简介
本文档介绍将Cisco SecureX与Cisco Orbital Advanced Search集成和验证所需的流程。
作者:Yeraldin Sanchez和Uriel Torres,编辑者:Jorge Navarrete,Cisco TAC工程师。
先决条件
要求
Cisco 建议您了解以下主题:
- 面向终端的思科AMP基本版,带轨道、优势或高级许可证
- 思科轨道高级搜索
- SecureX控制台中的基本导航
- 映像的可选虚拟化
使用的组件
- 面向终端的AMP控制台版本5.4.20200804
- 面向终端的AMP管理员帐户
- 轨道高级搜索控制台版本1.7
- SecureX控制台版本1.54
- SecureX管理员帐户
- Microsoft Edge版本84.0.522.52
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
Orbital是面向终端的思科AMP的高级功能,旨在简化安全调查和威胁搜索。它可在每个AMP终端上实施强大的Osquery技术。Orbital允许您创建自定义查询,以便在整个网络中查找感兴趣的信息,但还附带了超过一百个预先预设的查询,这些查询允许您在任何或所有终端上快速运行复杂查询。
轨道模块有4个磁贴,您可以将其添加到SecureX控制面板。
- 组织查询和结果统计:描述组织查询和结果的一组度量
- 用户目录统计:描述此用户最常用的目录查询的一组度量
- 组织目录统计:描述此组织最常用的目录查询的一组指标
- 用户查询和结果统计信息:描述用户查询和结果的一组度量
配置
在SecureX控制台中生成API凭证
- 登录到SecureX
- 导航到集成> 设置> API客户端
- 单击Generate API Client
- 为客户端命名,选中Orbital,描述API,然后单击Add New Client
注意:此信息仅在此窗口中可用,请将凭证保存在备份文件中。
在AMP控制台中启用SecureX功能区
SecureX既是集中式控制台,又是分布式功能集,可统一可视性、实现自动化、加快事件响应工作流程,并改善威胁搜寻。这些分布式功能在SecureX Ribbon以应用(应用)和工具的形式提供,SecureX Ribbon可以在轨道控制台中启用。
- 登录到Orbital Console
- 在轨道控制台上
- 导航到<Yout User> > Settings
- 启用SecureX功能区
- 功能区位于页面的下部,当您在控制面板与环境中的其他安全产品之间移动时,功能区会持续显示
在SecureX中集成轨道模块
Orbital可以丰富威胁响应关系图中的信息,方法是:进入Orbal查询和收集有关主机、IP、IP4、IP6、MAC和操作系统等的其他情报。Orbital应用程序在SecureX功能区上可用,允许您运行实时查询。您还可以在右侧窗格中查看指标和您最近的查询。
- 在SecureX上
- 导航到集成> 添加新模块
- 选择Orbital并单击Add New Module
- 为模块命名,然后单击Save
验证
验证Orbital Advanced Se控制台的信息是否显示在SecureX控制面板中。
- 在SecureX上,导航到控制面板
- 单击New Dashboard并为其命名
- 选择之前生成的轨道模块
- 选择磁贴,对于本指南,所有磁贴均已添加
- 点击保存
- 选择Timeframe,并验证Orbital中的数据是否显示在SecureX中
- 可以从SecureX功能区启动调查
- 导航至SecureXRibbon > Orbital > 执行轨道查询
相关信息