Aplicación CISCO Security Cloud

Especificacións

• Nome do produto: Aplicación Cisco Security Cloud
• Fabricante: Cisco
• Integración: Funciona con varios produtos de Cisco

Instrucións de uso do produto

Configurar unha aplicación
A configuración da aplicación é a interface de usuario inicial para a aplicación Security Cloud. Siga estes pasos para configurar unha aplicación:

1. Vaia á páxina Configuración da aplicación > Produtos Cisco.
2. Escolla a aplicación Cisco desexada e prema en Configurar aplicación.
3. Completa o formulario de configuración que inclúe Breve descrición da aplicación, ligazóns de documentación e detalles de configuración.
4. Fai clic en Gardar. Asegúrese de que todos os campos estean cubertos correctamente para activar o botón Gardar.

Configurar produtos Cisco
Para configurar produtos Cisco dentro da aplicación Security Cloud, siga estes pasos:

1. Na páxina Produtos de Cisco, seleccione o produto Cisco específico que desexa configurar.
2. Fai clic en Configurar aplicación para ese produto.
3. Encha os campos obrigatorios, incluíndo o nome de entrada, o intervalo, o índice e o tipo de fonte.
4. Garda a configuración. Corrixa os erros se o botón Gardar está desactivado.

Configuración de Cisco Duo
Para configurar Cisco Duo na aplicación Security Cloud, siga estes pasos:

1. Na páxina Configuración de Duo, introduce o nome de entrada.
2. Proporcione as credenciais da API de administración nos campos Clave de integración, Chave secreta e Nome de host da API.
3. Se non tes estas credenciais, rexistra unha nova conta para obtelas.

Preguntas frecuentes (FAQ)

• P: Cales son os campos comúns necesarios para configurar aplicacións?
  A: Os campos comúns inclúen o nome de entrada, o intervalo, o índice e o tipo de fonte.
• P: Como podo xestionar a autorización coa API de Duo?
  A: A autorización coa API de Duo xestionase mediante o SDK de Duo para Python. Debes proporcionar o nome de host da API obtido do panel de administración de Duo xunto con outros campos opcionais segundo sexa necesario.

Este capítulo guíalle a través do proceso de engadir e configurar entradas para varias aplicacións (produtos Cisco) dentro da aplicación Security Cloud. As entradas son cruciais porque definen as fontes de datos que utiliza a aplicación Security Cloud para monitorizar. A configuración correcta das entradas garante que a súa cobertura de seguridade sexa completa e que todos os datos se mostren correctamente para o seguimento e seguimento futuros.

Configurar unha aplicación

A configuración da aplicación é a primeira interface de usuario para a aplicación Security Cloud. A páxina de configuración da aplicación consta de dúas seccións:

Figura 1: As miñas aplicacións

• A sección As miñas aplicacións da páxina Configuración da aplicación mostra todas as configuracións de entrada do usuario.
• Fai clic nunha hiperligazón dun produto para ir ao panel de control do produto.
• Para editar entradas, faga clic en Editar configuración no menú de accións.
• Para eliminar entradas, faga clic en Eliminar no menú de accións.

Figura 2: Produtos Cisco

• A páxina de Produtos de Cisco mostra todos os produtos de Cisco dispoñibles que están integrados coa aplicación Security Cloud.
• Pode configurar entradas para cada produto Cisco nesta sección.

Configurar unha aplicación

• Algúns campos de configuración son comúns en todos os produtos de Cisco e descríbense nesta sección.
• Os campos de configuración específicos dun produto descríbense nas seccións posteriores.

Táboa 1: Campos comúns

Campo	Descrición
Nome de entrada	(Obrigatorio) Un nome único para as entradas da aplicación.
Intervalo	(Obrigatorio) Intervalo de tempo en segundos entre consultas da API.
Índice	(Obrigatorio) Índice de destino para rexistros de aplicacións. Pódese cambiar se é necesario. Ofrécese a completación automática para este campo.
Tipo de fonte	(Obrigatorio) Para a maioría das aplicacións, é un valor predeterminado e está desactivado. Podes cambiar o seu valor en Configuración avanzada.

