安全網路分析與 Cisco XDR
介紹
超過view
本指南提供如何設定 Cisco Secure Network Analytics 與 Cisco XDR 整合的說明。 Cisco XDR 是一款基於雲端的解決方案,旨在簡化安全維運,並協助安全團隊偵測、確定優先順序並回應最複雜的威脅。它透過清晰的警報優先權和提供從偵測到回應的最短路徑,減少誤報並增強威脅偵測、回應和取證能力。
回覆.
此整合使您能夠執行以下操作:
- 將安全網路分析安全警報和通知傳送至 Cisco XDR。
- 允許 Cisco XDR 從安全網路分析請求頂級安全事件,以豐富 Cisco XDR 威脅回應工作流程中的調查上下文。
- 使用 Cisco XDR 控制面板上的安全網路分析圖塊來監控關鍵運作指標,例如「警告主機數量最多」、「警告數量最多」和「內部網路故障數量最多」等。
- 按流量分組,等等。
觀眾
本指南的目標讀者包括網路管理員和其他負責配置安全網路分析產品的人員。
只有在您同時擁有 Secure Network Analytics v7.5.3 和 Cisco XDR 時才可使用本指南。
最佳實踐
在開始配置之前,請重新view 說明書將幫助您了解配置電器所需的規劃、時間和要求。
具體步驟如下:
- 在 Cisco Security Cloud Control(原 Cisco Security Service Exchange)註冊您的管理器
- 確認警報的嚴重級別
- 配置警報策略
- 設定安全網路分析以傳送數據
- 設定 Cisco XDR 中的集成
要求
本指南中的說明要求您擁有 Secure Network Analytics v7.5.3 和 Cisco XDR 的存取權限。此外,您還需要擁有 Secure Network Analytics 的威脅情報來源授權並註冊 Cisco XDR。
停用 Web鉤子
如果您已從 7.4.2 或 7.5.0 升級至 Secure Network Analytics v7.5.3,並且已啟用使用下列方式將特定警告資料提升至 Cisco XDR: web鉤子,在開始配置 v7.5.3 之前,請確認它已停用。
要停用 web鉤子函數,執行以下操作:
- 從導覽功能表中,選擇「設定」>「偵測」>「回應管理」。
- 在「回應管理」頁面上,選擇「操作」標籤。
- 找到所需物品 web建立用於存取 Cisco XDR 的 hook 操作。
- 關閉“啟用”字段。
思科XDR
在開始本指南中的步驟之前,請確保您已註冊 Cisco XDR。若要確認您已註冊 Cisco XDR,請聯絡您的 Cisco 合作夥伴。有關 Cisco XDR 的更多信息,請訪問[此處插入連結]。 Cisco XDR 說明中心.
Cisco 安全雲端控制(原 Cisco 安全服務交換)
作為此整合的一部分,您的裝置需要在 Cisco Security Cloud Control(原 Cisco Security Service Exchange)中註冊。註冊設備後,Cisco XDR 將獲得存取該設備的權限。如需更多信息,請參閱「1. 在 Cisco Security Cloud Control(原 Cisco Security Service Exchange)中註冊您的管理器」。
威脅情報來源許可證
請確保您已設定威脅情報來源許可證,因為這是啟用「Bot 感染主機 - 成功的 C&C 活動」警報所必需的。
授權
將威脅情報來源許可證新增至您的 Cisco 智慧帳戶。有關說明,請參閱 安全網路分析智慧軟體許可指南.
