Introduction
Ce document décrit l'intégration SNA fluide avec Splunk à l'aide de Cisco Security Cloud pour une réponse plus rapide aux incidents pour les menaces identifiées.
Conditions préalables
Connaissances de base sur les périphériques Splunk et Cisco.
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Splunk Enterprise
Secure Network Analytics v7.5.2.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configurer
Étape 1 : Accédez à l'application Splunk et installez l'application Cisco Security Cloud.
i. Connectez-vous au portail Web Splunk avec les identifiants d'administrateur et, une fois connecté, la page d'accueil s'affiche avec la liste des applications installées sur le côté gauche sous la section App :

ii. Pour intégrer l'architecture SNA avec Splunk, il est nécessaire d'installer l'application cloud de sécurité Cisco, qui peut être réalisée selon l'une des méthodes mentionnées :
- Sélectionnez Find More Apps dans la liste déroulante.

b. Parcourez d'autres applications sous l'icône du pignon Manager.

Étape 2 : Installation de l'application cloud de sécurité Cisco.
i. Recherchez l'application Cisco Security Cloud. Faites défiler la liste jusqu'à ce que vous trouviez l'application ou recherchez le cloud de sécurité Cisco.
Mise en garde : Ne vous confondez pas avec l'application Cisco Cloud Security.

ii. Installez l'application en cliquant sur le bouton Installer.

iii. Dès que vous cliquez sur le bouton d'installation, une fenêtre s'affiche pour vous demander les informations d'identification du compte Splunk avant d'installer l'application. Fournissez les informations d'identification et cliquez sur Agree and Install pour continuer.
Conseil : Fournissez les informations d'identification utilisées pour accéder au portail Splunk, et non les informations d'identification d'administrateur utilisées pour l'application d'entreprise Splunk lors de la connexion.

iv. Un message s'affiche lorsque l'installation de l'application a réussi, comme illustré. Cliquez sur Done.

Étape 3 : Vérification de l'installation de l'application cloud de sécurité Cisco.
i. Cliquez sur l'option Apps déroulante, et maintenant l'application peut être vu dans la liste après l'installation réussie :

ii. Sélectionnez Cisco Security Cloud en cliquant dessus. Vous êtes redirigé vers la page Application Setup où tous les produits de sécurité Cisco Cloud disponibles peuvent être trouvés.

Étape 4 : Intégration à Secure Network Analytics (SNA).
L'objectif de ce document est de mettre en évidence les étapes d'installation du Splunk avec Secure Network Analytics (SNA) mentionnées plus loin.
i. Recherchez Secure Network Analytics et, lorsqu'il apparaît, sélectionnez Configure Application:

ii. Lorsque vous sélectionnez l'option configure, la page de configuration des détails à ajouter apparaît.

iii. Renseignez tous les détails obligatoires mentionnés pour les détails de la connexion SNA :
- Nom d'entrée : tout nom unique pour SNA
- Adresse du responsable (adresse IPv4 ou IPv6 ou nom d'hôte) : IP de gestion du SNA Manager principal
- Domain ID : saisissez la valeur par rapport à domain_ID (par exemple 301)
- username (nom d’utilisateur) : Le nom d'utilisateur du gestionnaire principal (par exemple admin)
- Mot de passe : Mot de passe de l'utilisateur du gestionnaire principal

iv. Conservez les valeurs par défaut des paramètres restants ou modifiez-les si nécessaire, puis cliquez sur Enregistrer. Un message de réussite s'affiche à l'écran une fois l'opération terminée.

Étape 5 : Vérification de l'intégration.
Il s'agit d'une étape importante au cours de laquelle vous devez vérifier si l'intégration exécutée à l'étape précédente s'est déroulée correctement ou non.
i. L'état de connexion pour l'entrée doit être Connected dans l'onglet Application Setup avec la valeur par défaut Enabled pour le nom correct dans le champ Input.

ii. Sélectionnez le tableau de bord Secure Network Analytics dans la liste déroulante, et les statistiques commencent éventuellement à réfléchir sur le tableau de bord.


FAQ
Où trouver l'ID de domaine du gestionnaire SNA ?
Réponse :
i. Connectez-vous au gestionnaire principal SNA et redirigez-vous vers la page Appliance administrator ou accédez à l'URL IP Index du gestionnaire.
ii. Parcourez le dossier smc sous la section Support.

iii. Ouvrez le fichier domain.xml disponible dans le dossier domain_XXX sous le dossier config.
