المقدمة
يوضح هذا المستند كيفية دمج ThreatQ مع Cisco Umbrella.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى Cisco Umbrella.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نظرة عامة على تكامل ThreatQ و Cisco Umbrella
من خلال دمج ThreatQ مع Cisco Umbrella، أصبح بإمكان موظفي الأمان والمسؤولين الآن توفير الحماية ضد التهديدات المتقدمة لأجهزة الكمبيوتر المحمولة أو أجهزة الكمبيوتر اللوحية أو الهواتف التي يتم التجول فيها، كما أنهم يعملون في الوقت نفسه على توفير طبقة أخرى من الإنفاذ لشبكة شركة موزعة.
يوضح هذا الدليل كيفية تكوين ThreatQ للاتصال ب Umbrella حتى يتم دمج أحداث الأمان من ThreatQ TIP في السياسات التي يمكن تطبيقها على العملاء المحميين بواسطة Cisco Umbrella.
ملاحظة: يتم تضمين تكامل ThreatQ فقط في حزم Cisco Umbrella معينة. إذا لم تكن لديك الحزمة المطلوبة وتريد دمج ThreatQ، فيرجى الاتصال بممثل Cisco Umbrella لديك. إذا كان لديك حزمة Cisco Umbrella الصحيحة ولكن لا ترى ThreatQ على أنه دمج للوحة المعلومات، فيرجى الاتصال بدعم Cisco Umbrella.
وظيفة التكامل
يرسل النظام الأساسي ThreatQ معلومات التهديد الإلكتروني التي وجدها، مثل المجالات التي تستضيف البرامج الضارة، والتحكم والتحكم والتحكم في مواقع برامج التصحيح أو التصيد الاحتيالي، إلى Umbrella.
ثم تقوم Umbrella بالتحقق من صحة التهديد لضمان إمكانية إضافته إلى إحدى السياسات. في حالة تأكيد أن المعلومات الواردة من ThreatQ تشكل تهديدا، تتم إضافة عنوان المجال إلى قائمة وجهة ThreatQ كجزء من إعداد أمان يمكن تطبيقه على أي نهج Umbrella. يتم تطبيق هذا النهج على الفور على أي طلبات يتم إجراؤها من الأجهزة التي تستخدم سياسات قائمة الوجهة ل ThreatQ.
في المرحلة القادمة، تقوم Umbrella تلقائيا بتحليل تنبيهات ThreatQ وإضافة مواقع ضارة إلى قائمة وجهة ThreatQ. وهذا يعمل على مد حماية برنامج ThreatQ إلى جميع المستخدمين والأجهزة البعيدة وتوفير طبقة أخرى من الحماية لشبكة شركتك.
تلميح: بينما تحاول Cisco Umbrella جاهدة التحقق من صحة المجالات المعروفة بأنها آمنة بشكل عام والسماح بها (على سبيل المثال، Google و Salesforce)، لتجنب المقاطعات غير المرغوب فيها، نقترح إضافة مجالات لم ترغب أبدا في حظرها إلى قائمة السماح العالمية أو قوائم الوجهة الأخرى طبقا لسياستك. الأمثلة تتضمن:
- الصفحة الرئيسية لمؤسستك
- المجالات التي تمثل الخدمات التي توفرها والتي يمكن أن تحتوي على كل من السجلات الداخلية والخارجية. على سبيل المثال، "mail.myservicedomain.com" و"portal.myotherServiceDomain.com".
- التطبيقات المستندة إلى السحابة الأقل شهرة التي تعتمد على أن Cisco Umbrella لا تتضمن التحقق التلقائي من صحة المجال. على سبيل المثال، "localcloudservice.com".
يمكن إضافة هذه المجالات إلى قائمة السماح العالمية، والتي تم العثور عليها ضمن السياسات > قوائم الوجهة في Cisco Umbrella.
إنشاء Umbrella Script و API Token
ابدأ بالعثور على عنوان URL الفريد الخاص بك في Umbrella لجهاز ThreatQ للاتصال ب:
1. قم بتسجيل الدخول إلى لوحة معلومات Umbrella.
2. انتقل إلى الإعدادات > التكاملات وحدد ThreatQ في الجدول لتوسيع نطاقه.
3. حدد تمكين ثم حدد حفظ. يقوم هذا بإنشاء عنوان URL فريد ومحدد لمؤسستك ضمن Umbrella.

