CISCO Security Cloud App

Технічні характеристики

• Назва продукту: Додаток Cisco Security Cloud
• Виробник: Cisco
• Інтеграція: Працює з різними продуктами Cisco

Інструкція з використання продукту

Налаштувати програму
Налаштування програми — це початковий інтерфейс користувача для програми Security Cloud. Щоб налаштувати програму, виконайте такі дії:

1. Перейдіть до сторінки «Налаштування програми» > «Продукція Cisco».
2. Виберіть потрібну програму Cisco та натисніть «Налаштувати програму».
3. Заповніть форму конфігурації, яка містить короткий опис програми, посилання на документацію та деталі конфігурації.
4. Натисніть Зберегти. Переконайтеся, що всі поля заповнені правильно, щоб активувати кнопку Зберегти.

Налаштувати продукти Cisco
Щоб налаштувати продукти Cisco у програмі Security Cloud, виконайте такі дії:

1. На сторінці «Продукти Cisco» виберіть конкретний продукт Cisco, який потрібно налаштувати.
2. Натисніть Налаштувати програму для цього продукту.
3. Заповніть обов’язкові поля, зокрема ім’я введення, інтервал, індекс і тип джерела.
4. Збережіть конфігурацію. Виправте всі помилки, якщо кнопка «Зберегти» вимкнена.

Конфігурація Cisco Duo
Щоб налаштувати Cisco Duo у програмі Security Cloud, виконайте такі дії:

1. На сторінці конфігурації Duo введіть назву входу.
2. Введіть облікові дані API адміністратора в полях Ключ інтеграції, Секретний ключ і Ім’я хосту API.
3. Якщо у вас немає цих облікових даних, зареєструйте новий обліковий запис, щоб отримати їх.

Часті запитання (FAQ)

• З: Які загальні поля потрібні для налаштування програм?
  A: Загальні поля включають назву введення, інтервал, індекс і тип джерела.
• З: Як я можу виконати авторизацію за допомогою Duo API?
  A: Авторизація за допомогою Duo API обробляється за допомогою Duo SDK для Python. Вам потрібно вказати ім’я хосту API, отримане з панелі адміністратора Duo, а також інші необов’язкові поля за потреби.

Цей розділ проведе вас через процес додавання та налаштування входів для різних програм (продуктів Cisco) у програмі Security Cloud. Вхідні дані мають вирішальне значення, оскільки вони визначають джерела даних, які програма Security Cloud використовує для моніторингу. Правильна конфігурація вхідних даних гарантує, що ваше охоплення безпеки є комплексним і що всі дані належним чином відображаються для майбутнього відстеження та моніторингу.

Налаштувати програму

Налаштування програми — це перший інтерфейс користувача для програми Security Cloud. Сторінка налаштування програми складається з двох розділів:

Рисунок 1: Мої програми

• Розділ «Мої програми» на сторінці «Налаштування програми» відображає всі конфігурації введення користувача.
• Клацніть гіперпосилання продукту, щоб перейти на інформаційну панель продукту.
• Щоб редагувати введені дані, клацніть «Редагувати конфігурацію» в меню дій.
• Щоб видалити введені дані, натисніть «Видалити» в меню дій.

Рисунок 2: Продукти Cisco

• Сторінка продуктів Cisco відображає всі доступні продукти Cisco, інтегровані з програмою Security Cloud App.
• У цьому розділі можна налаштувати входи для кожного продукту Cisco.

Налаштувати програму

• Деякі поля конфігурації є загальними для всіх продуктів Cisco, і вони описані в цьому розділі.
• Поля конфігурації, специфічні для продукту, описані в наступних розділах.

Таблиця 1: Загальні поля

Поле	опис
Введіть назву	(Обов’язково) Унікальне ім’я для вхідних даних програми.
Інтервал	(Обов'язковий) Інтервал часу в секундах між запитами API.
Індекс	(Обов’язковий) Індекс призначення для журналів програми. При необхідності його можна змінити. Для цього поля передбачено автозаповнення.
Тип джерела	(Обов’язковий) Для більшості програм це значення за замовчуванням і його вимкнено. Ви можете змінити його значення в Розширені налаштування.

