CISCO Security Cloud App

Техникалык шарттар

• Продукт аты: Cisco Security Cloud App
• Өндүрүүчү: Cisco
• Интеграция: Ар кандай Cisco өнүмдөрү менен иштейт

Продукт колдонуу нускамалары

Колдонмону орнотуу
Колдонмону орнотуу Коопсуздук Булут Колдонмосунун баштапкы колдонуучу интерфейси. Колдонмону конфигурациялоо үчүн бул кадамдарды аткарыңыз:

1. Колдонмону орнотуу > Cisco продуктылары барагына өтүңүз.
2. Керектүү Cisco тиркемесин тандап, Конфигурациялоо тиркемесин басыңыз.
3. Колдонмонун Кыскача сүрөттөмөсү, Документация шилтемелери жана Конфигурациянын чоо-жайын камтыган конфигурация формасын толтуруңуз.
4. Сактоо баскычын басыңыз. Сактоо баскычын иштетүү үчүн бардык талаалар туура толтурулганын текшериңиз.

Cisco өнүмдөрүн конфигурациялаңыз
Security Cloud колдонмосунда Cisco продуктуларын конфигурациялоо үчүн, бул кадамдарды аткарыңыз:

1. Cisco Продукттары бетинде конфигурациялоону каалаган белгилүү Cisco продуктуну тандаңыз.
2. Бул продукт үчүн Колдонмону конфигурациялоо дегенди басыңыз.
3. Керектүү талааларды толтуруңуз, анын ичинде киргизүү аты, интервал, индекс жана булактын түрү.
4. Конфигурацияны сактаңыз. Сактоо баскычы өчүрүлгөн болсо, каталарды оңдоңуз.

Cisco Duo конфигурациясы
Security Cloud колдонмосунда Cisco Duo конфигурациялоо үчүн төмөнкү кадамдарды аткарыңыз:

1. Duo конфигурациясынын бетине киргизүү атын киргизиңиз.
2. Интеграция ачкычы, Жашыруун ачкыч жана API хост аты талааларында Admin API эсептик дайындарын бериңиз.
3. Эгер сизде бул эсептик дайындар жок болсо, аларды алуу үчүн жаңы каттоо эсебин каттаңыз.

Көп берилүүчү суроолор (FAQ)

• С: Тиркемелерди конфигурациялоо үчүн кандай жалпы талаалар талап кылынат?
  A: Жалпы талааларга киргизүү аты, интервал, индекс жана булак түрү кирет.
• С: Duo API менен авторизацияны кантип иштете алам?
  A: Duo API менен авторизация Python үчүн Duo SDK аркылуу иштетилет. Duo Администратор панелинен алынган API Хост атын жана башка кошумча талааларды талапка ылайык беришиңиз керек.

Бул бөлүм сизди Security Cloud App ичиндеги ар кандай тиркемелерге (Cisco өнүмдөрү) киргизүүнү кошуу жана конфигурациялоо процесси аркылуу жетектейт. Киргизүүлөр абдан маанилүү, анткени алар Коопсуздук Булут Колдонмосу мониторинг жүргүзүү үчүн колдонгон маалымат булактарын аныктайт. Киргизүүлөрдүн туура конфигурациясы сиздин коопсуздук камтуууңуздун ар тараптуу болушун жана бардык маалыматтар келечекте байкоо жана мониторинг жүргүзүү үчүн туура көрсөтүлүшүн камсыздайт.

Колдонмону орнотуу

Колдонмону орнотуу - Коопсуздук Булут Колдонмосунун биринчи колдонуучу интерфейси. Колдонмону орнотуу барагы эки бөлүмдөн турат:

1-сүрөт: Менин колдонмолорум

• Колдонмону орнотуу бетиндеги Менин колдонмолорум бөлүмү бардык колдонуучунун киргизүү конфигурацияларын көрсөтөт.
• Продукциянын маалымат тактасына өтүү үчүн продукт гипершилтемесин басыңыз.
• Киргизүүлөрдү түзөтүү үчүн, аракет менюсунун астындагы Конфигурацияны түзөтүүнү чыкылдатыңыз.
• Киргизүүлөрдү жок кылуу үчүн, аракет менюсунун астындагы Жок кылууну басыңыз.

2-сүрөт: Cisco продуктылары

• Cisco Продукттары барагында Security Cloud App менен бириктирилген бардык жеткиликтүү Cisco өнүмдөрү көрсөтүлөт.
• Бул бөлүмдө ар бир Cisco продуктусу үчүн киргизүүлөрдү конфигурациялай аласыз.

