
CISCO Security Cloud App

Specifikacijos
- Produkto pavadinimas: „Cisco Security Cloud App“.
- Gamintojas: Cisco
- Integracija: Dirba su įvairiais Cisco produktais
Produkto naudojimo instrukcijos
Nustatykite programą
Programos sąranka yra pradinė Security Cloud App vartotojo sąsaja. Norėdami sukonfigūruoti programą, atlikite šiuos veiksmus:
- Eikite į puslapį Programos sąranka > Cisco produktai.
- Pasirinkite norimą Cisco programą ir spustelėkite Konfigūruoti programą.
- Užpildykite konfigūracijos formą, kurioje yra trumpas programos aprašas, dokumentų nuorodos ir išsami konfigūracijos informacija.
- Spustelėkite Išsaugoti. Įsitikinkite, kad visi laukai užpildyti teisingai, kad įjungtumėte mygtuką Išsaugoti.
Konfigūruokite „Cisco“ produktus
Norėdami sukonfigūruoti „Cisco“ produktus „Security Cloud“ programoje, atlikite šiuos veiksmus:
- Puslapyje Cisco produktai pasirinkite konkretų Cisco produktą, kurį norite konfigūruoti.
- Spustelėkite Konfigūruoti to produkto programą.
- Užpildykite reikiamus laukus, įskaitant įvesties pavadinimą, intervalą, indeksą ir šaltinio tipą.
- Išsaugokite konfigūraciją. Ištaisykite visas klaidas, jei mygtukas Išsaugoti išjungtas.
Cisco Duo konfigūracija
Norėdami konfigūruoti „Cisco Duo“ „Security Cloud“ programoje, atlikite šiuos veiksmus:
- Puslapyje „Duo Configuration“ įveskite įvesties pavadinimą.
- Pateikite administratoriaus API kredencialus integravimo rakto, slaptojo rakto ir API pagrindinio kompiuterio pavadinimo laukuose.
- Jei šių kredencialų neturite, užregistruokite naują paskyrą, kad juos gautumėte.
Dažnai užduodami klausimai (DUK)
- Kl.: Kokie bendrieji laukai reikalingi programoms konfigūruoti?
A: Bendrieji laukai apima įvesties pavadinimą, intervalą, indeksą ir šaltinio tipą. - Kl.: Kaip galiu tvarkyti prieigos teisę naudojant „Duo“ API?
A: Autorizacija naudojant „Duo“ API tvarkoma naudojant „Duo SDK“, skirtą „Python“. Turite pateikti API pagrindinio kompiuterio pavadinimą, gautą iš „Duo“ administratoriaus skydelio, kartu su kitais pasirenkamais laukais, jei reikia.
Šiame skyriuje pateikiama informacija apie įvairių programų (Cisco produktų) įvesties įtraukimo ir konfigūravimo procesą „Security Cloud App“. Įvesties duomenys yra labai svarbūs, nes jie apibrėžia duomenų šaltinius, kuriuos „Security Cloud App“ naudoja stebėjimo tikslais. Tinkama įvesties konfigūracija užtikrina, kad jūsų saugumo aprėptis būtų visapusiška ir visi duomenys būtų tinkamai rodomi, kad būtų galima sekti ir stebėti ateityje.
Nustatykite programą
Programos sąranka yra pirmoji „Security Cloud App“ vartotojo sąsaja. Programos sąrankos puslapis susideda iš dviejų skyrių:
1 pav. Mano programos

- Programos sąrankos puslapio skiltyje Mano programos rodomos visos vartotojo įvesties konfigūracijos.
- Spustelėkite produkto hipersaitą, kad patektumėte į produkto informacijos suvestinę.

- Norėdami redaguoti įvestis, veiksmų meniu spustelėkite Redaguoti konfigūraciją.
- Norėdami ištrinti įvestis, veiksmų meniu spustelėkite Ištrinti.