• Крок 1 На сторінці Налаштування програми > Продукти Cisco перейдіть до потрібної програми Cisco.
• Крок 2 Натисніть Налаштувати програму.
  Сторінка конфігурації складається з трьох розділів: короткий опис програми, документація з посиланнями на корисні ресурси та форма конфігурації.
• Крок 3 Заповніть форму конфігурації. Зверніть увагу на наступне:
  • Обов'язкові поля позначені зірочкою *.
  • Є також додаткові поля.
  • Дотримуйтеся вказівок і порад, описаних у розділі сторінки для конкретної програми.
• Крок 4 Натисніть Зберегти.
  Якщо є помилка або порожні поля, кнопка «Зберегти» неактивна. Виправте помилку та збережіть форму.

Cisco Duo

Рисунок 3: Сторінка конфігурації Duo

Окрім обов’язкових полів, описаних у розділі «Налаштування програми» на сторінці 2, для авторизації за допомогою Duo API потрібні такі облікові дані:

• ikey (ключ інтеграції)
• key (секретний ключ)

Авторизація виконується Duo SDK для Python.

Таблиця 2: Поля конфігурації Duo

Поле	опис
Ім'я хосту API	(Обов’язковий) Усі методи API використовують ім’я хосту API. https://api-XXXXXXXX.duosecurity.com. Отримайте це значення на панелі адміністратора Duo і використовуйте його точно так, як там показано.
Журнали безпеки Duo	Додатково.
Рівень реєстрації	(Необов’язково) Рівень журналювання для повідомлень, записаних у журнали введення в $SPLUNK_HOME/var/log/splunk/duo_splunkapp/

• Крок 1 На сторінці конфігурації Duo введіть назву входу.
• Крок 2 Введіть облікові дані API адміністратора в поля Ключ інтеграції, Секретний ключ і ім’я хосту API. Якщо у вас немає цих облікових даних, зареєструвати новий обліковий запис.
  • Перейдіть до Програми > Захист програми > API адміністратора, щоб створити новий API адміністратора.
• Крок 3 Визначте наступне, якщо потрібно:
  • Журнали безпеки Duo
  • Рівень реєстрації
• Крок 4 Натисніть Зберегти.

Cisco Secure Analysis Malware

Малюнок 4: Сторінка конфігурації Secure Malware Analytics

Примітка
Вам потрібен ключ API (api_key) для авторизації за допомогою API Secure Malware Analytics (SMA). Передайте ключ API як тип носія в маркері авторизації запиту.

Дані конфігурації Secure Malware Analytics

1. Ведучий: (Обов’язково) Вказує назву облікового запису SMA.
2. Налаштування проксі: (Необов’язково) Складається з типу проксі, проксі URL, порт, ім’я користувача та пароль.
3. Налаштування журналювання: (Необов’язково) Визначте параметри для реєстрації інформації.

• Крок 1 На сторінці конфігурації Secure Malware Analytics введіть ім’я у полі Input Name.
• Крок 2 Введіть поля Host і API Key.
• Крок 3, якщо потрібно, визначте наступне:
  • Налаштування проксі-сервера
  • Налаштування журналювання
• Крок 4 Натисніть Зберегти.

Центр керування безпечним брандмауером Cisco

Рисунок 5: Сторінка конфігурації Secure Firewall Management Center

• Ви можете імпортувати дані в програму Secure Firewall за допомогою будь-якого з двох оптимізованих процесів: eStreamer і Syslog.
• На сторінці конфігурації захищеного брандмауера є дві вкладки, кожна з яких відповідає окремому методу імпорту даних. Ви можете перемикатися між цими вкладками, щоб налаштувати відповідні введення даних.

Брандмауер e-Streamer

eStreamer SDK використовується для зв’язку з Secure Firewall Management Center.

Малюнок 6: Вкладка Secure Firewall E-Streamer

Таблиця 3: Дані конфігурації безпечного брандмауера

Поле	опис
Хост FMC	(Обов’язковий) Вказує ім’я хоста центру керування.
Порт	(Обов’язковий) Вказує порт для облікового запису.
Сертифікат PKCS	(Обов’язково) Сертифікат має бути створений на консолі керування брандмауером – Сертифікат eStreamer Створення. Система підтримує тільки pkcs12 file типу.
Пароль	(Обов’язковий) Пароль для сертифіката PKCS.
Типи подій	(Обов’язково) Виберіть тип подій для прийому (Усі, З’єднання, Вторгнення, File, Пакет вторгнення).

