Inhalt verstecken
1 CISCO Security Cloud App
2 Anweisungen zur Produktverwendung
3 Einrichten einer Anwendung
4 Konfigurieren einer Anwendung
5 Cisco Duo
6 Cisco Secure Malware Analytics
7 Cisco Secure Firewall Management Center
8 Cisco Multicloud-Verteidigung
9 Cisco XDR
10 Cisco Secure Email Threat Defense
11 Cisco Sichere Netzwerkanalyse
12 Dokumente / Ressourcen
12.1 Verweise

CISCO-Logo

CISCO Security Cloud App

CISCO-Security-Cloud-App-Produkt

Technische Daten

  • Produktname: Cisco Security Cloud App
  • Hersteller: Cisco
  • Integration: Funktioniert mit verschiedenen Cisco-Produkten

Anweisungen zur Produktverwendung

Einrichten einer Anwendung
Die Anwendungseinrichtung ist die erste Benutzeroberfläche für die Security Cloud App. Befolgen Sie diese Schritte, um eine Anwendung zu konfigurieren:

  1. Navigieren Sie zur Seite „Anwendungssetup > Cisco-Produkte“.
  2. Wählen Sie die gewünschte Cisco-Anwendung und klicken Sie auf „Anwendung konfigurieren“.
  3. Füllen Sie das Konfigurationsformular aus, das eine kurze App-Beschreibung, Dokumentationslinks und Konfigurationsdetails enthält.
  4. Klicken Sie auf Speichern. Stellen Sie sicher, dass alle Felder korrekt ausgefüllt sind, um die Schaltfläche Speichern zu aktivieren.

Konfigurieren Sie Cisco-Produkte
Um Cisco-Produkte in der Security Cloud App zu konfigurieren, gehen Sie folgendermaßen vor:

  1. Wählen Sie auf der Seite „Cisco-Produkte“ das spezifische Cisco-Produkt aus, das Sie konfigurieren möchten.
  2. Klicken Sie für dieses Produkt auf Anwendung konfigurieren.
  3. Füllen Sie die erforderlichen Felder aus, einschließlich Eingabename, Intervall, Index und Quellentyp.
  4. Speichern Sie die Konfiguration. Korrigieren Sie alle Fehler, wenn die Schaltfläche „Speichern“ deaktiviert ist.

Cisco Duo-Konfiguration
Gehen Sie folgendermaßen vor, um Cisco Duo in der Security Cloud App zu konfigurieren:

  1. Geben Sie auf der Duo-Konfigurationsseite den Eingabenamen ein.
  2. Geben Sie die Admin-API-Anmeldeinformationen in den Feldern Integrationsschlüssel, Geheimschlüssel und API-Hostname ein.
  3. Wenn Sie diese Anmeldeinformationen nicht haben, registrieren Sie ein neues Konto, um sie zu erhalten.

Häufig gestellte Fragen (FAQ)

  • F: Welche allgemeinen Felder werden zum Konfigurieren von Anwendungen benötigt?
    A: Zu den gemeinsamen Feldern gehören Eingabename, Intervall, Index und Quellentyp.
  • F: Wie kann ich die Autorisierung mit der Duo-API handhaben?
    A: Die Autorisierung mit der Duo-API erfolgt über das Duo SDK für Python. Sie müssen den API-Hostnamen angeben, den Sie vom Duo-Admin-Panel erhalten haben, sowie bei Bedarf weitere optionale Felder.

Dieses Kapitel führt Sie durch den Prozess des Hinzufügens und Konfigurierens von Eingaben für verschiedene Anwendungen (Cisco-Produkte) innerhalb der Security Cloud App. Eingaben sind entscheidend, da sie die Datenquellen definieren, die die Security Cloud App zu Überwachungszwecken verwendet. Die ordnungsgemäße Konfiguration der Eingaben stellt sicher, dass Ihre Sicherheitsabdeckung umfassend ist und dass alle Daten für die zukünftige Nachverfolgung und Überwachung richtig angezeigt werden.

