDR.
    • Копирайте и поставете ИД на клиента
    • Задаване на парола (Client_secret)
  • OAuth:
    • Следвайте генерираната връзка и се удостоверете. Трябва да имате XDR акаунт.
    • Ако първата връзка с кода не работи, във втората връзка копирайте потребителския код и го поставете ръчно.
• Стъпка 3 Определете време за импортиране в полето Времеви диапазон за импортиране.
• Стъпка 4 Ако е необходимо, изберете стойност в Насърчаване на XDR инциденти до ES Известни лица. поле.
• Стъпка 5 Щракнете върху Запазване.

Cisco Secure Email Threat Defense

Фигура 9: Конфигурационна страница за защита от заплахи за защитен имейл

Следните идентификационни данни са необходими за оторизация на API за защита от заплахи за защитен имейл:

• api_key
• client_id
• client_secret

Таблица 6: Конфигурационни данни за защитен имейл срещу заплахи

Поле	Описание
Регион	(Задължително) Можете да редактирате това поле, за да промените региона.
Времеви диапазон за импортиране	(Задължително) Налични са три опции: Импортиране на всички данни от съобщението, Импортиране от създадената дата-час или Импортиране от определената дата-час.

• Стъпка 1 В страницата за конфигурация на Secure Email Threat Defense въведете име в полето Input Name.
• Стъпка 2 Въведете API ключа, ИД на клиента и секретния ключ на клиента.
• Стъпка 3 Изберете регион от падащия списък Регион.
• Стъпка 4 Задайте време за импортиране под Времеви диапазон за импортиране.
• Стъпка 5 Щракнете върху Запазване.

Cisco Secure Network Analytics

Secure Network Analytics (SNA), по-рано известен като Stealthwatch, анализира съществуващите мрежови данни, за да помогне за идентифицирането на заплахи, които може да са намерили начин да заобиколят съществуващите контроли.

Фигура 10: Страница за конфигуриране на Secure Network Analytics

Необходими идентификационни данни за оторизация:

• smc_host: (IP адрес или име на хост на конзолата за управление Stealthwatch)
• tenant_id (идентификатор на домейн на Stealthwatch Management Console за този акаунт)
• потребителско име (потребителско име на Stealthwatch Management Console)
• парола (парола за конзолата за управление на Stealthwatch за този акаунт)

Таблица 7: Данни за конфигурацията на Secure Network Analytics

Поле	Описание
Тип прокси	изберете стойност от падащия списък: • Домакин • Порт • Потребителско име • Парола
Интервал	(Задължително) Времеви интервал в секунди между API заявки. По подразбиране 300 сек.
Тип източник	(задължително)
Индекс	(Задължително) Указва целевия индекс за регистрационни файлове за сигурност на SNA. По подразбиране състояние: cisco_sna.
след	(Задължително) Първоначалната стойност след се използва при запитване към Stealthwatch API. По подразбиране стойността е преди 10 минути.

• Стъпка 1 В страницата за конфигурация на Secure Network Analytics въведете име в полето Input Name.
• Стъпка 2 Въведете адреса на мениджъра (IP или хост), ID на домейна, потребителско име и парола.
• Стъпка 3 Ако е необходимо, задайте следното под Настройки на прокси:
  • Изберете прокси от падащия списък Тип прокси.
  • Въведете хоста, порта, потребителското име и паролата в съответните полета.
• Стъпка 4 Дефинирайте входните конфигурации:
  • Задайте време под Интервал. По подразбиране интервалът е зададен на 300 секунди (5 минути).
  • Можете да промените типа на източника в Разширени настройки, ако е необходимо. Стойността по подразбиране е cisco:sna.
  • Въведете целевия индекс за регистрационните файлове за защита в полето Индекс.
• Стъпка 5 Щракнете върху Запазване.

Документи / Ресурси

	CISCO Security Cloud App [pdf] Ръководство за потребителя Облачно приложение за сигурност, облачно приложение, приложение
	CISCO Security Cloud App [pdf] Ръководство за потребителя Сигурност, Облак за сигурност, Облак, Приложение за облак за сигурност, Приложение
	CISCO Security Cloud App [pdf] Ръководство за потребителя Облачно приложение за сигурност, облачно приложение, приложение

Референции

• Ръководство за потребителя