2 pav.: „Cisco“ produktai

- „Cisco“ produktų puslapyje rodomi visi galimi „Cisco“ produktai, integruoti su „Security Cloud App“.
- Šiame skyriuje galite konfigūruoti kiekvieno Cisco produkto įvestis.
Konfigūruokite programą
- Kai kurie konfigūracijos laukai yra bendri visuose Cisco gaminiuose ir jie aprašyti šiame skyriuje.
- Konfigūracijos laukai, kurie yra būdingi gaminiui, aprašyti vėlesniuose skyriuose.
1 lentelė. Bendrieji laukai
| Laukas |
Aprašymas |
| Įvesties pavadinimas | (Privaloma) Unikalus programos įvesties pavadinimas. |
| Intervalas | (Privaloma) Laiko intervalas sekundėmis tarp API užklausų. |
| Rodyklė | (Privaloma) Programų žurnalų paskirties indeksas. Jei reikia, jį galima pakeisti.
Šiam laukui numatytas automatinis užpildymas. |
| Šaltinio tipas | (Privaloma) Daugumoje programų tai yra numatytoji reikšmė ir išjungta.
Galite pakeisti jo vertę Išplėstiniai nustatymai. |
- 1 veiksmas Puslapyje Programos sąranka > Cisco produktai pereikite prie reikiamos Cisco programos.
- 2 veiksmas Spustelėkite Konfigūruoti programą.
Konfigūracijos puslapį sudaro trys skyriai: trumpas programos aprašymas, dokumentacija su nuorodomis į naudingus išteklius ir konfigūracijos forma.
- 3 veiksmas Užpildykite konfigūracijos formą. Atkreipkite dėmesį į šiuos dalykus:
- Privalomi laukai pažymėti žvaigždute *.
- Taip pat yra pasirenkamų laukų.
- Vykdykite instrukcijas ir patarimus, aprašytus konkrečios puslapio programos skiltyje.
- 4 veiksmas Spustelėkite Išsaugoti.
Jei yra klaida arba tušti laukai, mygtukas Išsaugoti yra išjungtas. Ištaisykite klaidą ir išsaugokite formą.
Cisco Duo
3 pav. Duo konfigūracijos puslapis

Be privalomų laukų, aprašytų skyriuje „Programos konfigūravimas“, 2 puslapyje, norint autorizuoti naudojant „Duo“ API, reikalingi šie kredencialai:
- ikey (integravimo raktas)
- dangus (slaptasis raktas)
Prieigą tvarko Duo SDK, skirtas Python.
2 lentelė. Duo konfigūracijos laukai
|
Laukas |
Aprašymas |
| API prieglobos serverio pavadinimas | (Privaloma ) Visi API metodai naudoja API prieglobos pavadinimą. https://api-XXXXXXXX.duosecurity.com.
Gaukite šią reikšmę iš „Duo Admin Panel“ ir naudokite ją tiksliai taip, kaip parodyta ten. |
| „Duo“ saugos žurnalai | Neprivaloma. |
| Registravimo lygis | (Pasirenkama) Pranešimų, įrašytų į $SPLUNK_HOME/var/log/splunk/duo_splunkapp/ įvesties žurnalus, registravimo lygis |
- 1 veiksmas Duo konfigūracijos puslapyje įveskite įvesties pavadinimą.
- 2 veiksmas Įveskite administratoriaus API kredencialus į integravimo rakto, slaptojo rakto ir API pagrindinio kompiuterio pavadinimo laukus. Jei neturite šių kredencialų, užregistruoti naują paskyrą.
- Eikite į Programos > Apsaugokite programą > Administratoriaus API, kad sukurtumėte naują administratoriaus API.

- Eikite į Programos > Apsaugokite programą > Administratoriaus API, kad sukurtumėte naują administratoriaus API.
- 3 veiksmas Jei reikia, apibrėžkite:
- „Duo“ saugos žurnalai
- Registravimo lygis
- 4 veiksmas Spustelėkite Išsaugoti.
„Cisco“ saugi kenkėjiškų programų analizė
4 pav. Saugios kenkėjiškų programų analizės konfigūracijos puslapis


Pastaba
Jums reikia API rakto (api_key) autorizacijai naudojant saugios kenkėjiškų programų analizės (SMA) API Perduokite API raktą kaip nešiklio tipą užklausos prieigos rakte.
Saugūs kenkėjiškų programų analizės konfigūracijos duomenys
- Priegloba: (Privaloma) Nurodo SMA paskyros pavadinimą.
- Tarpinio serverio nustatymai: (Pasirenkama) Jį sudaro tarpinio serverio tipas, įgaliotasis serveris URL, Prievadas, Vartotojo vardas ir Slaptažodis.
- Registravimo nustatymai: (Pasirenkama) Apibrėžkite registravimo informacijos nustatymus.
- 1 veiksmas Saugios kenkėjiškų programų analizės konfigūracijos puslapyje įveskite pavadinimą lauke Įvesties pavadinimas.
- 2 veiksmas Įveskite Host ir API Key laukus.
- 3 veiksmas Jei reikia, apibrėžkite:
- Tarpinio serverio nustatymai
- Registravimo nustatymai
- 4 žingsnis Spustelėkite Išsaugoti.
„Cisco“ saugios ugniasienės valdymo centras
5 pav. Saugios ugniasienės valdymo centro konfigūracijos puslapis

- Galite importuoti duomenis į saugios ugniasienės programą naudodami bet kurį iš dviejų supaprastintų procesų: eStreamer ir Syslog.
- Saugios ugniasienės konfigūracijos puslapyje yra du skirtukai, kurių kiekvienas atitinka skirtingą duomenų importavimo metodą. Galite perjungti šiuos skirtukus, kad sukonfigūruotumėte atitinkamas duomenų įvestis.
Ugniasienė e-Streamer
„eStreamer“ SDK naudojamas bendravimui su saugios ugniasienės valdymo centru.
6 pav.: skirtukas Secure Firewall E-Streamer

3 lentelė. Saugios ugniasienės konfigūracijos duomenys
|
Laukas |
Aprašymas |
| FMC šeimininkas | (Privaloma) Nurodo valdymo centro pagrindinio kompiuterio pavadinimą. |
| Uostas | (Privaloma) Nurodo paskyros prievadą. |
| PKCS sertifikatas | (Privaloma) Sertifikatas turi būti sukurtas ugniasienės valdymo pulte – „eStreamer“ sertifikatas Kūrimas. Sistema palaiko tik pkcs12 file tipo. |
| Slaptažodis | (Privalomas) PKCS sertifikato slaptažodis. |
| Renginių tipai | (Privaloma) Pasirinkite įvykių, kuriuos norite gauti, tipą (visi, ryšys, įsilaužimas, File, įsibrovimo paketas). |
- 1 veiksmas Puslapio „Add Secure Firewall“ skirtuko „E-Streamer“ lauke Įvesties pavadinimas įveskite pavadinimą.
- 2 veiksmas PKCS sertifikato srityje įkelkite .pkcs12 file PKCS sertifikatui nustatyti.
- 3 veiksmas Lauke Slaptažodis įveskite slaptažodį.
- 4 veiksmas Skiltyje Įvykių tipai pasirinkite įvykį.
- 5 veiksmas Jei reikia, apibrėžkite:
- „Duo“ saugos žurnalai
- Registravimo lygis
Pastaba
Jei perjungiate E-Streamer ir Syslog skirtukus, išsaugomas tik aktyvus konfigūracijos skirtukas. Todėl vienu metu galite nustatyti tik vieną duomenų importavimo metodą.
- 6 žingsnis Spustelėkite Išsaugoti.
Firewall Syslog
Be privalomų laukų, aprašytų skyriuje Programos konfigūravimas, toliau pateikiamos konfigūracijos, kurios būtinos valdymo centro pusėje.

4 lentelė. Saugios ugniasienės Syslog konfigūracijos duomenys
|
Laukas |
Aprašymas |
| TCP / UDP | (Privaloma) Nurodo įvesties duomenų tipą. |
| Uostas | (Privaloma) Nurodo unikalų paskyros prievadą. |
- 1 veiksmas Puslapio Pridėti saugią užkardą skirtuke Syslog nustatykite ryšį valdymo centro pusėje, lauke Įvesties pavadinimas įveskite pavadinimą.
- 2 veiksmas Įvesties tipui pasirinkite TCP arba UDP.
- 3 veiksmas Lauke Prievadas įveskite prievado numerį
- 4 veiksmas Išskleidžiamajame šaltinio tipas sąraše pasirinkite tipą.
- 5 veiksmas Pasirinkite įvykių tipus pasirinktam šaltinio tipui.
Pastaba
Jei perjungiate E-Streamer ir Syslog skirtukus, išsaugomas tik aktyvus konfigūracijos skirtukas. Todėl vienu metu galite nustatyti tik vieną duomenų importavimo metodą. - 6 žingsnis Spustelėkite Išsaugoti.
Cisco Multicloud gynyba
7 pav. Saugios kenkėjiškų programų analizės konfigūracijos puslapis