Einrichten einer Anwendung

Die Anwendungseinrichtung ist die erste Benutzeroberfläche für die Security Cloud App. Die Seite „Anwendungseinrichtung“ besteht aus zwei Abschnitten:

Abbildung 1: Meine Apps

CISCO-Security-Cloud-App-Abb. (1)

  • Im Abschnitt „Meine Apps“ auf der Seite „Anwendungseinrichtung“ werden alle Benutzereingabekonfigurationen angezeigt.
  • Klicken Sie auf einen Produkt-Hyperlink, um zum Produkt-Dashboard zu gelangen.CISCO-Security-Cloud-App-Abb. (2)
  • Um Eingaben zu bearbeiten, klicken Sie im Aktionsmenü auf „Konfiguration bearbeiten“.
  • Um Eingaben zu löschen, klicken Sie im Aktionsmenü auf Löschen.CISCO-Security-Cloud-App-Abb. (3)

Abbildung 2: Cisco-Produkte

CISCO-Security-Cloud-App-Abb. (4)

  • Auf der Seite „Cisco-Produkte“ werden alle verfügbaren Cisco-Produkte angezeigt, die in die Security Cloud App integriert sind.
  • In diesem Abschnitt können Sie Eingänge für jedes Cisco-Produkt konfigurieren.

Konfigurieren einer Anwendung

  • Einige Konfigurationsfelder sind für alle Cisco-Produkte gleich und werden in diesem Abschnitt beschrieben.
  • Produktspezifische Konfigurationsfelder werden in den späteren Abschnitten beschrieben.

Tabelle 1: Gemeinsame Felder

Feld

Beschreibung
Eingabename (Obligatorisch) Ein eindeutiger Name für die Eingaben der Anwendung.
Intervall (Obligatorisch) Zeitintervall in Sekunden zwischen API-Abfragen.
Index (Obligatorisch) Zielindex für Anwendungsprotokolle. Er kann bei Bedarf geändert werden.

Für dieses Feld ist eine automatische Vervollständigung vorgesehen.
Quellentyp (Obligatorisch) Für die meisten Apps ist dies ein Standardwert und deaktiviert.

Sie können den Wert ändern in Erweiterte Einstellungen.
  • Schritt 1 Navigieren Sie auf der Seite „Anwendungs-Setup > Cisco-Produkte“ zur erforderlichen Cisco-Anwendung.
  • Schritt 2 Klicken Sie auf „Anwendung konfigurieren“.
    Die Konfigurationsseite besteht aus drei Abschnitten: Kurze App-Beschreibung, Dokumentation mit Links zu nützlichen Ressourcen und Konfigurationsformular.CISCO-Security-Cloud-App-Abb. (5)
  • Schritt 3 Füllen Sie das Konfigurationsformular aus. Beachten Sie dabei Folgendes:
    • Pflichtfelder sind mit einem Sternchen * gekennzeichnet.
    • Es gibt auch optionale Felder.
    • Befolgen Sie die Anweisungen und Tipps im jeweiligen App-Abschnitt der Seite.
  • Schritt 4 Klicken Sie auf Speichern.
    Wenn ein Fehler vorliegt oder die Felder leer sind, ist die Schaltfläche „Speichern“ deaktiviert. Korrigieren Sie den Fehler und speichern Sie das Formular.

Cisco Duo

Abbildung 3: Duo-Konfigurationsseite

CISCO-Security-Cloud-App-Abb. (6)

Zusätzlich zu den im Abschnitt „Konfigurieren einer Anwendung auf Seite 2“ beschriebenen Pflichtfeldern sind für die Autorisierung mit der Duo-API die folgenden Anmeldeinformationen erforderlich:

  • ikey (Integrationsschlüssel)
  • skey (Geheimer Schlüssel)

Die Autorisierung wird vom Duo SDK für Python übernommen.

