CISCO turvapilverakenduse kasutusjuhend

Liikuge lehele Rakenduse häälestus > Cisco tooted.
Valige soovitud Cisco rakendus ja klõpsake nuppu Configure Application.
Täitke konfiguratsioonivorm, mis sisaldab rakenduse lühikirjeldust, dokumentatsiooni linke ja konfiguratsiooni üksikasju.
Klõpsake nuppu Salvesta. Nupu Salvesta lubamiseks veenduge, et kõik väljad oleksid õigesti täidetud.

Konfigureerige Cisco tooted
Cisco toodete konfigureerimiseks turvapilverakenduses toimige järgmiselt.

Valige lehel Cisco tooted konkreetne Cisco toode, mida soovite konfigureerida.
Klõpsake selle toote jaoks nuppu Konfigureeri rakendus.
Täitke nõutud väljad, sealhulgas sisendi nimi, intervall, indeks ja allika tüüp.
Salvestage konfiguratsioon. Parandage kõik vead, kui nupp Salvesta on keelatud.

Cisco Duo konfiguratsioon
Cisco Duo konfigureerimiseks turvapilverakenduses toimige järgmiselt.

Sisestage Duo konfiguratsiooni lehel sisendi nimi.
Sisestage administraatori API mandaat väljadele Integratsioonivõti, Salajane võti ja API hostinimi.
Kui teil neid mandaate pole, registreerige nende saamiseks uus konto.

Korduma kippuvad küsimused (KKK)

K: Millised on rakenduste konfigureerimiseks vajalikud ühised väljad?
A: Levinud väljad hõlmavad sisendi nimi, intervall, indeks ja allika tüüp.
K: Kuidas ma saan Duo API-ga autoriseerimist käsitleda?
A: Duo API-ga autoriseerimist käsitletakse Pythoni jaoks mõeldud Duo SDK abil. Peate sisestama Duo administraatoripaneelilt saadud API hostinime koos muude valikuliste väljadega vastavalt vajadusele.

See peatükk juhendab teid turvapilverakenduses erinevate rakenduste (Cisco tooted) sisendite lisamise ja konfigureerimise protsessis. Sisendid on üliolulised, kuna need määravad andmeallikad, mida turvapilverakendus jälgimise eesmärgil kasutab. Sisendite õige konfigureerimine tagab, et teie turvalisuse katvus on kõikehõlmav ja kõik andmed kuvatakse edaspidiseks jälgimiseks ja jälgimiseks õigesti.

Rakenduse seadistamine

Rakenduse häälestus on turvapilverakenduse esimene kasutajaliides. Rakenduse häälestuse leht koosneb kahest jaotisest.

Joonis 1: Minu rakendused

Rakenduse häälestuse lehe jaotises Minu rakendused kuvatakse kõik kasutaja sisendi konfiguratsioonid.
Toote juhtpaneelile minemiseks klõpsake toote hüperlingil.
Sisendite muutmiseks klõpsake tegevusmenüüs nuppu Redigeeri konfiguratsiooni.
Sisendite kustutamiseks klõpsake tegevusmenüüs nuppu Kustuta.

Joonis 2: Cisco tooted

Cisco toodete lehel kuvatakse kõik saadaolevad Cisco tooted, mis on integreeritud turvapilverakendusega.
Selles jaotises saate konfigureerida sisendeid iga Cisco toote jaoks.

Rakenduse konfigureerimine

Mõned konfiguratsiooniväljad on kõigis Cisco toodetes ühised ja neid kirjeldatakse selles jaotises.
Tootele omaseid konfiguratsioonivälju kirjeldatakse järgmistes jaotistes.

Tabel 1: Ühised väljad

Väli	Kirjeldus
Sisesta nimi	(Kohustuslik) Rakenduse sisendite kordumatu nimi.
Intervall	(Kohustuslik) API päringute vaheline ajavahemik sekundites.
Indeks	(Kohustuslik) Rakenduste logide sihtindeks. Vajadusel saab seda muuta. Selle välja jaoks on ette nähtud automaatne täitmine.
Allika tüüp	(Kohustuslik) Enamiku rakenduste puhul on see vaikeväärtus ja see on keelatud. Saate selle väärtust muuta Täpsemad seaded.

