CISCO Security Cloud aplikacija

Specifikacije

• Naziv proizvoda: Cisco Security Cloud aplikacija
• Proizvođač: Cisco
• integracija: Radi sa raznim Cisco proizvodima

Upute za upotrebu proizvoda

Postavite aplikaciju
Podešavanje aplikacije je početni korisnički interfejs za aplikaciju Security Cloud. Slijedite ove korake da konfigurirate aplikaciju:

1. Idite na stranicu Podešavanje aplikacije > Cisco proizvodi.
2. Odaberite željenu Cisco aplikaciju i kliknite na Konfiguriši aplikaciju.
3. Ispunite obrazac za konfiguraciju koji uključuje kratak opis aplikacije, veze za dokumentaciju i detalje o konfiguraciji.
4. Kliknite na Save. Uvjerite se da su sva polja ispravno popunjena kako biste omogućili dugme Sačuvaj.

Konfigurišite Cisco proizvode
Da biste konfigurirali Cisco proizvode u aplikaciji Security Cloud, slijedite ove korake:

1. Na stranici Cisco proizvodi izaberite određeni Cisco proizvod koji želite da konfigurišete.
2. Kliknite na Konfiguriraj aplikaciju za taj proizvod.
3. Popunite obavezna polja uključujući naziv unosa, interval, indeks i vrstu izvora.
4. Sačuvajte konfiguraciju. Ispravite sve greške ako je dugme Sačuvaj onemogućeno.

Cisco Duo konfiguracija
Da biste konfigurirali Cisco Duo u aplikaciji Security Cloud, slijedite ove korake:

1. Na stranici Duo Configuration unesite naziv ulaza.
2. Navedite Admin API vjerodajnice u poljima Integracijski ključ, Tajni ključ i Ime hosta API-ja.
3. Ako nemate ove vjerodajnice, registrirajte novi račun da biste ih dobili.

Često postavljana pitanja (FAQ)

• P: Koja su uobičajena polja potrebna za konfiguriranje aplikacija?
  A: Uobičajena polja uključuju naziv ulaza, interval, indeks i vrstu izvora.
• P: Kako mogu rukovati autorizacijom pomoću Duo API-ja?
  A: Autorizacijom sa Duo API-jem se rukuje pomoću Duo SDK-a za Python. Morate da navedete API hostname dobijeno od Duo Admin Panela zajedno sa drugim opcionim poljima po potrebi.

Ovo poglavlje vas vodi kroz proces dodavanja i konfigurisanja ulaza za različite aplikacije (Cisco proizvodi) unutar aplikacije Security Cloud. Unosi su ključni jer definiraju izvore podataka koje aplikacija Security Cloud koristi u svrhe nadzora. Pravilna konfiguracija ulaza osigurava da je vaša sigurnosna pokrivenost sveobuhvatna i da su svi podaci pravilno prikazani za buduće praćenje i praćenje.

Postavite aplikaciju

Podešavanje aplikacije je prvi korisnički interfejs za aplikaciju Security Cloud. Stranica za podešavanje aplikacije sastoji se od dva odjeljka:

Slika 1: Moje aplikacije

• Odjeljak Moje aplikacije na stranici Podešavanje aplikacije prikazuje sve konfiguracije korisničkog unosa.
• Kliknite na hipervezu proizvoda da biste otišli na kontrolnu tablu proizvoda.
• Da biste uredili unose, kliknite na Uredi konfiguraciju ispod akcijskog izbornika.
• Da izbrišete unose, kliknite na Izbriši ispod menija radnji.

Slika 2: Cisco proizvodi

• Stranica Cisco proizvodi prikazuje sve dostupne Cisco proizvode koji su integrisani sa aplikacijom Security Cloud.
• U ovom odeljku možete da konfigurišete ulaze za svaki Cisco proizvod.

Konfigurirajte aplikaciju

• Neka konfiguraciona polja su zajednička za sve Cisco proizvode i opisana su u ovom odeljku.
• Polja konfiguracije koja su specifična za proizvod opisana su u kasnijim odjeljcima.

Tabela 1: Zajednička polja

Polje	Opis
Unesite naziv	(Obavezno) Jedinstveno ime za unose aplikacije.
Interval	(Obavezno) Vremenski interval u sekundama između API upita.
Indeks	(Obavezno) Indeks odredišta za dnevnike aplikacija. Po potrebi se može promijeniti. Za ovo polje je omogućeno automatsko dovršavanje.
Vrsta izvora	(Obavezno) Za većinu aplikacija to je zadana vrijednost i onemogućena je. Možete promijeniti njegovu vrijednost u Napredne postavke.

