Application de sécurité Cisco Cloud
Caractéristiques
- Nom du produit: Application Cisco Security Cloud
- Fabricant: Cisco
- Intégration: Fonctionne avec divers produits Cisco
Instructions d'utilisation du produit
Configurer une application
La configuration de l'application est l'interface utilisateur initiale de l'application Security Cloud. Suivez ces étapes pour configurer une application :
- Accédez à la page Configuration de l’application > Produits Cisco.
- Choisissez l’application Cisco souhaitée et cliquez sur Configurer l’application.
- Remplissez le formulaire de configuration qui comprend une brève description de l'application, des liens vers la documentation et des détails de configuration.
- Cliquez sur Enregistrer. Assurez-vous que tous les champs sont correctement remplis pour activer le bouton Enregistrer.
Configurer les produits Cisco
Pour configurer les produits Cisco dans l’application Security Cloud, procédez comme suit :
- Sur la page Produits Cisco, sélectionnez le produit Cisco spécifique que vous souhaitez configurer.
- Cliquez sur Configurer l’application pour ce produit.
- Remplissez les champs obligatoires, notamment le nom d'entrée, l'intervalle, l'index et le type de source.
- Enregistrez la configuration. Corrigez les éventuelles erreurs si le bouton Enregistrer est désactivé.
Configuration de Cisco Duo
Pour configurer Cisco Duo dans l'application Security Cloud, procédez comme suit :
- Dans la page de configuration Duo, entrez le nom d’entrée.
- Fournissez les informations d’identification de l’API d’administration dans les champs Clé d’intégration, Clé secrète et Nom d’hôte de l’API.
- Si vous ne disposez pas de ces informations d’identification, créez un nouveau compte pour les obtenir.
Questions fréquemment posées (FAQ)
- Q : Quels sont les champs communs requis pour la configuration des applications ?
A: Les champs communs incluent le nom d'entrée, l'intervalle, l'index et le type de source. - Q : Comment puis-je gérer l’autorisation avec l’API Duo ?
A: L'autorisation avec l'API Duo est gérée à l'aide du SDK Duo pour Python. Vous devez fournir le nom d'hôte de l'API obtenu à partir du panneau d'administration Duo ainsi que d'autres champs facultatifs si nécessaire.
Ce chapitre vous guide tout au long du processus d'ajout et de configuration des entrées pour diverses applications (produits Cisco) dans l'application Security Cloud. Les entrées sont essentielles car elles définissent les sources de données que l'application Security Cloud utilise à des fins de surveillance. Une configuration appropriée des entrées garantit que votre couverture de sécurité est complète et que toutes les données sont correctement affichées pour un suivi et une surveillance ultérieurs.
Configurer une application
La page Configuration de l'application est la première interface utilisateur de l'application Security Cloud. La page Configuration de l'application se compose de deux sections :
Figure 1 : Mes applications
- La section Mes applications de la page Configuration de l’application affiche toutes les configurations de saisie utilisateur.
- Cliquez sur un lien hypertexte de produit pour accéder au tableau de bord du produit.
- Pour modifier les entrées, cliquez sur Modifier la configuration dans le menu Action.
- Pour supprimer des entrées, cliquez sur Supprimer dans le menu Action.
Figure 2 : Produits Cisco
- La page Produits Cisco affiche tous les produits Cisco disponibles intégrés à Security Cloud App.
- Vous pouvez configurer les entrées pour chaque produit Cisco dans cette section.
Configurer une application
- Certains champs de configuration sont communs à tous les produits Cisco et sont décrits dans cette section.
- Les champs de configuration spécifiques à un produit sont décrits dans les sections suivantes.
Tableau 1 : Champs communs
| Champ |
Description |
| Nom d'entrée | (Obligatoire) Un nom unique pour les entrées de l'application. |
| Intervalle | (Obligatoire) Intervalle de temps en secondes entre les requêtes API. |
| Indice | (Obligatoire) Index de destination des journaux d'application. Il peut être modifié si nécessaire.
La saisie semi-automatique est fournie pour ce champ. |
| Type de source | (Obligatoire) Pour la plupart des applications, il s'agit d'une valeur par défaut et elle est désactivée.
Vous pouvez modifier sa valeur dans Paramètres avancés. |
- Étape 1 Dans la page Configuration de l’application > Produits Cisco, accédez à l’application Cisco requise.
- Étape 2 Cliquez sur Configurer l’application.
La page de configuration se compose de trois sections : une brève description de l'application, une documentation avec des liens vers des ressources utiles et un formulaire de configuration.
