CISCO 보안 클라우드 앱
명세서
- 제품 이름: Cisco Security Cloud 앱
- 제조업체: 시스코
- 완성: 다양한 Cisco 제품과 호환됩니다
제품 사용 지침
애플리케이션 설정
애플리케이션 설정은 Security Cloud 앱의 초기 사용자 인터페이스입니다. 다음 단계에 따라 애플리케이션을 구성하세요.
- 애플리케이션 설정 > Cisco 제품 페이지로 이동합니다.
- 원하는 Cisco 애플리케이션을 선택하고 애플리케이션 구성을 클릭합니다.
- 간략한 앱 설명, 문서 링크, 구성 세부 정보가 포함된 구성 양식을 작성하세요.
- 저장을 클릭합니다. 모든 필드가 올바르게 채워져 있는지 확인하여 저장 버튼을 활성화합니다.
Cisco 제품 구성
Security Cloud 앱 내에서 Cisco 제품을 구성하려면 다음 단계를 따르세요.
- Cisco 제품 페이지에서 구성하려는 특정 Cisco 제품을 선택합니다.
- 해당 제품에 대한 애플리케이션 구성을 클릭합니다.
- 입력 이름, 간격, 인덱스, 소스 유형을 포함한 필수 필드를 채우세요.
- 구성을 저장합니다. 저장 버튼이 비활성화된 경우 오류를 수정합니다.
Cisco Duo 구성
Security Cloud 앱 내에서 Cisco Duo를 구성하려면 다음 단계를 따르세요.
- Duo 구성 페이지에서 입력 이름을 입력합니다.
- 통합 키, 비밀 키, API 호스트 이름 필드에 관리자 API 자격 증명을 제공합니다.
- 해당 자격증이 없는 경우 새 계정을 등록하여 자격증을 취득하세요.
자주 묻는 질문(FAQ)
- 질문: 애플리케이션 구성에 필요한 일반적인 필드는 무엇입니까?
A: 일반 필드에는 입력 이름, 간격, 인덱스 및 소스 유형이 포함됩니다. - 질문: Duo API로 권한을 처리하려면 어떻게 해야 하나요?
A: Duo API를 통한 권한 부여는 Python용 Duo SDK를 사용하여 처리됩니다. 필요에 따라 Duo 관리자 패널에서 얻은 API 호스트 이름과 기타 선택 필드를 제공해야 합니다.
이 장에서는 Security Cloud App 내에서 다양한 애플리케이션(Cisco 제품)에 대한 입력을 추가하고 구성하는 과정을 안내합니다. 입력은 Security Cloud App이 모니터링 목적으로 사용하는 데이터 소스를 정의하기 때문에 중요합니다. 입력을 적절히 구성하면 보안 범위가 포괄적이고 모든 데이터가 향후 추적 및 모니터링을 위해 적절하게 표시됩니다.
애플리케이션 설정
애플리케이션 설정은 Security Cloud 앱의 첫 번째 사용자 인터페이스입니다. 애플리케이션 설정 페이지는 두 섹션으로 구성됩니다.
그림 1: 내 앱
- 애플리케이션 설정 페이지의 내 앱 섹션에는 모든 사용자 입력 구성이 표시됩니다.
- 제품 하이퍼링크를 클릭하면 제품 대시보드로 이동합니다.
- 입력을 편집하려면 작업 메뉴에서 구성 편집을 클릭합니다.
- 입력을 삭제하려면 작업 메뉴에서 삭제를 클릭하세요.
그림 2: Cisco 제품
- Cisco 제품 페이지에는 Security Cloud App과 통합된 모든 Cisco 제품이 표시됩니다.
- 이 섹션에서는 각 Cisco 제품에 대한 입력을 구성할 수 있습니다.
애플리케이션 구성
- 일부 구성 필드는 모든 Cisco 제품에서 공통적으로 적용되며 이 섹션에서 이에 대해 설명합니다.
- 특정 제품에만 적용되는 구성 필드는 이후 섹션에서 설명합니다.
표 1: 공통 필드
| 필드 |
설명 |
| 입력 이름 | (필수) 애플리케이션 입력에 대한 고유한 이름입니다. |
| 간격 | (필수) API 쿼리 사이의 시간 간격(초)입니다. |
| 색인 | (필수) 애플리케이션 로그의 대상 인덱스입니다. 필요한 경우 변경할 수 있습니다.
이 필드에는 자동완성 기능이 제공됩니다. |
| 소스 유형 | (필수) 대부분의 앱에서는 기본값으로 설정되어 있으며 비활성화되어 있습니다.
값을 변경할 수 있습니다 고급 설정. |
- 1단계 애플리케이션 설정 > Cisco 제품 페이지에서 필요한 Cisco 애플리케이션으로 이동합니다.