Tabelle 2: Duo-Konfigurationsfelder

Feld

Beschreibung
API-Hostname (Obligatorisch) Alle API-Methoden verwenden den API-Hostnamen. https://api-XXXXXXXX.duosecurity.com.

Beziehen Sie diesen Wert aus dem Duo-Admin-Panel und verwenden Sie ihn genau wie dort angezeigt.
Duo-Sicherheitsprotokolle Optional.
Protokollierungsebene (Optional) Protokollierungsebene für Nachrichten, die in Eingabeprotokolle in $SPLUNK_HOME/var/log/splunk/duo_splunkapp/ geschrieben werden
  • Schritt 1 Geben Sie auf der Duo-Konfigurationsseite den Eingabenamen ein.
  • Schritt 2 Geben Sie die Admin-API-Anmeldeinformationen in die Felder Integrationsschlüssel, Geheimschlüssel und API-Hostname ein. Wenn Sie diese Anmeldeinformationen nicht haben, ein neues Konto registrieren.
    • Navigieren Sie zu Anwendungen > Anwendung schützen > Admin-API, um eine neue Admin-API zu erstellen.CISCO-Security-Cloud-App-Abb. (7)
  • Schritt 3 Definieren Sie bei Bedarf Folgendes:
    • Duo-Sicherheitsprotokolle
    • Protokollierungsebene
  • Schritt 4 Klicken Sie auf Speichern.

Cisco Secure Malware Analytics

Abbildung 4: Konfigurationsseite für Secure Malware Analytics

CISCO-Security-Cloud-App-Abb. (8)CISCO-Security-Cloud-App-Abb. (9)

Notiz
Sie benötigen einen API-Schlüssel (api_key) für die Autorisierung mit der Secure Malware Analytics (SMA)-API. Übergeben Sie den API-Schlüssel als Bearer-Typ im Autorisierungstoken der Anfrage.

Sichere Malware Analytics-Konfigurationsdaten

  1. Gastgeber: (Obligatorisch) Gibt den Namen des SMA-Kontos an.
  2. Proxy-Einstellungen: (Optional) Besteht aus Proxy-Typ, Proxy URL, Port, Benutzername und Passwort.
  3. Protokollierungseinstellungen: (Optional) Definieren Sie die Einstellungen für die Protokollierungsinformationen.
  • Schritt 1: Geben Sie auf der Konfigurationsseite von Secure Malware Analytics im Feld „Eingabename“ einen Namen ein.
  • Schritt 2: Geben Sie die Felder „Host“ und „API-Schlüssel“ ein.
  • Schritt 3 Definieren Sie bei Bedarf Folgendes:
    • Proxy-Einstellungen
    • Protokollierungseinstellungen
  • Schritt 4 Klicken Sie auf Speichern.

Cisco Secure Firewall Management Center

Abbildung 5: Secure Firewall Management Center-Konfigurationsseite

CISCO-Security-Cloud-App-Abb. (10)

  • Sie können Daten mit einem der beiden optimierten Prozesse in die Secure Firewall-Anwendung importieren: eStreamer und Syslog.
  • Die Konfigurationsseite der Secure Firewall bietet zwei Registerkarten, die jeweils einer anderen Datenimportmethode entsprechen. Sie können zwischen diesen Registerkarten wechseln, um die jeweiligen Dateneingaben zu konfigurieren.

Firewall e-Streamer

eStreamer SDK wird für die Kommunikation mit dem Secure Firewall Management Center verwendet.