• Korak 1 Na stranici Podešavanje aplikacije > Cisco proizvodi idite do potrebne Cisco aplikacije.
• Korak 2 Kliknite Konfiguriši aplikaciju.
  Stranica za konfiguraciju sastoji se od tri odjeljka: Kratak opis aplikacije, Dokumentacija s linkovima na korisne resurse i Konfiguracijski obrazac.
• Korak 3 Popunite obrazac za konfiguraciju. Obratite pažnju na sljedeće:
  • Obavezna polja su označena zvjezdicom *.
  • Postoje i opciona polja.
  • Slijedite upute i savjete opisane u odjeljku za određenu aplikaciju na stranici.
• Korak 4 Kliknite na Save.
  Ako postoji greška ili prazna polja, dugme Sačuvaj je onemogućeno. Ispravite grešku i sačuvajte obrazac.

Cisco Duo

Slika 3: Duo stranica za konfiguraciju

Pored obaveznih polja opisanih u odjeljku Konfiguriranje aplikacije, na stranici 2, za autorizaciju s Duo API-jem potrebni su sljedeći vjerodajnici:

• ikey (ključ za integraciju)
• ključ (tajni ključ)

Autorizacijom upravlja Duo SDK za Python.

Tabela 2: Duo konfiguracijska polja

Polje	Opis
API ime hosta	(Obavezno) Sve API metode koriste API hostname. https://api-XXXXXXXX.duosecurity.com. Nabavite ovu vrijednost na Duo Admin Panel-u i koristite je tačno kako je tamo prikazano.
Duo sigurnosni zapisnici	Opciono.
Nivo evidentiranja	(Opciono) Nivo evidentiranja za poruke napisane u ulazne dnevnike u $SPLUNK_HOME/var/log/splunk/duo_splunkapp/

• Korak 1 Na stranici Duo konfiguracije unesite naziv ulaza.
• Korak 2 Unesite Admin API vjerodajnice u polja Integracijski ključ, Tajni ključ i ime hosta API-ja. Ako nemate ove akreditive, registrirajte novi račun.
  • Idite na Aplikacije > Zaštita aplikacije > Admin API da kreirate novi Administrativni API.
• Korak 3 Definirajte sljedeće ako je potrebno:
  • Duo sigurnosni zapisnici
  • Nivo evidentiranja
• Korak 4 Kliknite na Save.

Cisco Secure Malware Analytics

Slika 4: Stranica za konfiguraciju analitike sigurnog zlonamjernog softvera

Napomena
Potreban vam je API ključ (api_key) za autorizaciju pomoću API-ja Secure Malware Analytics (SMA) Proslijedite API ključ kao tip nosioca u tokenu za autorizaciju zahtjeva.

Sigurnosni podaci o konfiguraciji zlonamjernog softvera

1. Domaćin: (Obavezno) Određuje naziv SMA naloga.
2. Postavke proxyja: (Opcionalno) Sastoji se od tipa proxyja, proxyja URL, Port, Korisničko ime i Lozinka.
3. Postavke zapisivanja: (Opcionalno) Definirajte postavke za informacije o evidentiranju.

• Korak 1 Na stranici za konfiguraciju Secure Malware Analytics unesite ime u polje za unos.
• Korak 2 Unesite Host i API ključ polja.
• Korak 3 Definirajte sljedeće ako je potrebno:
  • Postavke proxyja
  • Postavke zapisivanja
• Korak 4 Kliknite na dugme Sačuvaj.

Cisco Secure Firewall Management Center

Slika 5: Stranica za konfiguraciju centra za upravljanje sigurnim zaštitnim zidom

• Možete uvesti podatke u aplikaciju Secure Firewall koristeći bilo koji od dva pojednostavljena procesa: eStreamer i Syslog.
• Stranica za konfiguraciju sigurnog zaštitnog zida sadrži dvije kartice, od kojih svaka odgovara različitom načinu uvoza podataka. Možete se prebacivati ​​između ovih kartica kako biste konfigurirali odgovarajuće unose podataka.

Firewall e-Streamer

eStreamer SDK koristi se za komunikaciju sa Centrom za upravljanje sigurnim zaštitnim zidom.

Slika 6: Kartica Secure Firewall E-Streamer

Tabela 3: Podaci o konfiguraciji sigurnog zaštitnog zida

Polje	Opis
FMC Host	(Obavezno) Određuje ime hosta centra za upravljanje.
Luka	(Obavezno) Određuje port za račun.
PKCS sertifikat	(Obavezno) Certifikat mora biti kreiran na Firewall Management Console – eStreamer certifikat Stvaranje. Sistem podržava samo pkcs12 file tip.
Lozinka	(Obavezna) Lozinka za PKCS sertifikat.
Vrste događaja	(Obavezno) Odaberite vrstu događaja za unos (Svi, Veza, Upad, File, Intrusion Packet).

• Korak 1 Na kartici E-Streamer na stranici Add Secure Firewall, u polje Input Name unesite ime.
• Korak 2 U prostoru PKCS certifikata učitajte .pkcs12 file za postavljanje PKCS certifikata.
• Korak 3 U polje Lozinka unesite lozinku.
• Korak 4 Odaberite događaj u okviru Vrste događaja.
• Korak 5 Definirajte sljedeće ako je potrebno:
  • Duo sigurnosni zapisnici
  • Nivo evidentiranja
    Napomena
    Ako se prebacite između kartica E-Streamer i Syslog, sačuvat će se samo kartica aktivne konfiguracije. Stoga možete postaviti samo jednu metodu uvoza podataka odjednom.
• Korak 6 Kliknite na dugme Sačuvaj.

Firewall Syslog
Pored obaveznih polja koja su opisana u odeljku Konfigurisanje aplikacije, sledeće su konfiguracije koje su potrebne na strani centra za upravljanje.

Tabela 4: Podaci o konfiguraciji sistema sigurnog zaštitnog zida

Polje	Opis
TCP/UDP	(Obavezno) Određuje tip ulaznih podataka.
Luka	(Obavezno) Određuje jedinstveni port za račun.

• Korak 1 Na kartici Syslog na stranici Add Secure Firewall, podesite vezu na strani centra za upravljanje, u polje Input Name unesite ime.
• Korak 2 Odaberite TCP ili UDP za vrstu unosa.
• Korak 3 U polje Port unesite broj porta
• Korak 4 Odaberite tip sa padajuće liste Vrsta izvora.
• Korak 5 Odaberite tipove događaja za odabrani tip izvora.
  Napomena
  Ako se prebacite između kartica E-Streamer i Syslog, sačuvat će se samo kartica aktivne konfiguracije. Stoga možete postaviti samo jednu metodu uvoza podataka odjednom.
• Korak 6 Kliknite na dugme Sačuvaj.

Cisco Multicloud Defense

Slika 7: Stranica za konfiguraciju analitike sigurnog zlonamjernog softvera

• Multicloud Defense (MCD) koristi funkcionalnost sakupljača HTTP događaja Splunk umjesto komunikacije putem API-ja.
• Kreirajte instancu u Cisco Defense Orchestrator (CDO) prateći korake koji su definisani u odeljku Vodič za podešavanje na stranici za konfiguraciju Multicloud Defense.

Samo obavezna polja definirana u odjeljku Konfiguriranje aplikacije, potrebna su za autorizaciju s Multicloud Defense.

• Korak 1 Instalirajte Multicloud Defense instancu u CDO prateći Vodič za postavljanje na stranici za konfiguraciju.
• Korak 2 Unesite ime u polje Input Name.
• Korak 3 Kliknite na dugme Sačuvaj.

Cisco XDR

Slika 8: Stranica za XDR konfiguraciju

Za autorizaciju sa Private Intel API-jem potrebne su sljedeće vjerodajnice:

• client_id
• client_secret

Svako pokretanje unosa rezultira pozivom krajnjoj tački GET /iroh/oauth2/token za dobivanje tokena koji vrijedi 600 sekundi.

Tabela 5: Podaci o konfiguraciji Cisco XDR-a

Polje	Opis
Region	(Obavezno) Odaberite regiju prije odabira metode provjere autentičnosti.
Autentifikacija Metoda	(Obavezno) Dostupne su dvije metode provjere autentičnosti: korištenje ID-a klijenta i OAuth.
Vremenski opseg uvoza	(Obavezno) Dostupne su tri opcije uvoza: Uvezi sve podatke o incidentima, Uvezi iz kreiranog datuma i vremena i Uvezi iz definiranog datuma i vremena.
Promovirati XDR incidente u ES značajne ljude?	(Opcionalno) Splunk Enterprise Security (ES) promoviše Notables. Ako niste omogućili Enterprise Security, i dalje možete odabrati da se unaprijedite u značajne, ali događaji se ne pojavljuju u tom indeksu ili značajnim makroima. Nakon što omogućite Enterprise Security, događaji su prisutni u indeksu. Možete odabrati vrstu incidenata za unos (svi, kritični, srednji, niski, informacije, nepoznati, nijedan).

