CISCO Security Cloud App User Guide

CISCO Security Cloud App

Spesifikaasjes

• Produkt Namme: Cisco Security Cloud App
• Fabrikant: Cisco
• Yntegraasje: Wurket mei ferskate Cisco produkten

Produkt Usage Ynstruksjes

Stel in applikaasje yn
Application Setup is de earste brûkersynterface foar de Security Cloud App. Folgje dizze stappen om in applikaasje te konfigurearjen:

1. Gean nei de Applikaasje-ynstellings> Cisco-produkten side.
2. Kies de winske Cisco-applikaasje en klikje op Applikaasje konfigurearje.
3. Folje it konfiguraasjeformulier yn dat in koarte app-beskriuwing, dokumintaasjekeppelings en konfiguraasjedetails omfettet.
4. Klik op Bewarje. Soargje derfoar dat alle fjilden goed binne ynfold om de knop Bewarje yn te skeakeljen.

Cisco Products ynstelle
Om Cisco-produkten yn 'e Security Cloud-app te konfigurearjen, folgje dizze stappen:

1. Pa Cisco Products side, selektearje de spesifike Cisco produkt jo wolle ynstelle.
2. Klikje op Applikaasje ynstelle foar dat produkt.
3. Folje de fereaske fjilden yn, ynklusyf ynfiernamme, ynterval, yndeks en boarnetype.
4. Bewarje de konfiguraasje. Korrigearje alle flaters as de knop Bewarje is útskeakele.

Cisco Duo Konfiguraasje
Foar it konfigurearjen fan Cisco Duo binnen de Security Cloud App, folgje dizze stappen:

1. Fier yn 'e Duo-konfiguraasjepagina de ynfiernamme yn.
2. Jou de admin API-bewizen yn 'e fjilden yntegraasjekaai, geheime kaai en API-hostnamme.
3. As jo ​​​​dizze bewiisbrieven net hawwe, registrearje dan in nij akkount om se te krijen.

Faak stelde fragen (FAQ)

• F: Wat binne de mienskiplike fjilden nedich foar it konfigurearjen fan applikaasjes?
  A: De mienskiplike fjilden omfetsje ynfiernamme, ynterval, yndeks en boarnetype.
• F: Hoe kin ik autorisaasje omgean mei Duo API?
  A: Autorisaasje mei Duo API wurdt behannele mei de Duo SDK foar Python. Jo moatte de API-hostnamme leverje krigen fan it Duo Admin Panel tegearre mei oare opsjonele fjilden as nedich.

Dit haadstik liedt jo troch it proses fan it tafoegjen en konfigurearjen fan ynputs foar ferskate applikaasjes (Cisco-produkten) binnen de Security Cloud-app. Ynputen binne krúsjaal om't se de gegevensboarnen definiearje dy't de Security Cloud App brûkt foar tafersjochdoelen. Goede konfiguraasje fan ynputen soarget derfoar dat jo befeiligingsdekking wiidweidich is en dat alle gegevens goed werjûn wurde foar takomstich folgjen en tafersjoch.

Stel in applikaasje yn

Application Setup is de earste brûkersynterface foar de Security Cloud App. De applikaasje-ynstellingsside bestiet út twa seksjes:

Ofbylding 1: Myn apps

• De seksje Myn apps op 'e applikaasje-ynstellingsside toant alle konfiguraasjes foar brûkersynfier.
• Klikje op in produkthyperlink om nei it produktdashboard te gean.
• Om yngongen te bewurkjen, klikje op Konfiguraasje bewurkje ûnder it aksjemenu.
• Om yngongen te wiskjen, klikje op Wiskje ûnder it aksjemenu.

figuer 2: Cisco Products

• De Cisco Products side toant alle beskikbere Cisco produkten dy't binne yntegrearre mei Security Cloud App.
• Jo kinne ynstelle yngongen foar eltse Cisco produkt yn dizze seksje.

Konfigurearje in applikaasje

• Guon konfiguraasje fjilden binne mienskiplik oer alle Cisco produkten en se wurde beskreaun yn dizze paragraaf.
• Konfiguraasjefjilden dy't spesifyk binne foar in produkt wurde beskreaun yn 'e lettere seksjes.

Tabel 1: Mienskiplike fjilden

Fjild	Beskriuwing
Input Namme	(Ferplichtich) In unike namme foar yngongen fan 'e applikaasje.
Tuskenskoft	(Ferplicht) Tiidsinterval yn sekonden tusken API-fragen.
Yndeks	(Ferplicht) Bestimmingsyndeks foar applikaasje logs. It kin feroare wurde as nedich. Automatysk foltôgje wurdt foar dit fjild levere.
Boarne Type	(Ferplicht) Foar de measte apps is it in standertwearde en is útskeakele. Jo kinne de wearde feroarje yn Avansearre ynstellings.

