使用安全云应用将SNA集成到Splunk

简介

本文档介绍使用思科安全云与Splunk进行顺畅的SNA集成，以便更快地响应已发现的威胁。

先决条件

Splunk和思科设备的基本知识。

要求

本文档没有任何特定的要求。 

使用的组件

本文档中的信息基于下列硬件和软件版本：

Splunk企业

安全网络分析v7.5.2。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

步骤1:访问Splunk应用并安装思科安全云应用。

i.使用管理员凭证登录Splunk Web门户，成功登录时，主页左侧的“应用”(App)部分下会显示已安装应用的列表：

二、要将SNA与Splunk集成，需要安装思科安全云应用，可通过以下任一方法实现：

1. 从下拉菜单中选择Find More Apps。

b.在Manager gear图标下浏览更多应用。

步骤 2：思科安全云应用的安装。

i.寻找思科安全云应用。现在，向下滚动至找到应用或搜索思科安全云。

警告：不要与思科云安全应用相混淆。

二、单击Install按钮安装应用。

三。一旦您单击安装按钮，就会弹出一个窗口，要求您提供Splunk帐户的凭证，然后再安装应用。提供凭证，然后单击Agree and Install继续操作。

提示：提供用于访问Splunk门户的凭据，而不是登录时用于Splunk企业应用的管理员凭据。

四。如图所示，成功安装应用后会弹出一条消息。单击Done。

步骤 3：验证思科安全云应用的安装。

i.单击Apps下拉选项，现在安装成功后即可从列表中看到该应用：

ii.单击Cisco Security Cloud以将其选中。您将重定向到应用设置页面，您可以在该页面找到所有可用的思科云安全产品。

步骤 4：与安全网络分析(SNA)集成。

本文档旨在重点介绍进一步提到的具有安全网络分析(SNA)的Splunk的安装步骤。

i.搜索Secure Network Analytics，出现时，请选择配置应用:

二、选择配置选项时，将弹出要添加详细信息的配置页面。

三。填写SNA连接详细信息中提及的所有必填详细信息：

1.     输入名称:SNA的任何唯一名称
2.     Manager地址（IPv4或IPv6地址或主机名）：主SNA管理器的管理IP
3.     域ID：根据domain_ID输入值（例如301）
4.     username：主管理器的用户名（例如admin）
5.     密码：主要管理员用户的密码

四。将剩余设置保留为默认值，或根据需要对其进行修改，然后单击Save。完成后，屏幕上会弹出一条成功的消息。

步骤 5：集成验证。

这是一个重要步骤，您需要验证上一步执行的集成是否成功完成。

i.在Application Setup选项卡中，输入的连接状态必须是Connected，对于Input字段中的正确名称，默认值为Enabled。

ii.从下拉菜单中选择Secure Network Analytics Dashboard，统计数据最终开始在控制面板上反映。

常见问题解答

在哪里可以找到SNA管理器的域ID?

回答：

i.登录到SNA主管理器并重定向到设备管理页面或访问管理器IP Index URL。

二、浏览支持部分下的smc文件夹。

三。在config文件夹下的domain_XXX文件夹中打开domain.xml文件。