Inleiding
Dit document beschrijft de soepele SNA-integratie met Splunk met behulp van Cisco Security Cloud voor snellere incidentrespons voor de geïdentificeerde bedreigingen.
Voorwaarden
Basiskennis van Splunk en Cisco Devices.
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende hardware- en softwareversies:
Splunk Enterprise
Secure Network Analytics v7.5.2.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Stap 1: Toegang krijgen tot de Splunk-applicatie en de Cisco Security Cloud-applicatie installeren.
i. Meld u aan bij het Splunk-webportaal met de beheerdersreferenties en wanneer u zich succesvol aanmeldt, kunt u de startpagina bekijken met de lijst met geïnstalleerde toepassingen aan de linkerkant onder de sectie App:

ii. Voor de integratie van het SNA met Splunk is het noodzakelijk om de Cisco Security Cloud Application te installeren die kan worden bereikt in een van de genoemde methoden:
- Selecteer Meer apps zoeken in de vervolgkeuzelijst.

b. Blader door meer apps onder het tandwielpictogram Manager.

Stap 2: Installatie van de Cisco Security Cloud-applicatie.
i. Zoek naar de Cisco Security Cloud-toepassing. Blader nu naar beneden totdat u de app hebt gevonden of zoek naar de Cisco-beveiligingscloud.
Let op: raak niet in de war met de Cisco Cloud Security App.

ii. Installeer de toepassing door op de knop Installeren te klikken.

iii. Op het moment dat u op de installatieknop klikt, verschijnt een venster waarin u wordt gevraagd naar de referenties van de Splunk-account voordat u de toepassing installeert. Geef de referenties op en klik op Akkoord en Installeren om verder te gaan.
Tip: Geef de referenties op die worden gebruikt om toegang te krijgen tot het Splunk-portaal, niet de beheerdersreferenties die worden gebruikt voor Splunk-bedrijfstoepassingen tijdens het inloggen.

iv. Er verschijnt een bericht over de geslaagde installatie van de toepassing zoals afgebeeld. Klik op Gereed.

Stap 3: Verificatie van de installatie van de Cisco Security Cloud-applicatie.
i. Klik op de vervolgkeuzelijst Apps en nu is de app te zien in de lijst na de succesvolle installatie:

ii. Selecteer Cisco Security Cloud door erop te klikken. U wordt doorgestuurd naar de pagina Toepassingsinstellingen waar alle beschikbare Cisco Cloud-beveiligingsproducten te vinden zijn.

Stap 4: Integratie met Secure Network Analytics (SNA).
Het doel van dit document is om de installatiestappen van de Splunk met Secure Network Analytics (SNA) nader te belichten.
i. Zoek naar de Secure Network Analytics en selecteer Toepassing configureren wanneer deze wordt weergegeven:

ii. Wanneer u de configuratieoptie selecteert, verschijnt de configuratiepagina voor de details die u wilt toevoegen.

iii. Vul alle verplichte gegevens in zoals vermeld voor de SNA Connection Details:
- Invoernaam: elke unieke naam voor SNA
- Adres Manager (IPv4- of IPv6-adres of hostnaam): IP-beheer van de primaire SNA-manager
- Domein-ID: Voer de waarde in tegen domein_ID (bijvoorbeeld 301)
- Gebruikersnaam: De gebruikersnaam van de primaire beheerder (bijvoorbeeld admin)
- Wachtwoord: Wachtwoord van de primaire beheerder gebruiker

iv. Laat de overige instellingen op hun standaardwaarden staan of wijzig ze indien nodig en klik op Opslaan. Een succesvol bericht verschijnt op het scherm na de voltooiing.

Stap 5: Verificatie van de integratie.
Dit is een belangrijke stap waarbij u moet controleren of de integratie die in de vorige stap is uitgevoerd, al dan niet succesvol is uitgevoerd.
i. De verbindingsstatus voor de invoer moet worden verbonden op het tabblad Toepassingsinstellingen met standaard als Ingeschakeld voor de juiste naam in het Input-veld.

ii. Selecteer het Secure Network Analytics Dashboard in de vervolgkeuzelijst en de statistieken beginnen uiteindelijk te reflecteren op het dashboard.


Veelgestelde vragen
Waar vind je de domein-id voor de SNA-manager?
Antwoord:
i. Meld u aan bij het primaire SNA-beheer en verwijs naar de pagina Toestelbeheer of de IP Index-URL van Access Manager.
ii. Blader door de map smc onder de sectie Ondersteuning.

iii. Open het bestand domain.xml dat beschikbaar is in de map domain_XXX onder de map config.
