Aplicación de seguridad en la nube de CISCO

Presupuesto

• Nombre del producto: Aplicación Cisco Security Cloud
• Fabricante: Cisco
• Integración: Funciona con varios productos de Cisco

Instrucciones de uso del producto

Configurar una aplicación
La configuración de la aplicación es la interfaz de usuario inicial de la aplicación Security Cloud. Siga estos pasos para configurar una aplicación:

1. Vaya a la página Configuración de la aplicación > Productos Cisco.
2. Seleccione la aplicación Cisco deseada y haga clic en Configurar aplicación.
3. Complete el formulario de configuración que incluye una breve descripción de la aplicación, enlaces a la documentación y detalles de configuración.
4. Haga clic en Guardar. Asegúrese de que todos los campos estén completados correctamente para habilitar el botón Guardar.

Configurar productos Cisco
Para configurar productos de Cisco dentro de la aplicación Security Cloud, siga estos pasos:

1. En la página Productos Cisco, seleccione el producto Cisco específico que desea configurar.
2. Haga clic en Configurar aplicación para ese producto.
3. Complete los campos obligatorios, incluido el nombre de entrada, el intervalo, el índice y el tipo de fuente.
4. Guarde la configuración. Corrija los errores si el botón Guardar está deshabilitado.

Configuración de Cisco Duo
Para configurar Cisco Duo dentro de la aplicación Security Cloud, siga estos pasos:

1. En la página de configuración de Duo, ingrese el nombre de entrada.
2. Proporcione las credenciales de la API de administrador en los campos Clave de integración, Clave secreta y Nombre de host de la API.
3. Si no tiene estas credenciales, registre una nueva cuenta para obtenerlas.

Preguntas frecuentes (FAQ)

• P: ¿Cuáles son los campos comunes necesarios para configurar aplicaciones?
  A: Los campos comunes incluyen Nombre de entrada, Intervalo, Índice y Tipo de fuente.
• P: ¿Cómo puedo gestionar la autorización con Duo API?
  A: La autorización con Duo API se gestiona mediante Duo SDK para Python. Debe proporcionar el nombre de host de la API obtenido del panel de administración de Duo junto con otros campos opcionales según sea necesario.

Este capítulo lo guía a través del proceso de agregar y configurar entradas para varias aplicaciones (productos de Cisco) dentro de la aplicación Security Cloud. Las entradas son cruciales porque definen las fuentes de datos que la aplicación Security Cloud utiliza para fines de monitoreo. La configuración adecuada de las entradas garantiza que su cobertura de seguridad sea integral y que todos los datos se muestren correctamente para el seguimiento y monitoreo futuros.

Configurar una aplicación

La configuración de la aplicación es la primera interfaz de usuario de la aplicación Security Cloud. La página Configuración de la aplicación consta de dos secciones:

Figura 1: Mis aplicaciones

• La sección Mis aplicaciones en la página Configuración de aplicaciones muestra todas las configuraciones de entrada del usuario.
• Haga clic en un hipervínculo de producto para ir al panel de control del producto.
• Para editar entradas, haga clic en Editar configuración en el menú de acciones.
• Para eliminar entradas, haga clic en Eliminar en el menú de acciones.

Figura 2: Productos Cisco

• La página de Productos de Cisco muestra todos los productos de Cisco disponibles que están integrados con Security Cloud App.
• Puede configurar entradas para cada producto Cisco en esta sección.

Configurar una aplicación

• Algunos campos de configuración son comunes a todos los productos de Cisco y se describen en esta sección.
• Los campos de configuración que son específicos de un producto se describen en las secciones posteriores.

Tabla 1: Campos comunes

Campo	Descripción
Nombre de entrada	(Obligatorio) Un nombre único para las entradas de la aplicación.
Intervalo	(Obligatorio) Intervalo de tiempo en segundos entre consultas de API.
Índice	(Obligatorio) Índice de destino para los registros de la aplicación. Se puede cambiar si es necesario. Se proporciona autocompletar para este campo.
Tipo de fuente	(Obligatorio) Para la mayoría de las aplicaciones, es un valor predeterminado y está deshabilitado. Puedes cambiar su valor en Configuración avanzada.

• Paso 1 En la página Configuración de la aplicación > Productos Cisco, navegue hasta la aplicación de Cisco requerida.
• Paso 2 Haga clic en Configurar aplicación.
  La página de configuración consta de tres secciones: Breve descripción de la aplicación, Documentación con enlaces a recursos útiles y Formulario de configuración.
• Paso 3 Complete el formulario de configuración. Tenga en cuenta lo siguiente:
  • Los campos obligatorios están marcados con un asterisco *.
  • También hay campos opcionales.
  • Siga las instrucciones y consejos descritos en la sección de la aplicación específica de la página.
• Paso 4 Haga clic en Guardar.
  Si hay algún error o campos vacíos, el botón Guardar se desactiva. Corrija el error y guarde el formulario.

Cisco Duo

Figura 3: Página de configuración de Duo

Además de los campos obligatorios descritos en la sección Configurar una aplicación, en la página 2, se requieren las siguientes credenciales para la autorización con Duo API:

• ikey (clave de integración)
• skey (clave secreta)

La autorización la gestiona el Duo SDK para Python.

Tabla 2: Campos de configuración de Duo

Campo	Descripción
Nombre de host de la API	(Obligatorio) Todos los métodos de API utilizan el nombre de host de la API. https://api-XXXXXXXX.duosecurity.com. Obtén este valor del Panel de administración de Duo y úsalo exactamente como se muestra allí.
Registros de seguridad de Duo	Opcional.
Nivel de registro	(Opcional) Nivel de registro para los mensajes escritos en los registros de entrada en $SPLUNK_HOME/var/log/splunk/duo_splunkapp/

• Paso 1 En la página de configuración de Duo, ingrese el nombre de entrada.
• Paso 2 Ingrese las credenciales de la API de administrador en los campos Clave de integración, Clave secreta y Nombre de host de la API. Si no tiene estas credenciales, Registrar una nueva cuenta.
  • Vaya a Aplicaciones > Proteger una aplicación > API de administración para crear una nueva API de administración.
• Paso 3 Defina lo siguiente si es necesario:
  • Registros de seguridad de Duo
  • Nivel de registro
• Paso 4 Haga clic en Guardar.

Análisis de malware seguro de Cisco

Figura 4: Página de configuración de Secure Malware Analytics

Nota
Necesita una clave API (api_key) para la autorización con Secure Malware Analytics (SMA) API. Pase la clave API como el tipo de portador en el token de autorización de la solicitud.

Datos de configuración de Secure Malware Analytics

1. Anfitrión: (Obligatorio) Especifica el nombre de la cuenta SMA.
2. Configuración de proxy: (Opcional) Consiste en Tipo de proxy, Proxy URL, Puerto, Nombre de usuario y Contraseña.
3. Configuración de registro: (Opcional) Defina la configuración para registrar la información.

• Paso 1 En la página de configuración de Secure Malware Analytics, ingrese un nombre en Nombre de entrada.
• Paso 2 Ingrese los campos Host y API Key.
• Paso 3 Defina lo siguiente si es necesario:
  • Configuración de proxy
  • Configuración de registro
• Paso 4 Haga clic en Guardar.

Centro de administración de firewall seguro de Cisco

Figura 5: Página de configuración del Centro de administración de firewall seguro

• Puede importar datos a la aplicación Secure Firewall utilizando cualquiera de los dos procesos optimizados: eStreamer y Syslog.
• La página de configuración de Secure Firewall ofrece dos pestañas, cada una de las cuales corresponde a un método de importación de datos diferente. Puede alternar entre estas pestañas para configurar las entradas de datos respectivas.

Cortafuegos electrónico Streamer

Kit de desarrollo de software para eStreamer Se utiliza para la comunicación con el Centro de administración de firewall seguro.

Figura 6: Pestaña E-Streamer del firewall seguro

Tabla 3: Datos de configuración del firewall seguro

Campo	Descripción
Anfitrión de FMC	(Obligatorio) Especifica el nombre del host del centro de administración.
Puerto	(Obligatorio) Especifica el puerto de la cuenta.
Certificado PKCS	(Obligatorio) El certificado debe crearse en la consola de administración del firewall. Certificado eStreamer Creación. El sistema solo admite pkcs12 file tipo.
Contraseña	(Obligatorio) Contraseña para el certificado PKCS.
Tipos de eventos	(Obligatorio) Elija el tipo de eventos a ingerir (Todos, Conexión, Intrusión, File, Paquete de intrusión).