Колдонмону конфигурациялоо

• Кээ бир конфигурация талаалары бардык Cisco өнүмдөрүндө кеңири таралган жана алар бул бөлүмдө сүрөттөлөт.
• Продукцияга мүнөздүү конфигурация талаалары кийинки бөлүмдөрдө сүрөттөлөт.

Таблица 1: Жалпы талаалар

Талаа	Description
Киргизүү аты	(Милдеттүү) Колдонмого киргизүү үчүн уникалдуу аталыш.
Интервал	(Милдеттүү) API сурамдарынын ортосундагы секунддардагы убакыт аралыгы.
Индекс	(Милдеттүү) Колдонмо журналдары үчүн көздөлүүчү индекс. Зарыл болсо, аны өзгөртүүгө болот. Бул талаа үчүн автоматтык түрдө толтуруу каралган.
Булактын түрү	(Милдеттүү) Көпчүлүк колдонмолор үчүн бул демейки маани жана өчүрүлгөн. Сиз анын маанисин өзгөртө аласыз Advance Settings.

• 1-кадам Колдонмону орнотуу > Cisco продуктылары бетинде керектүү Cisco колдонмосуна өтүңүз.
• 2-кадам Колдонмону конфигурациялоону басыңыз.
  Конфигурация барагы үч бөлүмдөн турат: колдонмонун кыскача сүрөттөмөсү, пайдалуу ресурстарга шилтемелер менен документация жана Конфигурация формасы.
• 3-кадам Конфигурация формасын толтуруңуз. Төмөнкүлөргө көңүл буруңуз:
  • Талап кылынган талаалар * жылдызча менен белгиленген.
  • Кошумча талаалар да бар.
  • Барактын белгилүү бир колдонмо бөлүмүндө сүрөттөлгөн нускамаларды жана кеңештерди аткарыңыз.
• 4-кадам Сактоо баскычын басыңыз.
  Ката же бош талаалар бар болсо, Сактоо баскычы өчүрүлөт. Катаны оңдоп, форманы сактаңыз.

Cisco Duo

3-сүрөт: Duo конфигурациясынын бети

2-беттеги Колдонмону конфигурациялоо бөлүмүндө сүрөттөлгөн милдеттүү талаалардан тышкары, Duo API менен авторизациялоо үчүн төмөнкү эсептик дайындар талап кылынат:

• ikey (Интеграция ачкычы)
• асман (жашыруун ачкыч)

Авторизация Python үчүн Duo SDK тарабынан ишке ашырылат.

Таблица 2: Duo конфигурациясынын талаалары

Талаа	Description
API хост аты	(Милдеттүү ) Бардык API ыкмалары API хост атын колдонушат. https://api-XXXXXXXX.duosecurity.com. Бул маанини Duo Администратор панелинен алыңыз жана аны ошол жерде көрсөтүлгөндөй колдонуңуз.
Duo коопсуздук журналдары	Кошумча.
Каттоо деңгээли	(Милдеттүү эмес) $SPLUNK_HOME/var/log/splunk/duo_splunkapp/ киргизүү журналдарына жазылган билдирүүлөр үчүн журналга жазуу деңгээли

• 1-кадам Duo конфигурациясынын бетине киргизүү атын киргизиңиз.
• 2-кадам Интеграция ачкычы, Жашыруун ачкыч жана API хост аты талааларына Admin API эсептик дайындарын киргизиңиз. Эгер сизде бул эсептик дайындар жок болсо, жаңы каттоо эсебин каттоо.
  • Жаңы Admin API түзүү үчүн Тиркемелер > Колдонмону коргоо > Администратор API бөлүмүнө өтүңүз.
• 3-кадам Керек болсо төмөнкүлөрдү аныктаңыз:
  • Duo коопсуздук журналдары
  • Каттоо деңгээли
• 4-кадам Сактоо баскычын басыңыз.

Cisco Secure кесепеттүү программалык аналитика

4-сүрөт: Коопсуз зыяндуу программалык аналитика конфигурациясынын бети

Эскертүү
Кооптуу кесепеттүү программалык аналитика (SMA) API менен авторизациялоо үчүн сизге API ачкычы (api_key) керек болушу керек, API ачкычын сурамдын Авторизациялоо белгисинде Жетүүчү түрү катары өткөрүңүз.

Коопсуз зыяндуу программалык аналитика конфигурация маалыматтары

1. Алып баруучу: (Милдеттүү) SMA эсебинин атын көрсөтөт.
2. Прокси орнотуулары: (Милдеттүү эмес) Прокси түрүнөн, проксиден турат URL, Порт, Колдонуучунун аты жана Сырсөз.
3. Каттоо орнотуулары: (Милдеттүү эмес) Маалыматты жазуу үчүн орнотууларды аныктаңыз.

• 1-кадам Кооптуу кесепеттүү программалык аналитика конфигурациясынын бетинде Киргизүү аталышына ат киргизиңиз.
• 2-кадам Хост жана API ачкыч талааларын киргизиңиз.
• 3-кадам Керек болсо төмөнкүлөрдү аныктаңыз:
  • Прокси орнотуулары
  • Logging Settings
• 4 -кадам Сактоо дегенди басыңыз.

Cisco Secure Firewall башкаруу борбору

Сүрөт 5: Коопсуз Firewall башкаруу борборунун конфигурация барагы

• Сиз эки жөнөкөйлөштүрүлгөн процесстин бирин колдонуп, маалыматты Secure Firewall колдонмосуна импорттой аласыз: eStreamer жана Syslog.
• Secure Firewall конфигурация барагы эки өтмөктү камсыз кылат, алардын ар бири ар башка маалыматтарды импорттоо ыкмасына туура келет. Тиешелүү маалымат киргизүүлөрдү конфигурациялоо үчүн бул өтмөктөрдүн ортосунда которула аласыз.

Firewall e-Streamer

eStreamer SDK Коопсуз Firewall башкаруу борбору менен байланыш үчүн колдонулат.

Сүрөт 6: Secure Firewall E-Streamer өтмөгү

3-таблица: Коопсуз Firewall конфигурациясынын маалыматтары

Талаа	Description
FMC Host	(Милдеттүү) Башкаруу борборунун хостунун атын көрсөтөт.
Порт	(Милдеттүү) Каттоо эсебинин портун көрсөтөт.
PKCS күбөлүк	(Милдеттүү) Сертификат Firewall башкаруу консолунда түзүлүшү керек - eStreamer сертификаты Жаратуу. Система pkcs12 гана колдойт file түрү.
Купуя сөз	(Милдеттүү) PKCS күбөлүк үчүн сырсөз.
Окуя түрлөрү	(Милдеттүү) Жугуза турган окуялардын түрүн тандаңыз (Баары, Туташуу, Интрузия, File, Кирүү пакети).

• 1-кадам Кооптуу брандмауэрди кошуу бетинин E-Streamer өтмөгүндө, Киргизүү аты талаасына ат киргизиңиз.
• 2-кадам PKCS Сертификат мейкиндигине .pkcs12 жүктөңүз file PKCS сертификатын орнотуу.
• 3-кадам Сырсөз талаасына сырсөздү киргизиңиз.
• 4-кадам Окуянын түрлөрү боюнча окуяны тандаңыз.
• 5-кадам Керек болсо төмөнкүлөрдү аныктаңыз:
  • Duo коопсуздук журналдары
  • Каттоо деңгээли
    Эскертүү
    Эгер сиз E-Streamer жана Syslog өтмөктөрүнүн ортосунда которулсаңыз, активдүү конфигурация өтмөгү гана сакталат. Ошондуктан, сиз бир эле учурда бир гана маалыматтарды импорттоо ыкмасын орното аласыз.
• 6 -кадам Сактоо дегенди басыңыз.

Firewall Syslog
Тиркемени конфигурациялоо бөлүмүндө сүрөттөлгөн милдеттүү талаалардан тышкары, башкаруу борбору тарабында талап кылынган конфигурациялар төмөндө келтирилген.

Таблица 4: Secure Firewall Syslog конфигурация маалыматтары

Талаа	Description
TCP/ UDP	(Милдеттүү) Киргизилген маалыматтардын түрүн көрсөтөт.
Порт	(Милдеттүү) Каттоо эсеби үчүн уникалдуу портту көрсөтөт.

• 1-кадам Кооптуу брандмауэрди кошуу бетинин Syslog өтмөгүндө башкаруу борбору тарабында байланышты орнотуңуз, Input Name талаасына ат киргизиңиз.
• 2-кадам Киргизүү түрү үчүн TCP же UDP тандаңыз.
• 3-кадам Порт талаасына порт номерин киргизиңиз
• 4-кадам Булак түрү ачылуучу тизмеден түрүн тандаңыз.
• 5-кадам Тандалган булак түрү үчүн окуянын түрлөрүн тандаңыз.
  Эскертүү
  Эгер сиз E-Streamer жана Syslog өтмөктөрүнүн ортосунда которулсаңыз, активдүү конфигурация өтмөгү гана сакталат. Ошондуктан, сиз бир эле учурда бир гана маалыматтарды импорттоо ыкмасын орното аласыз.
• 6 -кадам Сактоо дегенди басыңыз.

Cisco Multicloud Defence

7-сүрөт: Коопсуз зыяндуу программалык аналитика конфигурациясынын бети

• Multicloud Defence (MCD) API аркылуу байланышуунун ордуна Splunkтун HTTP Event Collector функциясын колдонот.
• Multicloud Defense конфигурациясынын бетинин Орнотуу колдонмосу бөлүмүндө аныкталган кадамдарды аткарып, Cisco Defense Orchestrator (CDO) ичинде инстанцияны түзүңүз.

Multicloud Defence менен авторизациялоо үчүн Колдонмону конфигурациялоо бөлүмүндө аныкталган милдеттүү талаалар гана талап кылынат.

• 1-кадам Конфигурация бетиндеги Орнотуу колдонмосун аткаруу менен CDOга Multicloud Defence инстанциясын орнотуңуз.
• 2-кадам Киргизүү аты талаасына атты киргизиңиз.
• 3 -кадам Сактоо дегенди басыңыз.

Cisco XDR

8-сүрөт: XDR конфигурациясынын бети

Private Intel API менен авторизациялоо үчүн төмөнкү эсептик дайындар талап кылынат:

• client_id
• клиенттин сыры

Ар бир киргизүү иштетилгенде GET /iroh/oauth2/token акыркы чекитине чалуу келип чыгат, ал 600 секунда жарактуу белгини алат.

5-таблица: Cisco XDR конфигурациясынын маалыматтары

Талаа	Description
Регион	(Милдеттүү) Аутентификация ыкмасын тандоодон мурун аймакты тандаңыз.
Аутентификация Метод	(Милдеттүү) Аутентификациянын эки ыкмасы бар: Client ID жана OAuth колдонуу.
Импорттоо убакыт аралыгы	(Милдеттүү) Үч импорттоо варианты бар: Бардык инцидент маалыматтарын импорттоо, түзүлгөн дата-убакыттан импорттоо жана аныкталган дата-убакыттан импорттоо.
XDR инциденттерин ES атактууларга жылдырасызбы?	(Милдеттүү эмес) Splunk Enterprise Security (ES) Белгилүүлөрдү колдойт. Эгер Enterprise Security иштетилбеген болсо, сиз дагы эле атактууларга жылдырууну тандай аласыз, бирок окуялар ал индексте же көрүнүктүү макростордо көрүнбөйт. Enterprise Security иштетилгенден кийин, окуялар индексте болот. Сиз кабыл алуу үчүн окуялардын түрүн тандай аласыз (Баары, Критикалык, Орто, Төмөн, Маалымат, Белгисиз, Эч бири).

• 1-кадам Cisco XDR конфигурациясынын бетинде Input Name талаасына ат киргизиңиз.
• 2-кадам Аутентификация ыкмасы ачылуучу тизмеден ыкманы тандаңыз.
  • Кардардын ID:
    • XDRде каттоо эсебиңиз үчүн кардар түзүү үчүн XDRге өтүү баскычын чыкылдатыңыз.
    • Көчүрүү жана Кардар ID чаптоо
    • Сырсөз коюу (Client_secret)
  • OAuth:
    • Түзүлгөн шилтемени ээрчип, аныктыгын текшериңиз. Сизде XDR каттоо эсеби болушу керек.
    • Эгер код менен биринчи шилтеме иштебесе, экинчи шилтемеде Колдонуучунун кодун көчүрүп, кол менен чаптаңыз.
• 3-кадам Импорттоо убакыт диапазону талаасында импорт убактысын аныктаңыз.
• 4-кадам Зарыл болсо, XDR инциденттерин ES атактууларга жылдыруудан маанини тандаңыз. талаа.
• 5 -кадам Сактоо дегенди басыңыз.

Cisco Secure Email Threat Protection

9-сүрөт: Электрондук почта коркунучунан коргонуу конфигурациясынын бети

Secure Email Threat Defence API'лерин авторизациялоо үчүн төмөнкү эсептик дайындар талап кылынат:

• api_key
• client_id
• клиенттин сыры

6-таблица: Электрондук почта коркунучунан коргонуу конфигурациясынын маалыматтары

Талаа	Description
Регион	(Милдеттүү) Сиз аймакты өзгөртүү үчүн бул талааны түзөтө аласыз.
Импорттоо убакыт аралыгы	(Милдеттүү) Үч вариант бар: Бардык билдирүү дайындарын импорттоо, түзүлгөн дата-убакыттан импорттоо же аныкталган дата-убакыттан импорттоо.

• 1-кадам Secure Email Threat Defence конфигурациясынын бетинде Киргизүү аты талаасына ат киргизиңиз.
• 2-кадам API ачкычын, кардар идентификаторун жана кардар сырын ачкычын киргизиңиз.
• 3-кадам Аймак ачылуучу тизмеден аймакты тандаңыз.
• 4-кадам Импорттоо убактысынын диапазонунда импорт убактысын коюңуз.
• 5 -кадам Сактоо дегенди басыңыз.

Cisco Secure Network Analytics

Secure Network Analytics (SNA), мурда Stealthwatch деп аталган, учурдагы башкаруу элементтерин айланып өтүүнүн жолун тапкан коркунучтарды аныктоого жардам берүү үчүн болгон тармактык маалыматтарды талдайт.

10-сүрөт: Коопсуз Network Analytics Конфигурация барагы

Уруксат берүү үчүн талап кылынган эсептик маалыматтар:

• smc_host: (Stealthwatch башкаруу консолунун IP дареги же хост аты)
• tenant_id (бул каттоо эсеби үчүн Stealthwatch башкаруу консолунун домен идентификатору)
• колдонуучунун аты (Stealthwatch башкаруу консолунун колдонуучу аты)
• сырсөз (бул каттоо эсеби үчүн Stealthwatch башкаруу консолунун сырсөзү)

7-таблица: Коопсуз Network Analytics Конфигурация маалыматтары

Талаа	Description
Прокси түрү	ачылуучу тизмеден маанини тандаңыз: • Хост • Порт • Колдонуучунун аты • Купуя сөз
Интервал	(Милдеттүү) API сурамдарынын ортосундагы секунддардагы убакыт аралыгы. Демейки боюнча, 300 сек.
Булактын түрү	(Милдеттүү)
Индекс	(Милдеттүү) SNA коопсуздук журналдары үчүн көздөгөн индексин көрсөтөт. Демейки боюнча, абал: cisco_sna.
Кийин	(Милдеттүү) Stealthwatch API сураганда баштапкы кийинки маани колдонулат. Демейки боюнча, маани 10 мүнөт мурун.

• 1-кадам Кооптуу Network Analytics конфигурация бетинде, Киргизүү аты талаасына ат киргизиңиз.
• 2-кадам Менеджердин дарегин (IP же Хост), домендин идентификаторун, колдонуучунун атын жана паролду киргизиңиз.
• 3-кадам Зарыл болсо, Прокси орнотуулары астында төмөнкүлөрдү орнотуңуз:
  • Прокси түрү ачылуучу тизмеден проксиди тандаңыз.
  • Тиешелүү талааларга хост, порт, колдонуучу атын жана сырсөздү киргизиңиз.
• 4-кадам Киргизүү конфигурацияларын аныктаңыз:
  • Интервал астында убакытты коюңуз. Демейки боюнча, интервал 300 секундага (5 мүнөт) коюлган.
  • Керек болсо, Өркүндөтүлгөн орнотуулар астынан Булак түрүн өзгөртө аласыз. Демейки маани - cisco:sna.
  • Индекс талаасына Коопсуздук журналдары үчүн көздөлүүчү индексти киргизиңиз.
• 5 -кадам Сактоо дегенди басыңыз.

Документтер / Ресурстар

	CISCO Security Cloud App [pdf] Колдонуучунун колдонмосу Коопсуздук булут колдонмосу, булут колдонмосу, колдонмо
	CISCO Security Cloud App [pdf] Колдонуучунун колдонмосу Коопсуздук, коопсуздук булуту, булут, коопсуздук булут колдонмосу, колдонмо
	CISCO Security Cloud App [pdf] Колдонуучунун колдонмосу Коопсуздук булут колдонмосу, булут колдонмосу, колдонмо

Шилтемелер

• User Manual