• Крок 1 На вкладці E-Streamer сторінки Add Secure Firewall у полі Input Name введіть назву.
• Крок 2 У простір сертифіката PKCS завантажте .pkcs12 file щоб налаштувати сертифікат PKCS.
• Крок 3 У полі Пароль введіть пароль.
• Крок 4 Виберіть подію в розділі Типи подій.
• Крок 5. За потреби визначте наступне:
  • Журнали безпеки Duo
  • Рівень реєстрації
    Примітка
    Якщо ви перемикаєтеся між вкладками E-Streamer і Syslog, зберігається лише активна вкладка конфігурації. Тому ви можете встановити лише один метод імпорту даних за раз.
• Крок 6 Натисніть Зберегти.

Системний журнал брандмауера
На додаток до обов’язкових полів, описаних у розділі «Налаштування програми», нижче наведено конфігурації, необхідні для центру керування.

Таблиця 4: Дані конфігурації системного журналу безпечного брандмауера

Поле	опис
TCP/UDP	(Обов'язковий) Визначає тип вхідних даних.
Порт	(Обов’язковий) Вказує унікальний порт для облікового запису.

• Крок 1 На вкладці «Системний журнал» сторінки «Додати захищений брандмауер» налаштуйте підключення на стороні центру керування, у полі «Ім’я введення» введіть ім’я.
• Крок 2 Виберіть TCP або UDP для типу введення.
• Крок 3 У полі «Порт» введіть номер порту
• Крок 4 Виберіть тип із розкривного списку Source Type.
• Крок 5 Виберіть типи подій для вибраного типу джерела.
  Примітка
  Якщо ви перемикаєтеся між вкладками E-Streamer і Syslog, зберігається лише активна вкладка конфігурації. Тому ви можете встановити лише один метод імпорту даних за раз.
• Крок 6 Натисніть Зберегти.

Багатохмарний захист Cisco

Малюнок 7: Сторінка конфігурації Secure Malware Analytics

• Multicloud Defense (MCD) використовує функцію HTTP Event Collector Splunk замість зв’язку через API.
• Створіть екземпляр у Cisco Defense Orchestrator (CDO), виконавши кроки, визначені в розділі Посібника з налаштування на сторінці конфігурації Multicloud Defense.

Для авторизації за допомогою Multicloud Defense потрібні лише обов’язкові поля, визначені в розділі «Налаштування програми».

• Крок 1. Встановіть примірник Multicloud Defense у CDO, дотримуючись посібника зі встановлення на сторінці конфігурації.
• Крок 2 Введіть ім’я в поле Input Name.
• Крок 3 Натисніть Зберегти.

Cisco XDR

Малюнок 8: Сторінка конфігурації XDR

Для авторизації за допомогою Private Intel API потрібні такі облікові дані:

• client_id
• client_secret

Кожен запуск введення призводить до виклику кінцевої точки GET /iroh/oauth2/token для отримання маркера, який дійсний протягом 600 секунд.

Таблиця 5: Дані конфігурації Cisco XDR

Поле	опис
Регіон	(Обов’язково) Виберіть регіон перед вибором методу автентифікації.
Аутентифікація метод	(Обов’язково) Доступні два методи автентифікації: за допомогою ідентифікатора клієнта та OAuth.
Діапазон часу імпорту	(Обов’язковий) Доступні три параметри імпорту: імпортувати дані всіх інцидентів, імпортувати зі створеної дати й часу та імпортувати з визначеної дати й часу.
Просувати інциденти XDR серед видатних осіб ES?	(Необов’язково) Splunk Enterprise Security (ES) рекламує Notables. Якщо ви не ввімкнули Enterprise Security, ви все одно можете вибрати підвищення до відомих, але події не відображаються в цьому індексі чи макросах відомих. Після ввімкнення Enterprise Security події присутні в індексі. Ви можете вибрати тип інцидентів для прийому (усі, критичні, середні, низькі, інформація, невідомі, жодні).

