概要
このドキュメントでは、Cisco SecureXとCisco Advanced Malware Protection(AMP)for Endpointを統合して検証するために必要なプロセスについて説明します。
著者:Cisco TACエンジニア、Jorge Navarrete、Yeraldin Sanchez and Uriel Torres
前提条件
要件
次の項目に関する知識があることが推奨されます。
- エンドポイント向けCisco AMP
- SecureXコンソールの基本的なナビゲーション
- イメージの仮想化(オプション)
使用するコンポーネント
- AMP for Endpointsコンソールバージョン5.4.20200804
- AMP for Endpoints管理者アカウント
- SecureX Consoleバージョン1.54
- SecureX管理者アカウント
- Microsoft Edgeバージョン84.0.522.52
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
エンドポイント向けCisco Advanced Malware Protection(AMP)は、エンドポイントセキュリティプラットフォームの中核を成し、Windows、MacOS、Linux、Android、iOSデバイスの検出および応答機能をサポートする予防的および調査ツールとして導入されます。
- AMPによって検出された侵害:AMPで検出された侵害を要約する一連のメトリック
- AMPコンピュータの概要:AMPコンピュータの状態を要約する一連のメトリック
- AMPの概要:AMPの検出と応答を要約する一連のメトリック
- AMP検疫:AMP隔離を時間別にまとめる一連のメトリック
- AMPによって検出されたMITER ATT&CK戦術:AMPによって検出されたMITER ATT&CK戦術をまとめた一連のメトリック
設定
AMPコンソールでのAPIクレデンシャルの生成
AMPコンソールで、新しいAPIクレデンシャルが作成されます。
- 管理者権限でAMPコンソールにログインします
- AMPコンソールで、[Accounts] > [API Credentials]に移動します
- [New API Credential]をクリックします。
- アプリケーションに名前を付けます
- [読み取りと書き込み]を選択
- [Enable Command Line]および[Allow API access to File Repository download audit logs]をオンにします
- [作成]をクリックします
注:この情報は、このウィンドウでのみ使用できます。認証情報をバックアップファイルに保存します。
AMPコンソールでSecureXリボンを有効にする
SecureXは、一元化されたコンソールと、可視性の統合、自動化の実現、インシデント対応のワークフローの高速化、脅威ハンティングの向上を実現する分散型機能のセットです。これらの分散機能は、SecureXリボンのアプリケーション(アプリケーション)およびツールの形式で提供されます。SecureXリボンはAMPコンソールで有効にできます。
- SecureXにログインします。
- AMPコンソール
- [アカウント] > [ユーザ] > [ユーザ]をクリックします
- [設定]ボックスで[SecureXリボンの許可]をクリックします
- SecureX Threat Response
- [Authorize AMP for Endpoints]をクリックします
- リボンはページの下部にあり、ダッシュボードと環境内の他のセキュリティ製品の間を移動しても表示されます
SecureXでのエンドポイント向けAMPモジュールの統合
AMP for Endpointsモジュールを使用すると、セキュリティ製品間の統合から、コンテキストを持つ複数のファイルを調査して特定できます。IPアドレス、OS、AMP GUIDなど、影響を受けるエンドポイントとデバイスに関する詳細情報を提供します。
- SecureXコンソールで、[Integrations]に移動し、[Add New Module]をクリックします
- [AMP for Endpoints]モジュールを選択し、[Add New Module]をクリックします
- モジュールに名前を付けます
- AMPクラウドの選択
- 以前に収集したAPIクレデンシャルは、サードパーティAPIクライアントIDとAPIキーに入力されます
確認
AMPコンソールの情報がSecureXダッシュボードに表示されることを確認します。
- SecureXで、[Dashboard]に移動します
- 「新規ダッシュボード」をクリックし、名前を付けます
- 以前生成したAMPモジュールを選択します
- タイルを選択します。このガイドでは、すべてのタイルが追加されます
- [Save] をクリックします。
- タイムフレームを選択し、AMPからのデータがSecureXに表示されるかどうかを確認します
トラブルシュート
APIクライアントに書き込みアクセス[403]がない
SecureX - AMP for Endpoints Integrationには、エンドポイントAPI用の読み取り/書き込みAMPが必要です。必要ない場合は、図に示すようにエラーメッセージが表示されます。
エラー:不明なAPIキーまたはクライアントID [401]
図に示すように、SecureX Threat Responseで調査を実行した場合にAPIが有効でない場合。
APIクレデンシャルが有効であるか、AMPコンソールに存在することを確認します。存在しない場合は、新しいクレデンシャルを試します。
上記の情報を確認しても問題が解決しない場合は、サポートにお問い合わせください。
ビデオガイド