Приложение Cisco Security Cloud

Технические характеристики

• Название продукта: Приложение Cisco Security Cloud
• Производитель: Циско
• Интеграция: Работает с различными продуктами Cisco

Инструкции по применению продукта

Настроить приложение
Application Setup — это начальный пользовательский интерфейс для Security Cloud App. Выполните следующие шаги для настройки приложения:

1. Перейдите на страницу «Настройка приложения» > «Продукты Cisco».
2. Выберите нужное приложение Cisco и нажмите «Настроить приложение».
3. Заполните форму конфигурации, которая включает краткое описание приложения, ссылки на документацию и сведения о конфигурации.
4. Нажмите «Сохранить». Убедитесь, что все поля заполнены правильно, чтобы кнопка «Сохранить» стала активной.

Настройка продуктов Cisco
Чтобы настроить продукты Cisco в приложении Security Cloud, выполните следующие действия:

1. На странице «Продукты Cisco» выберите конкретный продукт Cisco, который вы хотите настроить.
2. Нажмите «Настроить приложение» для этого продукта.
3. Заполните обязательные поля, включая Имя входа, Интервал, Индекс и Тип источника.
4. Сохраните конфигурацию. Исправьте ошибки, если кнопка «Сохранить» неактивна.

Конфигурация Cisco Duo
Для настройки Cisco Duo в приложении Security Cloud выполните следующие действия:

1. На странице конфигурации Duo введите имя входа.
2. Укажите учетные данные API администратора в полях «Ключ интеграции», «Секретный ключ» и «Имя хоста API».
3. Если у вас нет этих учетных данных, зарегистрируйте новую учетную запись, чтобы получить их.

Часто задаваемые вопросы (FAQ)

• В: Какие общие поля необходимы для настройки приложений?
  A: Общие поля включают имя входа, интервал, индекс и тип источника.
• В: Как мне выполнить авторизацию с помощью Duo API?
  A: Авторизация с помощью Duo API обрабатывается с помощью Duo SDK для Python. Вам необходимо предоставить API Hostname, полученное из Duo Admin Panel, а также другие необязательные поля по мере необходимости.

В этой главе описывается процесс добавления и настройки входов для различных приложений (продуктов Cisco) в приложении Security Cloud. Входы имеют решающее значение, поскольку они определяют источники данных, которые приложение Security Cloud использует для мониторинга. Правильная настройка входов гарантирует, что ваше покрытие безопасности будет всеобъемлющим, а все данные будут правильно отображаться для будущего отслеживания и мониторинга.

Настроить приложение

Application Setup — это первый пользовательский интерфейс для Security Cloud App. Страница Application Setup состоит из двух разделов:

Рисунок 1: Мои приложения

• Раздел «Мои приложения» на странице «Настройка приложений» отображает все конфигурации пользовательского ввода.
• Щелкните гиперссылку на продукт, чтобы перейти на панель управления продуктом.
• Чтобы изменить входные данные, нажмите «Изменить конфигурацию» в меню действий.
• Чтобы удалить входные данные, нажмите «Удалить» в меню действий.

Рисунок 2: Продукты Cisco

• На странице продуктов Cisco отображаются все доступные продукты Cisco, интегрированные с приложением Security Cloud.
• В этом разделе вы можете настроить входные данные для каждого продукта Cisco.

Настроить приложение

• Некоторые поля конфигурации являются общими для всех продуктов Cisco и описаны в этом разделе.
• Поля конфигурации, специфичные для продукта, описаны в последующих разделах.

Таблица 1: Общие поля

Поле	Описание
Введите имя	(Обязательно) Уникальное имя для входных данных приложения.
Интервал	(Обязательно) Интервал времени в секундах между запросами API.
Индекс	(Обязательно) Индекс назначения для журналов приложений. При необходимости его можно изменить. Для этого поля предусмотрено автозаполнение.
Тип источника	(Обязательно) Для большинства приложений это значение по умолчанию, и оно отключено. Вы можете изменить его значение в Расширенные настройки.

• Шаг 1 На странице «Настройка приложения» > «Продукты Cisco» перейдите к нужному приложению Cisco.
• Шаг 2 Нажмите «Настроить приложение».
  Страница конфигурации состоит из трех разделов: краткое описание приложения, документация со ссылками на полезные ресурсы и форма конфигурации.
• Шаг 3 Заполните форму конфигурации. Обратите внимание на следующее:
  • Обязательные поля отмечены звездочкой *.
  • Также имеются необязательные поля.
  • Следуйте инструкциям и советам, описанным в разделе страницы, посвященном конкретному приложению.
• Шаг 4 Нажмите «Сохранить».
  Если есть ошибка или пустые поля, кнопка «Сохранить» неактивна. Исправьте ошибку и сохраните форму.

Cisco Дуэт

Рисунок 3: Страница конфигурации Duo

Помимо обязательных полей, описанных в разделе «Настройка приложения» на стр. 2, для авторизации с помощью API Duo требуются следующие учетные данные:

• ikey (ключ интеграции)
• skey (Секретный ключ)

Авторизация осуществляется с помощью Duo SDK для Python.

Таблица 2: Поля конфигурации Duo

Поле	Описание
Имя хоста API	(Обязательно) Все методы API используют имя хоста API. https://api-XXXXXXXX.duosecurity.com. Получите это значение из панели администратора Duo и используйте его точно так, как там показано.
Журналы безопасности Duo	Необязательный.
Уровень ведения журнала	(Необязательно) Уровень ведения журнала для сообщений, записываемых во входные журналы в $SPLUNK_HOME/var/log/splunk/duo_splunkapp/

• Шаг 1 На странице конфигурации Duo введите имя входа.
• Шаг 2 Введите учетные данные API администратора в полях Integration key, Secret key и API hostname. Если у вас нет этих учетных данных, зарегистрировать новую учетную запись.
  • Перейдите в раздел Приложения > Защита приложения > API администратора, чтобы создать новый API администратора.
• Шаг 3 При необходимости определите следующее:
  • Журналы безопасности Duo
  • Уровень ведения журнала
• Шаг 4 Нажмите «Сохранить».

Аналитика вредоносного ПО Cisco Secure

Рисунок 4: Страница конфигурации аналитики вредоносных программ

Примечание
Для авторизации с помощью API Secure Malware Analytics (SMA) вам понадобится ключ API (api_key). Передайте ключ API в качестве типа носителя в токене авторизации запроса.

Данные конфигурации Secure Malware Analytics

1. Хозяин: (Обязательно) Указывает имя счета SMA.
2. Настройки прокси-сервера: (Необязательно) Состоит из типа прокси, прокси URL, порт, имя пользователя и пароль.
3. Настройки ведения журнала: (Необязательно) Определите параметры регистрации информации.

• Шаг 1 На странице конфигурации Secure Malware Analytics введите имя в поле Input Name.
• Шаг 2. Введите поля Хост и Ключ API.
• Шаг 3. При необходимости определите следующее:
  • Настройки прокси
  • Параметры ведения журнала
• Шаг 4 Щелкните Сохранить.

Центр управления межсетевыми экранами Cisco Secure

Рисунок 5: Страница конфигурации центра управления безопасным брандмауэром

• Вы можете импортировать данные в приложение Secure Firewall, используя любой из двух оптимизированных процессов: eStreamer и Syslog.
• Страница конфигурации Secure Firewall содержит две вкладки, каждая из которых соответствует отдельному методу импорта данных. Вы можете переключаться между этими вкладками, чтобы настроить соответствующие входы данных.

Межсетевой экран e-Streamer

eStreamer SDK используется для связи с Центром управления безопасным межсетевым экраном.

Рисунок 6: Вкладка «Безопасный брандмауэр E-Streamer»

Таблица 3: Данные конфигурации безопасного брандмауэра

Поле	Описание
Хост FMC	(Обязательно) Указывает имя хоста центра управления.
Порт	(Обязательно) Указывает порт для учетной записи.
Сертификат PKCS	(Обязательно) Сертификат должен быть создан в консоли управления брандмауэром – Сертификат eStreamer Создание. Система поддерживает только pkcs12 file тип.
Пароль	(Обязательно) Пароль для сертификата PKCS.
Типы событий	(Обязательно) Выберите тип событий для приема (Все, Подключение, Вторжение, File, Пакет вторжения).

• Шаг 1. На вкладке E-Streamer страницы «Добавить защищенный брандмауэр» в поле «Вводное имя» введите имя.
• Шаг 2. В поле «Сертификат PKCS» загрузите файл .pkcs12. file для настройки сертификата PKCS.
• Шаг 3 В поле «Пароль» введите пароль.
• Шаг 4. Выберите событие в разделе «Типы событий».
• Шаг 5. При необходимости определите следующее:
  • Журналы безопасности Duo
  • Уровень ведения журнала
    Примечание
    При переключении между вкладками E-Streamer и Syslog сохраняется только активная вкладка конфигурации. Таким образом, можно задать только один метод импорта данных за раз.
• Шаг 6 Щелкните Сохранить.

Системный журнал брандмауэра
В дополнение к обязательным полям, описанным в разделе «Настройка приложения», ниже приведены конфигурации, которые требуются на стороне центра управления.

Таблица 4: Данные конфигурации Syslog безопасного брандмауэра

Поле	Описание
TCP/UDP	(Обязательно) Указывает тип входных данных.
Порт	(Обязательно) Указывает уникальный порт для учетной записи.

• Шаг 1. На вкладке Syslog страницы «Добавить защищенный брандмауэр» настройте подключение на стороне центра управления, в поле «Входное имя» введите имя.
• Шаг 2. Выберите TCP или UDP в качестве типа входа.
• Шаг 3 В поле Порт введите номер порта.
• Шаг 4. Выберите тип из раскрывающегося списка «Тип источника».
• Шаг 5. Выберите типы событий для выбранного типа источника.
  Примечание
  При переключении между вкладками E-Streamer и Syslog сохраняется только активная вкладка конфигурации. Таким образом, можно задать только один метод импорта данных за раз.
• Шаг 6 Щелкните Сохранить.

Защита мультиоблачных сред Cisco

Рисунок 7: Страница конфигурации аналитики вредоносных программ

• Multicloud Defense (MCD) использует функционал HTTP Event Collector Splunk вместо взаимодействия через API.
• Создайте экземпляр в Cisco Defense Orchestrator (CDO), выполнив шаги, описанные в разделе «Руководство по настройке» на странице конфигурации Multicloud Defense.

Для авторизации в Multicloud Defense требуются только обязательные поля, определенные в разделе «Настройка приложения».

• Шаг 1 Установите экземпляр Multicloud Defense в CDO, следуя руководству по настройке на странице конфигурации.
• Шаг 2. Введите имя в поле «Ввод имени».
• Шаг 3 Щелкните Сохранить.

Cisco XDR

Рисунок 8: Страница конфигурации XDR

Для авторизации с помощью частного API Intel требуются следующие учетные данные:

• клиент_id
• клиент_секрет

Каждый запуск ввода приводит к вызову конечной точки GET /iroh/oauth2/token для получения токена, действительного в течение 600 секунд.

Таблица 5: Данные конфигурации Cisco XDR

Поле	Описание
Область	(Обязательно) Выберите регион перед выбором метода аутентификации.
Аутентификация Метод	(Обязательно) Доступны два метода аутентификации: с использованием Client ID и OAuth.
Диапазон времени импорта	(Обязательно) Доступны три варианта импорта: импорт всех данных инцидентов, импорт из созданной даты и времени и импорт из определенной даты и времени.
Продвигать инциденты XDR в ранг ES Notables?	(Необязательно) Splunk Enterprise Security (ES) продвигает Notables. Если вы не включили Enterprise Security, вы все равно можете перейти на уровень notables, но события не будут отображаться в этом индексе или макросах notables. После включения Enterprise Security события появляются в индексе. Вы можете выбрать тип инцидентов для приема (Все, Критические, Средние, Низкие, Информация, Неизвестно, Ни одного).

