面向终端的高级恶意软件防护(AMP)SecureX集成指南
目录
简介
本文档介绍集成和验证Cisco SecureX与面向终端的思科高级恶意软件防护(AMP)所需的流程。
作者:Yeraldin Sanchez和Uriel Torres,编辑者:Jorge Navarrete,思科TAC工程师。
先决条件
要求
Cisco 建议您了解以下主题:
- 面向终端的思科AMP
- SecureX控制台中的基本导航
- 映像的可选虚拟化
使用的组件
- 面向终端的AMP控制台版本5.4.20200804
- 面向终端的AMP管理员帐户
- SecureX控制台版本1.54
- SecureX管理员帐户
- Microsoft Edge版本84.0.522.52
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
面向终端的思科高级恶意软件防护(AMP)是终端安全平台的核心部分,部署为支持Windows、MacOS、Linux、Android和iOS设备检测和/或响应功能的预防和调查工具,面向终端的AMP模块提供5个磁贴。
- AMP检测到的危害:汇总AMP检测到的危害的一组度量
- AMP计算机摘要:一组汇总AMP计算机状态的指标
- AMP摘要:一组汇总AMP检测和响应的指标
- AMP隔离区:按时间汇总AMP隔离区的一组度量
- AMP检测到的MITRE ATT&CK战术:一组汇总AMP检测到的MITRE ATT&CK战术的指标
配置
在AMP控制台中生成API凭证
在AMP控制台中,会创建新的API凭证。
- 以管理员权限登录AMP控制台
- 在AMP控制台上,导航至“帐户”>“API凭证”
- 单击“New API Credential(新建API凭证)”
- 为应用程序命名
- 选择读写
- 选中启用命令行和允许API访问文件存储库下载审核日志
- 单击“创建”
- 生成API凭证
在AMP控制台中启用SecureX功能区
SecureX既是集中式控制台,也是一组分布式功能,可统一可视性、实现自动化、加速事件响应工作流程并改善威胁搜索。这些分布式功能以SecureX功能区中的应用(应用)和工具的形式呈现,SecureX功能区可在AMP控制台中启用。
- 登录SecureX
- 在AMP控制台上
- 导航至“帐户”>“用户”>“单击您的用户”
- 在“设置”框中,单击“SecureX功能区授权”
- 您被重定向到SecureX威胁响应
- 单击授权面向终端的AMP
- 功能区位于页面的下部,当您在控制面板和环境中的其他安全产品之间移动时,功能区会持续存在
在SecureX中集成面向终端的AMP模块
面向终端的AMP模块允许您通过跨安全产品的集成调查和识别具有情景的多个文件。它提供有关受影响终端和设备的详细信息,包括IP地址、操作系统和AMP GUID。
- 在SecureX控制台上,导航至“集成”>单击“添加新模块”
- 选择面向终端的AMP模块,然后点击添加新模块
- 为模块命名
- 选择AMP云
- 之前收集的API凭证在第三方API客户端ID和API密钥下输入
验证
验证AMP控制台中的信息是否显示在SecureX控制面板中。
- 在SecureX上导航至控制面板
- 单击“New Dashboard(新建控制面板)”并将其命名
- 选择之前生成的AMP模块
- 选择磁贴,对于本指南,所有磁贴都已添加
- 点击保存
- 选择时间框并验证SecureX中是否显示来自AMP的数据
故障排除
API客户端没有写访问[403]
面向终端的SecureX - AMP集成需要面向终端的API的读写AMP(如果不需要),将显示错误消息,如图所示。
Error:未知API密钥或客户端ID [401]
如图所示,如果在SecureX威胁响应中执行调查,则API无效。
验证API凭证是否有效或是否存在于AMP控制台中,如果不有效,请尝试使用新凭证。
如果您在查看上述信息后仍有问题,请联系支持部门。
反馈