• Paso 1 En la pestaña E-Streamer de la página Agregar firewall seguro, en el campo Nombre de entrada, ingrese un nombre.
• Paso 2 En el espacio del Certificado PKCS, cargue un archivo .pkcs12 file para configurar el certificado PKCS.
• Paso 3 En el campo Contraseña, ingrese la contraseña.
• Paso 4 Elija un evento en Tipos de eventos.
• Paso 5 Defina lo siguiente si es necesario:
  • Registros de seguridad de Duo
  • Nivel de registro
    Nota
    Si cambia entre las pestañas E-Streamer y Syslog, solo se guarda la pestaña de configuración activa. Por lo tanto, solo puede configurar un método de importación de datos a la vez.
• Paso 6 Haga clic en Guardar.

Registro del sistema del cortafuegos
Además de los campos obligatorios que se describen en la sección Configurar una aplicación, las siguientes son las configuraciones que se requieren en el lado del centro de administración.

Tabla 4: Datos de configuración del syslog del firewall seguro

Campo	Descripción
TCP/UDP	(Obligatorio) Especifica el tipo de datos de entrada.
Puerto	(Obligatorio) Especifica un puerto único para la cuenta.

• Paso 1 En la pestaña Syslog de la página Agregar firewall seguro, configure la conexión en el lado del centro de administración, en el campo Nombre de entrada, ingrese un nombre.
• Paso 2 Elija TCP o UDP como tipo de entrada.
• Paso 3 En el campo Puerto, ingrese el número de puerto
• Paso 4 Seleccione un tipo de la lista desplegable Tipo de fuente.
• Paso 5 Elija los tipos de eventos para el tipo de fuente seleccionado.
  Nota
  Si cambia entre las pestañas E-Streamer y Syslog, solo se guarda la pestaña de configuración activa. Por lo tanto, solo puede configurar un método de importación de datos a la vez.
• Paso 6 Haga clic en Guardar.

Defensa multicloud de Cisco

Figura 7: Página de configuración de Secure Malware Analytics

• Multicloud Defense (MCD) aprovecha la funcionalidad del recopilador de eventos HTTP de Splunk en lugar de comunicarse a través de una API.
• Cree una instancia en Cisco Defense Orchestrator (CDO) siguiendo los pasos definidos en la sección Guía de configuración de la página de configuración de Multicloud Defense.

Solo los campos obligatorios definidos en la sección Configurar una aplicación son necesarios para la autorización con Multicloud Defense.

• Paso 1 Instale una instancia de Multicloud Defense en CDO siguiendo la Guía de configuración en la página de configuración.
• Paso 2 Ingrese un nombre en el campo Nombre de entrada.
• Paso 3 Haga clic en Guardar.

Cisco XDR

Figura 8: Página de configuración de XDR

Se requieren las siguientes credenciales para la autorización con Private Intel API:

• id_cliente
• secreto_del_cliente

Cada ejecución de entrada da como resultado una llamada al punto final GET /iroh/oauth2/token para obtener un token válido durante 600 segundos.

Tabla 5: Datos de configuración de Cisco XDR

Campo	Descripción
Región	(Obligatorio) Seleccione una región antes de seleccionar un método de autenticación.
Autenticación Método	(Obligatorio) Hay dos métodos de autenticación disponibles: mediante ID de cliente y OAuth.
Intervalo de tiempo de importación	(Obligatorio) Hay tres opciones de importación disponibles: Importar todos los datos del incidente, Importar desde la fecha y hora de creación e Importar desde la fecha y hora definidas.
¿Promocionar incidentes XDR a notables de ES?	(Opcional) Splunk Enterprise Security (ES) promueve Notables. Si no ha habilitado Enterprise Security, aún puede elegir promover a notables, pero los eventos no aparecen en ese índice ni en las macros notables. Después de habilitar Enterprise Security, los eventos estarán presentes en el índice. Puede elegir el tipo de incidentes a ingerir (Todos, Críticos, Medios, Bajos, Información, Desconocido, Ninguno).

• Paso 1 En la página de configuración de Cisco XDR, ingrese un nombre en el campo Nombre de entrada.
• Paso 2 Seleccione un método de la lista desplegable Método de autenticación.
  • Identificación del cliente:
    • Haga clic en el botón Ir a XDR para crear un cliente para su cuenta en XDR.
    • Copiar y pegar el ID del cliente
    • Establecer una contraseña (Client_secret)
  • OAuth:
    • Sigue el enlace generado y autentícate. Necesitas tener una cuenta XDR.
    • Si el primer enlace con el código no funcionó, en el segundo enlace copia el Código de Usuario y pégalo manualmente.
• Paso 3 Defina un tiempo de importación en el campo Rango de tiempo de importación.
• Paso 4 Si es necesario, seleccione un valor en el campo Promocionar incidentes XDR a notables ES.
• Paso 5 Haga clic en Guardar.

Defensa contra amenazas de correo electrónico seguro de Cisco

Figura 9: Página de configuración de defensa contra amenazas de correo electrónico seguro

Se requieren las siguientes credenciales para la autorización de las API de Secure Email Threat Defense:

• clave api
• id_cliente
• secreto_del_cliente

Tabla 6: Datos de configuración de Secure Email Threat Defense

Campo	Descripción
Región	(Obligatorio) Puede editar este campo para cambiar la región.
Intervalo de tiempo de importación	(Obligatorio) Hay tres opciones disponibles: Importar todos los datos del mensaje, Importar desde la fecha y hora de creación o Importar desde la fecha y hora definidas.

• Paso 1 En la página de configuración de Secure Email Threat Defense, ingrese un nombre en el campo Nombre de entrada.
• Paso 2 Ingrese la clave API, el ID del cliente y la clave secreta del cliente.
• Paso 3 Seleccione una región de la lista desplegable Región.
• Paso 4 Establezca una hora de importación en Intervalo de tiempo de importación.
• Paso 5 Haga clic en Guardar.

Análisis de red segura de Cisco

Secure Network Analytics (SNA), anteriormente conocido como Stealthwatch, analiza los datos de red existentes para ayudar a identificar amenazas que pueden haber encontrado una forma de eludir los controles existentes.

Figura 10: Página de configuración de análisis de red segura

Credenciales necesarias para la autorización:

• smc_host: (dirección IP o nombre de host de la consola de administración de Stealthwatch)
• inquilino_id (ID de dominio de la consola de administración de Stealthwatch para esta cuenta)
• Nombre de usuario (nombre de usuario de la consola de administración de Stealthwatch)
• Contraseña (contraseña de la consola de administración de Stealthwatch para esta cuenta)

Tabla 7: Datos de configuración de Secure Network Analytics

Campo	Descripción
Tipo de proxy	Elija un valor de la lista desplegable: • Anfitrión • Puerto • Nombre de usuario • Contraseña
Intervalo	(Obligatorio) Intervalo de tiempo en segundos entre consultas de API. Por defecto, 300 segundos.
Tipo de fuente	(Obligatorio)
Índice	(Obligatorio) Especifica el índice de destino de los registros de seguridad de SNA. De manera predeterminada, el estado es: cisco_sna.
Después	(Obligatorio) El valor inicial después se utiliza al consultar la API de Stealthwatch. De manera predeterminada, el valor es hace 10 minutos.

• Paso 1 En la página de configuración de Secure Network Analytics, ingrese un nombre en el campo Nombre de entrada.
• Paso 2 Ingrese la dirección del administrador (IP o host), el ID de dominio, el nombre de usuario y la contraseña.
• Paso 3 Si es necesario, configure lo siguiente en Configuración de proxy:
  • Seleccione un proxy de la lista desplegable Tipo de proxy.
  • Ingrese el host, el puerto, el nombre de usuario y la contraseña en los campos respectivos.
• Paso 4 Defina las configuraciones de entrada:
  • Establezca un tiempo en Intervalo. De manera predeterminada, el intervalo está establecido en 300 segundos (5 minutos).
  • Si es necesario, puede cambiar el tipo de origen en Configuración avanzada. El valor predeterminado es cisco:sna.
  • Introduzca el índice de destino de los registros de seguridad en el campo Índice.
• Paso 5 Haga clic en Guardar.

Documentos / Recursos

	Aplicación de seguridad en la nube de CISCO [pdf] Guía del usuario Aplicación de seguridad en la nube, aplicación en la nube, aplicación
	Aplicación de seguridad en la nube de CISCO [pdf] Guía del usuario Seguridad, Nube de seguridad, Nube, Aplicación de nube de seguridad, Aplicación
	Aplicación de seguridad en la nube de CISCO [pdf] Guía del usuario Aplicación de seguridad en la nube, aplicación en la nube, aplicación

Referencias

• Manual de usuario