- 2단계 응용프로그램 구성을 클릭합니다.
구성 페이지는 간단한 앱 설명, 유용한 리소스에 대한 링크가 있는 설명서, 구성 양식의 세 섹션으로 구성됩니다.
- 3단계 구성 양식을 작성하세요. 다음 사항에 유의하세요.
- 필수 항목에는 별표(*)가 표시되어 있습니다.
- 선택 항목도 있습니다.
- 해당 페이지의 특정 앱 섹션에 설명된 지침과 팁을 따르세요.
- 4단계 저장을 클릭하세요.
오류나 빈 필드가 있는 경우, 저장 버튼이 비활성화됩니다. 오류를 수정하고 양식을 저장하세요.
시스코 듀오
그림 3: Duo 구성 페이지
2페이지의 애플리케이션 구성 섹션에 설명된 필수 필드 외에도 Duo API를 통한 권한 부여에는 다음 자격 증명이 필요합니다.
- ikey(통합키)
- skey (비밀 키)
인증은 Python용 Duo SDK를 통해 처리됩니다.
표 2: Duo 구성 필드
|
필드 |
설명 |
| API 호스트 이름 | (필수) 모든 API 메소드는 API 호스트 이름을 사용합니다. https://api-XXXXXXXX.duosecurity.com.
Duo 관리자 패널에서 이 값을 얻어서 거기에 표시된 대로 정확하게 사용하세요. |
| Duo 보안 로그 | 선택 과목. |
| 로깅 수준 | (선택 사항) $SPLUNK_HOME/var/log/splunk/duo_splunkapp/의 입력 로그에 기록된 메시지에 대한 로깅 수준 |
- 1단계 Duo 구성 페이지에서 입력 이름을 입력합니다.
- 2단계 통합 키, 비밀 키 및 API 호스트 이름 필드에 Admin API 자격 증명을 입력합니다. 이러한 자격 증명이 없는 경우 새로운 계정을 등록하다.
- 애플리케이션 > 애플리케이션 보호 > 관리자 API로 이동하여 새 관리자 API를 만듭니다.
- 애플리케이션 > 애플리케이션 보호 > 관리자 API로 이동하여 새 관리자 API를 만듭니다.
- 3단계 필요한 경우 다음을 정의하세요.
- Duo 보안 로그
- 로깅 수준
- 4단계 저장을 클릭하세요.
Cisco 보안 맬웨어 분석
그림 4: 보안 맬웨어 분석 구성 페이지
메모
SMA(Secure Malware Analytics) API를 사용하여 인증을 받으려면 API 키(api_key)가 필요합니다. 요청의 인증 토큰에 Bearer 유형으로 API 키를 전달하세요.
보안 맬웨어 분석 구성 데이터
- 주인: (필수) SMA 계정의 이름을 지정합니다.
- 프록시 설정: (선택사항) 프록시 유형, 프록시로 구성됨 URL, 포트, 사용자 이름, 비밀번호.
- 로깅 설정: (선택 사항) 로깅 정보에 대한 설정을 정의합니다.
- 1단계 보안 맬웨어 분석 구성 페이지에서 입력 이름에 이름을 입력합니다.
- 2단계 호스트와 API 키 필드를 입력합니다.
- 3단계 필요한 경우 다음을 정의합니다.
- 프록시 설정
- 로깅 설정
- 단계 4 저장을 클릭합니다.
Cisco 보안 방화벽 관리 센터
그림 5: 보안 방화벽 관리 센터 구성 페이지
- eStreamer와 Syslog라는 두 가지 간소화된 프로세스 중 하나를 사용하여 보안 방화벽 애플리케이션으로 데이터를 가져올 수 있습니다.
- 보안 방화벽 구성 페이지에는 두 개의 탭이 있으며, 각각 다른 데이터 가져오기 방법에 해당합니다. 이러한 탭 사이를 전환하여 해당 데이터 입력을 구성할 수 있습니다.
방화벽 e-스트리머
이스트리머 SDK 보안 방화벽 관리 센터와 통신하는 데 사용됩니다.
그림 6: 보안 방화벽 E-Streamer 탭
표 3: 보안 방화벽 구성 데이터
|
필드 |
설명 |
| FMC 호스트 | (필수) 관리 센터 호스트의 이름을 지정합니다. |
| 포트 | (필수) 계정의 포트를 지정합니다. |
| PKCS 인증서 | (필수) 인증서는 방화벽 관리 콘솔에서 생성되어야 합니다. eStreamer 인증서 창조. 시스템은 pkcs12만 지원합니다 file 유형. |
| 비밀번호 | (필수) PKCS 인증서의 비밀번호입니다. |
| 이벤트 유형 | (필수) 수집할 이벤트 유형(모두, 연결, 침입)을 선택합니다. File, 침입 패킷). |
- 1단계 보안 방화벽 추가 페이지의 E-Streamer 탭에서 이름 입력 필드에 이름을 입력합니다.
- 2단계 PKCS 인증서 공간에서 .pkcs12를 업로드합니다. file PKCS 인증서를 설정합니다.
- 3단계 비밀번호 필드에 비밀번호를 입력하세요.
- 4단계 이벤트 유형에서 이벤트를 선택합니다.
- 5단계 필요한 경우 다음을 정의합니다.
- Duo 보안 로그
- 로깅 수준
메모
E-Streamer와 Syslog 탭 사이를 전환하면 활성 구성 탭만 저장됩니다. 따라서 한 번에 하나의 데이터 가져오기 방법만 설정할 수 있습니다.
- 단계 6 저장을 클릭합니다.
방화벽 Syslog
애플리케이션 구성 섹션에 설명된 필수 필드 외에도 관리 센터 측에서 필요한 구성은 다음과 같습니다.
표 4: 보안 방화벽 Syslog 구성 데이터
|
필드 |
설명 |
| TCP/UDP/UDP2444(인터넷 프로토콜) | (필수) 입력 데이터의 유형을 지정합니다. |
| 포트 | (필수) 계정에 대한 고유한 포트를 지정합니다. |
- 1단계 보안 방화벽 추가 페이지의 Syslog 탭에서 관리 센터 측에 연결을 설정하고 입력 이름 필드에 이름을 입력합니다.
- 2단계 입력 유형으로 TCP 또는 UDP를 선택합니다.
- 3단계 포트 필드에 포트 번호를 입력합니다.
- 4단계 소스 유형 드롭다운 목록에서 유형을 선택합니다.
- 5단계 선택한 소스 유형에 대한 이벤트 유형을 선택합니다.
메모
E-Streamer와 Syslog 탭 사이를 전환하면 활성 구성 탭만 저장됩니다. 따라서 한 번에 하나의 데이터 가져오기 방법만 설정할 수 있습니다. - 단계 6 저장을 클릭합니다.
시스코 멀티클라우드 방어
그림 7: 보안 맬웨어 분석 구성 페이지
- 멀티클라우드 디펜스(MCD)는 API를 통해 통신하는 대신 Splunk의 HTTP 이벤트 수집기 기능을 활용합니다.
- Multicloud Defense 구성 페이지의 설정 가이드 섹션에 정의된 단계에 따라 Cisco Defense Orchestrator(CDO)에서 인스턴스를 생성합니다.
Multicloud Defense에 대한 권한 부여에는 애플리케이션 구성 섹션에 정의된 필수 필드만 필요합니다.
- 1단계 구성 페이지의 설정 가이드에 따라 CDO에 Multicloud Defense 인스턴스를 설치합니다.
- 2단계 이름 입력 필드에 이름을 입력합니다.
- 단계 3 저장을 클릭합니다.
시스코 XDR
그림 8: XDR 구성 페이지
Private Intel API에 대한 권한을 부여하려면 다음 자격 증명이 필요합니다.
- 클라이언트_ID
- 클라이언트_비밀
모든 입력 실행은 GET /iroh/oauth2/token 엔드포인트에 대한 호출을 초래하여 600초 동안 유효한 토큰을 얻습니다.
표 5: Cisco XDR 구성 데이터
|
필드 |
설명 |
| 지역 | (필수) 인증 방법을 선택하기 전에 지역을 선택하세요. |
| 입증 방법 | (필수) 클라이언트 ID와 OAuth를 사용하는 두 가지 인증 방법을 사용할 수 있습니다. |
| 가져오기 시간 범위 | (필수) 세 가지 가져오기 옵션을 사용할 수 있습니다: 모든 인시던트 데이터 가져오기, 생성된 날짜-시간에서 가져오기, 정의된 날짜-시간에서 가져오기. |
| XDR 사건을 ES 주요 사건으로 홍보할까요? | (선택 사항) Splunk Enterprise Security(ES)는 Notables를 홍보합니다.
Enterprise Security를 활성화하지 않은 경우에도 주요 항목으로 승격할 수 있지만, 이벤트는 해당 인덱스나 주요 항목 매크로에 나타나지 않습니다. Enterprise Security를 활성화하면 이벤트가 인덱스에 표시됩니다. 수집할 인시던트 유형(모두, 중요, 보통, 낮음, 정보, 알 수 없음, 없음)을 선택할 수 있습니다. |
- 1단계 Cisco XDR 구성 페이지에서 입력 이름 필드에 이름을 입력합니다.
- 2단계 인증 방법 드롭다운 목록에서 방법을 선택합니다.
- 클라이언트 ID :
- XDR로 이동 버튼을 클릭하여 XDR 계정에 대한 클라이언트를 생성하세요.
- 클라이언트 ID를 복사하여 붙여넣으세요
- 비밀번호 설정 (Client_secret)
- OAuth:
- 생성된 링크를 따라가서 인증하세요. XDR 계정이 있어야 합니다.
- 코드가 있는 첫 번째 링크가 작동하지 않으면 두 번째 링크에 사용자 코드를 복사하여 직접 붙여넣으세요.
- 클라이언트 ID :
- 3단계 가져오기 시간 범위 필드에서 가져오기 시간을 정의합니다.
- 4단계 필요한 경우 XDR 사건을 ES Notables로 승격 필드에서 값을 선택합니다.
- 단계 5 저장을 클릭합니다.
Cisco 보안 이메일 위협 방어
그림 9: 보안 이메일 위협 방어 구성 페이지
Secure Email Threat Defense API를 승인하려면 다음 자격 증명이 필요합니다.
- API 키
- 클라이언트_ID
- 클라이언트_비밀
표 6: 보안 이메일 위협 방어 구성 데이터
|
필드 |
설명 |
| 지역 | (필수) 이 필드를 편집하여 지역을 변경할 수 있습니다. |
| 가져오기 시간 범위 | (필수) 세 가지 옵션을 사용할 수 있습니다: 모든 메시지 데이터 가져오기, 생성된 날짜-시간에서 가져오기, 정의된 날짜-시간에서 가져오기. |
- 1단계 보안 이메일 위협 방어 구성 페이지에서 입력 이름 필드에 이름을 입력합니다.
- 2단계 API 키, 클라이언트 ID, 클라이언트 비밀 키를 입력하세요.
- 3단계 지역 드롭다운 목록에서 지역을 선택하세요.
- 4단계 가져오기 시간 범위에서 가져오기 시간을 설정합니다.
- 단계 5 저장을 클릭합니다.
Cisco 보안 네트워크 분석
이전에 Stealthwatch로 알려졌던 보안 네트워크 분석(SNA)은 기존 네트워크 데이터를 분석하여 기존 제어를 우회할 수 있는 방법을 찾은 위협을 식별하는 데 도움을 줍니다.
그림 10: 보안 네트워크 분석 구성 페이지
승인에 필요한 자격 증명:
- smc_host: (Stealthwatch Management Console의 IP 주소 또는 호스트 이름)
- tenant_id(이 계정의 Stealthwatch 관리 콘솔 도메인 ID)
- 사용자 이름(Stealthwatch 관리 콘솔 사용자 이름)
- 비밀번호(이 계정에 대한 Stealthwatch 관리 콘솔 비밀번호)
표 7: 보안 네트워크 분석 구성 데이터
|
필드 |
설명 |
| 프록시 유형 | 드롭다운 목록에서 값을 선택하세요:
• 주인 • 포트 • 사용자 이름 • 비밀번호 |
| 간격 | (필수) API 쿼리 사이의 시간 간격(초). 기본값은 300초입니다. |
| 소스 유형 | (필수적인) |
| 색인 | (필수) SNA 보안 로그의 대상 인덱스를 지정합니다. 기본적으로 상태: cisco_sna. |
| 후에 | (필수) Stealthwatch API를 쿼리할 때 초기 after 값이 사용됩니다. 기본적으로 값은 10분 전입니다. |
- 1단계 보안 네트워크 분석 구성 페이지에서 입력 이름 필드에 이름을 입력합니다.
- 2단계 관리자 주소(IP 또는 호스트), 도메인 ID, 사용자 이름, 비밀번호를 입력하세요.
- 3단계 필요한 경우 프록시 설정에서 다음을 설정합니다.
- 프록시 유형 드롭다운 목록에서 프록시를 선택합니다.
- 각 필드에 호스트, 포트, 사용자 이름 및 비밀번호를 입력하세요.
- 4단계 입력 구성 정의:
- Interval에서 시간을 설정합니다. 기본적으로 간격은 300초(5분)로 설정됩니다.
- 필요한 경우 고급 설정에서 소스 유형을 변경할 수 있습니다. 기본값은 cisco:sna입니다.
- 인덱스 필드에 보안 로그의 대상 인덱스를 입력합니다.
- 단계 5 저장을 클릭합니다.
문서 / 리소스
 |
CISCO 보안 클라우드 앱 [PDF 파일] 사용자 가이드 보안 클라우드 앱, 클라우드 앱, 앱 |
 |
CISCO 보안 클라우드 앱 [PDF 파일] 사용자 가이드 보안, 보안 클라우드, 클라우드, 보안 클라우드 앱, 앱 |
 |
CISCO 보안 클라우드 앱 [PDF 파일] 사용자 가이드 보안 클라우드 앱, 클라우드 앱, 앱 |