تحتاج إلى عنوان URL لاحقا عندما تقوم بتكوين ThreatQ لإرسال البيانات إلى Umbrella، لذا انسخ عنوان URL وانتقل إلى لوحة معلومات ThreatQ الخاصة بك.
كيفية تكوين ThreatQ للاتصال ب Umbrella
قم بتسجيل الدخول إلى لوحة معلومات ThreatQ الخاصة بك وأضف عنوان URL إلى المنطقة المناسبة للاتصال ب Umbrella.
تختلف التعليمات الدقيقة، وتقترح Umbrella الاتصال بدعم ThreatQ إذا كنت غير متأكد من كيفية أو مكان تكوين عمليات دمج واجهة برمجة التطبيقات (API) داخل ThreatQ.
مراقبة الأحداث المضافة إلى فئة أمان ThreatQ في وضع التدقيق
مع مرور الوقت، تبدأ الأحداث من لوحة معلومات ThreatQ الخاصة بك في ملء قائمة وجهة محددة يمكن تطبيقها على السياسات كفئة أمان ThreatQ. بشكل افتراضي، تكون القائمة الوجهة وفئة الأمان في وضع التدقيق، مما يعني أنهما لا يتم تطبيقهما على أي نهج ولا يمكن أن يؤدي إلى أي تغيير في سياسات Umbrella الموجودة.
ملاحظة: يمكن تمكين وضع التدقيق لأي مدة زمنية تكون ضرورية استنادا إلى ملف تعريف النشر وتكوين الشبكة لديك.
مراجعة قائمة الوجهة
يمكنك مراجعة قائمة وجهة ThreatQ في Umbrella في أي وقت:
1. انتقل إلى الإعدادات > عمليات التكامل.
2. قم بتوسيع ThreatQ في الجدول وحدد راجع المجالات.

مراجعة إعدادات التأمين لنهج ما
يمكنك مراجعة إعداد الأمان الذي يمكن تمكينه لنهج في Umbrella في أي وقت:
1. انتقل إلى السياسات > إعدادات التأمين.
2. حدد إعداد أمان في الجدول لتمديده.
3. قم بالتمرير إلى عمليات التكامل لتحديد إعداد ThreatQ.
115014040286
يمكنك أيضا مراجعة معلومات التكامل من خلال صفحة ملخص إعدادات التأمين.
25464141748116
تطبيق إعدادات أمان ThreatQ في وضع الحظر على سياسة للعملاء الذين تتم إدارتهم
بمجرد أن تكون مستعدا لفرض تهديدات الأمان الإضافية هذه من قبل العملاء الذين تتم إدارتهم بواسطة Umbrella، يمكنك تغيير إعداد الأمان لنهج موجود، أو إنشاء نهج جديد يكون أعلى من النهج الافتراضي لضمان فرضه أولا:
1.انتقل إلى السياسات > إعدادات التأمين.
2. ضمن عمليات التكامل، حدد ThreatQ وحدد حفظ.
115014207403
بعد ذلك، في معالج النهج، قم بإضافة إعداد أمان للنهج الذي تقوم بتحريره:
1. انتقل إلى السياسات > قائمة السياسات.
2. توسيع نهج وتحديد تحرير ضمن إعداد الأمان المطبق.
3. في القائمة المنسدلة إعدادات الأمان، حدد إعداد تأمين يتضمن إعداد ThreatQ.
25464141787668
رمز الدرع تحت تحديثات التكامل إلى الأزرق.
115014040506
4. حدد مجموعة وإرجاع.
تم الآن حظر مجالات ThreatQ المضمنة في إعداد الأمان ل ThreatQ للهويات التي تستخدم النهج.
الإبلاغ في Umbrella عن أحداث ThreatQ
الإبلاغ عن الأحداث الأمنية ل ThreatQ
قائمة وجهة ThreatQ هي إحدى قوائم فئات الأمان التي يمكنك الإبلاغ عنها. تستخدم معظم التقارير أو جميعها فئات الأمان كعامل تصفية. على سبيل المثال، يمكنك تصفية فئات الأمان لإظهار النشاط المرتبط ب ThreatQ فقط.
1. انتقل إلى إعداد التقارير > البحث عن النشاط.