- „Multicloud Defense“ (MCD) naudoja „Splunk“ HTTP įvykių rinkiklio funkciją, o ne bendrauja per API.
- Sukurkite egzempliorių „Cisco Defense Orchestrator“ (CDO), atlikdami veiksmus, nurodytus Multicloud Defense konfigūracijos puslapio skyriuje Sąrankos vadovas.

Tik privalomi laukai, apibrėžti skyriuje Konfigūruoti programą, reikalingi leidimui naudojant Multicloud Defense.
- 1 veiksmas Įdiekite Multicloud Defense egzempliorių CDO vadovaudamiesi sąrankos vadovu konfigūracijos puslapyje.
- 2 veiksmas Įveskite pavadinimą lauke Įvesties pavadinimas.
- 3 žingsnis Spustelėkite Išsaugoti.
Cisco XDR
8 pav.: XDR konfigūracijos puslapis

Norint autorizuoti privačią Intel API, reikalingi šie kredencialai:
- kliento_id
- kliento_paslaptis
Kiekvienas įvesties vykdymas sukelia iškvietimą į GET /iroh/oauth2/token galutinį tašką, kad būtų gautas prieigos raktas, galiojantis 600 sekundžių.
5 lentelė: Cisco XDR konfigūracijos duomenys
|
Laukas |
Aprašymas |
| Regionas | (Privaloma) Prieš pasirinkdami autentifikavimo metodą, pasirinkite regioną. |
| Autentifikavimas Metodas | (Privaloma) Galimi du autentifikavimo metodai: Kliento ID ir OAuth naudojimas. |
| Importavimo laiko intervalas | (Privaloma) Galimos trys importavimo parinktys: Importuoti visus incidento duomenis, Importuoti iš sukurtos datos ir laiko ir Importuoti iš nustatytos datos ir laiko. |
| Reklamuoti XDR incidentus ES Notables? | (Pasirenkama) „Splunk Enterprise Security“ (ES) reklamuoja „Notables“.
Jei neįjungėte įmonės saugos, vis tiek galite pasirinkti paaukštinti į svarbius žmones, bet įvykiai nerodomi tame indekse arba svarbiose makrokomandose. Įjungus įmonės apsaugą, įvykiai rodomi indekse. Galite pasirinkti įvykių, kuriuos norite gauti, tipą (visi, kritinis, vidutinis, žemas, informacija, nežinomas, nėra). |
- 1 veiksmas Cisco XDR konfigūracijos puslapyje įveskite pavadinimą lauke Įvesties pavadinimas.
- 2 veiksmas Išskleidžiamajame sąraše Autentifikavimo metodas pasirinkite metodą.
- Kliento ID:
- Spustelėkite mygtuką Eiti į XDR, kad sukurtumėte savo paskyros klientą XDR.
- Nukopijuokite ir įklijuokite kliento ID
- Nustatyti slaptažodį (Client_secret)
- OAuth:
- Sekite sugeneruotą nuorodą ir patvirtinkite. Turite turėti XDR paskyrą.
- Jei pirmoji nuoroda su kodu neveikė, antroje nuorodoje nukopijuokite vartotojo kodą ir įklijuokite jį rankiniu būdu.
- Kliento ID:
- 3 veiksmas Lauke Importavimo laiko diapazonas nustatykite importavimo laiką.
- 4 veiksmas Jei reikia, pasirinkite reikšmę Promote XDR Incidents to ES Notables. lauke.
- 5 žingsnis Spustelėkite Išsaugoti.
„Cisco“ saugi el. pašto grėsmių apsauga
9 pav. Saugios el. pašto grėsmės apsaugos konfigūracijos puslapis