• Stap 1 Yn de Applikaasje Setup> Cisco Products side, navigearje nei de fereaske Cisco applikaasje.
• Stap 2 Klik Applikaasje ynstelle.
  De konfiguraasjeside bestiet út trije seksjes: Koarte app-beskriuwing, dokumintaasje mei keppelings nei nuttige boarnen, en konfiguraasjeformulier.
• Stap 3 Folje it konfiguraasjeformulier yn. Let op it folgjende:
  • Ferplichte fjilden binne markearre mei in asterisk *.
  • Der binne ek opsjonele fjilden.
  • Folgje de ynstruksjes en tips beskreaun yn 'e spesifike app-seksje fan' e side.
• Stap 4 Klik op Bewarje.
  As der in flater of lege fjilden is, is de knop Bewarje útskeakele. Korrigearje de flater en bewarje it formulier.

Cisco Duo

figuer 3: Duo Konfiguraasje side

Njonken de ferplichte fjilden beskreaun yn 'e In applikaasje konfigurearje, op side 2 seksje, binne de folgjende bewiisbrieven nedich foar autorisaasje mei Duo API:

• ikey (yntegraasjekaai)
• skey (geheime kaai)

Autorisaasje wurdt behannele troch de Duo SDK foar Python.

tabel 2: Duo konfiguraasje fjilden

Fjild	Beskriuwing
API Hostnamme	(ferplicht) Alle API-metoaden brûke de API-hostnamme. https://api-XXXXXXXX.duosecurity.com. Krij dizze wearde fan it Duo Admin Panel en brûk it krekt lykas dêr werjûn.
Duo Security Logs	Fakultatyf.
Logging Level	(Opsjoneel) Oanmeldingsnivo foar berjochten skreaun nei ynfier logs yn $SPLUNK_HOME/var/log/splunk/duo_splunkapp/

• Stap 1 Fier yn 'e Duo-konfiguraasjepagina de ynfiernamme yn.
• Stap 2 Fier de admin API-bewiis yn 'e yntegraasjekaai, geheime kaai en de API-hostnammefjilden. As jo ​​​​dizze bewiisbrieven net hawwe, registrearje in nij akkount.
  • Gean nei Applikaasjes > Beskermje in applikaasje > Admin API om in nije Admin API te meitsjen.
• Stap 3 Definearje it folgjende as nedich:
  • Duo Security Logs
  • Logging Level
• Stap 4 Klik op Bewarje.

Cisco Secure Malware Analytics

figuer 4: Feilige Malware Analytics konfiguraasje side

Noat
Jo hawwe in API-kaai (api_key) nedich foar autorisaasje mei Secure Malware Analytics (SMA) API Trochjaan de API-kaai as de Bearer-type yn it Machtigingstoken fan it fersyk.

Feilige Malware Analytics-konfiguraasjegegevens

1. Gasthear: (Ferplichtich) Jout de namme fan it SMA-akkount oan.
2. Proxy ynstellings: (Opsjoneel) bestiet út Proxy Type, Proxy URL, Poarte, Brûkersnamme en Wachtwurd.
3. Logging ynstellings: (Opsjoneel) Definiearje de ynstellings foar logynformaasje.

• Stap 1 Fier yn 'e Secure Malware Analytics-konfiguraasjeside in namme yn yn' e ynfiernamme.
• Stap 2 Fier de Host- en de API-kaaifjilden yn.
• Stap 3 Definearje it folgjende as nedich:
  • Proxy ynstellings
  • Logging Ynstellings
• Stap 4 Klikje op Bewarje.

Cisco Secure Firewall Management Center

figuer 5: Secure Firewall Management Center Konfiguraasje side

• Jo kinne gegevens ymportearje yn 'e Secure Firewall-applikaasje mei ien fan' e twa streamline prosessen: eStreamer en Syslog.
• De Secure Firewall-konfiguraasjeside biedt twa ljeppers, elk oerienkomt mei in oare metoade foar gegevensimport. Jo kinne wikselje tusken dizze ljeppers om de respektivelike gegevensyngongen te konfigurearjen.

Firewall e-Streamer

eStreamer SDK wurdt brûkt foar kommunikaasje mei it Secure Firewall Management Center.

figuer 6: Secure Firewall E-Streamer ljepper

tabel 3: Feilige Firewall konfiguraasje gegevens

Fjild	Beskriuwing
FMC Host	(Ferplichtich) Spesifiseart de namme fan de host fan it behearsintrum.
Haven	(Ferplichtich) Jout de poarte foar it akkount oan.
PKCS sertifikaat	(Ferplicht) It sertifikaat moat oanmakke wurde op 'e Firewall Management Console - eStreamer Sertifikaat Kreaasje. It systeem stipet allinich de pkcs12 file type.
Wachtwurd	(ferplichte) Wachtwurd foar it PKCS-sertifikaat.
Event Soarten	(Ferplichtich) Kies it type eveneminten dat jo wolle opnimme (Alles, Ferbining, Ynbraak, File, Ynbraakpakket).

• Stap 1 Fier in namme yn yn it ljepblêd E-Streamer fan 'e Side Secure Firewall taheakje, yn it fjild Input Name.
• Stap 2 Yn de PKCS Certificate romte, upload in .pkcs12 file om it PKCS-sertifikaat yn te stellen.
• Stap 3 Fier it wachtwurd yn yn it fjild Wachtwurd.
• Stap 4 Kies in evenemint ûnder Event Types.
• Stap 5 Definiearje de folgjende As nedich:
  • Duo Security Logs
  • Logging Level
    Noat
    As jo ​​wikselje tusken de ljeppers E-Streamer en Syslog, wurdt allinich de aktive konfiguraasjeljepper bewarre. Dêrom kinne jo mar ien metoade foar it ymportearjen fan gegevens tagelyk ynstelle.
• Stap 6 Klikje op Bewarje.

Firewall Syslog
Neist de ferplichte fjilden dy't beskreaun binne yn 'e seksje In applikaasje konfigurearje, binne de folgjende konfiguraasjes dy't nedich binne oan' e kant fan it behearsintrum.

Tabel 4: Feilige Firewall Syslog konfiguraasje gegevens

Fjild	Beskriuwing
TCP/UDP	(Ferplichtich) Spesifiseart it type ynfiergegevens.
Haven	(Ferplichtich) Jout in unike haven foar it akkount oan.

• Stap 1 Yn it ljepblêd Syslog fan 'e Side Secure Firewall taheakje, set de ferbining op' e kant fan it behearsintrum, yn it fjild Ynfiernamme, fier in namme yn.
• Stap 2 Kies TCP of UDP foar it ynfiertype.
• Stap 3 Fier it poartenûmer yn yn it fjild Port
• Stap 4 Selektearje in type út de Boarne Type dellûk list.
• Stap 5 Kies evenemint typen foar de selektearre boarne type.
  Noat
  As jo ​​wikselje tusken de ljeppers E-Streamer en Syslog, wurdt allinich de aktive konfiguraasjeljepper bewarre. Dêrom kinne jo mar ien metoade foar it ymportearjen fan gegevens tagelyk ynstelle.
• Stap 6 Klikje op Bewarje.

Cisco Multicloud ferdigening

figuer 7: Feilige Malware Analytics konfiguraasje side

• Multicloud Defense (MCD) brûkt de HTTP Event Collector-funksjonaliteit fan Splunk ynstee fan kommunisearje fia in API.
• Meitsje in eksimplaar yn Cisco Definsje Orchestrator (CDO), troch te folgjen de stappen dy't binne definiearre yn de Set Up Guide seksje fan de Multicloud ferdigening konfiguraasje side.

Allinich de ferplichte fjilden definieare yn 'e seksje Konfigurearje in applikaasje, binne fereaske foar autorisaasje mei Multicloud Defense.

• Stap 1 Ynstallearje in Multicloud Defense-eksimplaar yn CDO troch de Set Up Guide te folgjen op 'e konfiguraasjeside.
• Stap 2 Fier in namme yn yn it fjild Ynputnamme.
• Stap 3 Klikje op Bewarje.

Cisco XDR

figuer 8: XDR Konfiguraasje side

De folgjende bewiisbrieven binne nedich foar autorisaasje mei Private Intel API:

• client_id
• client_secret

Elke ynfier run resultearret yn in oprop nei it GET /iroh/oauth2/token-einpunt om in token te krijen dat jildich is foar 600 sekonden.

tabel 5: Cisco XDR konfiguraasje gegevens

Fjild	Beskriuwing
Regio	(Ferplicht) Selektearje in regio foardat jo in autentikaasjemetoade selektearje.
Autentikaasje Metoade	(Ferplicht) Twa autentikaasjemetoaden binne beskikber: Client ID en OAuth brûke.
Ymportearje Tiid Range	(Ferplicht) Trije ymportopsjes binne beskikber: Ymportearje Alle ynsidintgegevens, Ymportearje fanút de oanmakke datum-tiid, en Ymportearje fanút de definiearre datum-tiid.
XDR-ynfallen befoarderje oan ES-notabelen?	(Opsjoneel) Splunk Enterprise Security (ES) befoarderet Notabelen. As jo ​​Enterprise Security net ynskeakele hawwe, kinne jo noch kieze om te befoarderjen ta notabelen, mar eveneminten ferskine net yn dy yndeks of opmerklike makro's. Neidat jo Enterprise Security ynskeakelje, binne eveneminten oanwêzich yn 'e yndeks. Jo kinne it type ynsidinten kieze om yn te nimmen (Alles, Kritysk, Medium, Leech, Info, Unbekend, Gjin).

• Stap 1 Yn de Cisco XDR konfiguraasje side, Fier in namme yn yn de Input Name fjild.
• Stap 2 Selektearje in metoade út it útklapmenu Autentikaasjemetoade.
  • Client ID:
    • Klikje op de knop Gean nei XDR om in klant te meitsjen foar jo akkount yn XDR.
    • Kopiearje en plakke de Client ID
    • Stel in wachtwurd yn (Client_secret)
  • OAuth:
    • Folgje de oanmakke keppeling en autentisearje. Jo moatte in XDR-akkount hawwe.
    • As de earste keppeling mei de koade net wurke, kopiearje dan yn 'e twadde keppeling de Brûkerkoade en plak it mei de hân.
• Stap 3 Definiearje in ymporttiid yn it fjild Ymporttiidberik.
• Stap 4 Selektearje as nedich in wearde yn 'e Promote XDR Incidents to ES Notables. fjild.
• Stap 5 Klikje op Bewarje.

Cisco Secure Email Threat Definsje

Figuer 9: Feilige e-post bedriging ferdigening konfiguraasje side

De folgjende bewiisbrieven binne nedich foar autorisaasje fan Secure Email Threat Defense API's:

• api_key
• client_id
• client_secret

tabel 6: Feilige e-post bedriging ferdigening konfiguraasje gegevens

Fjild	Beskriuwing
Regio	(Ferplicht) Jo kinne dit fjild bewurkje om de regio te feroarjen.
Ymportearje Tiid Range	(Ferplicht) Trije opsjes binne beskikber: Ymportearje Alle berjochtgegevens, Ymportearje fanút de oanmakke datum-tiid, of Ymportearje fanút de definiearre datum-tiid.

• Stap 1 Fier in namme yn yn it fjild Ynfiernamme yn 'e konfiguraasjeside fan Secure Email Threat Defense.
• Stap 2 Fier de API Key, Client ID, en Client Secret Key yn.
• Stap 3 Selektearje in regio út de dellûk list Regio.
• Stap 4 Stel in ymporttiid yn ûnder Ymporttiidberik.
• Stap 5 Klikje op Bewarje.

Cisco Secure Network Analytics

Secure Network Analytics (SNA), eartiids bekend as Stealthwatch, analysearret de besteande netwurkgegevens om te helpen by it identifisearjen fan bedrigingen dy't mooglik in manier fûn hawwe om de besteande kontrôles te omgean.

figuer 10: Secure Network Analytics Konfiguraasje side

Referinsjes nedich foar autorisaasje:

• smc_host: (IP-adres of hostnamme fan 'e Stealthwatch Management Console)
• tenant_id (Stealthwatch Management Console domein ID foar dit akkount)
• brûkersnamme (Stealthwatch Management Console brûkersnamme)
• wachtwurd (Stealthwatch Management Console wachtwurd foar dit akkount)

tabel 7: Secure Network Analytics konfiguraasje gegevens

Fjild	Beskriuwing
Proxy type	kies in wearde út it útklapmenu: • Host • Port • Brûkersnamme • Wachtwurd
Tuskenskoft	(Ferplicht) Tiidsinterval yn sekonden tusken API-fragen. Standert, 300 sekonden.
Boarne type	(Ferplicht)
Yndeks	(Ferplichtich) Jout de bestimming yndeks foar SNA Security Logs. Standert stiet: cisco_sna.
Nei	(Ferplicht) De initial nei wearde wurdt brûkt by it oanfreegjen fan de Stealthwatch API. Standert is de wearde 10 minuten lyn.

• Stap 1 Fier op 'e Secure Network Analytics-konfiguraasjeside in namme yn yn it fjild Ynputnamme.
• Stap 2 Fier it behearderadres (IP as host), domein-ID, brûkersnamme en wachtwurd yn.
• Stap 3 As it nedich is, set it folgjende yn ûnder Proxy-ynstellingen:
  • Kies in proxy út de dellûklist Proxytype.
  • Fier de host, poarte, brûkersnamme en wachtwurd yn yn 'e respektivelike fjilden.
• Stap 4 Definiearje de ynfierkonfiguraasjes:
  • Stel in tiid yn ûnder Ynterval. Standert is it ynterval ynsteld op 300 sekonden (5 minuten).
  • Jo kinne it Boarnetype feroarje ûnder Avansearre ynstellings as nedich. De standertwearde is cisco:sna.
  • Fier de bestimming yndeks foar de Feiligens logs yn it Yndeks fjild.
• Stap 5 Klikje op Bewarje.