- Étape 3 Remplissez le formulaire de configuration. Notez les points suivants :
- Les champs obligatoires sont marqués d'un astérisque *.
- Il existe également des champs facultatifs.
- Suivez les instructions et les conseils décrits dans la section d'application spécifique de la page.
- Étape 4 Cliquez sur Enregistrer.
S'il y a une erreur ou des champs vides, le bouton Enregistrer est désactivé. Corrigez l'erreur et enregistrez le formulaire.
Cisco Duo
Figure 3 : Page de configuration Duo
En plus des champs obligatoires décrits dans la section Configurer une application, à la page 2, les informations d'identification suivantes sont requises pour l'autorisation avec l'API Duo :
- ikey (clé d'intégration)
- skey (clé secrète)
L'autorisation est gérée par le SDK Duo pour Python.
Tableau 2 : Champs de configuration Duo
|
Champ |
Description |
| Nom d'hôte de l'API | (Obligatoire) Toutes les méthodes API utilisent le nom d'hôte de l'API. https://api-XXXXXXXX.duosecurity.com.
Obtenez cette valeur à partir du panneau d’administration Duo et utilisez-la exactement comme indiqué. |
| Journaux de sécurité Duo | Facultatif. |
| Niveau de journalisation | (Facultatif) Niveau de journalisation pour les messages écrits dans les journaux d'entrée dans $SPLUNK_HOME/var/log/splunk/duo_splunkapp/ |
- Étape 1 Dans la page de configuration Duo, saisissez le nom d’entrée.
- Étape 2 Saisissez les informations d'identification de l'API administrateur dans les champs Clé d'intégration, Clé secrète et Nom d'hôte de l'API. Si vous ne disposez pas de ces informations d'identification, enregistrer un nouveau compte.
- Accédez à Applications > Protéger une application > API d’administration pour créer une nouvelle API d’administration.
- Accédez à Applications > Protéger une application > API d’administration pour créer une nouvelle API d’administration.
- Étape 3 Définissez les éléments suivants si nécessaire :
- Journaux de sécurité Duo
- Niveau de journalisation
- Étape 4 Cliquez sur Enregistrer.
Analyse des programmes malveillants sécurisés de Cisco
Figure 4 : Page de configuration de Secure Malware Analytics
Note
Vous avez besoin d'une clé API (api_key) pour l'autorisation avec l'API Secure Malware Analytics (SMA). Transmettez la clé API comme type de porteur dans le jeton d'autorisation de la demande.
Données de configuration de Secure Malware Analytics
- Hôte: (Obligatoire) Spécifie le nom du compte SMA.
- Paramètres du proxy : (Facultatif) Comprend le type de proxy, le proxy URL, Port, nom d'utilisateur et mot de passe.
- Paramètres de journalisation : (Facultatif) Définissez les paramètres de journalisation des informations.
- Étape 1 Dans la page de configuration de Secure Malware Analytics, saisissez un nom dans le champ Nom d’entrée.
- Étape 2 Saisissez les champs Hôte et Clé API.
- Étape 3 Définissez les éléments suivants si nécessaire :
- Paramètres du proxy
- Paramètres de journalisation
- Étape 4 Cliquez sur Enregistrer.
Centre de gestion du pare-feu sécurisé Cisco
Figure 5 : Page de configuration du centre de gestion du pare-feu sécurisé
- Vous pouvez importer des données dans l'application Secure Firewall à l'aide de l'un des deux processus simplifiés : eStreamer et Syslog.
- La page de configuration du pare-feu sécurisé propose deux onglets, chacun correspondant à une méthode d'importation de données différente. Vous pouvez basculer entre ces onglets pour configurer les entrées de données respectives.
Pare-feu e-Streamer
Kit de développement logiciel eStreamer est utilisé pour la communication avec le Secure Firewall Management Center.
Figure 6 : Onglet E-Streamer du pare-feu sécurisé
Tableau 3 : Données de configuration du pare-feu sécurisé
|
Champ |
Description |
| Hôte FMC | (Obligatoire) Spécifie le nom de l'hôte du centre de gestion. |
| Port | (Obligatoire) Spécifie le port du compte. |
| Certificat PKCS | (Obligatoire) Le certificat doit être créé sur la console de gestion du pare-feu – Certificat eStreamer Création. Le système ne prend en charge que le pkcs12 file taper. |
| Mot de passe | (Obligatoire) Mot de passe pour le certificat PKCS. |
| Types d'événements | (Obligatoire) Choisissez le type d'événements à ingérer (Tous, Connexion, Intrusion, File, Paquet d'intrusion). |
- Étape 1 Dans l’onglet E-Streamer de la page Ajouter un pare-feu sécurisé, dans le champ Nom d’entrée, saisissez un nom.
