Einleitung
In diesem Dokument wird die reibungslose SNA-Integration mit Splunk unter Verwendung der Cisco Security Cloud für eine schnellere Reaktion auf Vorfälle bei den erkannten Bedrohungen beschrieben.
Voraussetzungen
Grundkenntnisse von Splunk und Cisco Devices
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf folgenden Hardware- und Software-Versionen:
Splunk Enterprise
Secure Network Analytics v7.5.2
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Konfigurieren
Schritt 1: Greifen Sie auf die Splunk-Anwendung zu, und installieren Sie die Cisco Security Cloud-Anwendung.
i. Melden Sie sich mit den Administratorrechten beim Splunk-Webportal an, und nach erfolgreicher Anmeldung wird die Startseite mit der Liste der installierten Anwendungen auf der linken Seite unter dem App-Abschnitt angezeigt:

ii) Für die Integration der SNA mit Splunk muss die Cisco Security Cloud-Anwendung installiert werden, die mit einer der folgenden Methoden erreicht werden kann:
- Wählen Sie im Dropdown-Menü die Option Weitere Apps suchen aus.

b. Über das Manager-Symbol können Sie weitere Apps durchsuchen.

Phase 2: Installation der Cisco Security Cloud-Anwendung
i. Suchen Sie nach der Cisco Security Cloud-Anwendung. Scrollen Sie jetzt nach unten, bis Sie die App gefunden haben, oder suchen Sie nach der Cisco Security Cloud.
Vorsicht: Lassen Sie sich nicht mit der Cisco Cloud Security App verwechseln.

ii) Installieren Sie die Anwendung, indem Sie auf die Schaltfläche Installieren klicken.

iii. Sobald Sie auf die Schaltfläche "Installieren" klicken, wird ein Fenster angezeigt, in dem Sie vor der Installation der Anwendung nach den Anmeldeinformationen des Splunk-Kontos gefragt werden. Geben Sie Ihre Anmeldeinformationen an, und klicken Sie auf Agree and Install, um fortzufahren.
Tipp: Geben Sie die Anmeldeinformationen an, die für den Zugriff auf das Splunk-Portal verwendet werden, nicht die Admin-Anmeldeinformationen, die für die Splunk-Unternehmensanwendung bei der Anmeldung verwendet werden.

iv. Bei erfolgreicher Installation der Anwendung wird eine Meldung angezeigt, wie dargestellt. Klicken Sie auf Done (Fertig).

Schritt 3: Verifizierung der Installation der Cisco Security Cloud-Anwendung
i. Klicken Sie auf die Dropdown-Option Apps, und nun wird die App in der Liste nach der erfolgreichen Installation angezeigt:

ii. Wählen Sie Cisco Security Cloud aus, indem Sie darauf klicken. Sie werden zur Seite Application Setup (Anwendungseinrichtung) weitergeleitet, auf der Sie alle verfügbaren Cisco Cloud Security-Produkte finden.

Schritt 4: Integration mit Secure Network Analytics (SNA)
In diesem Dokument werden die Installationsschritte für Splunk mit Secure Network Analytics (SNA) erläutert.
i. Suchen Sie nach sicheren Netzwerkanalysen, und wählen Sie, wenn diese angezeigt wird, Configure Application (Anwendung konfigurieren):

ii) Wenn Sie die Konfigurationsoption auswählen, wird die Konfigurationsseite angezeigt, auf der die hinzuzufügenden Details angezeigt werden.

iii. Füllen Sie alle obligatorischen Angaben aus, die für die SNA-Verbindungsdetails angegeben sind:
- Eingabename: ein eindeutiger Name für SNA
- Manager-Adresse (IPv4- oder IPv6-Adresse oder Hostname): Management-IP des primären SNA-Managers
- Domänen-ID: Geben Sie den Wert für domain_ID ein (z. B. 301).
- Benutzername: Der Benutzername des primären Managers (z. B. admin)
- Kennwort: Passwort des primären Managers

iv. Lassen Sie die übrigen Einstellungen auf ihren Standardwerten, oder ändern Sie sie nach Bedarf, und klicken Sie dann auf Speichern. Nach Abschluss des Vorgangs wird eine Meldung angezeigt.

Schritt 5: Überprüfung der Integration.
Dies ist ein wichtiger Schritt, bei dem Sie überprüfen müssen, ob die im vorherigen Schritt durchgeführte Integration erfolgreich abgeschlossen wurde.
i. Der Verbindungsstatus für den Eingang muss auf der Registerkarte Application Setup (Anwendungseinrichtung) standardmäßig für den richtigen Namen im Eingabefeld Enabled (Aktiviert) angegeben werden.

ii. Wählen Sie das Secure Network Analytics-Dashboard aus dem Dropdown-Menü aus, und die Statistiken werden schließlich auf dem Dashboard angezeigt.


Häufig gestellte Fragen
Wo finde ich die Domänen-ID für den SNA-Manager?
Antwort:
i. Melden Sie sich beim primären SNA-Manager an, und leiten Sie zur Verwaltungsseite der Appliance um. Alternativ können Sie auf die IP Index-URL des Managers zugreifen.
ii) Durchsuchen Sie den Ordner smc im Abschnitt Support.

iii. Öffnen Sie die Datei domain.xml im Ordner domain_XXX unter dem Ordner config.
