使用安全雲應用將SNA整合到Splunk

簡介

本文檔介紹使用Cisco安全雲與Splunk順利整合SNA，以便更快地對已確定的威脅作出事件響應。

必要條件

Splunk和思科裝置的基本知識。

需求

本文件沒有特定需求。 

採用元件

本文件中的資訊是以下列硬體與軟體版本為依據：

Splunk企業版

安全網路分析v7.5.2.

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

第1步：存取Splunk應用程式，並安裝思科安全雲應用程式。

i.使用管理員憑據登入到Splunk Web門戶，成功登入後，可以看到「應用」部分左側已安裝應用程式清單的首頁：

二。為了將SNA與Splunk整合，需要安裝思科安全雲應用，可通過以下任一方法實現：

1. 從下拉選單中選擇查詢更多應用。

b.在Manager gear icon下瀏覽更多應用程式。

步驟 2:安裝思科安全雲應用。

i.尋找思科安全雲應用。現在，向下滾動至找到應用或搜尋思科安全雲。

注意：請勿與思科雲端安全應用相混淆。

二。按一下Install按鈕安裝應用程式。

三。當您按一下「安裝」按鈕時，會彈出一個視窗，要求您提供Splunk帳戶的憑據，然後再安裝應用程式。提供憑據，然後按一下Agree and Install以繼續操作。

提示：提供用於訪問Splunk門戶的憑據，而不是登入時用於Splunk企業應用程式的管理員憑據。

四。成功安裝應用程式時會顯示一條消息，如圖所示。按一下「完成」。

步驟 3:驗證思科安全雲應用的安裝。

i.按一下Apps下拉選項，成功安裝後，即可從清單中看到該應用：

ii.按一下Cisco Security Cloud將其選中。系統會將您重新導向至應用程式設定頁面，您可以在此頁面找到所有可用的思科雲端安全產品。

步驟 4:與安全網路分析(SNA)整合。

本文的目標為著重說明進一步提到的使用安全網路分析(SNA)的Splunk的安裝步驟。

i.搜尋Secure Network Analytics，並在出現時選擇Configure Application:

二。選擇配置選項時，將彈出要新增詳細資訊的配置頁面。

三。填寫SNA連線詳細資訊中提到的所有必填詳細資訊：

1.     輸入名稱:SNA的任何唯一名稱
2.     Manager地址（IPv4或IPv6地址或主機名）：主SNA管理器的管理IP
3.     域ID：根據domain_ID輸入值（例如301）
4.     使用者名稱:主管理器的使用者名稱（例如admin）
5.     密碼:主管理員使用者的密碼

四。將其餘設定保留為預設值，或根據需要對其進行修改，然後按一下Save。完成後，螢幕上會彈出一條成功消息。

步驟 5:驗證整合。

這是一個重要的步驟，您需要確認上一步執行的整合是否成功完成。

i.在Application Setup頁籤中，輸入的連線狀態必須是Connected，對於Input欄位中的正確名稱，其預設值為Enabled。

ii.從下拉選單中選擇Secure Network Analytics Dashboard，統計資料最終開始在控制面板上反映。

常見問題

在哪裡查詢SNA管理器的域ID?

答案：

i.登入到SNA主管理器，並重定向到裝置管理頁面或訪問Manager IP索引URL。

二。瀏覽支援部分下的smc資料夾。

三。開啟config 資料夾下的domain_XXX資料夾中可用的domain.xml檔案。