2. ضمن فئات الأمان، حدد ThreatQ لتصفية التقرير لإظهار فئة الأمان ل ThreatQ فقط.
ملاحظة: في حالة تعطيل تكامل ThreatQ، لا يظهر في عامل تصفية فئات الأمان.
115014207603
3. حدد تطبيق.
إعداد التقارير عند إضافة المجالات إلى قائمة وجهة ThreatQ
يتضمن سجل تدقيق Umbrella Admin أحداثا من لوحة معلومات ThreatQ حيث يضيف مجالات إلى قائمة الوجهة. كما يعمل مستخدم يحمل اسم "حساب التهديد"، والذي يحمل أيضا شعار ThreatQ، على توليد الأحداث. تتضمن هذه الأحداث المجال الذي تمت إضافته والوقت الذي تمت إضافته فيه. يمكن العثور على سجل تدقيق Umbrella Admin في Reporting > سجل تدقيق المسؤول.
يمكنك التصفية لتضمين تغييرات ThreatQ فقط بتطبيق عامل تصفية لمستخدم حساب ThreatQ.
التعامل مع عمليات الكشف غير المرغوب فيها أو الإيجابيات الخاطئة
قوائم السماح
على الرغم من أنه من غير المحتمل، قد تؤدي المجالات التي تمت إضافتها تلقائيا بواسطة ThreatQ إلى تشغيل كتلة غير مرغوب فيها يمكن أن تمنع المستخدمين من الوصول إلى مواقع ويب معينة. في حالة مثل هذه، توصي Umbrella بإضافة المجال (المجالات) إلى قائمة السماح، التي تكون لها الأولوية على جميع الأنواع الأخرى من قوائم الحظر، بما في ذلك إعدادات الأمان.
وهناك سببان يجعلان هذا النهج مفضلا:
- أولا، في حالة قيام لوحة معلومات ThreatQ بإعادة إضافة المجال مرة أخرى بعد إزالته، يتم توفير ضمانات قائمة السماح ضد التسبب في مزيد من المشاكل.
- ثانيا، تعرض قائمة السماح سجلا تاريخيا للمجالات الإشكالية التي يمكن إستخدامها للطب الشرعي أو تقارير التدقيق.
بشكل افتراضي، هناك قائمة سماح عامة يتم تطبيقها على كل السياسات. يؤدي إضافة مجال إلى قائمة السماح العمومية إلى السماح بالمجال في كافة السياسات.
إذا كان إعداد أمان ThreatQ في وضع الحظر مطبقا فقط على مجموعة فرعية من هويات Umbrella المدارة (على سبيل المثال، يتم تطبيقه فقط على أجهزة الكمبيوتر المتجولة والأجهزة المحمولة)، يمكنك إنشاء قائمة سماح خاصة لهذه الهويات أو النهج.
لإنشاء قائمة السماح:
1. انتقل إلى السياسات > قوائم الوجهة وحدد أيقونة الإضافة.
2. حدد السماح، وأضف مجالك إلى القائمة.
3. حدد حفظ.
بمجرد حفظ قائمة الوجهة، يمكنك إضافتها إلى سياسة موجودة تغطي العملاء الذين تأثروا بالكتلة غير المرغوب فيها.
حذف مجالات من قائمة وجهة ThreatQ
يوجد رمز حذف بجوار كل اسم مجال في قائمة وجهة ThreatQ. يسمح لك حذف المجالات بتنظيف قائمة وجهة ThreatQ في حالة الكشف غير المرغوب فيه. ومع ذلك، فإن الحذف ليس دائما إذا قامت لوحة معلومات ThreatQ بإعادة إرسال المجال إلى Cisco Umbrella.
لحذف مجال:
1. انتقل إلى الإعدادات > التكاملات، ثم حدد ThreatQ لتمديده.
2. حدد راجع المجالات.
3. ابحث عن اسم المجال الذي تريد حذفه.
4. حدد أيقونة الحذف.

5. حدد إغلاق.
6. حدد حفظ.
في حالة اكتشاف غير مرغوب فيه أو نتيجة إيجابية خاطئة، توصي Umbrella بإنشاء قائمة سماح في Umbrella على الفور ثم تصحيح الإيجاب الخاطئ داخل لوحة معلومات ThreatQ. لاحقا، يمكنك إزالة المجال من قائمة وجهة ThreatQ.