1. samm Liikuge lehel Rakenduse häälestus > Cisco tooted soovitud Cisco rakenduseni.
2. samm Klõpsake Konfigureeri rakendus.
Konfiguratsioonileht koosneb kolmest jaotisest: rakenduse lühikirjeldus, kasulike ressursside linkidega dokumentatsioon ja konfiguratsioonivorm.
3. samm Täitke konfiguratsioonivorm. Pange tähele järgmist.
- Kohustuslikud väljad on tähistatud tärniga *.
- Samuti on valikulised väljad.
- Järgige lehe konkreetse rakenduse jaotises kirjeldatud juhiseid ja näpunäiteid.
4. samm Klõpsake nuppu Salvesta.
Kui on viga või tühjad väljad, on nupp Salvesta keelatud. Parandage viga ja salvestage vorm.

Cisco Duo

Joonis 3: Duo konfiguratsioonileht

Lisaks jaotises Rakenduse konfigureerimine leheküljel 2 kirjeldatud kohustuslikele väljadele on Duo API-ga autoriseerimiseks vaja järgmisi mandaate.

ikey (integreerimisvõti)
skey (salajane võti)

Autoriseerimist haldab Pythoni jaoks mõeldud Duo SDK.

Tabel 2: Duo konfiguratsiooniväljad

Väli	Kirjeldus
API hostinimi	(Kohustuslik ) Kõik API meetodid kasutavad API hostinime. https://api-XXXXXXXX.duosecurity.com. Hankige see väärtus Duo administraatoripaneelilt ja kasutage seda täpselt nii, nagu seal näidatud.
Duo turvalogid	Valikuline.
Logimise tase	(Valikuline) Logimise tase sõnumite jaoks, mis on kirjutatud sisestuslogidesse $SPLUNK_HOME/var/log/splunk/duo_splunkapp/

1. samm Sisestage Duo konfiguratsioonilehel sisendi nimi.
2. samm Sisestage administraatori API mandaat väljadele Integratsioonivõti, Salajane võti ja API hostinimi. Kui teil neid volitusi pole, registreerige uus konto.
- Uue administraatori API loomiseks liikuge jaotisse Rakendused > Rakenduse kaitsmine > Administraatori API.
3. samm Vajadusel määratlege järgmine:
- Duo turvalogid
- Logimise tase
4. samm Klõpsake nuppu Salvesta.

Cisco Secure Malware Analytics

Joonis 4: Turvalise pahavara analüüsi konfiguratsiooni leht

Märkus
Secure Malware Analytics (SMA) API-ga autoriseerimiseks vajate API-võtit (api_key). Edastage API-võti taotluse autoriseerimismärgis kandja tüübina.

Turvalised pahavaraanalüüsi konfiguratsiooniandmed

Host: (Kohustuslik) Määrab SMA konto nime.
Puhverserveri sätted: (Valikuline) Koosneb puhverserveri tüübist, puhverserverist URL, Port, Kasutajanimi ja Parool.
Logimise seaded: (Valikuline) Määrake logiteabe sätted.

1. toiming Sisestage Secure Malware Analyticsi konfiguratsioonilehel nimi sisestusnime väljale.
2. samm Sisestage väljad Host ja API Key.
3. samm Vajadusel määratlege järgmine.
- Puhverserveri sätted
- Logimise seaded
Samm 4 Klõpsake nuppu Salvesta.

Cisco turvalise tulemüüri halduskeskus

Joonis 5: Turvalise tulemüüri halduskeskuse konfiguratsioonileht

Saate importida andmeid turvalise tulemüüri rakendusse, kasutades ühte kahest sujuvamaks protsessist: eStreamer ja Syslog.
Turvalise tulemüüri konfiguratsioonilehel on kaks vahekaarti, millest igaüks vastab erinevale andmete importimise meetodile. Saate nende vahekaartide vahel vahetada, et konfigureerida vastavaid andmesisendeid.

Tulemüür e-Streamer

eStreamer SDK kasutatakse suhtlemiseks turvalise tulemüüri halduskeskusega.

Joonis 6: Secure Firewall E-Streamer vahekaart

Tabel 3: Turvalise tulemüüri konfiguratsiooniandmed

Väli	Kirjeldus
FMC host	(Kohustuslik) Määrab halduskeskuse hosti nime.
Port	(Kohustuslik) Määrab konto pordi.
PKCS sertifikaat	(Kohustuslik) Sertifikaat tuleb luua tulemüüri halduskonsoolis – eStreameri sertifikaat Loomine. Süsteem toetab ainult pkcs12 file tüüp.
Parool	(Kohustuslik) PKCS-sertifikaadi parool.
Sündmuste tüübid	(Kohustuslik) Valige neelatavate sündmuste tüüp (kõik, ühendus, sissetung, File, sissetungimispakett).