- Étape 2 Dans l'espace Certificat PKCS, téléchargez un fichier .pkcs12 file pour configurer le certificat PKCS.
- Étape 3 Dans le champ Mot de passe, entrez le mot de passe.
- Étape 4 Choisissez un événement sous Types d’événements.
- Étape 5 Définissez les éléments suivants si nécessaire :
- Journaux de sécurité Duo
- Niveau de journalisation
Note
Si vous basculez entre les onglets E-Streamer et Syslog, seul l'onglet de configuration actif est enregistré. Par conséquent, vous ne pouvez définir qu'une seule méthode d'importation de données à la fois.
- Étape 6 Cliquez sur Enregistrer.
Pare-feu Syslog
En plus des champs obligatoires décrits dans la section Configurer une application, voici les configurations requises côté centre de gestion.
Tableau 4 : Données de configuration Syslog du pare-feu sécurisé
|
Champ |
Description |
| TCP/UDP | (Obligatoire) Spécifie le type de données d'entrée. |
| Port | (Obligatoire) Spécifie un port unique pour le compte. |
- Étape 1 Dans l’onglet Syslog de la page Ajouter un pare-feu sécurisé, configurez la connexion côté centre de gestion, dans le champ Nom d’entrée, entrez un nom.
- Étape 2 Choisissez TCP ou UDP pour le type d’entrée.
- Étape 3 Dans le champ Port, entrez le numéro de port
- Étape 4 Sélectionnez un type dans la liste déroulante Type de source.
- Étape 5 Choisissez les types d’événements pour le type de source sélectionné.
Note
Si vous basculez entre les onglets E-Streamer et Syslog, seul l'onglet de configuration actif est enregistré. Par conséquent, vous ne pouvez définir qu'une seule méthode d'importation de données à la fois. - Étape 6 Cliquez sur Enregistrer.
Défense multicloud de Cisco
Figure 7 : Page de configuration de Secure Malware Analytics
- Multicloud Defense (MCD) exploite la fonctionnalité HTTP Event Collector de Splunk au lieu de communiquer via une API.
- Créez une instance dans Cisco Defense Orchestrator (CDO) en suivant les étapes définies dans la section Guide de configuration de la page de configuration de Multicloud Defense.
Seuls les champs obligatoires définis dans la section Configurer une application, sont requis pour l'autorisation auprès de Multicloud Defense.
- Étape 1 Installez une instance Multicloud Defense dans CDO en suivant le guide de configuration sur la page de configuration.
- Étape 2 Saisissez un nom dans le champ Nom d’entrée.
- Étape 3 Cliquez sur Enregistrer.
Cisco XDR
Figure 8 : Page de configuration XDR
Les informations d'identification suivantes sont requises pour l'autorisation avec l'API Intel privée :
- client_id
- client_secret
Chaque exécution d'entrée entraîne un appel au point de terminaison GET /iroh/oauth2/token pour obtenir un jeton valide pendant 600 secondes.
Tableau 5 : Données de configuration Cisco XDR
|
Champ |
Description |
| Région | (Obligatoire) Sélectionnez une région avant de sélectionner une méthode d'authentification. |
| Authentification Méthode | (Obligatoire) Deux méthodes d'authentification sont disponibles : à l'aide de l'ID client et d'OAuth. |
| Plage de temps d'importation | (Obligatoire) Trois options d'importation sont disponibles : Importer toutes les données d'incident, Importer à partir de la date et de l'heure de création et Importer à partir de la date et de l'heure définies. |
| Promouvoir les incidents XDR auprès des notables ES ? | (Facultatif) Splunk Enterprise Security (ES) fait la promotion des notables.
Si vous n'avez pas activé Enterprise Security, vous pouvez toujours choisir de promouvoir les événements notables, mais les événements n'apparaissent pas dans cet index ni dans les macros notables. Une fois Enterprise Security activé, les événements sont présents dans l’index. Vous pouvez choisir le type d'incidents à ingérer (Tous, Critique, Moyen, Faible, Info, Inconnu, Aucun). |
- Étape 1 Dans la page de configuration Cisco XDR, entrez un nom dans le champ Nom d’entrée.
- Étape 2 Sélectionnez une méthode dans la liste déroulante Méthode d’authentification.
- Identité du client:
- Cliquez sur le bouton Accéder à XDR pour créer un client pour votre compte dans XDR.
- Copiez et collez l'ID client
- Définir un mot de passe (Client_secret)
- OAuth:
- Suivez le lien généré et authentifiez-vous. Vous devez avoir un compte XDR.
- Si le premier lien avec le code n'a pas fonctionné, dans le deuxième lien, copiez le code utilisateur et collez-le manuellement.
- Identité du client:
- Étape 3 Définissez une heure d’importation dans le champ Plage de temps d’importation.
- Étape 4 Si nécessaire, sélectionnez une valeur dans le champ Promouvoir les incidents XDR en tant que notables ES.
- Étape 5 Cliquez sur Enregistrer.
Protection contre les menaces de messagerie sécurisée Cisco
Figure 9 : Page de configuration de la défense contre les menaces de messagerie sécurisée
Les informations d’identification suivantes sont requises pour l’autorisation des API Secure Email Threat Defense :
- clé_api
- client_id
- client_secret
Tableau 6 : Données de configuration de la défense contre les menaces de messagerie sécurisée
|
Champ |
Description |
| Région | (Obligatoire) Vous pouvez modifier ce champ pour changer de région. |
| Plage de temps d'importation | (Obligatoire) Trois options sont disponibles : Importer toutes les données du message, Importer à partir de la date et de l'heure de création ou Importer à partir de la date et de l'heure définies. |
- Étape 1 Dans la page de configuration de Secure Email Threat Defense, entrez un nom dans le champ Nom d’entrée.
- Étape 2 Saisissez la clé API, l’ID client et la clé secrète client.
- Étape 3 Sélectionnez une région dans la liste déroulante Région.
- Étape 4 Définissez une heure d’importation sous Plage de temps d’importation.
- Étape 5 Cliquez sur Enregistrer.
Analyse de réseau sécurisée Cisco
Secure Network Analytics (SNA), anciennement connu sous le nom de Stealthwatch, analyse les données réseau existantes pour aider à identifier les menaces qui auraient pu trouver un moyen de contourner les contrôles existants.
Figure 10 : Page de configuration de Secure Network Analytics
Informations requises pour l'autorisation :
- smc_host : (adresse IP ou nom d'hôte de la console de gestion Stealthwatch)
- tenant_id (ID de domaine de la console de gestion Stealthwatch pour ce compte)
- nom d'utilisateur (nom d'utilisateur de la console de gestion Stealthwatch)
- mot de passe (mot de passe de la console de gestion Stealthwatch pour ce compte)
Tableau 7 : Données de configuration de Secure Network Analytics
|
Champ |
Description |
| Type de proxy | choisissez une valeur dans la liste déroulante :
• Hôte • Port • Nom d'utilisateur • Mot de passe |
| Intervalle | (Obligatoire) Intervalle de temps en secondes entre les requêtes API. Par défaut, 300 secondes. |
| Type de source | (Obligatoire) |
| Indice | (Obligatoire) Spécifie l'index de destination des journaux de sécurité SNA. Par défaut, état : cisco_sna. |
| Après | (Obligatoire) La valeur initiale après est utilisée lors de l'interrogation de l'API Stealthwatch. Par défaut, la valeur est 10 minutes auparavant. |
- Étape 1 Dans la page de configuration de Secure Network Analytics, saisissez un nom dans le champ Nom d’entrée.
- Étape 2 Saisissez l’adresse du gestionnaire (IP ou hôte), l’ID de domaine, le nom d’utilisateur et le mot de passe.
- Étape 3 Si nécessaire, définissez les éléments suivants sous Paramètres du proxy :
- Choisissez un proxy dans la liste déroulante Type de proxy.
- Saisissez l'hôte, le port, le nom d'utilisateur et le mot de passe dans les champs respectifs.
- Étape 4 Définissez les configurations d’entrée :
- Définissez une durée sous Intervalle. Par défaut, l'intervalle est défini sur 300 secondes (5 minutes).
- Vous pouvez modifier le type de source dans Paramètres avancés si nécessaire. La valeur par défaut est cisco:sna.
- Saisissez l’index de destination des journaux de sécurité dans le champ Index.
- Étape 5 Cliquez sur Enregistrer.
Documents / Ressources
 |
Application de sécurité Cisco Cloud [pdf] Guide de l'utilisateur Application Cloud de sécurité, application Cloud, application |
 |
Application de sécurité Cisco Cloud [pdf] Guide de l'utilisateur Sécurité, Sécurité Cloud, Cloud, Application de sécurité Cloud, Application |
 |
Application de sécurité Cisco Cloud [pdf] Guide de l'utilisateur Application Cloud de sécurité, application Cloud, application |