소개
이 문서에서는 Cisco SecureX with Cisco AMP(Advanced Malware Protection) for Endpoints를 통합 및 확인하는 데 필요한 프로세스에 대해 설명합니다.
기고자: Yeraldin Sanchez와 Uriel Torres, Jorge Navarrest, Cisco TAC 엔지니어
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco AMP for Endpoints
- SecureX 콘솔의 기본 탐색
- 이미지 가상화 옵션
사용되는 구성 요소
- AMP for Endpoints Console 버전 5.4.20200804
- AMP for Endpoints 관리자 계정
- SecureX Console 버전 1.54
- SecureX 관리자 계정
- Microsoft Edge 버전 84.0.522.52
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.
배경 정보
Cisco AMP(Advanced Malware Protection) for Endpoints는 엔드포인트 보안 플랫폼의 핵심 요소로서 Windows, MacOS, Linux, Android 및 iOS 디바이스에 대한 탐지 및/또는 응답 기능을 지원하는 예방적인 및 조사 툴로 구축되어 있으며, AMP for Endpoints 모듈은 5개의 타일을 제공합니다.
- AMP에서 탐지된 보안 침해:AMP에서 탐지한 보안 침해를 요약하는 메트릭 집합
- AMP Computers Summary: AMP 컴퓨터의 상태를 요약하는 일련의 메트릭
- AMP 요약: AMP 탐지 및 대응을 요약하는 일련의 메트릭
- AMP 격리:시간별 AMP 격리를 요약하는 메트릭 집합
- AMP에서 탐지된 MITER ATT&CK 전술: AMP에서 탐지한 MITER ATT&CK 전술을 요약하는 메트릭 세트
구성
AMP 콘솔에서 API 자격 증명 생성
AMP 콘솔에서 새 API 자격 증명이 생성됩니다.
- 관리자 권한으로 AMP 콘솔에 로그인합니다.
- AMP Console에서 Accounts(계정) > API Credentials(API 자격 증명)로 이동합니다.
- New API Credential(새 API 자격 증명)을 클릭합니다.
- 응용 프로그램 이름 지정
- 읽기 및 쓰기 선택
- Enable Command Line and Allow API access to File Repository download audit logs(명령줄 활성화 및 파일 리포지토리에 대한 API 액세스 허용)를 선택합니다.
- Create(생성)를 클릭합니다.
참고:이 정보는 이 창에서만 사용할 수 있습니다. 자격 증명을 백업 파일에 저장하십시오.
AMP 콘솔에서 SecureX 리본 활성화
SecureX는 중앙 집중식 콘솔이자 분산된 기능 집합으로, 가시성을 통합하고, 자동화를 구현하며, 사고 대응 워크플로를 가속화하고, 위협 추적을 개선합니다.이러한 분산 기능은 SecureX 리본의 애플리케이션(앱) 및 툴 형태로 제공되며, AMP 콘솔에서 SecureX 리본을 활성화할 수 있습니다.
- SecureX에 로그인
- AMP 콘솔
- Accounts(어카운트) > Users(사용자) > Click on your User(사용자)로 이동
- 설정 상자에서 SecureX 리본 권한 부여를 클릭합니다
- SecureX 위협 응답으로 리디렉션됩니다.
- Authorize AMP for Endpoints를 클릭합니다.
- 리본은 페이지 하단에 있으며 대시보드와 사용자 환경의 다른 보안 제품 사이를 이동할 때 계속 유지됩니다
SecureX에서 AMP for Endpoints 모듈 통합
AMP for Endpoints 모듈을 사용하면 보안 제품 간의 통합에서 컨텍스트를 사용하여 여러 파일을 조사하고 식별할 수 있습니다.IP 주소, OS 및 AMP GUID를 포함하여 영향을 받는 엔드포인트와 디바이스에 대한 자세한 정보를 제공합니다.
- SecureX 콘솔에서 Integrations(통합)로 이동 > Add New Module(새 모듈 추가)을 클릭합니다.
- AMP for Endpoints 모듈을 선택하고 Add New Module(새 모듈 추가)을 클릭합니다.
- 모듈 이름 지정
- AMP 클라우드 선택
- 이전에 수집된 API 자격 증명은 타사 API 클라이언트 ID 및 API 키에 입력됨
다음을 확인합니다.
AMP 콘솔의 정보가 SecureX 대시보드에 표시되는지 확인합니다.
- SecureX에서 Dashboard(대시보드)로 이동합니다.
- New Dashboard(새 대시보드)를 클릭하고 이름을 지정합니다.
- 이전에 생성된 AMP 모듈 선택
- 이 가이드의 모든 타일이 추가되었으므로 타일을 선택하십시오.
- Save(저장)를 클릭합니다.
- Timeframe(기간)을 선택하고 AMP의 데이터가 SecureX에 표시되는지 확인합니다.
문제 해결
API 클라이언트에 쓰기 액세스 권한이 없음 [403]
SecureX - AMP for Endpoints Integration에는 이미지에 표시된 것처럼 오류 메시지가 표시되는 경우 읽기 및 쓰기 AMP for Endpoints API가 필요합니다.
오류:알 수 없는 API 키 또는 클라이언트 ID [401]
이미지에 표시된 대로 SecureX Threat Response에서 조사를 수행하는 경우 API가 유효하지 않은 경우
API 자격 증명이 유효한지 또는 AMP Console에 존재하는지 확인합니다. 그렇지 않은 경우 새 자격 증명을 사용해 보십시오.
위의 정보를 검토한 후에도 여전히 문제가 있는 경우 고객 지원에 문의하십시오.
비디오 가이드