1. samm Sisestage lehe Lisa turvaline tulemüür vahekaardi E-Streamer väljale Input Name nimi.
2. samm Laadige PKCS-i sertifikaadi ruumis üles fail .pkcs12 file PKCS-i sertifikaadi seadistamiseks.
3. samm Sisestage väljale Parool parool.
4. samm Valige Sündmuste tüübid alt sündmus.
5. samm Vajadusel määratlege järgmine.
- Duo turvalogid
- Logimise tase
  Märkus
  Kui vahetate vahekaarte E-Streamer ja Syslog, salvestatakse ainult aktiivne seadistuste vahekaart. Seetõttu saate korraga määrata ainult ühe andmete importimise meetodi.
Samm 6 Klõpsake nuppu Salvesta.

Tulemüüri Syslog
Lisaks jaotises Rakenduse konfigureerimine kirjeldatud kohustuslikele väljadele on halduskeskuse poolel nõutavad konfiguratsioonid järgmised.

Tabel 4: Turvalise tulemüüri Syslogi konfiguratsiooniandmed

Väli	Kirjeldus
TCP/UDP	(Kohustuslik) Määrab sisendandmete tüübi.
Port	(Kohustuslik) Määrab konto unikaalse pordi.

1. samm Seadistage lehe Lisa turvaline tulemüür vahekaardil Syslog (Süslogi) ühendus halduskeskuse poolel, sisestage väljale Input Name nimi.
2. samm Valige sisendi tüübiks TCP või UDP.
3. samm Sisestage väljale Port pordi number
4. samm Valige ripploendist Allika tüüp tüüp.
5. samm Valige valitud allikatüübi jaoks sündmuste tüübid.
Märkus
Kui vahetate vahekaarte E-Streamer ja Syslog, salvestatakse ainult aktiivne seadistuste vahekaart. Seetõttu saate korraga määrata ainult ühe andmete importimise meetodi.
Samm 6 Klõpsake nuppu Salvesta.

Cisco Multicloudi kaitse

Joonis 7: Turvalise pahavara analüüsi konfiguratsiooni leht

Multicloud Defense (MCD) kasutab API kaudu suhtlemise asemel Splunki HTTP Event Collectori funktsioone.
Looge Cisco Defense Orchestratoris (CDO) eksemplar, järgides samme, mis on määratletud Multicloudi kaitse konfiguratsioonilehe jaotises Häälestusjuhend.

Multicloudi kaitsega autoriseerimiseks on vajalikud ainult jaotises Rakenduse konfigureerimine määratletud kohustuslikud väljad.

1. samm Installige CDO-sse Multicloudi kaitse eksemplar, järgides konfiguratsioonilehel olevat häälestusjuhendit.
2. samm Sisestage nimi väljale Input Name.
Samm 3 Klõpsake nuppu Salvesta.

Cisco XDR

Joonis 8: XDR-i konfiguratsioonileht

Inteli privaatse API-ga autoriseerimiseks on vaja järgmisi mandaate:

kliendi_id
kliendi_saladus

Iga sisendi käitamine kutsub esile lõpp-punkti GET /iroh/oauth2/token, et saada 600 sekundit kehtiv luba.

Tabel 5: Cisco XDR konfiguratsiooniandmed

Väli	Kirjeldus
Piirkond	(Kohustuslik) Enne autentimismeetodi valimist valige piirkond.
Autentimine meetod	(Kohustuslik) Saadaval on kaks autentimismeetodit: kliendi ID ja OAuthi kasutamine.
Impordi ajavahemik	(Kohustuslik) Saadaval on kolm importimise valikut: Impordi kõik juhtumiandmed, Impordi loodud kuupäevast-kellaajast ja Impordi määratud kuupäevast-kellaajast.
Kas reklaamida XDR-i juhtumeid ES Notablesile?	(Valikuline) Splunk Enterprise Security (ES) reklaamib Notablesi. Kui te pole ettevõtte turvalisust lubanud, saate siiski otsustada, et soovite ülendada tähelepanuväärseteks, kuid sündmused ei ilmu selles registris ega märkimisväärsetes makrodes. Pärast ettevõtte turvalisuse lubamist on sündmused registris olemas. Saate valida neelatavate juhtumite tüübi (Kõik, Kriitiline, Keskmine, Madal, Teave, Tundmatu, Puudub).

1. samm Sisestage Cisco XDR-i konfiguratsioonilehel nimi väljale Input Name.
2. samm Valige ripploendist Autentimismeetod meetod.
- Kliendi ID:
  - Klõpsake nuppu Mine XDR-i, et luua oma kontole XDR-is klient.
  - Kopeerige ja kleepige kliendi ID
  - Parooli määramine (Client_secret)
- OAuth:
  - Järgige loodud linki ja autentige. Teil peab olema XDR-konto.
  - Kui esimene link koodiga ei töötanud, kopeerige teise lingi kasutajakood ja kleepige see käsitsi.
3. samm Määrake väljal Import Time Range impordi aeg.
4. samm Vajadusel valige väärtus jaotises Promote XDR Incidents to ES Notables. valdkonnas.
Samm 5 Klõpsake nuppu Salvesta.

Cisco turvalise e-posti ohtude kaitse

Joonis 9: Turvalise e-posti ohu kaitse konfiguratsiooni leht

Secure Email Threat Defense API-de autoriseerimiseks on vaja järgmisi mandaate:

api_võti
kliendi_id
kliendi_saladus

Tabel 6: Turvalise e-posti ohukaitse konfiguratsiooni andmed

Väli	Kirjeldus
Piirkond	(Kohustuslik) Piirkonna muutmiseks saate seda välja redigeerida.
Impordi ajavahemik	(Kohustuslik) Saadaval on kolm valikut: Impordi kõik sõnumiandmed, Impordi loodud kuupäevast-kellaajast või Impordi määratud kuupäevast-kellaajast.

1. samm Sisestage Secure Email Threat Defense konfiguratsioonilehel nimi väljale Input Name nimi.
2. samm Sisestage API võti, kliendi ID ja kliendi salavõti.
3. samm Valige ripploendist Piirkond piirkond.
4. samm Määrake impordiaeg jaotises Impordi ajavahemik.
Samm 5 Klõpsake nuppu Salvesta.

Cisco Secure Network Analytics

Secure Network Analytics (SNA), varem tuntud kui Stealthwatch, analüüsib olemasolevaid võrguandmeid, et aidata tuvastada ohte, mis võisid leida võimaluse olemasolevatest juhtelementidest mööda hiilida.

Joonis 10: Turvalise võrguanalüüsi konfiguratsiooni leht

Autoriseerimiseks vajalikud mandaadid:

smc_host: (Stealthwatchi halduskonsooli IP-aadress või hostinimi)
rentant_id (selle konto Stealthwatch Management Console'i domeeni ID)
kasutajanimi (Stealthwatch Management Console kasutajanimi)
parool (selle konto jaoks Stealthwatch halduskonsooli parool)

Tabel 7: Turvalise võrguanalüüsi konfiguratsiooni andmed

Väli	Kirjeldus
Puhverserveri tüüp	valige ripploendist väärtus: • Peremees • Port • Kasutajanimi • Parool
Intervall	(Kohustuslik) API päringute vaheline ajavahemik sekundites. Vaikimisi 300 sek.
Allika tüüp	(Kohustuslik)
Indeks	(Kohustuslik) Määrab SNA turvalogide sihtkoha indeksi. Vaikimisi olek: cisco_sna.
Pärast	(Kohustuslik) Stealthwatch API päringu tegemisel kasutatakse algset järelväärtust. Vaikimisi on väärtus 10 minutit tagasi.

1. samm Sisestage Secure Network Analyticsi konfiguratsioonilehel nimi väljale Input Name nimi.
2. samm Sisestage halduri aadress (IP või host), domeeni ID, kasutajanimi ja parool.
3. samm Vajadusel määrake jaotises Puhverserveri sätted järgmised.
- Valige puhverserveri tüüp ripploendist puhverserver.
- Sisestage vastavatele väljadele host, port, kasutajanimi ja parool.
4. samm Määratlege sisendi konfiguratsioonid:
- Määrake aeg jaotises Intervall. Vaikimisi on intervalliks seatud 300 sekundit (5 minutit).
- Vajadusel saate allika tüüpi muuta jaotises Täpsemad sätted. Vaikeväärtus on cisco:sna.
- Sisestage väljale Indeks turbelogide sihtkoha register.
Samm 5 Klõpsake nuppu Salvesta.

Dokumendid / Ressursid

	CISCO turvalisuse pilverakendus [pdfKasutusjuhend Turvalisuse pilverakendus, pilverakendus, rakendus
	CISCO turvalisuse pilverakendus [pdfKasutusjuhend Turvalisus, turvapilv, pilv, turvapilverakendus, rakendus
	CISCO turvalisuse pilverakendus [pdfKasutusjuhend Turvalisuse pilverakendus, pilverakendus, rakendus

Viited

Kasutusjuhend

Jäta kommentaar

Tühista vastus