• Крок 1 На сторінці конфігурації Cisco XDR введіть ім’я в поле Input Name.
• Крок 2 Виберіть метод зі спадного списку Метод автентифікації.
  • Ідентифікатор клієнта:
    • Натисніть кнопку Перейти до XDR, щоб створити клієнт для свого облікового запису в XDR.
    • Скопіюйте та вставте ідентифікатор клієнта
    • Встановити пароль (Client_secret)
  • OAuth:
    • Перейдіть за згенерованим посиланням і пройдіть автентифікацію. Вам потрібно мати обліковий запис XDR.
    • Якщо перше посилання з кодом не спрацювало, у другому посиланні скопіюйте код користувача та вставте його вручну.
• Крок 3. Визначте час імпорту в полі «Діапазон часу імпорту».
• Крок 4 Якщо потрібно, виберіть значення в полі «Сприяти інцидентам XDR до відомих осіб ES». поле.
• Крок 5 Натисніть Зберегти.

Cisco Secure Email Threat Defense

Малюнок 9: Сторінка конфігурації безпечної електронної пошти від загроз

Для авторизації API захисту від загроз безпечної електронної пошти потрібні такі облікові дані:

• api_key
• client_id
• client_secret

Таблиця 6: Дані конфігурації безпечної електронної пошти від загроз

Поле	опис
Регіон	(Обов’язково) Ви можете відредагувати це поле, щоб змінити регіон.
Діапазон часу імпорту	(Обов’язково) Доступні три параметри: Імпортувати всі дані повідомлення, Імпортувати зі створеної дати й часу або Імпортувати з визначеної дати й часу.

• Крок 1 На сторінці конфігурації Secure Email Threat Defense введіть ім’я в полі Input Name.
• Крок 2 Введіть ключ API, ідентифікатор клієнта та секретний ключ клієнта.
• Крок 3 Виберіть регіон у розкривному списку «Регіон».
• Крок 4 Встановіть час імпорту в розділі «Діапазон часу імпорту».
• Крок 5 Натисніть Зберегти.

Cisco Secure Network Analytics

Secure Network Analytics (SNA), раніше відомий як Stealthwatch, аналізує існуючі мережеві дані, щоб допомогти виявити загрози, які могли знайти спосіб обійти існуючі елементи керування.

Рисунок 10: Сторінка конфігурації Secure Network Analytics

Облікові дані, необхідні для авторизації:

• smc_host: (IP-адреса або ім’я хоста консолі керування Stealthwatch)
• tenant_id (ідентифікатор домену Stealthwatch Management Console для цього облікового запису)
• ім’я користувача (ім’я користувача консолі керування Stealthwatch)
• пароль (пароль консолі керування Stealthwatch для цього облікового запису)

Таблиця 7: Дані конфігурації Secure Network Analytics

Поле	опис
Тип проксі	виберіть значення зі спадного списку: • Ведучий • Порт • Ім'я користувача • Пароль
Інтервал	(Обов'язковий) Інтервал часу в секундах між запитами API. За замовчуванням 300 сек.
Тип джерела	(обов'язково)
Індекс	(Обов’язковий) Визначає індекс призначення для журналів безпеки SNA. За замовчуванням стан: cisco_sna.
після	(Обов’язковий) Початкове значення після використовується під час запиту Stealthwatch API. За умовчанням встановлено значення 10 хвилин тому.

• Крок 1 На сторінці конфігурації Secure Network Analytics введіть ім’я в поле Input Name.
• Крок 2 Введіть адресу менеджера (IP або хост), ідентифікатор домену, ім’я користувача та пароль.
• Крок 3. За потреби встановіть наступне в розділі Параметри проксі:
  • Виберіть проксі зі спадного списку Тип проксі.
  • Введіть хост, порт, ім’я користувача та пароль у відповідні поля.
• Крок 4. Визначте конфігурації вхідних даних:
  • Встановіть час у розділі Інтервал. За замовчуванням інтервал встановлено на 300 секунд (5 хвилин).
  • За потреби ви можете змінити тип джерела в розділі «Додаткові налаштування». Значення за замовчуванням — cisco:sna.
  • Введіть індекс призначення для журналів безпеки в полі «Індекс».
• Крок 5 Натисніть Зберегти.

Документи / Ресурси

	CISCO Security Cloud App [pdfПосібник користувача Хмарний додаток безпеки, хмарний додаток, додаток
	CISCO Security Cloud App [pdfПосібник користувача Безпека, Хмара безпеки, Хмара, Хмарна програма безпеки, Додаток
	CISCO Security Cloud App [pdfПосібник користувача Хмарний додаток безпеки, хмарний додаток, додаток

Список літератури

• Посібник користувача