啟用
若要在中央管理中啟用威脅情報來源,請依照說明文件中的說明進行操作。請注意,您需要按照說明設定 DNS 伺服器和防火牆。此外,如果您設定了故障轉移,則需要在主管理器和輔助管理器上啟用威脅情報來源。
- 登入您的主管理後台。
- 選擇“配置”>“全域”>“集中管理”。
- 點選
(用戶)圖示。選擇“幫助”。 - 選擇設備配置 > 威脅情報來源。
領域
Cisco XDR 不支援多個安全網路分析域。您需要選擇一個網域用於此整合。
在 Cisco Security Cloud Control(原 Cisco Security Service Exchange)註冊您的管理器
Cisco 安全雲端控制(原 Cisco 安全服務交換平台)現已在中央管理中提供給您的 Manager 使用。將您的 Manager 註冊至 Cisco 安全雲端控制後,Cisco XDR 即可從您的 Manager 擷取增強資料(例如安全事件),以便將其納入調查工作流程,並為 Cisco XDR 儀表板擷取安全網路分析圖塊。此外,安全網路分析還能將安全警報傳送至 Cisco XDR。如需更多詳情,請參閱「Cisco XDR 的安全網路分析增強資料」和「Cisco XDR 的安全網路分析圖塊」部分。
- Cisco 安全雲端控制預設為啟用。
- 如果您使用自動註冊,則需要將您的 Cisco 安全雲端控制帳戶和您的智慧授權帳戶關聯起來。
選擇區域雲的要求
作為此流程的一部分,您將選擇一個區域雲端。
- 如果條件允許,請使用距離您的安全網路分析部署最近的區域雲。
- 不同雲端的資料無法聚合或合併。
- 如果您需要匯總來自多個區域的數據,則所有區域中的裝置都必須將資料傳送到同一個區域雲端。請確認您的管理員已連接至 Cisco 出站雲端(Cisco XDR 私有雲)。
Intelligence API 和區域性 Cisco XDR 分析入口網站:
- 北美洲的雲層:
- api-sse.cisco.com埠 443
- sensor.ext.obsrvbl.com埠 443
- 歐盟雲:
- api.eu.sse.itd.cisco.com埠 443
- sensor.eu-prod.obsrvbl.com埠 443
- o 亞洲(APJC)雲端:
- api.apj.sse.itd.cisco.com埠 443
- sensor.anz-prod.obsrvbl.com埠 443
設備註冊
請根據您的配置按照說明操作。
- 如果您的管理器已在 Cisco 智慧軟體授權中註冊,請前往「自動註冊設備」頁面。
- 如果您的管理器處於 Cisco 智慧軟體授權評估模式,請前往「手動註冊設備」。
自動註冊設備
若符合下列條件,您的管理員將自動在 Cisco 安全雲端控制中註冊:
- 您的管理員已在「外部服務」下啟用 Cisco 安全雲端控制選項。
- 您的管理員尚未在 Cisco 安全雲端控制中註冊。
- 您的管理員已註冊 Cisco 智慧軟體授權。若要查看您的註冊狀態,請前往「設定」>「全域」>「集中管理」>「智慧許可」。
欲了解更多信息,請參閱 安全網路分析智慧軟體許可指南.
若要啟用或停用 Cisco 安全性雲端控制,請完成下列步驟:
- 登入您的管理員。
- 選擇“配置”>“全域”>“集中管理”。
- 按一下管理員的「動作」列下的(省略號)圖標,然後按一下「編輯裝置配置」。
- 單擊常規。
- 在「外部服務」下,勾選「Cisco 安全雲端控制」複選框以啟用自動註冊。
- 單擊應用設置。
如果您已啟用 Cisco 安全雲端控制,請繼續步驟 7 以註冊您的裝置。 - 返回安全洞察儀表板。
- 選擇“設定”>“整合”>“Cisco XDR”。
- 在設備註冊部分,按一下「新設備註冊」。
- 在開啟的對話方塊中,選擇與您的 Cisco XDR 區域雲端相符的雲端區域。
- 選擇“自動註冊”。
- 點選“儲存”。
盡可能使用距離您的主要安全網路分析管理器最近的區域雲。
手動註冊設備
若要在 Cisco Security Cloud Control 中手動註冊您的管理器,請完成以下步驟:
- 登入您的安全網路分析管理員。
- 從導覽功能表中,選擇「設定」>「整合」>「Cisco XDR」。
- 在設備註冊部分,按一下「新設備註冊」。
- 選擇“使用設備令牌註冊”。
- 點擊 Cisco 安全雲端控制入口網站連結即可進入入口網站。
- 選擇“雲端服務”標籤並啟用 Cisco XDR。
- 選擇“設備”選項卡,然後按一下“生成令牌”。
- 指定設備數量和令牌過期時間(預設值為 1 小時),然後按一下「繼續」。
- 複製產生的令牌(點選「複製到剪貼簿」或「儲存到」)。 File)然後按一下「關閉」退出對話框。
- 請在「設備」頁面確認設備已建立。新的、未使用的令牌會在設備清單中顯示為“新設備”,並附帶一個隨機編號。
- 返回設備註冊部分。
- 在開啟的對話方塊中,選擇與您的 Cisco XDR 區域雲端相符的雲端區域,插入在步驟 9 中產生並儲存的裝置令牌,然後按一下「儲存」。
- 該設備將在 Cisco 安全雲端控制系統中註冊,狀態將顯示為「已註冊」。
- 請在 Cisco 安全雲端控制入口網站中驗證設備狀態。設備狀態應顯示為「已註冊」。
確認警報的嚴重級別
這些警告用於通知使用者異常網路活動,這些活動符合或超過一組預先定義的標準,表示您的網路存在不可接受的行為。只有以下三種警告會產生資料並傳送至 Cisco XDR:
- 感染了蠕蟲的宿主-成功的控制與控制活動
- 涉嫌資料囤積
- 疑似資料遺失
雖然這些警告的預設嚴重程度通常為“主要”,但請務必確認每個警告的嚴重程度為“嚴重”或“主要”。如果警告的嚴重程度不是“嚴重”或“主要”,則其資料不會傳送到 Cisco XDR。下表提供了有關「嚴重」和「主要」告警嚴重程度的資訊。
為每個警報分配或確認警報嚴重級別
配置或確認三個警報中每一個的警報嚴重性均已設定為:
無論是關鍵問題還是重大問題,請執行以下操作:
- 從主選單中選擇“配置”>“偵測”>“警報嚴重性”。
- 當顯示「警報嚴重性」頁面時,找到第一個警報「Bot Infected Host – Successful C&C Activity」。
要啟用「殭屍網路感染主機 - 成功 C&C 活動」警報,需要威脅情報來源許可證。有關更多信息,請參閱威脅情報源許可證。
Review 關於警報的補充信息
下表提供了有關這些警報的更多詳細資訊。
| 安全網路分析 | MITRE戰術與技術 | |||||
| 展示 姓名 | 事件 ID | 活動說明 | 米特爾
戰術 |
戰術 ID |
米特爾 科技 |
科技 ID |
|
感染了蠕蟲的宿主-成功的控制與控制活動 |
42 |
來源主機已成功使用命令中指定的連接埠聯絡 C&C 伺服器。
C&C 伺服器列表。通訊是雙向的,表示 C&C 伺服器已回應。作為發起方的內部主機累積關注度指數 (CI) 點數。如果它聯繫的 C&C 伺服器也是內部主機,則該 C&C 伺服器累積目標指數 (TI) 點數。 |
指揮與控制(C&C) |
TA0011 |
應用層協定 |
T1071 |
|
涉嫌資料囤積 |
315 |
來源主機從一個或多個主機下載了異常多的資料。 |
收藏 |
TA0009 |
數據Staged |
T107 |
| 安全網路分析 | MITRE戰術與技術 | |||||
| 展示 姓名 | 事件 ID | 活動說明 | 米特爾
戰術 |
戰術 ID |
米特爾 科技 |
科技 ID |
|
疑似資料遺失 |
40 |
這表示內部主機向外部主機上傳了異常多的資料。 |
滲漏 |
TA0010 |
通過 C2 通道的滲漏 |
T1041 |
配置警報策略
若要設定或確認這三個警報中每一個的警報策略,請執行下列操作:
- 從主選單中,選擇「設定」>「偵測」>「策略管理」。
- 當策略管理頁面顯示時,按一下「核心事件」標籤。
- 找到第一個警報,Bot 感染宿主 - 成功的 C&C 活動。
- 為每個策略選擇「當主機為來源時發出警報」欄位。
- 為每個策略選擇「當主機為目標時開啟 + 警報」列
- 對其他兩個警報重複步驟 3 至 5。
- 點選“儲存”。
設定安全網路分析以傳送數據
- 登入您的安全網路分析管理員。
- 從導覽功能表中,選擇「設定」>「整合」>「Cisco XDR」。
- 在 Cisco XDR 設定部分,按一下「新增設定」。
- 選擇一個網域,用於向 Cisco XDR 傳回資料。
- 確認已勾選 Cisco XDR 整合選項:
- 啟用向 Cisco XDR 傳送安全性發現結果的功能
- 啟用 Cisco XDR 控制面板磁貼服務請求
- 啟用 Cisco XDR 調查增強請求
- 選擇最高安全事件數量。這些安全事件將以記錄的形式顯示在 Cisco XDR 調查控制台中。
- 選擇時間段(天)。
- 點選“儲存”。
- 確認 API 狀態欄位顯示配置為「已連線」。
設定 Cisco XDR 中的集成
- 登入 Cisco XDR。
- 在導覽功能表中,選擇“管理”>“整合”。
- 在「整合」頁面上,按一下 Cisco 選項卡,然後導覽至「安全網路分析」整合。
- 點選“開始使用”。此時將顯示安全網路分析整合頁面。
- 展開「整合指南」區域,並依照指示在 Cisco XDR 中新增安全網路分析整合。更多資訊請參閱: Cisco XDR 協助.