• Korak 1 Na stranici sa konfiguracijom Cisco XDR, unesite ime u polje Input Name.
• Korak 2 Odaberite metodu sa padajuće liste Metoda provjere autentičnosti.
  • ID klijenta:
    • Kliknite na dugme Idi na XDR da kreirate klijenta za svoj nalog u XDR-u.
    • Kopirajte i zalijepite ID klijenta
    • Postavite lozinku (Client_secret)
  • OAuth:
    • Slijedite generiranu vezu i potvrdite autentičnost. Morate imati XDR nalog.
    • Ako prvi link sa kodom nije radio, u drugom linku kopirajte korisnički kod i zalijepite ga ručno.
• Korak 3 Definirajte vrijeme uvoza u polju Vremenski opseg uvoza.
• Korak 4 Ako je potrebno, odaberite vrijednost u Promote XDR Incidents to ES Notables. polje.
• Korak 5 Kliknite na dugme Sačuvaj.

Cisco Secure Email Threat Defense

Slika 9: Stranica za konfiguraciju zaštite od prijetnji bezbedne e-pošte

Sljedeće vjerodajnice su potrebne za autorizaciju API-ja za zaštitu od prijetnji bezbedne e-pošte:

• api_key
• client_id
• client_secret

Tabela 6: Podaci o konfiguraciji zaštite od prijetnji bezbedne e-pošte

Polje	Opis
Region	(Obavezno) Ovo polje možete urediti da promijenite regiju.
Vremenski opseg uvoza	(Obavezno) Dostupne su tri opcije: Uvezi sve podatke poruke, Uvezi iz kreiranog datuma-vremena ili Uvezi iz definiranog datuma-vremena.

• Korak 1 Na stranici za konfiguraciju Secure Email Threat Defense, unesite ime u polje Input Name.
• Korak 2 Unesite API ključ, ID klijenta i tajni ključ klijenta.
• Korak 3 Odaberite regiju sa padajuće liste Region.
• Korak 4 Podesite vrijeme uvoza pod Opseg vremena uvoza.
• Korak 5 Kliknite na dugme Sačuvaj.

Cisco Secure Network Analytics

Sigurna mrežna analitika (SNA), ranije poznata kao Stealthwatch, analizira postojeće mrežne podatke kako bi pomogla u identifikaciji prijetnji koje su možda pronašle način da zaobiđu postojeće kontrole.

Slika 10: Stranica za konfiguraciju sigurne mrežne analitike

Akreditivi potrebni za autorizaciju:

• smc_host: (IP adresa ili ime hosta Stealthwatch Management Console)
• tenant_id (ID domene Stealthwatch Management Console za ovaj račun)
• korisničko ime (korisničko ime Stealthwatch Management Console)
• lozinka (lozinka Stealthwatch Management Console za ovaj račun)

Tablica 7: Podaci o konfiguraciji sigurne mrežne analitike

Polje	Opis
Vrsta proxyja	odaberite vrijednost sa padajuće liste: • Domaćin • Port • Korisničko ime • Lozinka
Interval	(Obavezno) Vremenski interval u sekundama između API upita. Podrazumevano, 300 sekundi.
Vrsta izvora	(obavezno)
Indeks	(Obavezno) Određuje odredišni indeks za SNA sigurnosne dnevnike. Podrazumevano, stanje: cisco_sna.
Poslije	(Obavezno) Početna vrijednost nakon se koristi kada se postavlja upit Stealthwatch API-ju. Podrazumevano, vrijednost je prije 10 minuta.

• Korak 1 Na stranici konfiguracije Secure Network Analytics unesite ime u polje Input Name.
• Korak 2 Unesite adresu upravitelja (IP ili host), ID domene, korisničko ime i lozinku.
• Korak 3 Ako je potrebno, postavite sljedeće pod proxy postavke:
  • Odaberite proxy sa padajuće liste Vrsta proxyja.
  • Unesite host, port, korisničko ime i lozinku u odgovarajuća polja.
• Korak 4 Definirajte ulazne konfiguracije:
  • Podesite vrijeme pod Interval. Podrazumevano, interval je postavljen na 300 sekundi (5 minuta).
  • Po potrebi možete promijeniti vrstu izvora pod Naprednim postavkama. Zadana vrijednost je cisco:sna.
  • Unesite odredišni indeks za sigurnosne dnevnike u polje Indeks.
• Korak 5 Kliknite na dugme Sačuvaj.

Dokumenti / Resursi

	CISCO Security Cloud aplikacija [pdf] Korisnički priručnik Sigurnost Cloud aplikacija, Cloud aplikacija, aplikacija
	CISCO Security Cloud aplikacija [pdf] Korisnički priručnik Sigurnost, Sigurnosni oblak, Oblak, Sigurnosna Cloud aplikacija, Aplikacija
	CISCO Security Cloud aplikacija [pdf] Korisnički priručnik Sigurnost Cloud aplikacija, Cloud aplikacija, aplikacija

Reference

• Uputstvo za upotrebu