Einleitung
In diesem Dokument wird der erforderliche Prozess zur Integration und Verifizierung von Cisco SecureX in Cisco Orbital Advanced Search beschrieben.
Beitrag von Yeraldin Sanchez und Uriel Torres, herausgegeben von Jorge Navarrete, Cisco TAC Engineers.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Cisco AMP für Endgeräte Essentials mit Orbital-, Advantage- oder Premier-Lizenz
- Cisco Orbital - Erweiterte Suche
- Grundlegende Navigation in der SecureX-Konsole
- Optionale Virtualisierung von Images
Verwendete Komponenten
- AMP für Endgeräte-Konsole Version 5.4.20200804
- AMP für Endgeräte - Administratorkonto
- Orbital Advanced Search Console Version 1.7
- SecureX-Konsole Version 1.54
- SecureX Administratorkonto
- Microsoft Edge-Version 84.0.522.52
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.
Hintergrundinformationen
Orbital ist eine erweiterte Funktion in Cisco AMP für Endgeräte, die die Sicherheitsermittlung und die Suche nach Bedrohungen vereinfacht. Es bietet eine Implementierung von leistungsstarker Osquery-Technologie auf jedem Ihrer AMP-Endgeräte. Mit Orbital können Sie benutzerdefinierte Abfragen erstellen, um im gesamten Netzwerk nach interessanten Informationen zu suchen. Darüber hinaus umfasst Orbital über hundert vorab eingescannte Abfragen, mit denen Sie komplexe Abfragen auf einem oder allen Endpunkten schnell ausführen können.
Das Orbitalmodul verfügt über 4 Kacheln, die Sie einem SecureX Dashboard hinzufügen können.
- Organisationsabfrage und Ergebnisstatistiken:Eine Reihe von Metriken, die Organisationsabfragen und Ergebnisse beschreiben
- Benutzerkatalogstatistiken: Eine Reihe von Metriken, die die am häufigsten verwendeten Katalogabfragen für diesen Benutzer beschreiben.
- Organisationskatalogstatistiken: Eine Reihe von Metriken, die die am häufigsten verwendeten Katalogabfragen für diese Organisation beschreiben.
- Benutzerabfrage und Ergebnisstatistiken: Eine Reihe von Metriken, die Benutzerabfragen und -ergebnisse beschreiben.
Konfigurieren
API-Anmeldeinformationen in der SecureX-Konsole generieren
- Bei SecureX anmelden
- Navigieren Sie zu Integrationen > Einstellungen > API-Clients
- Klicken Sie auf API-Client generieren
- Benennen Sie den Client, überprüfen Sie Orbital, beschreiben Sie die API, und klicken Sie auf Add New Client (Neuen Client hinzufügen).
- Die API-Anmeldeinformationen werden generiert
Anmerkung: Diese Informationen sind nur in diesem Fenster verfügbar. Speichern Sie Ihre Anmeldeinformationen in einer Sicherungsdatei.
SecureX-Multifunktionsleiste in der AMP-Konsole aktivieren
SecureX ist eine zentralisierte Konsole und ein verteilter Funktionssatz, der Transparenz, Automatisierung, schnellere Reaktion auf Vorfälle und eine bessere Verfolgung von Bedrohungen vereint. Diese verteilten Funktionen werden in Form von Anwendungen (Apps) und Tools im SecureX-Menüband angezeigt. Das SecureX-Menüband kann in der Orbital Console aktiviert werden.
- Bei Orbital Console anmelden
- Auf der Orbitalkonsole
- Navigieren Sie zu <Jugendlicher>> > Einstellungen
- Aktivieren der SecureX-Multifunktionsleiste
- Die Multifunktionsleiste befindet sich im unteren Bereich der Seite und wird beibehalten, wenn Sie zwischen dem Dashboard und anderen Sicherheitsprodukten in Ihrer Umgebung wechseln.
Integration des Orbitalmoduls in SecureX
Orbital kann die im Diagramm mit den Bedrohungsreaktionsbeziehungen dargestellten Informationen bereichern, indem es Sie nach Orbital leitet, um zusätzliche Informationen zu Ihrem Host, IP, IP4, IP6, MAC und OS usw. abzufragen und zu sammeln. Die Orbital-App steht auf der SecureX-Multifunktionsleiste zur Verfügung und ermöglicht die Ausführung einer Live-Abfrage. Sie können auch Metriken und Ihre letzten Abfragen im rechten Bereich anzeigen.
- Bei SecureX
- Navigieren Sie zu Integrationen > Neues Modul hinzufügen
- Wählen Sie Orbital aus, und klicken Sie auf Add New Module.
- Nennen Sie das Modul, und klicken Sie auf Speichern
Überprüfung
Überprüfen Sie, ob die Informationen der Orbital Advanced Set Console im SecureX Dashboard angezeigt werden.
- Navigieren Sie in SecureX zum Dashboard.
- Klicken Sie auf Neues Dashboard, und nennen Sie es
- Wählen Sie das zuvor generierte Modul aus.
- Wählen Sie die Kacheln aus. Für dieses Handbuch werden alle Kacheln hinzugefügt.
- Klicken Sie auf Speichern
- Wählen Sie den Zeitrahmen aus, und überprüfen Sie, ob Daten aus Orbital in SecureX angezeigt werden.
- Eine Untersuchung kann über das SecureX-Menüband gestartet werden.
- Navigieren Sie zu SecureXRibbon > Orbital > Durchführen einer Orbitabfrage.
Zugehörige Informationen