Guia de integração do SecureX com Advanced Malware Protection (AMP) para endpoints

Opções de download

  • PDF     (467.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (445.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (282.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:25 de agosto de 2020
ID do documento:215917

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve o processo necessário para integrar e verificar o Cisco SecureX com o Cisco Advanced Malware Protection (AMP) para endpoints.

    Contribuído por Yeraldin Sanchez e Uriel Torres, editado por Jorge Navarrete, engenheiro do TAC da Cisco.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Cisco AMP para endpoints
    • Navegação básica no console SecureX
    • Virtualização opcional de imagens  

    Componentes Utilizados

    • AMP for Endpoints Console versão 5.4.200804
    • Conta do administrador do AMP para endpoints
    • SecureX Console versão 1.54
    • Conta do administrador do SecureX
    • Microsoft Edge versão 84.0.522.52

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    O Cisco Advanced Malware Protection (AMP) for Endpoints é uma parte central da plataforma de segurança de endpoint e é implantado como uma ferramenta preventiva e investigativa que suporta funções de detecção e/ou resposta para dispositivos Windows, MacOS, Linux, Android e iOS, o módulo AMP for Endpoints fornece 5 blocos.

    • Compromissos detectados pela AMP: Um conjunto de métricas que resume os comprometimentos detectados pela AMP
    • Resumo dos computadores AMP: um conjunto de métricas que resume o estado dos computadores AMP
    • Resumo da AMP: um conjunto de métricas que resume a detecção e resposta da AMP
    • Quarentenas da AMP: Um conjunto de métricas que resume as quarentenas da AMP por tempo
    • Táticas ATT&CK do MITER Detectadas pela AMP: um conjunto de métricas que resume as táticas ATT&CK do MITER detectadas pela AMP

    Configurar

    Gerar as credenciais da API no console AMP

    No console AMP, novas credenciais de API são criadas.

    • Faça login no console AMP com privilégios de administrador
    • No console AMP, navegue para Contas > Credenciais de API 
    • Clique em Nova Credencial de API

    • Nomear o aplicativo
    • Selecionar Leitura e Gravação
    • Marque Ativar linha de comando e Permitir acesso de API a logs de auditoria de download do Repositório de arquivos
    • Clique em Criar

    •  As credenciais da API são geradas

    Note: Essas informações estão disponíveis somente nesta janela. Salve suas credenciais em um arquivo de backup.

    Ative o SecureX Ribbon no console AMP

    O SecureX é um console centralizado e um conjunto distribuído de recursos que unifica a visibilidade, permite a automação, acelera os fluxos de trabalho de resposta a incidentes e melhora a busca de ameaças. Esses recursos distribuídos são apresentados na forma de aplicativos (aplicativos) e ferramentas na faixa SecureX, a faixa SecureX pode ser ativada no console AMP.

    • Faça login no SecureX
    • No console AMP
    • Navegue até Contas > Usuários > Clique em seu Usuário
    • Na caixa Configurações, clique em SecureX Faixa de Opções Autorizar 

    • Você é redirecionado para a resposta de ameaças SecureX
    • Clique em Autorizar AMP para endpoints

    • A Faixa de Opções está localizada na parte inferior da página e persiste à medida que você se move entre o painel e outros produtos de segurança em seu ambiente

    Integrar o módulo AMP para endpoints no SecureX

    O módulo AMP para endpoints permite investigar e identificar vários arquivos com contexto de integrações em produtos de segurança. Ele fornece informações detalhadas sobre endpoints e dispositivos afetados, incluindo endereços IP, SO e GUID da AMP.

    • No console SecureX, navegue até Integrations > Click Add New Module (Integrações)
    • Selecione o módulo AMP para endpoints e clique em Adicionar novo módulo
    • Nomear o módulo
    • Selecione a nuvem da AMP
    • As credenciais de API reunidas anteriormente são inseridas em ID de cliente de API de terceiros e chave de API

    Verificar 

    Confirme se as informações do console AMP são exibidas no painel do SecureX.

    • No SecureX, navegue até Dashboard
    • Clique em Novo painel e nomeie-o
    • Selecione o módulo AMP gerado anteriormente
    • Selecione os mosaicos, para este guia, todos são adicionados
    • Clique em Salvar

    • Selecione o cronograma e verifique se os dados da AMP são exibidos no SecureX

    Troubleshoot 

    O cliente API não tem acesso de gravação [403]

    A integração do SecureX - AMP for Endpoints requer APIs de leitura e gravação do AMP for Endpoints, caso contrário, uma mensagem de erro será exibida conforme mostrado na imagem.

    Erro: Chave API ou ID do cliente desconhecido [401]

    Se as APIs não forem válidas se uma investigação for executada na Resposta a ameaças SecureX, como mostrado na imagem.

    Verifique se as credenciais da API são válidas ou existem no Console do AMP; caso contrário, tente com as novas. 

    Se, depois de analisar as informações acima, você ainda tiver problemas, entre em contato com o suporte.

    Guia de vídeo

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Yeraldin Sanchez
      Cisco TAC Engineer
    • Uriel Torres
      Cisco TAC Engineer
    • Edited by Jorge Navarrete
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos