XDR集成

本章包含以下主题:

将设备与思科 XDR集成

将设备与思科 XDR集成

思科 XDR 是嵌入到每个思科安全产品中的安全平台。它采用云原生,无需部署新技术。思科 XDR 提供的平台统一了可视性,实现了自动化,并增强了您在网络、终端、云和应用中的安全性,从而简化了威胁保护的要求。通过集成平台中的连接技术,思科 XDR 提供了可衡量的洞察力、预期成果以及无与伦比的跨团队协作。思科 XDR 通过连接您的安全基础设施来大幅提升您的能力。

思科 XDR 是一个威胁事件响应协调中心,支持多个思科安全产品之间的集成并实现自动化。作为思科集成安全架构的一个关键支柱, XDR 加速了关键的安全运营功能:检测、调查和补救。

设备与思科 XDR 的集成包括以下 部分

您可以将设备与思科 XDR集成,并在思科 XDR中执行下列操作:

  • 查看和发送来自组织中多个设备的邮件数据。

  • 识别、调查和补救在邮件报告、发件人和目标关系中观察到的威胁,搜索多个邮件地址和主题行以及邮件跟踪。

  • 阻止受侵害的用户或违反传出邮件策略的用户。

  • 快速解决已识别的威胁,并针对已识别的威胁提供建议的操作。

  • 记录威胁以保存调查结果,并启用其他设备之间的信息协作。

  • 阻止恶意域,跟踪可疑观察结果,启动审批工作流程或创建 IT 故障单以更新邮件策略。

您可以通过以下 URL 来访问思科 XDR

https://xdr.us.security.cisco.com/

思科安全电子邮件和网页管理器可以将多个思科安全电子邮件网关的管理及报告功能集中到一起。有关可通过 安全电子邮件和网页管理器模块充实的可观察对象的更多信息,请转至 https://xdr.us.security.cisco.com/administration/integrations 并导航至与思科 XDR 集成的模块,然后点击 入门

如何将设备与思科 XDR集成

表 1. 如何将设备与思科 XDR集成

相应操作

更多信息

步骤 1

查看前提条件。

必备条件

步骤 2

在您的安全邮件和 Web 管理器上,启用思科 云服务门户

在思科安全邮件和 Web 管理器上启用思科 云服务门户。

步骤 3

在思科 XDR上,将设备作为设备进行添加、注册并生成注册令牌。

有关详细信息,请转到 https://docs.xdr.security.cisco.com/Content/Administration/on-premises-appliances.htm

步骤 4

注册您的思科安全邮件和 Web 管理器 到思科云服务门户

上使用思科 云服务门户注册安全电子邮件和 Web 管理器

步骤 5

确认注册是否成功。

确认注册是否成功

步骤 6

在思科 XDR上,添加 安全邮件和 Web 管理器 模块。

有关详细信息,请转至 https://xdr.us.security.cisco.com/administration/integrations,然后导航至与思科 XDR集成的模块,点击 开始,然后查看页面上的说明。

前提条件



如果您已有思科威胁响应用户账号,则无需创建思科 XDR 用户账号。您可以使用思科威胁响应用户账号凭证来登录思科 XDR


思科安全邮件和 Web 管理器上启用思科 云服务门户

开始之前

确保启用思科云服务,以便在安全邮件和 Web 管理器上启用思科 XDR。

执行以下步骤以启用思科云服务,从而在安全邮件和 Web 管理器上启用思科 XDR。

过程

步骤 1

登录到设备。

步骤 2

选择网络 (Networks) > 云服务设置 (Cloud Service Settings)

步骤 3

点击编辑全局设置 (Edit Global Settings)

步骤 4

选中启用复选框。

步骤 5

提交并确认更改。

步骤 6

等待几分钟,然后检查设备上是否出现了注册 (Register) 按钮。




要使用 CLI 启用思科 XDR,请使用 generalconfig 命令。


如果禁用思科云服务,则系统将在设备上禁用思科 XDR。


下一步做什么

在思科 XDR (https://xdr.us.security.cisco.com/administration/on-premise-appliances)中注册设备。有关详细信息,请转至 https://docs.xdr.security.cisco.com/Content/Administration/on-premises-appliances.htm上的说明。

上使用思科 云服务门户注册安全电子邮件和 Web 管理器

过程

步骤 1

前往网络 (Networks) > 云服务设置 (Cloud Service Settings)

步骤 2

云服务设置 (Cloud Services Settings) 中输入注册令牌,然后点击注册 (Register)




要使用 CLI 来注册您的思科 云服务门户,请使用 cloudserviceconfig 命令。
下一步做什么

确认注册是否成功

向思科云服务门户重新注册

您可以根据以下任一场景向思科云服务门户重新注册本地思科安全邮件和 Web 管理器:

  • 如果在自动向思科云服务门户注册思科安全邮件和 Web 管理器时无法查看或管理添加到思科云服务门户的设备(思科安全邮件和 Web 管理器)。

  • 如果在向思科云服务门户自动注册思科安全邮件和 Web 管理器时,智能账户和思科云服务帐户未关联。

您还可以在 CLI 中使用 cloudserviceconfig > reregister 子命令向思科云服务门户重新注册思科安全邮件和 Web 管理器。

开始之前

确保您已满足以下前提条件:

  • 已在思科安全邮件和 Web 管理器上启用智能软件许可。

  • 向思科智能软件管理器注册思科安全邮件和 Web 管理器。

过程

步骤 1

转到思科安全邮件和Web管理器上的网络(Networks)>云服务设置(Cloud Service Settings)页面。

步骤 2

点击重新注册 (Reregister)

 
点击重新注册后,您可以根据需要选择是要执行步骤 3 还是步骤 4,还是同时执行步骤 2 中的任务。

步骤 3

[可选] 如果您的思科安全邮件和 Web 管理器自动注册了不正确的思科 XDR 服务器,请选择适当的思科 XDR 服务器将设备连接到思科云服务门户。

步骤 4

[可选] 如果思科安全邮件和 Web 管理器已使用不正确的智能帐户自动注册,则输入从思科云服务门户获取的注册令牌。

步骤 5

点击提交 (Submit),只有当您在步骤 4 中未输入注册令牌时才会显示“确认重新注册”(Confirm reregistration) 对话框。

步骤 6

点击“确认重新注册”(Confirm reregistration) 对话框中的提交 (Submit),以便允许思科云服务使用从思科云服务门户自动生成的令牌以及智能帐户信息,从而向思科云服务门户重新注册思科安全邮件和 Web 管理器。

 

如果您未在安全邮件和 Web 管理器上使用智能软件许可,并且您想要修改思科 XDR 服务器的区域,请从思科 XDR 取消注册安全邮件和 Web 管理器 (从思科云服务门户取消注册思科安全邮件和 Web 管理器。),然后点击 注册 按钮。


确认注册是否成功



如果要切换到其他 Cisco XDR 服务器(例如,“Europe - api.eu.sse.itd.cisco.com”),则必须先从 Cisco XDR 中注销您的设备,然后按照 如何将设备与思科 XDR集成 中的步骤执行操作。

将设备与 Cisco XDR 集成后,您无需将安全邮件网关与 Cisco XDR 集成,因为邮件和 Web 报告功能本身就是集中式的。

安全服务交换上成功注册设备后,请在 Cisco XDR 上添加 安全邮件和网页管理器模块。有关详细信息,请转至 https://xdr.us.security.cisco.com/administration/integrations,然后导航至与思科 XDR集成的模块,并点击开始,然后查看页面上的说明。


从思科云服务门户取消注册思科安全邮件和 Web 管理器。

执行以下步骤从思科云服务门户取消注册安全电子邮件和 Web 管理器。

过程

步骤 1

前往网络 (Networks) > 云服务设置 (Cloud Service Settings)

步骤 2

点击 云服务设置 页面上的 取消注册

步骤 3

取消注册设备 弹出窗口中点击 取消 注册。


使用思科 XDR 功能区插件执行威胁分析

思科 XDR 支持分布式功能集,可统一可视性、实现自动化、加速事件响应工作流程并改善威胁搜索。这些分布式功能在思科 XDR 功能区插件中可用。

有关安装思科 XDR 功能区插件的信息,请参阅https://docs.xdr.security.cisco.com/Content/Ribbon/install-ribbon-extension.htm

有关使用思科 XDR 功能区插件进行调查的信息,请参阅https://docs.xdr.security.cisco.com/Content/Ribbon/investigate-using-ribbon-extension.htm

示例 - 通过安全邮件和 Web 管理器 NGUI 使用思科 XDR 功能区插件

执行以下步骤,通过安全邮件和 Web 管理器的新 Web 界面访问思科 XDR 功能区插件:

过程

步骤 1

登录安全邮件和 Web 管理器的新 Web 界面。

步骤 2

选择监控 (Monitoring) > 邮件流详情 (Mail Flow Details) > 传入邮件 (Incoming Mails)

步骤 3

选择 IP 地址 (IP Addresses) 选项卡。

步骤 4

选择要调查的 IP 地址,点击鼠标右键,然后选择 Cisco XDR

系统将显示 Cisco XDR 功能区插件。


思科 XDR中的邮件执行补救操作

开始之前

在思科 XDR中,您现在便可对邮件网关处理的邮件进行调查并采取以下补救操作:

  • 删除

  • 转发

  • 转发并删除

在对思科 XDR中的邮件执行补救操作之前,请确保满足以下前提条件:

过程


步骤 1

使用用户凭证登录思科 XDR

步骤 2

通过在调查面板中输入所需的 IOC(例如,URL、邮件消息 ID 等)并点击调查 (Investigate),以便执行威胁分析调查。有关详细信息,请参阅“帮助”部分的“调查”主题,网址为 https://docs.xdr.security.cisco.com/Content/Investigate/investigate.htm

步骤 3

点击思科邮件 ID 或邮件消息 ID 旁边的透视菜单按钮,然后选择所需的补救操作(例如,“转发 (Forward)”)。有关详细信息,请参阅“帮助”部分的“透视菜单”主题,网址为 https://visibility.amp.cisco.com/help/investigate