Introducción
Este documento describe el proceso necesario para integrar y verificar Cisco SecureX con protección frente a malware avanzado (AMP) de Cisco para terminales.
Contribuido por Yeraldin Sánchez y Uriel Torres, Editado por Jorge Navarrete, Ingenieros del TAC de Cisco.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- AMP de Cisco para terminales
- Navegación básica en la consola SecureX
- Virtualización opcional de imágenes
Componentes Utilizados
- Consola de AMP para terminales versión 5.4.20200804
- Cuenta de administrador de AMP para terminales
- Consola SecureX versión 1.54
- Cuenta de administrador de SecureX
- Microsoft Edge versión 84.0.522.52
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
La protección frente a malware avanzado (AMP) de Cisco para terminales es una parte fundamental de la plataforma de seguridad de terminales y se implementa como una herramienta preventiva y de investigación que admite funciones de detección y/o respuesta para dispositivos Windows, MacOS, Linux, Android e iOS. El módulo AMP para terminales proporciona 5 mosaicos.
- Compromisos detectados por AMP: Un conjunto de métricas que resume los riesgos detectados por AMP
- Resumen de equipos AMP: conjunto de métricas que resume el estado de los equipos AMP
- Resumen de AMP: conjunto de métricas que resume la detección y la respuesta de AMP
- Cuarentenas de AMP: Conjunto de métricas que resume las cuarentenas de AMP por tiempo
- MITER ATT&CK Tactics Detected by AMP: Conjunto de métricas que resume las tácticas MITER ATT&CK detectadas por AMP
Configurar
Genere las credenciales de la API en la consola de AMP
En la consola de AMP, se crean nuevas credenciales de API.
- Inicie sesión en AMP Console con privilegios de administrador
- En la consola de AMP, vaya a Cuentas > Credenciales de API
- Haga clic en Nueva credencial de API
- Nombre de la aplicación
- Seleccione Leer y escribir
- Marque Enable Command Line y Allow API access to File Repository download audit logs
- Haga clic en Crear
- Se generan las credenciales de la API
Nota: Esta información sólo está disponible en esta ventana, guarde las credenciales en un archivo de copia de seguridad.
Habilitar la cinta de opciones SecureX en la consola de AMP
SecureX es tanto una consola centralizada como un conjunto distribuido de funciones que unifican la visibilidad, permiten la automatización, aceleran los flujos de trabajo de respuesta ante incidentes y mejoran la búsqueda de amenazas. Estas capacidades distribuidas se presentan en forma de aplicaciones (aplicaciones) y herramientas en la cinta de opciones SecureX, la cinta de opciones SecureX se puede habilitar en la consola de AMP.
- Inicie sesión en SecureX
- En la consola de AMP
- Vaya a Cuentas > Usuarios > Haga clic en su Usuario
- En el cuadro Configuración, haga clic en Cinta SecureX Autorizar
- Se le redirige a la respuesta de amenazas de SecureX
- Haga clic en Autorizar AMP para terminales
- La cinta de opciones se encuentra en la parte inferior de la página y persiste a medida que se desplaza entre el panel y otros productos de seguridad de su entorno
Integre el módulo AMP para terminales en SecureX
El módulo AMP para terminales le permite investigar e identificar varios archivos con contexto a partir de integraciones entre productos de seguridad. Proporciona información detallada sobre los terminales y dispositivos afectados, incluidas las direcciones IP, el SO y el GUID de AMP.
- En la consola SecureX navegue hasta Integrations > Haga clic en Add New Module
- Seleccione el módulo AMP para terminales y haga clic en Agregar nuevo módulo
- Nombre el módulo
- Seleccione AMP Cloud
- Las credenciales de la API recopiladas anteriormente se ingresan en ID de cliente de API de terceros y clave de la API
Verificación
Valide que la información de la consola de AMP se muestre en el panel SecureX.
- En SecureX, vaya al Panel
- Haga clic en Nuevo panel y asígnele el nombre
- Seleccione el módulo AMP generado previamente
- Seleccione las fichas, para esta guía se agregarán todas
- Haga clic en Save (Guardar).
- Seleccione el plazo y verifique si los datos de AMP se muestran en SecureX
Troubleshoot
El cliente de API no tiene acceso de escritura [403]
SecureX - AMP para la integración de terminales requiere AMP de lectura y escritura para las API de terminales; si no, se muestra un mensaje de error como se muestra en la imagen.
Error: Clave De API O ID De Cliente Desconocidos [401]
Si las API no son válidas si se realiza una investigación en Respuesta ante amenazas de SecureX, como se muestra en la imagen.
Verifique que las credenciales de la API sean válidas o existan en la consola de AMP; si no es así, intente con otras nuevas.
Si después de revisar la información anterior aún tiene problemas, póngase en contacto con el servicio de asistencia.
Guía de vídeo