المقدمة
يصف هذا المستند العملية المطلوبة لدمج Cisco SecureX والتحقق من صحته مع Cisco Orbital Advanced Search.
ساهم به يرالدين سانشيز وأورييل توريس، تحرير خورخي نافاريت، مهندسو مركز المساعدة الفنية التابع لشركة Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- الحماية المتقدمة لنقاط النهاية من Cisco لأساسيات المدار أو الترخيص المتميز أو Premier
- البحث المتقدم المداري من Cisco
- التنقل الأساسي في وحدة تحكم SecureX
- المحاكاة الافتراضية الاختيارية للصور
المكونات المستخدمة
- AMP لوحدة تحكم نقاط النهاية، الإصدار 5.4.20200804
- AMP لحساب مسؤول نقاط النهاية
- وحدة تحكم البحث المتقدم المدارية، الإصدار 1.7
- SecureX Console، الإصدار 1.54
- حساب مسؤول SecureX
- Microsoft Edge الإصدار 84.0.522.52
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
أما أوربيتال فهي قدرة متقدمة في نقاط النهاية من Cisco AMP، وهي مصممة لتبسيط التحقيق الأمني واقتفاء التهديدات. فهو يوفر إمكانية تنفيذ تقنية Osquery الفعالة على كل نقطة نهاية من نقاط نهاية AMP لديك. يسمح لك Orbital بإنشاء استعلامات مخصصة للبحث عبر شبكتك عن المعلومات ذات الأهمية، ولكن يأتي أيضا مع أكثر من مائة استعلام معلب مسبقا، والتي تتيح لك تشغيل استعلامات معقدة على أي من نقاط النهاية أو كلها بسرعة.
تحتوي الوحدة المدارية على 4 تجانبات يمكنك إضافتها إلى لوحة معلومات SecureX.
- حالات الاستعلام عن نتائج المؤسسة: مجموعة من المقاييس تصف استعلامات المؤسسة ونتائجها
- حالات كتالوج المستخدم: مجموعة من المقاييس تصف استعلامات الكتالوج الأكثر إستخداما لهذا المستخدم
- حالات كتالوج المؤسسة: مجموعة من المقاييس تصف استعلامات الكتالوج الأكثر إستخداما لهذه المؤسسة
- إحصائيات استعلام المستخدم والنتائج: مجموعة من المقاييس تصف استعلامات المستخدم والنتائج
التكوين
إنشاء بيانات اعتماد API في وحدة تحكم SecureX
- تسجيل الدخول إلى SecureX
- انتقل إلى عمليات التكامل>الإعدادات > عملاء واجهة برمجة التطبيقات (API)
- انقر فوق إنشاء عميل واجهة برمجة تطبيقات (API)
- قم بتسمية العميل، تحقق من Orbital، وصف واجهة برمجة التطبيقات (API) وانقر فوق إضافة عميل جديد
- يتم إنشاء بيانات اعتماد API
ملاحظة: هذه المعلومات متوفرة فقط في هذا الإطار، احفظ بيانات الاعتماد الخاصة بك في ملف نسخ إحتياطي.
تمكين شريط SecureX في وحدة تحكم AMP
يعتبر برنامج SecureX وحدة تحكم مركزية ومجموعة موزعة من القدرات التي تعمل على توحيد إمكانية الرؤية وتمكين التشغيل التلقائي وتسريع عمليات سير العمل الخاصة بالاستجابة للحوادث وتحسين عملية البحث عن التهديدات. يتم تقديم هذه الإمكانات الموزعة في شكل تطبيقات (تطبيقات) وأدوات في شريط SecureX، ويمكن تمكين شريط SecureX في وحدة التحكم المدارية.
- تسجيل الدخول إلى وحدة التحكم المدارية
- على الوحدة المدارية
- انتقل إلى <Yout user> > الإعدادات
- تمكين شريط SecureX
- يوجد الشريط في الجزء السفلي من الصفحة ولا يزال موجودا أثناء التنقل بين لوحة المعلومات ومنتجات الأمان الأخرى في بيئتك
دمج الوحدة المدارية في SecureX
يمكن أن يعمل المدار على إثراء المعلومات المقدمة في الرسم البياني لعلاقات الاستجابة للتهديدات من خلال ما إذا كنت في المدار للاستعلام وجمع معلومات إضافية حول المضيف، IP، IP4، IP6، MAC، وأنظمة التشغيل، وما إلى ذلك. يتوفر التطبيق المداري على شريط SecureX ويسمح لك بتشغيل استعلام مباشر. يمكنك أيضا عرض المقاييس والاستعلامات الأخيرة في الجزء الأيمن.
- On SecureX
- انتقل إلى عمليات التكامل>إضافة وحدة نمطية جديدة
- حدد المدار وانقر على إضافة وحدة نمطية جديدة
- قم بتسمية الوحدة النمطية وانقر فوق حفظ
التحقق من الصحة
تحقق من عرض المعلومات الواردة من وحدة تحكم SE المدارية المتقدمة في لوحة معلومات SecureX.
- انتقل على SecureX إلى لوحة المعلومات
- انقر على لوحة معلومات جديدة واسمها
- تحديد الوحدة النمطية المدارية التي تم إنشاؤها مسبقا
- حدد المربعات، حيث يتم إضافة كل المربعات لهذا الدليل
- طقطقة حفظ
- تحديد الإطار الزمني والتحقق من عرض البيانات من المدار في SecureX
- يمكن فتح تحقيق من شريط SecureX
- انتقل إلى SecureXRibbon>Orbital>إجراء استعلام مداري
معلومات ذات صلة