Introduction
Este documento descreve o processo necessário para integrar e verificar o Cisco SecureX com o Cisco Orbital Advanced Search.
Contribuído por Yeraldin Sanchez e Uriel Torres, editado por Jorge Navarrete, engenheiro do TAC da Cisco.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Cisco AMP para endpoints Essentials com licença Orbital, Advantage ou Premier
- Pesquisa avançada orbital da Cisco
- Navegação básica no console SecureX
- Virtualização opcional de imagens
Componentes Utilizados
- AMP for Endpoints Console versão 5.4.200804
- Conta do administrador do AMP para endpoints
- Orbital Advanced Search Console versão 1.7
- SecureX Console versão 1.54
- Conta do administrador do SecureX
- Microsoft Edge versão 84.0.522.52
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
O orbital é um recurso avançado no Cisco AMP para endpoints projetado para simplificar a investigação de segurança e a busca de ameaças. Ele oferece uma implementação da poderosa tecnologia Osquery em cada um dos endpoints da AMP. O orbital permite que você crie consultas personalizadas para procurar informações de interesse na sua rede, mas também vem com mais de cem consultas pré-configuradas, que permitem que você execute consultas complexas rapidamente em qualquer ou em todos os endpoints.
O módulo Orbital tem 4 blocos que podem ser adicionados a um painel do SecureX.
- Estatísticas de Consulta e Resultados da Organização: um conjunto de métricas que descreve consultas e resultados da organização
- Estatísticas do catálogo do usuário: um conjunto de métricas que descreve as consultas de catálogo mais usadas para este usuário
- Estatísticas do catálogo da organização: um conjunto de métricas que descreve as consultas de catálogo mais usadas para esta organização
- Estatísticas de Consulta e Resultados do Usuário: um conjunto de métricas que descreve consultas e resultados do usuário
Configurar
Gerar as credenciais da API no console SecureX
- Faça login no SecureX
- Navegue até Integrations > Settings > API Clients
- Clique em Gerar cliente API
- Nomeie o Cliente, marque Orbital, descreva a API e clique em Adicionar novo cliente

- As credenciais da API são geradas


Note: Essas informações estão disponíveis somente nesta janela. Salve suas credenciais em um arquivo de backup.
Ative o SecureX Ribbon no console AMP
O SecureX é um console centralizado e um conjunto distribuído de recursos que unifica a visibilidade, permite a automação, acelera os fluxos de trabalho de resposta a incidentes e melhora a busca de ameaças. Esses recursos distribuídos são apresentados na forma de aplicativos (aplicativos) e ferramentas na faixa SecureX, a faixa SecureX pode ser ativada no console orbital.
- Faça login no console orbital
- No console orbital
- Navegue até <Yout User> > Settings
- Ative a fita do SecureX

- A Faixa de Opções está localizada na parte inferior da página e persiste à medida que você se move entre o painel e outros produtos de segurança em seu ambiente

Integrar o módulo orbital no SecureX
A Orbital pode enriquecer as informações apresentadas no gráfico de relações de resposta a ameaças se você entrar na Orbital para consultar e coletar informações adicionais sobre seu host, IP, IP4, IP6, MAC e OS, etc. O aplicativo Orbital está disponível na fita SecureX e permite que você execute uma consulta ao vivo. Você também pode exibir métricas e consultas recentes no painel direito.
- No SecureX
- Navegue até Integrações > Adicionar novo módulo
- Selecione Orbital e clique em Adicionar novo módulo
- Nomeie o módulo e clique em Salvar

Verificar
Confirme se as informações do Console de definição avançado orbital são exibidas no painel do SecureX.
- No SecureX, navegue até Dashboard
- Clique em Novo painel e nomeie-o
- Selecione o Módulo Orbital gerado anteriormente
- Selecione os mosaicos, para este guia, todos são adicionados
- Clique em Salvar

- Selecione o cronograma e verifique se os dados do Orbital são exibidos no SecureX

- Uma investigação pode ser iniciada na Faixa de Opções do SecureX
- Navegue para SecureXRibbon > Orbital > Executar uma Consulta Orbital

Informações Relacionadas