Aplicativo CISCO Security Cloud
Especificações
- Nome do produto: Aplicativo Cisco Security Cloud
- Fabricante: Cisco
- Integração: Funciona com vários produtos Cisco
Instruções de uso do produto
Configurar um aplicativo
Application Setup é a interface de usuário inicial para o Security Cloud App. Siga estas etapas para configurar um aplicativo:
- Navegue até a página Configuração do aplicativo > Produtos Cisco.
- Escolha o aplicativo Cisco desejado e clique em Configurar aplicativo.
- Preencha o formulário de configuração que inclui uma breve descrição do aplicativo, links para documentação e detalhes de configuração.
- Clique em Salvar. Certifique-se de que todos os campos estejam preenchidos corretamente para habilitar o botão Salvar.
Configurar produtos Cisco
Para configurar os produtos Cisco no aplicativo Security Cloud, siga estas etapas:
- Na página Produtos Cisco, selecione o produto Cisco específico que você deseja configurar.
- Clique em Configurar aplicativo para esse produto.
- Preencha os campos obrigatórios, incluindo Nome da entrada, Intervalo, Índice e Tipo de fonte.
- Salve a configuração. Corrija quaisquer erros se o botão Save estiver desabilitado.
Configuração do Cisco Duo
Para configurar o Cisco Duo no aplicativo Security Cloud, siga estas etapas:
- Na página Configuração do Duo, insira o Nome de entrada.
- Forneça as credenciais da API de administração nos campos Chave de integração, Chave secreta e Nome do host da API.
- Caso você não tenha essas credenciais, registre uma nova conta para obtê-las.
Perguntas Frequentes (FAQ)
- P: Quais são os campos comuns necessários para configurar aplicativos?
A: Os campos comuns incluem Nome de entrada, Intervalo, Índice e Tipo de fonte. - P: Como posso lidar com a autorização com a Duo API?
A: A autorização com Duo API é manipulada usando o Duo SDK para Python. Você precisa fornecer o API Hostname obtido do Duo Admin Panel junto com outros campos opcionais conforme necessário.
Este capítulo orienta você pelo processo de adicionar e configurar entradas para vários aplicativos (produtos Cisco) dentro do Security Cloud App. As entradas são cruciais porque definem as fontes de dados que o Security Cloud App usa para fins de monitoramento. A configuração adequada das entradas garante que sua cobertura de segurança seja abrangente e que todos os dados sejam exibidos corretamente para rastreamento e monitoramento futuros.
Configurar um aplicativo
Application Setup é a primeira interface de usuário para o Security Cloud App. A página Application Setup consiste em duas seções:
Figura 1: Meus aplicativos
- A seção Meus aplicativos na página Configuração do aplicativo exibe todas as configurações de entrada do usuário.
- Clique em um hiperlink de produto para acessar o painel do produto.
- Para editar entradas, clique em Editar configuração no menu de ação.
- Para excluir entradas, clique em Excluir no menu de ação.
Figura 2: Produtos Cisco
- A página Produtos Cisco exibe todos os produtos Cisco disponíveis que são integrados ao Security Cloud App.
- Você pode configurar entradas para cada produto Cisco nesta seção.
Configurar um aplicativo
- Alguns campos de configuração são comuns a todos os produtos Cisco e são descritos nesta seção.
- Os campos de configuração específicos de um produto são descritos nas seções posteriores.
Tabela 1: Campos comuns
| Campo |
Descrição |
| Nome da entrada | (Obrigatório) Um nome exclusivo para entradas do aplicativo. |
| Intervalo | (Obrigatório) Intervalo de tempo em segundos entre consultas de API. |
| Índice | (Obrigatório) Índice de destino para logs de aplicativos. Pode ser alterado se necessário.
O preenchimento automático é fornecido para este campo. |
| Tipo de fonte | (Obrigatório) Para a maioria dos aplicativos, é um valor padrão e está desabilitado.
Você pode alterar seu valor em Configurações avançadas. |
- Passo 1 Na página Configuração do aplicativo > Produtos Cisco, navegue até o aplicativo Cisco necessário.
- Passo 2 Clique em Configurar aplicativo.
A página de configuração consiste em três seções: Breve descrição do aplicativo, Documentação com links para recursos úteis e Formulário de configuração.
- Passo 3 Preencha o formulário de configuração. Observe o seguinte:
- Os campos obrigatórios são marcados com um asterisco *.
- Há também campos opcionais.
- Siga as instruções e dicas descritas na seção específica do aplicativo na página.
- Passo 4 Clique em Salvar.
Se houver um erro ou campos vazios, o botão Salvar será desabilitado. Corrija o erro e salve o formulário.
Cisco Duo
Figura 3: Página de configuração do Duo
Além dos campos obrigatórios descritos na seção Configurar um aplicativo, na página 2, as seguintes credenciais são necessárias para autorização com a API do Duo:
- ikey (chave de integração)
- skey (chave secreta)
A autorização é gerenciada pelo Duo SDK para Python.
Tabela 2: Campos de configuração do Duo
|
Campo |
Descrição |
| Nome do host da API | (Obrigatório) Todos os métodos da API usam o nome do host da API. https://api-XXXXXXXX.duosecurity.com.
Obtenha esse valor no Painel de administração do Duo e use-o exatamente como mostrado lá. |
| Registros de segurança Duo | Opcional. |
| Nível de registro | (Opcional) Nível de registro para mensagens gravadas em registros de entrada em $SPLUNK_HOME/var/log/splunk/duo_splunkapp/ |
- Passo 1 Na página de configuração do Duo, insira o Nome de entrada.
- Passo 2 Insira as credenciais da API Admin nos campos Integration key, Secret key e API hostname. Se você não tiver essas credenciais, registrar uma nova conta.
- Navegue até Aplicativos > Proteger um aplicativo > API de administração para criar uma nova API de administração.
- Navegue até Aplicativos > Proteger um aplicativo > API de administração para criar uma nova API de administração.
- Passo 3 Defina o seguinte, se necessário:
- Registros de segurança Duo
- Nível de registro
- Passo 4 Clique em Salvar.
Análise de malware seguro da Cisco
Figura 4: Página de configuração do Secure Malware Analytics
Observação
Você precisa de uma chave de API (api_key) para autorização com a API Secure Malware Analytics (SMA). Passe a chave de API como o tipo Bearer no token de autorização da solicitação.
Dados de configuração do Secure Malware Analytics
- Hospedar: (Obrigatório) Especifica o nome da conta SMA.
- Configurações de proxy: (Opcional) Consiste em Tipo de Proxy, Proxy URL, Porta, Nome de usuário e Senha.
- Configurações de registro: (Opcional) Defina as configurações para registrar informações.
- Etapa 1 Na página de configuração do Secure Malware Analytics, insira um nome em Nome de entrada.
- Etapa 2 Insira os campos Host e Chave de API.
- Etapa 3 Defina o seguinte, se necessário:
- Configurações de proxy
- Configurações de registro
- Etapa 4 Clique em Salvar.
Centro de gerenciamento de firewall seguro Cisco
Figura 5: Página de configuração do Secure Firewall Management Center
- Você pode importar dados para o aplicativo Secure Firewall usando qualquer um dos dois processos simplificados: eStreamer e Syslog.
- A página de configuração do Secure Firewall fornece duas abas, cada uma correspondendo a um método de importação de dados diferente. Você pode alternar entre essas abas para configurar as respectivas entradas de dados.
Firewall e-Streamer
eStreamer SDK é usado para comunicação com o Secure Firewall Management Center.
Figura 6: Guia Secure Firewall E-Streamer
Tabela 3: Dados de configuração do Firewall Seguro
|
Campo |
Descrição |
| Anfitrião FMC | (Obrigatório) Especifica o nome do host do centro de gerenciamento. |
| Porta | (Obrigatório) Especifica a porta da conta. |
| Certificado PKCS | (Obrigatório) O certificado deve ser criado no Firewall Management Console – Certificado eStreamer Criação. O sistema suporta apenas o pkcs12 file tipo. |
| Senha | (Obrigatório) Senha para o Certificado PKCS. |
| Tipos de eventos | (Obrigatório) Escolha o tipo de eventos a serem ingeridos (Todos, Conexão, Intrusão, File, Pacote de Intrusão). |
- Etapa 1 Na guia E-Streamer da página Adicionar firewall seguro, no campo Nome de entrada, insira um nome.
- Etapa 2 No espaço do Certificado PKCS, carregue um .pkcs12 file para configurar o certificado PKCS.
- Etapa 3 No campo Senha, digite a senha.
- Etapa 4 Escolha um evento em Tipos de evento.
- Etapa 5 Defina o seguinte, se necessário:
- Registros de segurança Duo
- Nível de registro
Observação
Se você alternar entre as abas E-Streamer e Syslog, somente a aba de configuração ativa será salva. Portanto, você só pode definir um método de importação de dados por vez.
- Etapa 6 Clique em Salvar.
Firewall Syslog
Além dos campos obrigatórios descritos na seção Configurar um aplicativo, a seguir estão as configurações necessárias no lado do centro de gerenciamento.
Tabela 4: Dados de configuração do Secure Firewall Syslog
|
Campo |
Descrição |
| TCP/UDP | (Obrigatório) Especifica o tipo de dados de entrada. |
| Porta | (Obrigatório) Especifica uma porta exclusiva para a conta. |
- Etapa 1 Na guia Syslog da página Adicionar firewall seguro, configure a conexão no lado do centro de gerenciamento e, no campo Nome de entrada, insira um nome.
- Etapa 2 Escolha TCP ou UDP para o Tipo de entrada.
- Etapa 3 No campo Porta, insira o número da porta
- Etapa 4 Selecione um tipo na lista suspensa Tipo de fonte.
- Etapa 5 Escolha os tipos de eventos para o tipo de fonte selecionado.
Observação
Se você alternar entre as abas E-Streamer e Syslog, somente a aba de configuração ativa será salva. Portanto, você só pode definir um método de importação de dados por vez. - Etapa 6 Clique em Salvar.
Defesa multicloud da Cisco
Figura 7: Página de configuração do Secure Malware Analytics
- O Multicloud Defense (MCD) aproveita a funcionalidade do HTTP Event Collector do Splunk em vez de se comunicar por meio de uma API.
- Crie uma instância no Cisco Defense Orchestrator (CDO) seguindo as etapas definidas na seção Guia de configuração da página de configuração do Multicloud Defense.
Somente os campos obrigatórios definidos na seção Configurar um aplicativo são necessários para autorização com o Multicloud Defense.
- Etapa 1 Instale uma instância do Multicloud Defense no CDO seguindo o Guia de configuração na página de configuração.
- Etapa 2 Insira um nome no campo Nome de entrada.
- Etapa 3 Clique em Salvar.
Cisco XDR
Figura 8: Página de configuração do XDR
As seguintes credenciais são necessárias para autorização com a Private Intel API:
- ID do cliente
- segredo_do_cliente
Cada execução de entrada resulta em uma chamada para o endpoint GET /iroh/oauth2/token para obter um token válido por 600 segundos.
Tabela 5: Dados de configuração do Cisco XDR
|
Campo |
Descrição |
| Região | (Obrigatório) Selecione uma região antes de selecionar um Método de Autenticação. |
| Autenticação Método | (Obrigatório) Dois métodos de autenticação estão disponíveis: usando ID do cliente e OAuth. |
| Intervalo de tempo de importação | (Obrigatório) Três opções de importação estão disponíveis: Importar todos os dados do incidente, Importar da data e hora de criação e Importar da data e hora definidas. |
| Promover incidentes XDR para notáveis do ES? | (Opcional) O Splunk Enterprise Security (ES) promove Notáveis.
Se você não tiver habilitado o Enterprise Security, ainda poderá optar por promover para notáveis, mas os eventos não aparecerão nesse índice ou nas macros notáveis. Depois de habilitar o Enterprise Security, os eventos estarão presentes no índice. Você pode escolher o tipo de incidente a ser ingerido (Todos, Crítico, Médio, Baixo, Informativo, Desconhecido, Nenhum). |
- Etapa 1 Na página de configuração do Cisco XDR, insira um nome no campo Nome de entrada.
- Etapa 2 Selecione um método na lista suspensa Método de autenticação.
- ID do Cliente:
- Clique no botão Ir para XDR para criar um cliente para sua conta no XDR.
- Copie e cole o ID do cliente
- Defina uma senha (Client_secret)
- OAuth:
- Siga o link gerado e autentique. Você precisa ter uma conta XDR.
- Se o primeiro link com o código não funcionou, no segundo link, copie o código do usuário e cole-o manualmente.
- ID do Cliente:
- Etapa 3 Defina um horário de importação no campo Intervalo de tempo de importação.
- Etapa 4 Se necessário, selecione um valor no campo Promover incidentes XDR para ES Notables.
- Etapa 5 Clique em Salvar.
Defesa contra ameaças de e-mail seguro da Cisco
Figura 9: Página de configuração de defesa contra ameaças de e-mail seguro
As seguintes credenciais são necessárias para autorização das APIs do Secure Email Threat Defense:
- chave_api
- ID do cliente
- segredo_do_cliente
Tabela 6: Dados de configuração de defesa contra ameaças de e-mail seguro
|
Campo |
Descrição |
| Região | (Obrigatório) Você pode editar este campo para alterar a região. |
| Intervalo de tempo de importação | (Obrigatório) Três opções estão disponíveis: Importar todos os dados da mensagem, Importar da data e hora de criação ou Importar da data e hora definidas. |
- Etapa 1 Na página de configuração do Secure Email Threat Defense, insira um nome no campo Nome de entrada.
- Etapa 2 Insira a chave da API, o ID do cliente e a chave secreta do cliente.
- Etapa 3 Selecione uma região na lista suspensa Região.
- Etapa 4 Defina um horário de importação em Intervalo de tempo de importação.
- Etapa 5 Clique em Salvar.
Análise de rede segura da Cisco
O Secure Network Analytics (SNA), anteriormente conhecido como Stealthwatch, analisa os dados de rede existentes para ajudar a identificar ameaças que podem ter encontrado uma maneira de contornar os controles existentes.
Figura 10: Página de configuração do Secure Network Analytics
Credenciais necessárias para autorização:
- smc_host: (endereço IP ou nome do host do Stealthwatch Management Console)
- tenant_id (ID de domínio do Stealthwatch Management Console para esta conta)
- nome de usuário (nome de usuário do Stealthwatch Management Console)
- senha (senha do Stealthwatch Management Console para esta conta)
Tabela 7: Dados de configuração do Secure Network Analytics
|
Campo |
Descrição |
| Tipo de proxy | escolha um valor na lista suspensa:
• Hospedar • Porto • Nome de usuário • Senha |
| Intervalo | (Obrigatório) Intervalo de tempo em segundos entre consultas de API. Por padrão, 300 segundos. |
| Tipo de fonte | (Obrigatório) |
| Índice | (Obrigatório) Especifica o índice de destino para SNA Security Logs. Por padrão, state: cisco_sna. |
| Depois | (Obrigatório) O valor inicial after é usado ao consultar a API do Stealthwatch. Por padrão, o valor é 10 minutos atrás. |
- Etapa 1 Na página de configuração do Secure Network Analytics, insira um nome no campo Nome de entrada.
- Etapa 2 Insira o endereço do gerente (IP ou host), ID do domínio, nome de usuário e senha.
- Etapa 3 Se necessário, defina o seguinte em Configurações de proxy:
- Escolha um proxy na lista suspensa Tipo de proxy.
- Digite o host, a porta, o nome de usuário e a senha nos respectivos campos.
- Etapa 4 Defina as configurações de entrada:
- Defina um tempo em Intervalo. Por padrão, o intervalo é definido como 300 segundos (5 minutos).
- Você pode alterar o tipo de Fonte em Advanced Settings se necessário. O valor padrão é cisco:sna.
- Insira o índice de destino para os logs de segurança no campo Índice.
- Etapa 5 Clique em Salvar.
Documentos / Recursos
 |
Aplicativo CISCO Security Cloud [pdf] Guia do Usuário Aplicativo de nuvem de segurança, aplicativo de nuvem, aplicativo |
 |
Aplicativo CISCO Security Cloud [pdf] Guia do Usuário Segurança, Nuvem de Segurança, Nuvem, Aplicativo de Nuvem de Segurança, Aplicativo |
 |
Aplicativo CISCO Security Cloud [pdf] Guia do Usuário Aplicativo de nuvem de segurança, aplicativo de nuvem, aplicativo |