• Шаг 1 На странице конфигурации Cisco XDR введите имя в поле «Входное имя».
• Шаг 2. Выберите метод из раскрывающегося списка «Метод аутентификации».
  • ID клиента:
    • Нажмите кнопку «Перейти в XDR», чтобы создать клиент для своей учетной записи в XDR.
    • Скопируйте и вставьте идентификатор клиента.
    • Установите пароль (Client_secret)
  • OAuth:
    • Перейдите по сгенерированной ссылке и пройдите аутентификацию. Вам необходимо иметь учетную запись XDR.
    • Если первая ссылка с кодом не сработала, во второй ссылке скопируйте код пользователя и вставьте его вручную.
• Шаг 3. Укажите время импорта в поле «Диапазон времени импорта».
• Шаг 4 При необходимости выберите значение в поле «Передать инциденты XDR в список ES Notables».
• Шаг 5 Щелкните Сохранить.

Защита от угроз электронной почты Cisco Secure

Рисунок 9: Страница конфигурации защиты от угроз безопасной электронной почты

Для авторизации API Secure Email Threat Defense требуются следующие учетные данные:

• api_key
• клиент_id
• клиент_секрет

Таблица 6: Данные конфигурации защиты от угроз безопасной электронной почты

Поле	Описание
Область	(Обязательно) Вы можете отредактировать это поле, чтобы изменить регион.
Диапазон времени импорта	(Обязательно) Доступны три варианта: Импорт всех данных сообщений, Импорт из созданной даты и времени или Импорт из определенной даты и времени.

• Шаг 1 На странице конфигурации «Защита от угроз безопасной электронной почты» введите имя в поле «Входное имя».
• Шаг 2 Введите ключ API, идентификатор клиента и секретный ключ клиента.
• Шаг 3 Выберите регион из раскрывающегося списка «Регион».
• Шаг 4. Установите время импорта в разделе «Диапазон времени импорта».
• Шаг 5 Щелкните Сохранить.

Аналитика безопасной сети Cisco

Secure Network Analytics (SNA), ранее известная как Stealthwatch, анализирует существующие сетевые данные, помогая выявлять угрозы, которые могли найти способ обойти существующие средства контроля.

Рисунок 10: Страница конфигурации безопасной сетевой аналитики

Необходимые для авторизации учетные данные:

• smc_host: (IP-адрес или имя хоста консоли управления Stealthwatch)
• tenant_id (идентификатор домена консоли управления Stealthwatch для этой учетной записи)
• имя пользователя (имя пользователя консоли управления Stealthwatch)
• пароль (пароль консоли управления Stealthwatch для этой учетной записи)

Таблица 7: Данные конфигурации аналитики безопасной сети

Поле	Описание
Тип прокси	выберите значение из выпадающего списка: • Хозяин • Порт • Имя пользователя • Пароль
Интервал	(Обязательно) Интервал времени в секундах между запросами API. По умолчанию 300 сек.
Тип источника	(Обязательный)
Индекс	(Обязательно) Указывает целевой индекс для журналов безопасности SNA. По умолчанию состояние: cisco_sna.
После	(Обязательно) Начальное значение after используется при запросе Stealthwatch API. По умолчанию значение равно 10 минут назад.

• Шаг 1 На странице конфигурации Secure Network Analytics введите имя в поле Input Name.
• Шаг 2 Введите адрес менеджера (IP или хост), идентификатор домена, имя пользователя и пароль.
• Шаг 3 При необходимости установите следующие параметры в разделе «Настройки прокси-сервера»:
  • Выберите прокси-сервер из раскрывающегося списка Тип прокси-сервера.
  • Введите хост, порт, имя пользователя и пароль в соответствующие поля.
• Шаг 4. Определите конфигурации входных данных:
  • Установите время в разделе Интервал. По умолчанию интервал установлен на 300 секунд (5 минут).
  • При необходимости можно изменить тип источника в разделе «Дополнительные настройки». Значение по умолчанию — cisco:sna.
  • Введите целевой индекс для журналов безопасности в поле Индекс.
• Шаг 5 Щелкните Сохранить.

Документы/Ресурсы

	Приложение Cisco Security Cloud [pdf] Руководство пользователя Безопасность Облачное приложение, Облачное приложение, Приложение
	Приложение Cisco Security Cloud [pdf] Руководство пользователя Безопасность, Облако безопасности, Облако, Приложение Облака безопасности, Приложение
	Приложение Cisco Security Cloud [pdf] Руководство пользователя Безопасность Облачное приложение, Облачное приложение, Приложение

Ссылки

• Руководство пользователя