- 在 Cisco XDR 中完成設定後,設定豐富功能和圖塊功能。
Cisco XDR 的安全網路分析增強數據
一旦您的管理器註冊到 Cisco Security Cloud Control 並且 Cisco XDR 中配置了安全網路分析模組,您就可以在 Cisco XDR 調查工作流程中查看來自安全網路分析的增強資料。對於調查中請求的每個有效 IP 位址,安全網路分析將以相應的目擊事件和指標物件的形式傳回與該 IP 位址關聯的安全事件。
您可以為 Cisco XDR 設定表單中傳回的安全事件設定下列參數:
- 是否允許來自 Cisco XDR 的調查請求。
- 要傳回哪些安全網路分析網域中的安全事件。
- 要傳送的熱門事件數量。
- 返回安全事件的時間段是什麼?
適用於 Cisco XDR 的安全網路分析模組
Cisco XDR 控制面板提供下列安全網路分析圖塊:
|
圖塊名稱 |
描述 |
可用時段 |
轉向… |
|
最令人擔憂的主持人 |
提供自上次重置時間以來在您的網路上處於活動狀態的前 7 個內部主機,按警報嚴重程度排序。 |
過去 24 小時 |
主持人報告 |
|
按類別劃分的令人擔憂的房東 |
按警報嚴重程度排序,自上次重置時間以來在您的網路上處於活動狀態的前 7 個內部主機。 |
過去 24 小時 |
網路安全儀表板 |
| 按數量排序的熱門警報 | 按數量排列,顯示前 10 個警報。 | 過去 24 小時
過去 7 天 |
網路安全儀表板 |
|
能見度評估 |
可見性評估類別中的主機數量,包括內部網路掃描器、遠端存取入侵、潛在惡意軟體、易受攻擊的協定伺服器、DNS 風險。 |
過去 24 小時 過去 7 天 |
可見性評估儀表板 |
|
網路可見性 |
提供主機數量和流量統計資訊。 |
過去 24 小時 過去 7 天 |
可見性評估儀表板 |
|
圖塊名稱 |
描述 |
可用時段 |
轉向… |
|
流量最高的內部主持人群組 |
流量排名前 10 的內部主機組之間相互通訊。 |
過去 12 小時 |
主辦小組內部報告 |
|
流量最高的外部主辦方 |
與內部主機群組通訊流量排名前 10 的外部主機群組。 |
過去 12 小時 |
主辦小組內部報告 |
改變 Cisco XDR 集成
若要編輯 Cisco XDR 集成,請執行下列操作:
- 從導覽功能表中,選擇「設定」>「整合」>「Cisco XDR」。
- 在 Cisco XDR 設定頁面上,選擇 Cisco XDR 設定。
- 在「操作」欄位中,按一下(省略號)圖示。
- 選擇編輯。
或者,您可以刷新或刪除配置。在設備註冊部分,您只能刷新或刪除設備。
聯繫支援人員
如果您需要技術支持,請執行以下操作之一:
- 聯絡您當地的思科合作夥伴
- 聯絡思科支持
- 透過以下方式開啟案例 web: http://www.cisco.com/c/en/us/support/index.html
- 對於電話支援:1-800-553-2447 (我們)
- 對於全球支援號碼:
https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
變更歷史記錄
| 檔案版本 | 發布日期 | 描述 |
| 1_0 | 11 年 2025 月 XNUMX 日 | 初始版本。 |
版權資訊
思科和思科標誌是思科和/或其附屬公司在美國和其他國家的商標或註冊商標。到 view 思科商標列表,請造訪此處 URL: https://www.cisco.com/go/trademarks。提及的第三方商標是其各自所有者的財產。使用「合作夥伴」一詞並不意味著思科與任何其他公司之間存在合作夥伴關係。 (1721R)
文件/資源
 |
思科安全網路分析與思科 XDR [pdf] 使用者指南 安全網路分析與 Cisco XDR、網路分析與 Cisco XDR、分析與 Cisco XDR、Cisco XDR |