Norint autorizuoti saugaus el. pašto grėsmių apsaugos API, reikalingi šie kredencialai:
- api_key
- kliento_id
- kliento_paslaptis
6 lentelė. Saugios el. pašto grėsmės apsaugos konfigūracijos duomenys
|
Laukas |
Aprašymas |
| Regionas | (Privaloma) Galite redaguoti šį lauką, kad pakeistumėte regioną. |
| Importavimo laiko intervalas | (Privaloma) Galimos trys parinktys: Importuoti visus pranešimo duomenis, Importuoti iš sukurtos datos ir laiko arba Importuoti iš nustatytos datos ir laiko. |
- 1 veiksmas Saugios el. pašto grėsmės apsaugos konfigūracijos puslapyje įveskite pavadinimą lauke Įvesties pavadinimas.
- 2 veiksmas Įveskite API raktą, kliento ID ir kliento slaptąjį raktą.
- 3 veiksmas Išskleidžiamajame sąraše Regionas pasirinkite regioną.
- 4 veiksmas Nustatykite importavimo laiką skiltyje Importavimo laiko diapazonas.
- 5 žingsnis Spustelėkite Išsaugoti.
„Cisco“ saugaus tinklo analizė
Secure Network Analytics (SNA), anksčiau žinoma kaip Stealthwatch, analizuoja esamus tinklo duomenis, kad padėtų nustatyti grėsmes, kurios galėjo rasti būdą apeiti esamus valdiklius.
10 pav. Saugaus tinklo analizės konfigūracijos puslapis

Įgaliojimui reikalingi kredencialai:
- smc_host: (Stealthwatch valdymo pulto IP adresas arba pagrindinio kompiuterio pavadinimas)
- tenant_id (šios paskyros „Stealthwatch Management Console“ domeno ID)
- vartotojo vardas (Stealthwatch Management Console vartotojo vardas)
- slaptažodis (šios paskyros slaptažodžio valdymo pulto slaptažodis)
7 lentelė: saugaus tinklo analizės konfigūracijos duomenys
|
Laukas |
Aprašymas |
| Tarpinio serverio tipas | pasirinkite vertę iš išskleidžiamojo sąrašo:
• Šeimininkas • Uostas • Vartotojo vardas • Slaptažodis |
| Intervalas | (Privaloma) Laiko intervalas sekundėmis tarp API užklausų. Pagal numatytuosius nustatymus 300 sek. |
| Šaltinio tipas | (privaloma) |
| Rodyklė | (Privaloma) Nurodo SNA saugos žurnalų paskirties indeksą. Pagal numatytuosius nustatymus nurodykite: cisco_sna. |
| Po to | (Privaloma) Pradinė po reikšmė naudojama užklausant Stealthwatch API. Pagal numatytuosius nustatymus reikšmė yra prieš 10 minučių. |
- 1 veiksmas Saugaus tinklo analizės konfigūracijos puslapyje įveskite pavadinimą lauke Įvesties pavadinimas.
- 2 veiksmas Įveskite valdytojo adresą (IP arba pagrindinio kompiuterio), domeno ID, vartotojo vardą ir slaptažodį.
- 3 veiksmas Jei reikia, tarpinio serverio nustatymuose nustatykite šiuos parametrus:
- Išskleidžiamajame sąraše Tarpinio serverio tipas pasirinkite tarpinį serverį.
- Atitinkamuose laukuose įveskite pagrindinį kompiuterį, prievadą, vartotojo vardą ir slaptažodį.
- 4 veiksmas Apibrėžkite įvesties konfigūracijas:
- Skiltyje Intervalas nustatykite laiką. Pagal numatytuosius nustatymus intervalas yra 300 sekundžių (5 minutės).
- Jei reikia, galite pakeisti šaltinio tipą skiltyje Išplėstiniai nustatymai. Numatytoji reikšmė yra cisco:sna.
- Lauke Indeksas įveskite saugos žurnalų paskirties indeksą.
- 5 žingsnis Spustelėkite Išsaugoti.
Dokumentai / Ištekliai
![]() | Saugos debesies programa |
![]() | Saugos debesies programa |
![]() | Saugos debesies programa |
Nuorodos
- Vartotojo vadovasmanual.tools



