将设备与思科 XDR集成
思科 XDR 是嵌入到每个思科安全产品中的安全平台。它采用云原生,无需部署新技术。思科 XDR 提供的平台统一了可视性,实现了自动化,并增强了您在网络、终端、云和应用中的安全性,从而简化了威胁保护的要求。通过集成平台中的连接技术,思科 XDR 提供了可衡量的洞察力、预期成果以及无与伦比的跨团队协作。思科 XDR 通过连接您的安全基础设施来大幅提升您的能力。
思科 XDR 是一个威胁事件响应协调中心,支持多个思科安全产品之间的集成并实现自动化。作为思科集成安全架构的一个关键支柱, XDR 加速了关键的安全运营功能:检测、调查和补救。
设备与思科 XDR 的集成包括以下 部分:
您可以将设备与思科 XDR集成,并在思科 XDR中执行下列操作:
-
查看和发送来自组织中多个设备的邮件数据。
-
识别、调查和补救在邮件报告、发件人和目标关系中观察到的威胁,搜索多个邮件地址和主题行以及邮件跟踪。
-
阻止受侵害的用户或违反传出邮件策略的用户。
-
快速解决已识别的威胁,并针对已识别的威胁提供建议的操作。
-
记录威胁以保存调查结果,并启用其他设备之间的信息协作。
-
阻止恶意域,跟踪可疑观察结果,启动审批工作流程或创建 IT 故障单以更新邮件策略。
您可以通过以下 URL 来访问思科 XDR :
https://xdr.us.security.cisco.com/
思科安全电子邮件和网页管理器可以将多个思科安全电子邮件网关的管理及报告功能集中到一起。有关可通过 安全电子邮件和网页管理器模块充实的可观察对象的更多信息,请转至 https://xdr.us.security.cisco.com/administration/integrations 并导航至与思科 XDR 集成的模块,然后点击 入门。
如何将设备与思科 XDR集成
相应操作 |
更多信息 |
|
---|---|---|
步骤 1 |
查看前提条件。 |
|
步骤 2 |
在您的安全邮件和 Web 管理器上,启用思科 云服务门户。 |
|
步骤 3 |
在思科 XDR上,将设备作为设备进行添加、注册并生成注册令牌。 |
有关详细信息,请转到 https://docs.xdr.security.cisco.com/Content/Administration/on-premises-appliances.htm。 |
步骤 4 |
注册您的思科安全邮件和 Web 管理器 到思科云服务门户。 |
|
步骤 5 |
确认注册是否成功。 |
|
步骤 6 |
在思科 XDR上,添加 安全邮件和 Web 管理器 模块。 |
有关详细信息,请转至 https://xdr.us.security.cisco.com/administration/integrations,然后导航至与思科 XDR集成的模块,点击 开始,然后查看页面上的说明。 |
前提条件
![]() 注 |
如果您已有思科威胁响应用户账号,则无需创建思科 XDR 用户账号。您可以使用思科威胁响应用户账号凭证来登录思科 XDR。 |
-
请确保在思科 XDR 中创建一个具有管理员访问权限的用户账号。要创建新用户账号,请使用 URL https://xdr.us.security.cisco.com 转至 Cisco XDR login页面,然后在登录页面中点击立即注册。如果您无法创建新用户账号,请联系思科 TAC 寻求帮助。
-
[仅当不使用代理服务器时] 确保为以下 FQDN 打开防火墙上的 HTTPS(入和出)443 端口,以便向思科 XDR注册设备:
-
api-sse.cisco.com(仅适用于 NAM 用户)
-
api.eu.sse.itd.cisco.com(仅适用于欧盟 (EU) 用户)
-
api.apj.sse.itd.cisco.com(仅适用于亚太、日本和中国用户)
-
est.sco.cisco.com(适用于亚太、日本和中国、欧盟和 NAM 用户)
有关详细信息,请参阅 防火墙信息。
-
-
[对于在安全邮件和 Web 管理器上注册了智能许可的用户] 确保已将您的智能账户(在思科智能软件管理器门户中创建)与思科安全服务交换 相关联。有关详情,请参阅以下文档:
-
[适用于 NAM 用户] https://admin.sse.itd.cisco.com/assets/static/online-help/index.html#!t_link_accounts.html
-
[适用于欧盟 (EU) 用户] https://admin.eu.sse.itd.cisco.com/assets/static/online-help/index.html#!t_link_accounts.html