• Paso 1 Na páxina Configuración da aplicación > Produtos de Cisco, navegue ata a aplicación de Cisco necesaria.
• Paso 2 Fai clic en Configurar aplicación.
  A páxina de configuración consta de tres seccións: Breve descrición da aplicación, Documentación con ligazóns a recursos útiles e Formulario de configuración.
• Paso 3 Encha o formulario de configuración. Teña en conta o seguinte:
  • Os campos obrigatorios están marcados cun asterisco *.
  • Tamén hai campos opcionais.
  • Siga as instrucións e consellos descritos na sección específica da aplicación da páxina.
• Paso 4 Fai clic en Gardar.
  Se hai un erro ou campos baleiros, o botón Gardar está desactivado. Corrixe o erro e garda o formulario.

Cisco Duo

Figura 3: páxina de configuración de Duo

Ademais dos campos obrigatorios descritos na sección Configurar unha aplicación, na páxina 2, son necesarias as seguintes credenciais para a autorización coa API de Duo:

• ikey (clave de integración)
• skey (chave secreta)

A autorización corre a cargo de Duo SDK para Python.

Táboa 2: campos de configuración de Duo

Campo	Descrición
Nome de host da API	(Obrigatorio) Todos os métodos da API usan o nome de host da API. https://api-XXXXXXXX.duosecurity.com. Obtén este valor do panel de administración de Duo e utilízao exactamente como se mostra alí.
Rexistros de seguridade de Duo	Opcional.
Nivel de rexistro	(Opcional) Nivel de rexistro para as mensaxes escritas nos rexistros de entrada en $SPLUNK_HOME/var/log/splunk/duo_splunkapp/

• Paso 1 Na páxina de configuración de Duo, introduce o nome de entrada.
• Paso 2 Introduza as credenciais da API de administración nos campos Clave de integración, Chave secreta e nome de host da API. Se non tes estas credenciais, rexistrar unha nova conta.
  • Vaia a Aplicacións > Protexer unha aplicación > API de administración para crear unha nova API de administración.
• Paso 3 Defina o seguinte se é necesario:
  • Rexistros de seguridade de Duo
  • Nivel de rexistro
• Paso 4 Fai clic en Gardar.

Cisco Secure Malware Analytics

Figura 4: Páxina de configuración segura de análise de malware

Nota
Necesitas unha clave API (api_key) para a autorización coa API Secure Malware Analytics (SMA) Pase a clave API como tipo de portador no token de autorización da solicitude.

Asegure os datos de configuración de Malware Analytics

1. Anfitrión: (Obrigatorio) Especifica o nome da conta SMA.
2. Configuración do proxy: (Opcional) Consiste en Tipo de proxy, Proxy URL, Porto, Nome de usuario e Contrasinal.
3. Configuración de rexistro: (Opcional) Defina a configuración para a información de rexistro.

• Paso 1 Na páxina de configuración de Secure Malware Analytics, introduza un nome no Nome de entrada.
• Paso 2 Introduza os campos Host e API Key.
• Paso 3 Defina o seguinte se é necesario:
  • Configuración do proxy
  • Configuración de rexistro
• Paso 4 Fai clic en Gardar.

Centro de xestión de firewall seguro de Cisco

Figura 5: Páxina de configuración do centro de xestión do firewall seguro

• Pode importar datos na aplicación Secure Firewall mediante calquera dos dous procesos simplificados: eStreamer e Syslog.
• A páxina de configuración do Firewall seguro ofrece dúas pestanas, cada unha correspondente a un método de importación de datos diferente. Pode cambiar entre estas pestanas para configurar as entradas de datos respectivas.

Firewall e-Streamer

eStreamer SDK utilízase para comunicarse co Centro de xestión de firewall seguro.

Figura 6: Pestana Secure Firewall E-Streamer

Táboa 3: Datos de configuración do Firewall seguro

Campo	Descrición
Host FMC	(Obrigatorio) Especifica o nome do host do centro de xestión.
Porto	(Obrigatorio) Especifica o porto para a conta.
Certificado PKCS	(Obrigatorio) O certificado debe crearse na Consola de xestión do firewall: Certificado eStreamer Creación. O sistema só admite o pkcs12 file tipo.
Contrasinal	(Obrigatorio) Contrasinal para o certificado PKCS.
Tipos de eventos	(Obrigatorio) Escolla o tipo de eventos a inxerir (Todos, Conexión, Intrusión, File, Paquete de intrusión).

• Paso 1 Na pestana E-Streamer da páxina Engadir firewall seguro, escriba un nome no campo Nome de entrada.
• Paso 2 No espazo do certificado PKCS, cargue un .pkcs12 file para configurar o certificado PKCS.
• Paso 3 No campo Contrasinal, introduza o contrasinal.
• Paso 4 Escolla un evento en Tipos de eventos.
• Paso 5 Defina o seguinte Se é necesario:
  • Rexistros de seguridade de Duo
  • Nivel de rexistro
    Nota
    Se cambia entre as pestanas E-Streamer e Syslog, só se garda a pestana de configuración activa. Polo tanto, só pode establecer un método de importación de datos á vez.
• Paso 6 Fai clic en Gardar.

Firewall Syslog
Ademais dos campos obrigatorios que se describen na sección Configurar unha aplicación, a continuación móstranse as configuracións que son necesarias no lado do centro de xestión.

Táboa 4: Datos de configuración de Syslog do firewall seguro

Campo	Descrición
TCP/UDP	(Obrigatorio) Especifica o tipo de datos de entrada.
Porto	(Obrigatorio) Especifica un porto único para a conta.

• Paso 1 Na pestana Syslog da páxina Engadir firewall seguro, configure a conexión no lado do centro de xestión, no campo Nome de entrada, introduza un nome.
• Paso 2 Escolla TCP ou UDP para o Tipo de entrada.
• Paso 3 No campo Porto, introduza o número de porto
• Paso 4 Seleccione un tipo na lista despregable Tipo de fonte.
• Paso 5 Escolla os tipos de eventos para o tipo de fonte seleccionado.
  Nota
  Se cambia entre as pestanas E-Streamer e Syslog, só se garda a pestana de configuración activa. Polo tanto, só pode establecer un método de importación de datos á vez.
• Paso 6 Fai clic en Gardar.

Cisco Multicloud Defense

Figura 7: Páxina de configuración segura de análise de malware

• Multicloud Defense (MCD) aproveita a funcionalidade HTTP Event Collector de Splunk en lugar de comunicarse a través dunha API.
• Cree unha instancia en Cisco Defense Orchestrator (CDO), seguindo os pasos que se definen na sección Guía de configuración da páxina de configuración de Multicloud Defense.

Só son necesarios os campos obrigatorios definidos na sección Configurar unha aplicación para a autorización con Multicloud Defense.

• Paso 1 Instale unha instancia de Multicloud Defense en CDO seguindo a Guía de configuración da páxina de configuración.
• Paso 2 Introduza un nome no campo Nome de entrada.
• Paso 3 Fai clic en Gardar.

Cisco XDR

Figura 8: Páxina de configuración de XDR

Requírense as seguintes credenciais para a autorización con Private Intel API:

• cliente_id
• cliente_segredo

Cada execución de entrada resulta nunha chamada ao punto final GET /iroh/oauth2/token para obter un token válido durante 600 segundos.

Táboa 5: datos de configuración de Cisco XDR

Campo	Descrición
Rexión	(Obrigatorio) Seleccione unha rexión antes de seleccionar un Método de autenticación.
Autenticación Método	(Obrigatorio) Hai dous métodos de autenticación dispoñibles: mediante o ID de cliente e OAuth.
Importar intervalo de tempo	(Obrigatorio) Hai tres opcións de importación dispoñibles: Importar todos os datos do incidente, Importar desde a data-hora creada e Importar desde a data-hora definida.
Promover incidentes XDR a ES Notables?	(Opcional) Splunk Enterprise Security (ES) promove Notables. Se non activaches Enterprise Security, aínda podes optar por promocionar a persoas notables, pero os eventos non aparecen nese índice ou macros notables. Despois de activar Enterprise Security, os eventos están presentes no índice. Podes escoller o tipo de incidencias a inxerir (Todas, Críticas, Medias, Baixas, Información, Descoñecidas, Ningún).

• Paso 1 Na páxina de configuración de Cisco XDR, introduza un nome no campo Nome de entrada.
• Paso 2 Seleccione un método da lista despregable Método de autenticación.
  • ID de cliente:
    • Fai clic no botón Ir a XDR para crear un cliente para a túa conta en XDR.
    • Copia e pega o ID do cliente
    • Establecer un contrasinal (Client_secret)
  • OAuth:
    • Siga a ligazón xerada e autentíquese. Necesitas ter unha conta XDR.
    • Se a primeira ligazón co código non funcionou, na segunda, copia o código de usuario e pégao manualmente.
• Paso 3 Defina unha hora de importación no campo Intervalo de tempo de importación.
• Paso 4 Se é necesario, seleccione un valor en Promover incidentes XDR a ES Notables. campo.
• Paso 5 Fai clic en Gardar.

Cisco Secure Email Threat Defense

Figura 9: Páxina de configuración segura contra ameazas de correo electrónico

Requírense as seguintes credenciais para a autorización das API de Secure Email Threat Defense:

• chave_api
• cliente_id
• cliente_segredo

Táboa 6: Datos de configuración de defensa contra ameazas de correo electrónico seguro

Campo	Descrición
Rexión	(Obrigatorio) Podes editar este campo para cambiar a rexión.
Importar intervalo de tempo	(Obrigatorio) Hai tres opcións dispoñibles: Importar todos os datos da mensaxe, Importar desde a data-hora creada ou Importar desde a data-hora definida.

• Paso 1 Na páxina de configuración de Secure Email Threat Defense, introduza un nome no campo Nome de entrada.
• Paso 2 Introduza a clave API, o ID do cliente e a clave secreta do cliente.
• Paso 3 Seleccione unha rexión na lista despregable Rexión.
• Paso 4 Establece un tempo de importación en Intervalo de tempo de importación.
• Paso 5 Fai clic en Gardar.

Cisco Secure Network Analytics

Secure Network Analytics (SNA), antes coñecido como Stealthwatch, analiza os datos da rede existentes para axudar a identificar as ameazas que puideron atopar un xeito de evitar os controis existentes.

Figura 10: Páxina de configuración de análise de rede segura

Credenciais necesarias para a autorización:

• smc_host: (enderezo IP ou nome de host da Consola de xestión de Stealthwatch)
• tenant_id (ID de dominio de Stealthwatch Management Console para esta conta)
• nome de usuario (nome de usuario de Stealthwatch Management Console)
• contrasinal (contrasinal de Stealthwatch Management Console para esta conta)

Táboa 7: Datos de configuración de análise de rede segura

Campo	Descrición
Tipo de proxy	escolle un valor da lista despregable: • Anfitrión • Porto • Nome de usuario • Contrasinal
Intervalo	(Obrigatorio) Intervalo de tempo en segundos entre consultas da API. Por defecto, 300 segundos.
Tipo de fonte	(obrigatorio)
Índice	(Obrigatorio) Especifica o índice de destino para os rexistros de seguridade de SNA. Por defecto, estado: cisco_sna.
Despois	(Obrigatorio) O valor inicial posterior úsase cando se consulta a API de Stealthwatch. Por defecto, o valor é hai 10 minutos.

• Paso 1 Na páxina de configuración de Secure Network Analytics, introduza un nome no campo Nome de entrada.
• Paso 2 Introduza o enderezo do xestor (IP ou anfitrión), o ID de dominio, o nome de usuario e o contrasinal.
• Paso 3 Se é necesario, configure o seguinte en Configuración do proxy:
  • Escolla un proxy da lista despregable Tipo de proxy.
  • Introduza o host, porto, nome de usuario e contrasinal nos campos respectivos.
• Paso 4 Defina as configuracións de entrada:
  • Establece un tempo en Intervalo. Por defecto, o intervalo está configurado en 300 segundos (5 minutos).
  • Podes cambiar o tipo de fonte en Configuración avanzada se é necesario. O valor predeterminado é cisco:sna.
  • Introduza o índice de destino para os rexistros de seguridade no campo Índice.
• Paso 5 Fai clic en Gardar.

Documentos/Recursos

	Aplicación CISCO Security Cloud [pdfGuía do usuario Security Cloud App, Cloud App, App
	Aplicación CISCO Security Cloud [pdfGuía do usuario Seguridade, Security Cloud, Cloud, Security Cloud App, App
	Aplicación CISCO Security Cloud [pdfGuía do usuario Security Cloud App, Cloud App, App

Referencias

• Manual de usuario