簡介
本文檔介紹使用Cisco安全雲與Splunk順利整合SNA,以便更快地對已確定的威脅作出事件響應。
必要條件
Splunk和思科裝置的基本知識。
需求
本文件沒有特定需求。
採用元件
本文件中的資訊是以下列硬體與軟體版本為依據:
Splunk企業版
安全網路分析v7.5.2.
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
第1步:存取Splunk應用程式,並安裝思科安全雲應用程式。
i.使用管理員憑據登入到Splunk Web門戶,成功登入後,可以看到「應用」部分左側已安裝應用程式清單的首頁:

二。為了將SNA與Splunk整合,需要安裝思科安全雲應用,可通過以下任一方法實現:
- 從下拉選單中選擇查詢更多應用。

b.在Manager gear icon下瀏覽更多應用程式。

步驟 2:安裝思科安全雲應用。
i.尋找思科安全雲應用。現在,向下滾動至找到應用或搜尋思科安全雲。

二。按一下Install按鈕安裝應用程式。

三。當您按一下「安裝」按鈕時,會彈出一個視窗,要求您提供Splunk帳戶的憑據,然後再安裝應用程式。提供憑據,然後按一下Agree and Install以繼續操作。
提示:提供用於訪問Splunk門戶的憑據,而不是登入時用於Splunk企業應用程式的管理員憑據。

四。成功安裝應用程式時會顯示一條消息,如圖所示。按一下「完成」。

步驟 3:驗證思科安全雲應用的安裝。
i.按一下Apps下拉選項,成功安裝後,即可從清單中看到該應用:

ii.按一下Cisco Security Cloud將其選中。系統會將您重新導向至應用程式設定頁面,您可以在此頁面找到所有可用的思科雲端安全產品。

步驟 4:與安全網路分析(SNA)整合。
本文的目標為著重說明進一步提到的使用安全網路分析(SNA)的Splunk的安裝步驟。
i.搜尋Secure Network Analytics,並在出現時選擇Configure Application:

二。選擇配置選項時,將彈出要新增詳細資訊的配置頁面。

三。填寫SNA連線詳細資訊中提到的所有必填詳細資訊:
- 輸入名稱:SNA的任何唯一名稱
- Manager地址(IPv4或IPv6地址或主機名):主SNA管理器的管理IP
- 域ID:根據domain_ID輸入值(例如301)
- 使用者名稱:主管理器的使用者名稱(例如admin)
- 密碼:主管理員使用者的密碼

四。將其餘設定保留為預設值,或根據需要對其進行修改,然後按一下Save。完成後,螢幕上會彈出一條成功消息。

步驟 5:驗證整合。
這是一個重要的步驟,您需要確認上一步執行的整合是否成功完成。
i.在Application Setup頁籤中,輸入的連線狀態必須是Connected,對於Input欄位中的正確名稱,其預設值為Enabled。

ii.從下拉選單中選擇Secure Network Analytics Dashboard,統計資料最終開始在控制面板上反映。


常見問題
在哪裡查詢SNA管理器的域ID?
答案:
i.登入到SNA主管理器,並重定向到裝置管理頁面或訪問Manager IP索引URL。
二。瀏覽支援部分下的smc資料夾。

三。開啟config 資料夾下的domain_XXX資料夾中可用的domain.xml檔案。
