簡介
本文檔介紹將Cisco SecureX與Cisco Orbital Advanced Search整合和驗證所需的流程。
作者:Yeraldin Sanchez和Uriel Torres,編輯者:Jorge Navarrete,思科TAC工程師。
必要條件
需求
思科建議您瞭解以下主題:
- 面向終端的思科AMP基本版,帶軌道、優勢或高級許可證
- 思科軌道進階搜尋
- SecureX控制檯中的基本導航
- 映像的可選虛擬化
採用元件
- AMP端點控制檯版本5.4.20200804
- 面向終端的AMP管理員帳戶
- 軌道進階搜尋主控台版本1.7
- SecureX控制檯版本1.54
- SecureX管理員帳戶
- Microsoft Edge版本84.0.522.52
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
Orbital是面向終端的思科AMP的高級功能,旨在簡化安全調查和威脅搜尋。它在您的每個AMP終端上提供強大的Osquery技術的實施。Orbital允許您建立自定義查詢,以便在整個網路中查詢感興趣的資訊,但它也隨附了超過一百個預裝查詢,允許您對任何或所有端點快速運行複雜查詢。
Orbital模組有4個磁貼,您可以將其新增到SecureX儀表板。
- 組織查詢和結果統計:描述組織查詢和結果的一組度量
- 使用者目錄統計:描述此使用者最常用目錄查詢的一組度量
- 組織目錄統計:描述此組織最常用的目錄查詢的一組度量
- 使用者查詢和結果統計:描述使用者查詢和結果的一組度量
設定
在SecureX控制檯中生成API憑據
- 登入到SecureX
- 導覽至Integrations > Settings > API Clients
- 按一下Generate API Client
- 命名客戶端,檢查軌道,描述API並點選新增新客戶端
附註:此資訊僅在此視窗中可用,請將憑據儲存在備份檔案中。
在AMP控制檯中啟用SecureX功能區
SecureX既是集中式控制檯,也是一套分散式功能,可統一可視性、實現自動化、加快事件響應工作流程以及改進威脅搜尋。這些分散式功能在SecureX Ribbon中以應用程式(應用)和工具的形式出現,SecureX Ribbon可以在軌道控制檯中啟用。
- 登入到Orbital Console
- 論軌道控制檯
- 導覽至<Yout User> > Settings
- 啟用SecureX功能區
- 功能區位於頁面的下部,在控制面板和環境中其他安全產品之間移動時仍繼續存在
在SecureX中整合軌道模組
Orbital可以豐富威脅響應關係圖中的資訊,如果您進入Orbital查詢並收集有關主機、IP、IP4、IP6、MAC和作業系統等的其他情報。Orbital應用程式在SecureX功能區上可用,允許您運行即時查詢。您還可以在右窗格中檢視度量和最近的查詢。
- 在SecureX上
- 導覽至Integrations > Add New Module
- 選擇Orbital並按一下Add New Module
- 命名模組並按一下Save
驗證
驗證Orbital Advanced Se控制檯中的資訊是否顯示在SecureX控制面板中。
- 在SecureX上導航到控制面板
- 按一下New Dashboard並將其命名
- 選擇以前生成的軌道模組
- 選擇磁貼,對於本指南,所有磁貼均已新增
- 按一下「Save」
- 選擇Timeframe,並驗證來自Orbital的資料是否顯示在SecureX中
- 可以從SecureX功能區啟動調查
- 導覽至SecureXRibbon > Orbital > 執行軌道查詢
相關資訊