Hướng dẫn sử dụng ứng dụng CISCO Security Cloud

Thiết lập ứng dụng
Thiết lập ứng dụng là giao diện người dùng ban đầu cho ứng dụng Security Cloud. Thực hiện theo các bước sau để cấu hình ứng dụng:

Điều hướng đến trang Thiết lập ứng dụng > Sản phẩm Cisco.
Chọn ứng dụng Cisco mong muốn và nhấp vào Cấu hình ứng dụng.
Hoàn thành biểu mẫu cấu hình bao gồm Mô tả ngắn gọn về ứng dụng, Liên kết tài liệu và Chi tiết cấu hình.
Nhấp vào Lưu. Đảm bảo tất cả các trường được điền chính xác để kích hoạt nút Lưu.

Cấu hình sản phẩm Cisco
Để cấu hình Sản phẩm Cisco trong Ứng dụng Security Cloud, hãy làm theo các bước sau:

Trên trang Sản phẩm Cisco, hãy chọn sản phẩm Cisco cụ thể mà bạn muốn cấu hình.
Nhấp vào Cấu hình ứng dụng cho sản phẩm đó.
Điền vào các trường bắt buộc bao gồm Tên đầu vào, Khoảng thời gian, Chỉ mục và Loại nguồn.
Lưu cấu hình. Sửa bất kỳ lỗi nào nếu nút Lưu bị vô hiệu hóa.

Cấu hình Cisco Duo
Để cấu hình Cisco Duo trong Ứng dụng Security Cloud, hãy làm theo các bước sau:

Trong trang Cấu hình Duo, hãy nhập Tên đầu vào.
Cung cấp thông tin xác thực API của quản trị viên vào các trường Khóa tích hợp, Khóa bí mật và Tên máy chủ API.
Nếu bạn không có những thông tin này, hãy đăng ký tài khoản mới để có được chúng.

Những câu hỏi thường gặp (FAQ)

H: Những trường thông thường nào cần thiết để cấu hình ứng dụng?
A: Các trường chung bao gồm Tên đầu vào, Khoảng thời gian, Chỉ mục và Loại nguồn.
H: Tôi có thể xử lý việc ủy quyền bằng Duo API như thế nào?
A: Việc ủy quyền với Duo API được xử lý bằng Duo SDK cho Python. Bạn cần cung cấp API Hostname lấy từ Duo Admin Panel cùng với các trường tùy chọn khác theo yêu cầu.

Chương này hướng dẫn bạn quy trình thêm và cấu hình đầu vào cho nhiều ứng dụng khác nhau (sản phẩm Cisco) trong Security Cloud App. Đầu vào rất quan trọng vì chúng xác định nguồn dữ liệu mà Security Cloud App sử dụng cho mục đích giám sát. Cấu hình đầu vào phù hợp đảm bảo phạm vi bảo mật của bạn toàn diện và tất cả dữ liệu được hiển thị đúng để theo dõi và giám sát trong tương lai.

Thiết lập ứng dụng

Thiết lập ứng dụng là giao diện người dùng đầu tiên cho Ứng dụng Security Cloud. Trang Thiết lập ứng dụng bao gồm hai phần:

Hình 1: Ứng dụng của tôi

Phần Ứng dụng của tôi trên trang Thiết lập ứng dụng hiển thị tất cả cấu hình đầu vào của người dùng.
Nhấp vào siêu liên kết sản phẩm để đi tới bảng điều khiển sản phẩm.
Để chỉnh sửa thông tin đầu vào, hãy nhấp vào Chỉnh sửa cấu hình trong menu hành động.
Để xóa dữ liệu đầu vào, hãy nhấp vào Xóa trong menu hành động.

Hình 2: Sản phẩm Cisco

Trang Sản phẩm Cisco hiển thị tất cả các sản phẩm Cisco có sẵn được tích hợp với Security Cloud App.
Bạn có thể cấu hình đầu vào cho từng sản phẩm Cisco trong phần này.

Cấu hình ứng dụng

Một số trường cấu hình chung trên tất cả các sản phẩm của Cisco và được mô tả trong phần này.
Các trường cấu hình dành riêng cho từng sản phẩm sẽ được mô tả ở các phần sau.

Bảng 1: Các trường chung

Cánh đồng	Sự miêu tả
Tên đầu vào	(Bắt buộc) Tên duy nhất cho dữ liệu đầu vào của ứng dụng.
Khoảng cách	(Bắt buộc) Khoảng thời gian tính bằng giây giữa các truy vấn API.
Mục lục	(Bắt buộc) Chỉ mục đích cho nhật ký ứng dụng. Có thể thay đổi nếu cần. Có chức năng tự động hoàn thành cho trường này.
Loại nguồn	(Bắt buộc) Đối với hầu hết các ứng dụng, đây là giá trị mặc định và bị vô hiệu hóa. Bạn có thể thay đổi giá trị của nó trong Cài đặt nâng cao.

Bước 1 Trong trang Thiết lập ứng dụng > Sản phẩm Cisco, hãy điều hướng đến ứng dụng Cisco cần thiết.
Bước 2 Nhấp vào Cấu hình ứng dụng.
Trang cấu hình bao gồm ba phần: Mô tả ngắn gọn về ứng dụng, Tài liệu có liên kết đến các tài nguyên hữu ích và Biểu mẫu cấu hình.
Bước 3 Điền vào mẫu cấu hình. Lưu ý những điều sau:
- Các trường bắt buộc được đánh dấu bằng dấu hoa thị *.
- Ngoài ra còn có các trường tùy chọn.
- Thực hiện theo các hướng dẫn và mẹo được mô tả trong phần ứng dụng cụ thể của trang.
Bước 4 Nhấp vào Lưu.
Nếu có lỗi hoặc trường trống, nút Lưu sẽ bị vô hiệu hóa. Sửa lỗi và lưu biểu mẫu.

Cisco Duo

Hình 3: Trang Cấu hình Duo

Ngoài các trường bắt buộc được mô tả trong phần Cấu hình ứng dụng ở trang 2, các thông tin xác thực sau đây là bắt buộc để ủy quyền bằng Duo API:

ikey (Khóa tích hợp)
skey (Khóa bí mật)

Quyền này được xử lý bởi Duo SDK dành cho Python.

Bảng 2: Các trường cấu hình Duo

Cánh đồng	Sự miêu tả
Tên máy chủ API	(Bắt buộc) Tất cả các phương thức API đều sử dụng tên máy chủ API. https://api-XXXXXXXX.duosecurity.com. Lấy giá trị này từ Bảng quản trị Duo và sử dụng chính xác như hiển thị ở đó.
Nhật ký bảo mật Duo	Không bắt buộc.
Cấp độ ghi nhật ký	(Tùy chọn) Mức ghi nhật ký cho các tin nhắn được ghi vào nhật ký đầu vào trong $SPLUNK_HOME/var/log/splunk/duo_splunkapp/

Bước 1 Trong trang cấu hình Duo, nhập Tên đầu vào.
Bước 2 Nhập thông tin xác thực API của Quản trị viên vào các trường Khóa tích hợp, Khóa bí mật và Tên máy chủ API. Nếu bạn không có các thông tin xác thực này, đăng ký một tài khoản mới.
- Điều hướng đến Ứng dụng > Bảo vệ ứng dụng > API quản trị để tạo API quản trị mới.
Bước 3 Xác định những điều sau nếu cần thiết:
- Nhật ký bảo mật Duo
- Cấp độ ghi nhật ký
Bước 4 Nhấp vào Lưu.

Phân tích phần mềm độc hại an toàn của Cisco

Hình 4: Trang cấu hình phân tích phần mềm độc hại an toàn

Ghi chú
Bạn cần có khóa API (api_key) để ủy quyền bằng Secure Malware Analytics (SMA) API. Truyền khóa API dưới dạng loại Bearer trong mã thông báo Ủy quyền của yêu cầu.

Dữ liệu cấu hình Phân tích phần mềm độc hại an toàn

Chủ nhà: (Bắt buộc) Chỉ định tên tài khoản SMA.
Cài đặt Proxy: (Tùy chọn) Bao gồm Loại Proxy, Proxy URL, Cổng, Tên người dùng và Mật khẩu.
Cài đặt ghi nhật ký: (Tùy chọn) Xác định cài đặt cho thông tin ghi nhật ký.

Bước 1 Trong trang cấu hình Secure Malware Analytics, nhập tên vào ô Input Name.
Bước 2 Nhập trường Host và API Key.
Bước 3 Xác định những điều sau nếu cần:
- Cài đặt proxy
- Cài đặt ghi nhật ký
Bước 4 Nhấp vào Lưu.

Trung tâm quản lý tường lửa an toàn của Cisco

Hình 5: Trang cấu hình Trung tâm quản lý tường lửa an toàn

Bạn có thể nhập dữ liệu vào ứng dụng Tường lửa an toàn bằng bất kỳ một trong hai quy trình hợp lý sau: eStreamer và Syslog.
Trang cấu hình Tường lửa bảo mật cung cấp hai tab, mỗi tab tương ứng với một phương pháp nhập dữ liệu khác nhau. Bạn có thể chuyển đổi giữa các tab này để cấu hình dữ liệu đầu vào tương ứng.

Tường lửa e-Streamer

Bộ công cụ phát triển eStreamer được sử dụng để liên lạc với Trung tâm quản lý tường lửa an toàn.

Hình 6: Tab Tường lửa bảo mật E-Streamer

Bảng 3: Dữ liệu cấu hình tường lửa an toàn

Cánh đồng	Sự miêu tả
Máy chủ FMC	(Bắt buộc) Chỉ định tên của máy chủ trung tâm quản lý.
Cảng	(Bắt buộc) Chỉ định cổng cho tài khoản.
Chứng chỉ PKCS	(Bắt buộc) Chứng chỉ phải được tạo trên Bảng điều khiển quản lý tường lửa – Chứng chỉ eStreamer Sự sáng tạo. Hệ thống chỉ hỗ trợ pkcs12 file kiểu.
Mật khẩu	(Bắt buộc) Mật khẩu cho Chứng chỉ PKCS.
Loại sự kiện	(Bắt buộc) Chọn loại sự kiện để thu thập (Tất cả, Kết nối, Xâm nhập, File, Gói tin xâm nhập).

Bước 1 Trong tab E-Streamer của trang Thêm tường lửa bảo mật, trong trường Tên đầu vào, hãy nhập tên.
Bước 2 Trong không gian Chứng chỉ PKCS, hãy tải lên tệp .pkcs12 file để thiết lập chứng chỉ PKCS.
Bước 3: Nhập mật khẩu vào ô Mật khẩu.
Bước 4 Chọn một sự kiện trong Loại sự kiện.
Bước 5 Xác định những điều sau nếu cần:
- Nhật ký bảo mật Duo
- Cấp độ ghi nhật ký
  Ghi chú
  Nếu bạn chuyển đổi giữa các tab E-Streamer và Syslog, chỉ có tab cấu hình đang hoạt động được lưu. Do đó, bạn chỉ có thể thiết lập một phương pháp nhập dữ liệu tại một thời điểm.
Bước 6 Nhấp vào Lưu.

Tường lửa Syslog
Ngoài các trường bắt buộc được mô tả trong phần Cấu hình ứng dụng, sau đây là các cấu hình bắt buộc ở phía trung tâm quản lý.

Bảng 4: Dữ liệu cấu hình Syslog của Tường lửa an toàn

Cánh đồng	Sự miêu tả
Giao thức TCP/UDP	(Bắt buộc) Chỉ định loại dữ liệu đầu vào.
Cảng	(Bắt buộc) Chỉ định cổng duy nhất cho tài khoản.

Bước 1 Trong tab Syslog của trang Thêm tường lửa bảo mật, thiết lập kết nối ở phía trung tâm quản lý, trong trường Tên đầu vào, nhập tên.
Bước 2 Chọn TCP hoặc UDP cho Kiểu đầu vào.
Bước 3 Trong trường Cổng, nhập số cổng
Bước 4 Chọn loại từ danh sách thả xuống Loại nguồn.
Bước 5 Chọn loại sự kiện cho loại nguồn đã chọn.
Ghi chú
Nếu bạn chuyển đổi giữa các tab E-Streamer và Syslog, chỉ có tab cấu hình đang hoạt động được lưu. Do đó, bạn chỉ có thể thiết lập một phương pháp nhập dữ liệu tại một thời điểm.
Bước 6 Nhấp vào Lưu.

Cisco Multicloud Defense

Hình 7: Trang cấu hình phân tích phần mềm độc hại an toàn

Multicloud Defense (MCD) tận dụng chức năng HTTP Event Collector của Splunk thay vì giao tiếp thông qua API.
Tạo một phiên bản trong Cisco Defense Orchestrator (CDO) bằng cách làm theo các bước được xác định trong phần Hướng dẫn thiết lập của trang cấu hình Multicloud Defense.

Chỉ những trường bắt buộc được xác định trong phần Cấu hình ứng dụng mới là bắt buộc để ủy quyền với Multicloud Defense.

Bước 1: Cài đặt phiên bản Multicloud Defense trong CDO bằng cách làm theo Hướng dẫn thiết lập trên trang cấu hình.
Bước 2 Nhập tên vào trường Nhập tên.
Bước 3 Nhấp vào Lưu.

Cisco XDR

Hình 8: Trang cấu hình XDR

Các thông tin xác thực sau đây là bắt buộc để ủy quyền bằng Private Intel API:

khách hàng_id
bí mật của khách hàng

Mỗi lần chạy đầu vào sẽ dẫn đến một lệnh gọi đến điểm cuối GET /iroh/oauth2/token để lấy mã thông báo có hiệu lực trong 600 giây.

Bảng 5: Dữ liệu cấu hình Cisco XDR

Cánh đồng	Sự miêu tả
Vùng đất	(Bắt buộc) Chọn một vùng trước khi chọn Phương thức xác thực.
Xác thực Phương pháp	(Bắt buộc) Có hai phương pháp xác thực khả dụng: Sử dụng ID khách hàng và OAuth.
Khoảng thời gian nhập khẩu	(Bắt buộc) Có ba tùy chọn nhập: Nhập tất cả dữ liệu Sự cố, Nhập từ ngày giờ đã tạo và Nhập từ ngày giờ đã xác định.
Quảng bá sự cố XDR cho những người nổi tiếng của ES?	(Tùy chọn) Splunk Enterprise Security (ES) quảng bá Notables. Nếu bạn chưa bật Bảo mật doanh nghiệp, bạn vẫn có thể chọn thăng chức cho người nổi tiếng, nhưng các sự kiện sẽ không xuất hiện trong chỉ mục hoặc macro nổi tiếng đó. Sau khi bạn bật Enterprise Security, các sự kiện sẽ có trong chỉ mục. Bạn có thể chọn loại sự cố để tiếp nhận (Tất cả, Nghiêm trọng, Trung bình, Thấp, Thông tin, Không xác định, Không có).

Bước 1 Trong trang cấu hình Cisco XDR, nhập tên vào trường Tên đầu vào.
Bước 2: Chọn một phương pháp từ danh sách thả xuống Phương pháp xác thực.
- ID khách hàng:
  - Nhấp vào nút Đi tới XDR để tạo khách hàng cho tài khoản của bạn trong XDR.
  - Sao chép và dán ID khách hàng
  - Đặt mật khẩu (Client_secret)
- Xác thực O:
  - Nhấp vào liên kết được tạo và xác thực. Bạn cần có tài khoản XDR.
  - Nếu liên kết đầu tiên có mã không hoạt động, hãy sao chép Mã người dùng và dán thủ công vào liên kết thứ hai.
Bước 3: Xác định thời gian nhập trong trường Khoảng thời gian nhập.
Bước 4 Nếu cần, hãy chọn giá trị trong trường Quảng bá sự cố XDR lên ES đáng chú ý.
Bước 5 Nhấp vào Lưu.

Cisco Secure Email Threat Defense

Hình 9: Trang Cấu hình phòng thủ mối đe dọa email an toàn

Các thông tin xác thực sau đây là bắt buộc để ủy quyền cho API Bảo vệ mối đe dọa email an toàn:

khóa_api
khách hàng_id
bí mật của khách hàng

Bảng 6: Dữ liệu cấu hình phòng thủ mối đe dọa email an toàn

Cánh đồng	Sự miêu tả
Vùng đất	(Bắt buộc) Bạn có thể chỉnh sửa trường này để thay đổi khu vực.
Khoảng thời gian nhập khẩu	(Bắt buộc) Có ba tùy chọn khả dụng: Nhập tất cả dữ liệu tin nhắn, Nhập từ ngày giờ đã tạo hoặc Nhập từ ngày giờ đã xác định.

Bước 1 Trong trang cấu hình Secure Email Threat Defense, nhập tên vào trường Input Name.
Bước 2 Nhập Khóa API, ID khách hàng và Khóa bí mật của khách hàng.
Bước 3 Chọn một vùng từ danh sách thả xuống Vùng.
Bước 4: Đặt thời gian nhập trong Khoảng thời gian nhập.
Bước 5 Nhấp vào Lưu.

Phân tích mạng bảo mật của Cisco

Secure Network Analytics (SNA), trước đây gọi là Stealthwatch, phân tích dữ liệu mạng hiện có để giúp xác định các mối đe dọa có thể đã tìm ra cách vượt qua các biện pháp kiểm soát hiện có.

Hình 10: Trang cấu hình phân tích mạng an toàn

Giấy tờ cần thiết để được ủy quyền:

smc_host: (địa chỉ IP hoặc tên máy chủ của Stealthwatch Management Console)
tenant_id (ID miền Stealthwatch Management Console cho tài khoản này)
tên người dùng (tên người dùng của Stealthwatch Management Console)
mật khẩu (mật khẩu Stealthwatch Management Console cho tài khoản này)

Bảng 7: Dữ liệu cấu hình phân tích mạng an toàn

Cánh đồng	Sự miêu tả
Loại proxy	chọn một giá trị từ danh sách thả xuống: • Chủ nhà • Cảng • Tên người dùng • Mật khẩu
Khoảng cách	(Bắt buộc) Khoảng thời gian tính bằng giây giữa các truy vấn API. Theo mặc định là 300 giây.
Loại nguồn	(Bắt buộc)
Mục lục	(Bắt buộc) Chỉ định chỉ mục đích cho Nhật ký bảo mật SNA. Theo mặc định, trạng thái: cisco_sna.
Sau đó	(Bắt buộc) Giá trị after ban đầu được sử dụng khi truy vấn API Stealthwatch. Theo mặc định, giá trị là 10 phút trước.

Bước 1 Trong trang cấu hình Secure Network Analytics, nhập tên vào trường Tên đầu vào.
Bước 2 Nhập Địa chỉ quản lý (IP hoặc Máy chủ), ID miền, Tên người dùng và Mật khẩu.
Bước 3 Nếu cần, hãy thiết lập các mục sau trong Cài đặt proxy:
- Chọn proxy từ danh sách thả xuống Loại proxy.
- Nhập máy chủ, cổng, tên người dùng và mật khẩu vào các trường tương ứng.
Bước 4 Xác định cấu hình đầu vào:
- Đặt thời gian trong Interval (Khoảng thời gian). Theo mặc định, khoảng thời gian được đặt là 300 giây (5 phút).
- Bạn có thể thay đổi loại Nguồn trong Cài đặt nâng cao nếu cần. Giá trị mặc định là cisco:sna.
- Nhập chỉ mục đích cho Nhật ký bảo mật vào trường Chỉ mục.
Bước 5 Nhấp vào Lưu.

Tài liệu / Tài nguyên

	Ứng dụng CISCO Security Cloud [tập tin pdf] Hướng dẫn sử dụng Ứng dụng đám mây bảo mật, Ứng dụng đám mây, Ứng dụng
	Ứng dụng CISCO Security Cloud [tập tin pdf] Hướng dẫn sử dụng Bảo mật, Bảo mật đám mây, Đám mây, Ứng dụng Bảo mật đám mây, Ứng dụng
	Ứng dụng CISCO Security Cloud [tập tin pdf] Hướng dẫn sử dụng Ứng dụng đám mây bảo mật, Ứng dụng đám mây, Ứng dụng

Tài liệu tham khảo

Hướng dẫn sử dụng

Để lại bình luận

Hủy trả lời