SecureX with Advanced Malware Protection(AMP)for Endpoints統合ガイド

ダウンロード オプション

  • PDF     (523.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (443.2 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (280.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2020 年 8 月 25 日
Document ID:215917

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Cisco SecureXとCisco Advanced Malware Protection(AMP)for Endpointを統合して検証するために必要なプロセスについて説明します。

    著者:Cisco TACエンジニア、Jorge Navarrete、Yeraldin Sanchez and Uriel Torres

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • エンドポイント向けCisco AMP
    • SecureXコンソールの基本的なナビゲーション
    • イメージの仮想化(オプション)  

    使用するコンポーネント

    • AMP for Endpointsコンソールバージョン5.4.20200804
    • AMP for Endpoints管理者アカウント
    • SecureX Consoleバージョン1.54
    • SecureX管理者アカウント
    • Microsoft Edgeバージョン84.0.522.52

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    エンドポイント向けCisco Advanced Malware Protection(AMP)は、エンドポイントセキュリティプラットフォームの中核を成し、Windows、MacOS、Linux、Android、iOSデバイスの検出および応答機能をサポートする予防的および調査ツールとして導入されます。

    • AMPによって検出された侵害:AMPで検出された侵害を要約する一連のメトリック
    • AMPコンピュータの概要:AMPコンピュータの状態を要約する一連のメトリック
    • AMPの概要:AMPの検出と応答を要約する一連のメトリック
    • AMP検疫:AMP隔離を時間別にまとめる一連のメトリック
    • AMPによって検出されたMITER ATT&CK戦術:AMPによって検出されたMITER ATT&CK戦術をまとめた一連のメトリック

    設定

    AMPコンソールでのAPIクレデンシャルの生成

    AMPコンソールで、新しいAPIクレデンシャルが作成されます。

    • 管理者権限でAMPコンソールにログインします
    • AMPコンソールで、[Accounts] > [API Credentials]に移動します 
    • [New API Credential]をクリックします。

    • アプリケーションに名前を付けます
    • [読み取りと書き込み]を選択
    • [Enable Command Line]および[Allow API access to File Repository download audit logs]をオンにします
    • [作成]をクリックします

    •  APIクレデンシャルが生成されます

    注:この情報は、このウィンドウでのみ使用できます。認証情報をバックアップファイルに保存します。

    AMPコンソールでSecureXリボンを有効にする

    SecureXは、一元化されたコンソールと、可視性の統合、自動化の実現、インシデント対応のワークフローの高速化、脅威ハンティングの向上を実現する分散型機能のセットです。これらの分散機能は、SecureXリボンのアプリケーション(アプリケーション)およびツールの形式で提供されます。SecureXリボンはAMPコンソールで有効にできます。

    • SecureXにログインします。
    • AMPコンソール
    • [アカウント] > [ユーザ] > [ユーザ]をクリックします
    • [設定]ボックスで[SecureXリボンの許可]をクリックします 

    • SecureX Threat Response
    • [Authorize AMP for Endpoints]をクリックします

    • リボンはページの下部にあり、ダッシュボードと環境内の他のセキュリティ製品の間を移動しても表示されます

    SecureXでのエンドポイント向けAMPモジュールの統合

    AMP for Endpointsモジュールを使用すると、セキュリティ製品間の統合から、コンテキストを持つ複数のファイルを調査して特定できます。IPアドレス、OS、AMP GUIDなど、影響を受けるエンドポイントとデバイスに関する詳細情報を提供します。

    • SecureXコンソールで、[Integrations]に移動、[Add New Module]をクリックします
    • [AMP for Endpoints]モジュールを選択し、[Add New Module]をクリックします
    • モジュールに名前を付けます
    • AMPクラウドの選択
    • 以前に収集したAPIクレデンシャルは、サードパーティAPIクライアントIDとAPIキーに入力されます

    確認 

    AMPコンソールの情報がSecureXダッシュボードに表示されることを確認します。

    • SecureXで、[Dashboard]に移動します
    • 「新規ダッシュボード」をクリックし、名前を付けます
    • 以前生成したAMPモジュールを選択します
    • タイルを選択します。このガイドでは、すべてのタイルが追加されます
    • [Save] をクリックします。

    • タイムフレームを選択し、AMPからのデータがSecureXに表示されるかどうかを確認します

    トラブルシュート 

    APIクライアントに書き込みアクセス[403]がない

    SecureX - AMP for Endpoints Integrationには、エンドポイントAPI用の読み取り/書き込みAMPが必要です。必要ない場合は、図に示すようにエラーメッセージが表示されます。

    エラー:不明なAPIキーまたはクライアントID [401]

    図に示すように、SecureX Threat Responseで調査を実行した場合にAPIが有効でない場合。

    APIクレデンシャルが有効であるか、AMPコンソールに存在することを確認します。存在しない場合は、新しいクレデンシャルを試します。 

    上記の情報を確認しても問題が解決しない場合は、サポートにお問い合わせください。

    ビデオガイド

    TAC Authored

    シスコ エンジニア提供

    • Yeraldin Sanchez
      Cisco TAC Engineer
    • Uriel Torres
      Cisco TAC Engineer
    • Edited by Jorge Navarrete
      Cisco TAC Engineer

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています