简介
本文档介绍使用思科安全云与Splunk进行顺畅的SNA集成,以便更快地响应已发现的威胁。
先决条件
Splunk和思科设备的基本知识。
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于下列硬件和软件版本:
Splunk企业
安全网络分析v7.5.2。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
步骤1:访问Splunk应用并安装思科安全云应用。
i.使用管理员凭证登录Splunk Web门户,成功登录时,主页左侧的“应用”(App)部分下会显示已安装应用的列表:

二、要将SNA与Splunk集成,需要安装思科安全云应用,可通过以下任一方法实现:
- 从下拉菜单中选择Find More Apps。

b.在Manager gear图标下浏览更多应用。

步骤 2:思科安全云应用的安装。
i.寻找思科安全云应用。现在,向下滚动至找到应用或搜索思科安全云。

二、单击Install按钮安装应用。

三。一旦您单击安装按钮,就会弹出一个窗口,要求您提供Splunk帐户的凭证,然后再安装应用。提供凭证,然后单击Agree and Install继续操作。
提示:提供用于访问Splunk门户的凭据,而不是登录时用于Splunk企业应用的管理员凭据。

四。如图所示,成功安装应用后会弹出一条消息。单击Done。

步骤 3:验证思科安全云应用的安装。
i.单击Apps下拉选项,现在安装成功后即可从列表中看到该应用:

ii.单击Cisco Security Cloud以将其选中。您将重定向到应用设置页面,您可以在该页面找到所有可用的思科云安全产品。

步骤 4:与安全网络分析(SNA)集成。
本文档旨在重点介绍进一步提到的具有安全网络分析(SNA)的Splunk的安装步骤。
i.搜索Secure Network Analytics,出现时,请选择配置应用:

二、选择配置选项时,将弹出要添加详细信息的配置页面。

三。填写SNA连接详细信息中提及的所有必填详细信息:
- 输入名称:SNA的任何唯一名称
- Manager地址(IPv4或IPv6地址或主机名):主SNA管理器的管理IP
- 域ID:根据domain_ID输入值(例如301)
- username:主管理器的用户名(例如admin)
- 密码:主要管理员用户的密码

四。将剩余设置保留为默认值,或根据需要对其进行修改,然后单击Save。完成后,屏幕上会弹出一条成功的消息。

步骤 5:集成验证。
这是一个重要步骤,您需要验证上一步执行的集成是否成功完成。
i.在Application Setup选项卡中,输入的连接状态必须是Connected,对于Input字段中的正确名称,默认值为Enabled。

ii.从下拉菜单中选择Secure Network Analytics Dashboard,统计数据最终开始在控制面板上反映。


常见问题解答
在哪里可以找到SNA管理器的域ID?
回答:
i.登录到SNA主管理器并重定向到设备管理页面或访问管理器IP Index URL。
二、浏览支持部分下的smc文件夹。

三。在config文件夹下的domain_XXX文件夹中打开domain.xml文件。