-
[适用于亚太、日本和中国用户] https://admin.apj.sse.itd.cisco.com/assets/static/online-help/index.html#!t_link_accounts.html
-
在思科安全邮件和 Web 管理器上启用思科 云服务门户。
开始之前
确保启用思科云服务,以便在安全邮件和 Web 管理器上启用思科 XDR。
执行以下步骤以启用思科云服务,从而在安全邮件和 Web 管理器上启用思科 XDR。
过程
步骤 1 |
登录到设备。 |
步骤 2 |
选择网络 (Networks) > 云服务设置 (Cloud Service Settings)。 |
步骤 3 |
点击编辑全局设置 (Edit Global Settings)。 |
步骤 4 |
选中启用复选框。 |
步骤 5 |
提交并确认更改。 |
步骤 6 |
等待几分钟,然后检查设备上是否出现了注册 (Register) 按钮。 |
![]() 注 |
要使用 CLI 启用思科 XDR,请使用 generalconfig 命令。
|
![]() 注 |
如果禁用思科云服务,则系统将在设备上禁用思科 XDR。 |
下一步做什么
在思科 XDR (https://xdr.us.security.cisco.com/administration/on-premise-appliances)中注册设备。有关详细信息,请转至 https://docs.xdr.security.cisco.com/Content/Administration/on-premises-appliances.htm上的说明。
上使用思科 云服务门户注册安全电子邮件和 Web 管理器
过程
步骤 1 |
前往网络 (Networks) > 云服务设置 (Cloud Service Settings)。 |
步骤 2 |
在云服务设置 (Cloud Services Settings) 中输入注册令牌,然后点击注册 (Register)。 |
![]() 注 |
要使用 CLI 来注册您的思科 云服务门户,请使用 cloudserviceconfig 命令。
|
下一步做什么
向思科云服务门户重新注册
您可以根据以下任一场景向思科云服务门户重新注册本地思科安全邮件和 Web 管理器:
-
如果在自动向思科云服务门户注册思科安全邮件和 Web 管理器时无法查看或管理添加到思科云服务门户的设备(思科安全邮件和 Web 管理器)。
-
如果在向思科云服务门户自动注册思科安全邮件和 Web 管理器时,智能账户和思科云服务帐户未关联。
您还可以在 CLI 中使用 cloudserviceconfig > reregister
子命令向思科云服务门户重新注册思科安全邮件和 Web 管理器。
开始之前
确保您已满足以下前提条件:
-
已在思科安全邮件和 Web 管理器上启用智能软件许可。
-
向思科智能软件管理器注册思科安全邮件和 Web 管理器。
过程
步骤 1 |
转到思科安全邮件和Web管理器上的网络(Networks)>云服务设置(Cloud Service Settings)页面。 |
||
步骤 2 |
点击重新注册 (Reregister)。
|
||
步骤 3 |
[可选] 如果您的思科安全邮件和 Web 管理器自动注册了不正确的思科 XDR 服务器,请选择适当的思科 XDR 服务器将设备连接到思科云服务门户。 |
||
步骤 4 |
[可选] 如果思科安全邮件和 Web 管理器已使用不正确的智能帐户自动注册,则输入从思科云服务门户获取的注册令牌。 |
||
步骤 5 |
点击提交 (Submit),只有当您在步骤 4 中未输入注册令牌时才会显示“确认重新注册”(Confirm reregistration) 对话框。 |
||
步骤 6 |
点击“确认重新注册”(Confirm reregistration) 对话框中的提交 (Submit),以便允许思科云服务使用从思科云服务门户自动生成的令牌以及智能帐户信息,从而向思科云服务门户重新注册思科安全邮件和 Web 管理器。
|
确认注册是否成功
-
在思科 XDR上,导航到本地设备页面 (https://xdr.us.security.cisco.com/administration/on-premise-appliances),查看已向 Cisco XDR 服务器注册的 安全邮件和网页管理器。
![]() 注 |
