Introduction
Este documento descreve o processo necessário para integrar e verificar o Cisco SecureX com o Cisco Orbital Advanced Search.
Contribuição de Yeraldin Sanchez e Uriel Torres, Editado por Jorge Navarrete, Engenheiros do Cisco TAC.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Cisco AMP para Endpoints Essentials com licença Orbital, Advantage ou Premier
- Pesquisa avançada Cisco Orbital
- Navegação básica no console SecureX
- Virtualização opcional de imagens
Componentes Utilizados
- Console do AMP para endpoints versão 5.4.20200804
- Conta do administrador do AMP para endpoints
- Orbital Advanced Search Console Versão 1.7
- Console SecureX versão 1.54
- Conta de Administrador do SecureX
- Microsoft Edge Versão 84.0.522.52
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
A Orbital é um recurso avançado da Cisco AMP para endpoints projetado para simplificar a investigação de segurança e a busca de ameaças. Ele oferece uma implementação da poderosa tecnologia Osquery em cada um dos endpoints da AMP. O Orbital permite que você crie consultas personalizadas para procurar informações de interesse em sua rede, mas também vem com mais de cem consultas pré-configuradas, que permitem executar rapidamente consultas complexas em qualquer ou em todos os endpoints.
O módulo Orbital tem 4 blocos que você pode adicionar a um painel SecureX.
- Estatísticas de Resultados e Consulta da Organização:Um conjunto de métricas que descreve consultas e resultados da organização
- Estatísticas do Catálogo do Usuário: Um conjunto de métricas que descreve as consultas de catálogo mais usadas para este usuário
- Estatísticas do Catálogo da Organização: Um conjunto de métricas que descreve as consultas de catálogo mais usadas para esta organização
- Consulta de Usuário e Estatísticas de Resultados: Um conjunto de métricas que descreve consultas de usuário e resultados
Configurar
Gerar as credenciais de API no console SecureX
- Faça login no SecureX
- Navegue até Integrações > Configurações > Clientes API
- Clique em Generate API Client
- Nomeie o cliente, marque Orbital, descreva a API e clique em Adicionar novo cliente
- As credenciais de API são geradas
Note: Essas informações estão disponíveis apenas nessa janela. Salve suas credenciais em um arquivo de backup.
Ativar a faixa SecureX no console AMP
O SecureX é um console centralizado e um conjunto distribuído de recursos que unificam a visibilidade, permitem a automação, aceleram os fluxos de trabalho de resposta a incidentes e melhoram a busca por ameaças. Esses recursos distribuídos são apresentados na forma de aplicativos (aplicativos) e ferramentas na Faixa de Opções do SecureX, a Faixa de Opções do SecureX pode ser ativada no Console Orbital.
- Faça login no console Orbital
- No console orbital
- Navegue até <Yout User> > Configurações
- Habilitar a Faixa de Opções do SecureX
- A Faixa de opções está localizada na parte inferior da página e persiste à medida que você se move entre o painel e outros produtos de segurança em seu ambiente
Integrar o Módulo Orbital no SecureX
A Orbital pode enriquecer as informações apresentadas no gráfico de relações de Resposta a Ameaças se você entrar na Orbital para consultar e reunir inteligência adicional sobre seu host, IP, IP4, IP6, MAC e OS, etc. O aplicativo Orbital está disponível na faixa SecureX e permite executar uma consulta ao vivo. Você também pode exibir métricas e suas consultas recentes no painel direito.
- No SecureX
- Navegue até Integrações > Adicionar novo módulo
- Selecione Orbital e clique em Add New Module
- Nomeie o módulo e clique em Salvar
Verificar
Valide se as informações do Orbital Advanced Set Console são exibidas no Painel do SecureX.
- No SecureX, navegue até Painel
- Clique em Novo painel e nomeie-o
- Selecione o módulo orbital gerado anteriormente
- Selecione os blocos, todos serão adicionados a este guia
- Clique em Salvar
- Selecione o Prazo e verifique se os dados da Orbital são exibidos no SecureX
- Uma investigação pode ser iniciada na Faixa de Opções do SecureX
- Navegue até SecureXRibbon > Orbital > Executar uma consulta orbital
Informações Relacionadas