概要
このドキュメントでは、Cisco SecureXとCisco Orbital Advanced Searchを統合および検証するために必要なプロセスについて説明します。
著者:Cisco TACエンジニア、Jorge Navarrete、Yeraldin SanchezおよびUriel Torres
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco AMP for Endpoint Essentials(Orbital、Advantage、またはPremierライセンス付き)
- Cisco Orbital詳細検索
- SecureXコンソールの基本的なナビゲーション
- イメージの仮想化(オプション)
使用するコンポーネント
- AMP for Endpointsコンソールバージョン5.4.20200804
- AMP for Endpoints管理者アカウント
- Orbital Advanced Search Consoleバージョン1.7
- SecureXコンソールバージョン1.54
- SecureX管理者アカウント
- Microsoft Edgeバージョン84.0.522.52
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Orbitalは、Cisco AMP for Endpointの高度な機能で、セキュリティ調査と脅威ハンティングをシンプルに行えるように設計されています。各AMPエンドポイントに強力なOsqueryテクノロジーを実装します。Orbitalでは、カスタムクエリを作成してネットワーク全体を対象の情報を探すことができますが、事前に用意された100を超えるクエリも用意されています。これにより、任意またはすべてのエンドポイントで複雑なクエリをすばやく実行できます。
Orbitalモジュールには、SecureXダッシュボードに追加できる4つのタイルがあります。
- 組織のクエリと結果の統計:組織のクエリと結果を示す一連のメトリック
- ユーザカタログ統計:このユーザに対して最も頻繁に使用されるカタログクエリーを記述する一連のメトリック
- 組織カタログ統計:この組織で最も頻繁に使用されるカタログ問合せを記述する一連のメトリック
- User Query and Results Stats:ユーザのクエリと結果を記述する一連のメトリック
設定
SecureXコンソールでのAPIクレデンシャルの生成
- SecureXにログインします。
- [Integrations] > [Settings] > [API Clients] に移動します。
- [Generate API Client] をクリックします。
- クライアントに名前を付け、[Orbital] をオンにしてAPIを説明し、[Add New Client] をクリックします
注:この情報は、このウィンドウでのみ使用できます。認証情報はバックアップファイルに保存してください。
AMPコンソールでSecureXリボンを有効にする
SecureXは、一元化されたコンソールと、可視性の統合、自動化の実現、インシデント対応ワークフローの迅速化、脅威ハンティングの改善を実現する分散機能セットの両方を備えています。これらの分散機能は、SecureXリボン内のアプリケーション(アプリケーション)およびツールの形式で提供され、SecureXリボンはOrbitalコンソールで有効にすることができます。
- Orbital Consoleにログインします
- Orbitalコンソール
- <Yout User> > Settingsに移動します。
- SecureXリボンを有効にする
- リボンはページの下部にあり、ダッシュボードと環境内の他のセキュリティ製品との間を移動しても表示されます
SecureXでのOrbitalモジュールの統合
Orbitalは、ホスト、IP、IP4、IP6、MAC、OSなどに関する追加の情報を照会および収集するためにOrbitalに入り込んだ場合、Threat Response関係グラフに表示される情報を強化できます。OrbitalアプリはSecureXリボンから利用でき、ライブクエリを実行できます。メトリックと最近のクエリーを右ペインに表示することもできます。
- SecureX上
- [Integrations] > [Add New Module] に移動します。
- [Orbital]を選択し、[Add New Module] をクリックします。
- モジュールに名前を付け、[Save] をクリックします。
確認
Orbital Advanced Seコンソールからの情報がSecureXダッシュボードに表示されることを確認します。
- SecureXで、[Dashboard] に移動します。
- [onNew Dashboard] をクリックし、名前を付けます
- 以前に生成した軌道モジュールを選択します
- タイルを選択します。このガイドでは、すべてのタイルが追加されます
- [Save] をクリックします。
- [Timeframe] を選択し、OrbitalからのデータがSecureXに表示されるかどうかを確認します
- SecureXリボンから調査を開始できます
- [SecureXRibbon] > [Orbital] > [Perform an Orbital Query] に移動します。
関連情報