如果要切换到其他 Cisco XDR 服务器(例如,“Europe - api.eu.sse.itd.cisco.com”),则必须先从 Cisco XDR 中注销您的设备,然后按照 如何将设备与思科 XDR集成 中的步骤执行操作。 将设备与 Cisco XDR 集成后,您无需将安全邮件网关与 Cisco XDR 集成,因为邮件和 Web 报告功能本身就是集中式的。 在安全服务交换上成功注册设备后,请在 Cisco XDR 上添加 安全邮件和网页管理器模块。有关详细信息,请转至 https://xdr.us.security.cisco.com/administration/integrations,然后导航至与思科 XDR集成的模块,并点击开始,然后查看页面上的说明。 |
从思科云服务门户取消注册思科安全邮件和 Web 管理器。
执行以下步骤从思科云服务门户取消注册安全电子邮件和 Web 管理器。
过程
步骤 1 |
前往网络 (Networks) > 云服务设置 (Cloud Service Settings)。 |
步骤 2 |
点击 云服务设置 页面上的 取消注册 。 |
步骤 3 |
在 取消注册设备 弹出窗口中点击 取消 注册。 |
使用思科 XDR 功能区插件执行威胁分析
思科 XDR 支持分布式功能集,可统一可视性、实现自动化、加速事件响应工作流程并改善威胁搜索。这些分布式功能在思科 XDR 功能区插件中可用。
有关安装思科 XDR 功能区插件的信息,请参阅https://docs.xdr.security.cisco.com/Content/Ribbon/install-ribbon-extension.htm。
有关使用思科 XDR 功能区插件进行调查的信息,请参阅https://docs.xdr.security.cisco.com/Content/Ribbon/investigate-using-ribbon-extension.htm。
示例 - 通过安全邮件和 Web 管理器 NGUI 使用思科 XDR 功能区插件
执行以下步骤,通过安全邮件和 Web 管理器的新 Web 界面访问思科 XDR 功能区插件:
过程
步骤 1 |
登录安全邮件和 Web 管理器的新 Web 界面。 |
步骤 2 |
选择监控 (Monitoring) > 邮件流详情 (Mail Flow Details) > 传入邮件 (Incoming Mails)。 |
步骤 3 |
选择 IP 地址 (IP Addresses) 选项卡。 |
步骤 4 |
选择要调查的 IP 地址,点击鼠标右键,然后选择 Cisco XDR。 系统将显示 Cisco XDR 功能区插件。 |
对 思科 XDR中的邮件执行补救操作
开始之前
在思科 XDR中,您现在便可对邮件网关处理的邮件进行调查并采取以下补救操作:
-
删除
-
转发
-
转发并删除
在对思科 XDR中的邮件执行补救操作之前,请确保满足以下前提条件:
-
启用并向思科 XDR服务器注册思科安全邮件和 Web 管理器。有关详细信息,请参阅在思科内容安全设备上 在思科安全邮件和 Web 管理器上启用思科 云服务门户。 和 上使用思科 云服务门户注册安全电子邮件和 Web 管理器 上注册 。
-
将您的安全电子邮件和Web管理器模块添加到 Cisco XDR,并在 Cisco XDR 中指定了补救转发地址。有关详细信息,请转至 https://xdr.us.security.cisco.com/administration/integrations,导航至要与 Cisco XDR 集成的安全邮件和网页管理器模块,点击入门,然后查看页面上的说明。
-
在邮件网关的系统管理 (System Administration) > 帐户设置 (Account Settings) 页面中启用并配置了补救配置文件。有关详细信息,请参阅思科安全邮件网关用户指南中“补救邮箱中的邮件”一章。
过程
步骤 1 |
使用用户凭证登录思科 XDR 。 |
步骤 2 |
通过在调查面板中输入所需的 IOC(例如,URL、邮件消息 ID 等)并点击调查 (Investigate),以便执行威胁分析调查。有关详细信息,请参阅“帮助”部分的“调查”主题,网址为 https://docs.xdr.security.cisco.com/Content/Investigate/investigate.htm。 |
步骤 3 |
点击思科邮件 ID 或邮件消息 ID 旁边的透视菜单按钮,然后选择所需的补救操作(例如,“转发 (Forward)”)。有关详细信息,请参阅“帮助”部分的“透视菜单”主题,网址为 https://visibility.amp.cisco.com/help/investigate。 |