Introducción
Este documento describe el proceso necesario para integrar y verificar Cisco SecureX con Cisco Orbital Advanced Search.
Gentileza de Yeraldin Sanchez y Uriel Torres, editado por Jorge Navarrete, ingenieros del TAC de Cisco.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Cisco AMP para terminales Essentials con licencia Orbital, Advantage o Premier
- Búsqueda avanzada en Cisco Orbital
- Navegación básica en la consola SecureX
- Virtualización opcional de imágenes
Componentes Utilizados
- AMP para consola de terminales versión 5.4.20200804
- Cuenta de administrador de AMP para terminales
- Orbital Advanced Search Console Versión 1.7
- SecureX Console versión 1.54
- Cuenta de administrador de SecureX
- Microsoft Edge Versión 84.0.522.52
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Orbital es una capacidad avanzada de Cisco AMP para terminales diseñada para simplificar la investigación de seguridad y la búsqueda de amenazas. Proporciona una implementación de la potente tecnología Osquery en cada uno de los terminales de AMP. Orbital permite crear consultas personalizadas para buscar información de interés en toda la red, pero también incluye más de cien consultas predefinidas, que permiten ejecutar rápidamente consultas complejas en cualquiera o todos los terminales.
El módulo Orbital tiene 4 mosaicos que puede agregar a un panel SecureX.
- Estado de Consulta y Resultados de la Organización:Conjunto de métricas que describe las consultas y los resultados de la organización
- Estadísticas del catálogo de usuarios: conjunto de métricas que describe las consultas de catálogo más utilizadas de este usuario
- Estado del Catálogo de la Organización: Juego de métricas que describe las consultas de catálogo más utilizadas de esta organización
- Estadísticas de Consulta de Usuario y Resultados: Conjunto de métricas que describe las consultas de usuario y los resultados
Configurar
Generar las credenciales de la API en la consola SecureX
- Inicie sesión en SecureX
- Vaya a Integrations > Settings > API Clients
- Haga clic en Generar cliente API
- Dé un nombre al cliente, marque Orbital, describa la API y haga clic en Add New Client .
- Se generan las credenciales de la API
Nota: Esta información solo está disponible en esta ventana. Guarde sus credenciales en un archivo de copia de seguridad.
Habilitar SecureX Ribbon en la consola de AMP
SecureX es una consola centralizada y un conjunto distribuido de funciones que unifican la visibilidad, permiten la automatización, aceleran los flujos de trabajo de respuesta ante incidentes y mejoran la búsqueda de amenazas. Estas capacidades distribuidas se presentan en forma de aplicaciones (apps) y herramientas en SecureX Ribbon, la cinta SecureX se puede habilitar en la consola orbital.
- Inicie sesión en la consola orbital
- En la consola orbital
- Navegue hasta <Usuario joven> > Configuración
- Habilitar la cinta de opciones SecureX
- La cinta de opciones se encuentra en la parte inferior de la página y continúa mientras se desplaza entre el panel y otros productos de seguridad de su entorno
Integre el módulo orbital en SecureX
Orbital puede enriquecer la información que se muestra en el gráfico de relaciones de respuesta ante amenazas si entra en Orbital para consultar y recopilar información adicional sobre su host, IP, IP4, IP6, MAC y OS, etc. La aplicación Orbital está disponible en la cinta de SecureX y le permite ejecutar una consulta en directo. También puede ver las métricas y las consultas recientes en el panel derecho.
- En SecureX
- Vaya a Integraciones > Agregar nuevo módulo
- Seleccione Orbital y haga clic en Add New Module .
- Asigne un nombre al módulo y haga clic en Guardar
Verificación
Valide que la información de la consola Orbital Advanced Set se muestre en el panel de SecureX.
- En SecureX, desplácese hasta Panel
- Haga clic en Nuevo panel y asígnele un nombre
- Seleccione el módulo orbital generado anteriormente
- Seleccione los mosaicos, para esta guía se agregarán todos
- Haga clic en Save (Guardar).
- Seleccione el Plazo y verifique si los datos de Orbital se muestran en SecureX
- Se puede iniciar una investigación desde la cinta de SecureX
- Vaya a SecureXRibbon > Orbital > Realizar una consulta orbital
Información Relacionada