Abbildung 6: Registerkarte „Secure Firewall E-Streamer“

CISCO-Security-Cloud-App-Abb. (11)

Tabelle 3: Konfigurationsdaten der Secure Firewall

Feld

Beschreibung
FMC-Host (Obligatorisch) Gibt den Namen des Management Center-Hosts an.
Hafen (Obligatorisch) Gibt den Port für das Konto an.
PKCS-Zertifikat (Obligatorisch) Das Zertifikat muss in der Firewall-Verwaltungskonsole erstellt werden – eStreamer-Zertifikat Schaffung. Das System unterstützt nur die pkcs12 file Typ.
Passwort (Obligatorisch) Passwort für das PKCS-Zertifikat.
Ereignistypen (Obligatorisch) Wählen Sie den Typ der aufzunehmenden Ereignisse (Alle, Verbindung, Einbruch, File, Intrusion-Paket).
  • Schritt 1: Geben Sie auf der Seite „Sichere Firewall hinzufügen“ auf der Registerkarte „E-Streamer“ im Feld „Name eingeben“ einen Namen ein.
  • Schritt 2 Laden Sie im Bereich PKCS-Zertifikat eine .pkcs12-Datei hoch. file um das PKCS-Zertifikat einzurichten.
  • Schritt 3: Geben Sie im Feld „Passwort“ das Passwort ein.
  • Schritt 4: Wählen Sie unter „Ereignistypen“ ein Ereignis aus.
  • Schritt 5 Definieren Sie bei Bedarf Folgendes:
    • Duo-Sicherheitsprotokolle
    • Protokollierungsebene
      Notiz
      Wenn Sie zwischen den Registerkarten „E-Streamer“ und „Syslog“ wechseln, wird immer nur die aktive Konfigurationsregisterkarte gespeichert. Sie können daher immer nur eine Methode zum Datenimport gleichzeitig festlegen.
  • Schritt 6 Klicken Sie auf Speichern.

Firewall-Syslog
Zusätzlich zu den im Abschnitt „Konfigurieren einer Anwendung“ beschriebenen Pflichtfeldern sind die folgenden Konfigurationen auf der Management Center-Seite erforderlich.

CISCO-Security-Cloud-App-Abb. (12)

Tabelle 4: Secure Firewall Syslog-Konfigurationsdaten

Feld

Beschreibung
TCP/UDP (Obligatorisch) Gibt den Typ der Eingabedaten an.
Hafen (Obligatorisch) Gibt einen eindeutigen Port für das Konto an.
  • Schritt 1: Richten Sie auf der Seite „Sichere Firewall hinzufügen“ auf der Registerkarte „Syslog“ die Verbindung auf der Management-Center-Seite ein und geben Sie im Feld „Eingabename“ einen Namen ein.
  • Schritt 2: Wählen Sie TCP oder UDP als Eingabetyp.
  • Schritt 3 Geben Sie im Feld Port die Portnummer ein
  • Schritt 4: Wählen Sie einen Typ aus der Dropdown-Liste „Quelltyp“ aus.
  • Schritt 5: Wählen Sie Ereignistypen für den ausgewählten Quelltyp.
    Notiz
    Wenn Sie zwischen den Registerkarten „E-Streamer“ und „Syslog“ wechseln, wird immer nur die aktive Konfigurationsregisterkarte gespeichert. Sie können daher immer nur eine Methode zum Datenimport gleichzeitig festlegen.
  • Schritt 6 Klicken Sie auf Speichern.

Cisco Multicloud-Verteidigung

Abbildung 7: Konfigurationsseite für Secure Malware Analytics

CISCO-Security-Cloud-App-Abb. (13)

  • Multicloud Defense (MCD) nutzt die HTTP Event Collector-Funktionalität von Splunk, anstatt über eine API zu kommunizieren.
  • Erstellen Sie eine Instanz in Cisco Defense Orchestrator (CDO), indem Sie die Schritte befolgen, die im Abschnitt „Einrichtungshandbuch“ der Multicloud Defense-Konfigurationsseite definiert sind.

CISCO-Security-Cloud-App-Abb. (14)

Für die Autorisierung bei Multicloud Defense sind nur die im Abschnitt „Anwendung konfigurieren“ definierten Pflichtfelder erforderlich.

  • Schritt 1: Installieren Sie eine Multicloud Defense-Instanz in CDO, indem Sie der Einrichtungsanleitung auf der Konfigurationsseite folgen.
  • Schritt 2: Geben Sie im Feld „Eingabename“ einen Namen ein.
  • Schritt 3 Klicken Sie auf Speichern.

Cisco XDR

Abbildung 8: XDR-Konfigurationsseite

CISCO-Security-Cloud-App-Abb. (15)

Für die Autorisierung bei Private Intel API sind die folgenden Anmeldeinformationen erforderlich:

  • Client-ID
  • Client-Geheimnis

Jeder Eingabelauf führt zu einem Aufruf des Endpunkts GET /iroh/oauth2/token, um ein Token zu erhalten, das 600 Sekunden gültig ist.

Tabelle 5: Cisco XDR-Konfigurationsdaten

Feld

Beschreibung
Region (Obligatorisch) Wählen Sie eine Region aus, bevor Sie eine Authentifizierungsmethode auswählen.
Authentifizierung Verfahren (Obligatorisch) Es stehen zwei Authentifizierungsmethoden zur Verfügung: Verwendung von Client-ID und OAuth.
Importzeitraum (Obligatorisch) Drei Importoptionen stehen zur Verfügung: „Alle Vorfalldaten importieren“, „Ab Erstellungsdatum und -uhrzeit importieren“ und „Ab definierter Datums- und Uhrzeitangabe importieren“.
XDR-Vorfälle an ES-Persönlichkeiten weitergeben? (Optional) Splunk Enterprise Security (ES) fördert Bemerkenswertes.

Wenn Sie die Unternehmenssicherheit nicht aktiviert haben, können Sie dennoch die Beförderung zu bemerkenswerten Ereignissen wählen, Ereignisse werden jedoch nicht in diesem Index oder in bemerkenswerten Makros angezeigt.

Nachdem Sie Enterprise Security aktiviert haben, sind Ereignisse im Index vorhanden.

Sie können den Typ der zu erfassenden Vorfälle auswählen (Alle, Kritisch, Mittel, Niedrig, Info, Unbekannt, Keine).
  • Schritt 1: Geben Sie auf der Cisco XDR-Konfigurationsseite einen Namen in das Feld „Eingabename“ ein.
  • Schritt 2: Wählen Sie eine Methode aus der Dropdown-Liste „Authentifizierungsmethode“ aus.
    • Kunden ID:
      • Klicken Sie auf die Schaltfläche „Zu XDR gehen“, um einen Client für Ihr Konto in XDR zu erstellen.
      • Kopieren Sie die Client-ID und fügen Sie sie ein
      • Legen Sie ein Passwort fest (Client_secret)
    • OAuth:
      • Folgen Sie dem generierten Link und authentifizieren Sie sich. Sie benötigen ein XDR-Konto.
      • Wenn der erste Link mit dem Code nicht funktioniert hat, kopieren Sie im zweiten Link den Benutzercode und fügen Sie ihn manuell ein.
  • Schritt 3: Definieren Sie im Feld „Importzeitraum“ eine Importzeit.
  • Schritt 4: Wählen Sie bei Bedarf einen Wert im Feld „XDR-Vorfälle an ES-Notables weiterleiten“ aus.
  • Schritt 5 Klicken Sie auf Speichern.

Cisco Secure Email Threat Defense

Abbildung 9: Secure Email Threat Defense-Konfigurationsseite

CISCO-Security-Cloud-App-Abb. (16)

Für die Autorisierung der Secure Email Threat Defense-APIs sind die folgenden Anmeldeinformationen erforderlich:

  • API-Schlüssel
  • Client-ID
  • Client-Geheimnis

Tabelle 6: Secure Email Threat Defense-Konfigurationsdaten

Feld

Beschreibung
Region (Obligatorisch) Sie können dieses Feld bearbeiten, um die Region zu ändern.
Importzeitraum (Obligatorisch) Drei Optionen stehen zur Verfügung: „Alle Nachrichtendaten importieren“, „Ab erstelltem Datum und Uhrzeit importieren“ oder „Ab definiertem Datum und Uhrzeit importieren“.
  • Schritt 1: Geben Sie auf der Konfigurationsseite von Secure Email Threat Defense einen Namen in das Feld „Eingabename“ ein.
  • Schritt 2: Geben Sie den API-Schlüssel, die Client-ID und den geheimen Clientschlüssel ein.
  • Schritt 3: Wählen Sie aus der Dropdown-Liste „Region“ eine Region aus.
  • Schritt 4: Legen Sie unter „Importzeitraum“ eine Importzeit fest.
  • Schritt 5 Klicken Sie auf Speichern.

Cisco Sichere Netzwerkanalyse

Secure Network Analytics (SNA), früher bekannt als Stealthwatch, analysiert die vorhandenen Netzwerkdaten, um Bedrohungen zu identifizieren, die möglicherweise einen Weg gefunden haben, die vorhandenen Kontrollen zu umgehen.

Abbildung 10: Seite „Secure Network Analytics-Konfiguration“

CISCO-Security-Cloud-App-Abb. (17)

Für die Autorisierung erforderliche Anmeldeinformationen:

  • smc_host: (IP-Adresse oder Hostname der Stealthwatch-Verwaltungskonsole)
  • tenant_id (Domänen-ID der Stealthwatch-Verwaltungskonsole für dieses Konto)
  • Benutzername (Benutzername der Stealthwatch-Verwaltungskonsole)
  • Passwort (Passwort der Stealthwatch-Verwaltungskonsole für dieses Konto)

Tabelle 7: Secure Network Analytics-Konfigurationsdaten

Feld

Beschreibung
Proxy-Typ Wählen Sie einen Wert aus der Dropdown-Liste:

• Gastgeber

• Hafen

• Benutzername

• Passwort
Intervall (Obligatorisch) Zeitintervall in Sekunden zwischen API-Abfragen. Standardmäßig 300 Sekunden.
Quellentyp (Obligatorisch)
Index (Obligatorisch) Gibt den Zielindex für SNA-Sicherheitsprotokolle an. Standardmäßig lautet der Status: cisco_sna.
Nach (Obligatorisch) Der anfängliche Wert wird bei der Abfrage der Stealthwatch-API verwendet. Standardmäßig ist der Wert „vor 10 Minuten“.
  • Schritt 1: Geben Sie auf der Konfigurationsseite von Secure Network Analytics einen Namen in das Feld „Eingabename“ ein.
  • Schritt 2: Geben Sie die Manageradresse (IP oder Host), die Domänen-ID, den Benutzernamen und das Passwort ein.
  • Schritt 3 Legen Sie bei Bedarf unter Proxy-Einstellungen Folgendes fest:
    • Wählen Sie einen Proxy aus der Dropdown-Liste „Proxytyp“ aus.
    • Geben Sie Host, Port, Benutzernamen und Passwort in die entsprechenden Felder ein.
  • Schritt 4 Definieren Sie die Eingabekonfigurationen:
    • Legen Sie unter Intervall eine Zeit fest. Standardmäßig ist das Intervall auf 300 Sekunden (5 Minuten) eingestellt.
    • Sie können den Quelltyp bei Bedarf unter Erweiterte Einstellungen ändern. Der Standardwert ist cisco:sna.
    • Geben Sie den Zielindex für die Sicherheitsprotokolle im Feld „Index“ ein.
  • Schritt 5 Klicken Sie auf Speichern.

Dokumente / Ressourcen

CISCO Security Cloud App [pdf] Benutzerhandbuch
Sicherheit Cloud-App, Cloud-App, App
CISCO Security Cloud App [pdf] Benutzerhandbuch
Sicherheit, Sicherheits-Cloud, Cloud, Sicherheits-Cloud-App, App
CISCO Security Cloud App [pdf] Benutzerhandbuch
Sicherheit Cloud-App, Cloud-App, App

Verweise

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert *