CISCO Güvenlik Bulut Uygulaması

Özellikler

• Ürün Adı: Cisco Güvenlik Bulut Uygulaması
• Üretici: Cisco
• Entegrasyon: Çeşitli Cisco ürünleriyle çalışır

Ürün Kullanım Talimatları

Bir Uygulama Kurun
Uygulama Kurulumu, Güvenlik Bulutu Uygulaması için ilk kullanıcı arayüzüdür. Bir uygulamayı yapılandırmak için şu adımları izleyin:

1. Uygulama Kurulumu > Cisco Ürünleri sayfasına gidin.
2. İstediğiniz Cisco uygulamasını seçin ve Uygulamayı Yapılandır'a tıklayın.
3. Kısa uygulama açıklaması, Belge bağlantıları ve Yapılandırma ayrıntılarını içeren yapılandırma formunu doldurun.
4. Kaydet'e tıklayın. Kaydet düğmesini etkinleştirmek için tüm alanların doğru şekilde doldurulduğundan emin olun.

Cisco Ürünlerini Yapılandırın
Cisco Ürünlerini Güvenlik Bulut Uygulaması içinde yapılandırmak için şu adımları izleyin:

1. Cisco Ürünleri sayfasında, yapılandırmak istediğiniz belirli Cisco ürününü seçin.
2. Söz konusu ürün için Uygulamayı Yapılandır’a tıklayın.
3. Giriş Adı, Aralık, Dizin ve Kaynak Türü dahil olmak üzere gerekli alanları doldurun.
4. Yapılandırmayı kaydedin. Kaydet düğmesi devre dışıysa hataları düzeltin.

Cisco Duo Yapılandırması
Cisco Duo'yu Security Cloud Uygulaması içinde yapılandırmak için şu adımları izleyin:

1. Duo Yapılandırma sayfasında Giriş Adını girin.
2. Entegrasyon anahtarı, Gizli anahtar ve API ana bilgisayar adı alanlarına Yönetici API kimlik bilgilerini sağlayın.
3. Eğer bu bilgilere sahip değilseniz, bunları edinmek için yeni bir hesap oluşturun.

Sıkça Sorulan Sorular (SSS)

• S: Uygulamaları yapılandırmak için gerekli olan ortak alanlar nelerdir?
  A: Ortak alanlar Giriş Adı, Aralık, Dizin ve Kaynak Türü'nü içerir.
• S: Duo API ile yetkilendirmeyi nasıl gerçekleştirebilirim?
  A: Duo API ile yetkilendirme, Python için Duo SDK kullanılarak gerçekleştirilir. Gerektiğinde Duo Admin Panel'den alınan API Hostname'i ve diğer isteğe bağlı alanları sağlamanız gerekir.

Bu bölüm, Security Cloud Uygulaması içindeki çeşitli uygulamalar (Cisco ürünleri) için girdileri ekleme ve yapılandırma sürecinde size rehberlik eder. Girdiler, Security Cloud Uygulaması'nın izleme amaçları için kullandığı veri kaynaklarını tanımladıkları için önemlidir. Girdilerin doğru şekilde yapılandırılması, güvenlik kapsamınızın kapsamlı olmasını ve tüm verilerin gelecekteki izleme ve izleme için düzgün şekilde görüntülenmesini sağlar.

Bir Uygulama Kurun

Uygulama Kurulumu, Security Cloud Uygulaması için ilk kullanıcı arayüzüdür. Uygulama Kurulumu sayfası iki bölümden oluşur:

Şekil 1: Uygulamalarım

• Uygulama Kurulumu sayfasındaki Uygulamalarım bölümü tüm kullanıcı girişi yapılandırmalarını görüntüler.
• Ürün panosuna gitmek için bir ürün bağlantısına tıklayın.
• Girişleri düzenlemek için eylem menüsü altında Yapılandırmayı Düzenle'ye tıklayın.
• Girdileri silmek için eylem menüsü altında Sil'e tıklayın.

Şekil 2: Cisco Ürünleri

• Cisco Ürünleri sayfası, Security Cloud Uygulaması ile entegre olan tüm kullanılabilir Cisco ürünlerini görüntüler.
• Bu bölümde her Cisco ürünü için girişleri yapılandırabilirsiniz.

Bir Uygulamayı Yapılandırın

• Bazı yapılandırma alanları tüm Cisco ürünleri arasında ortak olup bu bölümde açıklanmıştır.
• Ürüne özgü yapılandırma alanları sonraki bölümlerde açıklanmaktadır.

Tablo 1: Ortak alanlar

Alan	Tanım
Giriş Adı	(Zorunlu) Uygulamanın girdileri için benzersiz bir ad.
Aralık	(Zorunlu) API sorguları arasındaki saniye cinsinden zaman aralığı.
Dizin	(Zorunlu) Uygulama logları için hedef indeks. Gerektiğinde değiştirilebilir. Bu alan için otomatik tamamlama sağlanmıştır.
Kaynak Türü	(Zorunlu) Çoğu uygulama için varsayılan değerdir ve devre dışıdır. Değerini şu şekilde değiştirebilirsiniz: Gelişmiş Ayarlar.

• Adım 1 Uygulama Kurulumu > Cisco Ürünleri sayfasında, gerekli Cisco uygulamasına gidin.
• Adım 2 Uygulamayı Yapılandır'a tıklayın.
  Yapılandırma sayfası üç bölümden oluşur: Kısa uygulama açıklaması, yararlı kaynaklara bağlantılar içeren belgeler ve Yapılandırma formu.
• Adım 3 Yapılandırma formunu doldurun. Aşağıdakilere dikkat edin:
  • Gerekli alanlar yıldız işaretiyle (*) işaretlenmiştir.
  • İsteğe bağlı alanlar da bulunmaktadır.
  • Sayfanın belirli uygulama bölümünde açıklanan talimatları ve ipuçlarını izleyin.
• Adım 4 Kaydet’e tıklayın.
  Hata veya boş alanlar varsa Kaydet butonu devre dışı kalır. Hatayı düzeltip formu kaydedin.

Cisco Duo

Şekil 3: Duo Yapılandırma sayfası

Uygulamayı Yapılandırın, sayfa 2 bölümünde açıklanan zorunlu alanlara ek olarak, Duo API ile yetkilendirme için aşağıdaki kimlik bilgileri gereklidir:

• ikey (Entegrasyon anahtarı)
• skey (Gizli anahtar)

Yetkilendirme Python için Duo SDK tarafından gerçekleştirilir.

Tablo 2: Duo yapılandırma alanları

Alan	Tanım
API Ana Bilgisayar Adı	(Zorunlu) Tüm API yöntemleri API ana bilgisayar adını kullanır. https://api-XXXXXXXX.duosecurity.com. Bu değeri Duo Admin Panelinden alın ve orada gösterildiği şekilde kullanın.
Duo Güvenlik Günlükleri	İsteğe bağlı.
Günlük Düzeyi	(İsteğe bağlı) $SPLUNK_HOME/var/log/splunk/duo_splunkapp/ dizinindeki giriş günlüklerine yazılan mesajlar için günlük kaydı düzeyi

• Adım 1 Duo yapılandırma sayfasında Giriş Adını girin.
• Adım 2 Entegrasyon anahtarı, Gizli anahtar ve API ana bilgisayar adı alanlarına Yönetici API kimlik bilgilerini girin. Bu kimlik bilgilerine sahip değilseniz, yeni bir hesap kaydedin.
  • Yeni bir Yönetici API'si oluşturmak için Uygulamalar > Uygulamayı Koru > Yönetici API'si'ne gidin.
• Adım 3 Gerekirse aşağıdakileri tanımlayın:
  • Duo Güvenlik Günlükleri
  • Günlük Düzeyi
• Adım 4 Kaydet’e tıklayın.

Cisco Güvenli Kötü Amaçlı Yazılım Analitiği

Şekil 4: Güvenli Kötü Amaçlı Yazılım Analitiği Yapılandırma sayfası

Not
Güvenli Kötü Amaçlı Yazılım Analitiği (SMA) API'si ile yetkilendirme için bir API anahtarına (api_key) ihtiyacınız var. API anahtarını, isteğin Yetkilendirme belirtecinde Taşıyıcı türü olarak geçirin.

Güvenli Kötü Amaçlı Yazılım Analitiği yapılandırma verileri

1. Ev sahibi: (Zorunlu) SMA hesabının adını belirtir.
2. Proxy Ayarları: (İsteğe bağlı) Proxy Türü, Proxy'den oluşur URL, Port, Kullanıcı Adı ve Şifre.
3. Günlük Ayarları: (İsteğe bağlı) Günlük bilgilerine ilişkin ayarları tanımlayın.

• Adım 1 Güvenli Kötü Amaçlı Yazılım Analizi yapılandırma sayfasında, Giriş Adı'na bir ad girin.
• Adım 2 Host ve API Anahtarı alanlarını girin.
• Adım 3 Gerekirse aşağıdakileri tanımlayın:
  • Vekil sunucu Ayarları
  • Günlük Ayarları
• Adım 4 Kaydet'e tıklayın.

Cisco Güvenli Güvenlik Duvarı Yönetim Merkezi

Şekil 5: Güvenli Güvenlik Duvarı Yönetim Merkezi Yapılandırma sayfası

• Verileri, eStreamer ve Syslog olmak üzere iki basitleştirilmiş işlemden herhangi birini kullanarak Güvenli Güvenlik Duvarı uygulamasına aktarabilirsiniz.
• Güvenli Güvenlik Duvarı yapılandırma sayfası, her biri farklı bir veri içe aktarma yöntemine karşılık gelen iki sekme sağlar. İlgili veri girişlerini yapılandırmak için bu sekmeler arasında geçiş yapabilirsiniz.

Güvenlik Duvarı e-Streamer

eStreamer SDK Güvenli Güvenlik Duvarı Yönetim Merkezi ile iletişim için kullanılır.

Şekil 6: Güvenli Güvenlik Duvarı E-Streamer sekmesi

Tablo 3: Güvenli Güvenlik Duvarı yapılandırma verileri

Alan	Tanım
FMC Sunucusu	(Zorunlu) Yönetim merkezi ana bilgisayarının adını belirtir.
Liman	(Zorunlu) Hesap için portu belirtir.
PKCS Sertifikası	(Zorunlu) Sertifika Güvenlik Duvarı Yönetim Konsolunda oluşturulmalıdır – eStreamer Sertifikası Yaratılış. Sistem yalnızca pkcs12'yi destekler file tip.
Şifre	(Zorunlu) PKCS Sertifikası için Şifre.
Etkinlik Türleri	(Zorunlu) Alınacak olay türünü seçin (Tümü, Bağlantı, Saldırı, File, Saldırı Paketi).

• Adım 1 Güvenli Güvenlik Duvarı Ekle sayfasının E-Streamer sekmesinde, Giriş Adı alanına bir ad girin.
• Adım 2 PKCS Sertifika alanına .pkcs12 yükleyin file PKCS sertifikasını ayarlamak için.
• Adım 3 Şifre alanına şifrenizi girin.
• Adım 4 Etkinlik Türleri altında bir etkinlik seçin.
• Adım 5 Gerekirse aşağıdakileri tanımlayın:
  • Duo Güvenlik Günlükleri
  • Günlük Düzeyi
    Not
    E-Streamer ve Syslog sekmeleri arasında geçiş yaparsanız, yalnızca etkin yapılandırma sekmesi kaydedilir. Bu nedenle, aynı anda yalnızca bir veri içe aktarma yöntemi ayarlayabilirsiniz.
• Adım 6 Kaydet'e tıklayın.

Güvenlik Duvarı Syslog
Uygulamayı Yapılandır bölümünde açıklanan zorunlu alanlara ek olarak, yönetim merkezi tarafında gerekli olan yapılandırmalar şunlardır.

Tablo 4: Güvenli Güvenlik Duvarı Syslog yapılandırma verileri

Alan	Tanım
TCP/UDP	(Zorunlu) Giriş verilerinin türünü belirtir.
Liman	(Zorunlu) Hesap için benzersiz bir bağlantı noktası belirtir.

• Adım 1 Güvenli Güvenlik Duvarı Ekle sayfasının Syslog sekmesinde, yönetim merkezi tarafındaki bağlantıyı kurun, Giriş Adı alanına bir ad girin.
• Adım 2 Giriş Türü için TCP veya UDP'yi seçin.
• Adım 3 Bağlantı Noktası alanına bağlantı noktası numarasını girin
• Adım 4 Kaynak Türü açılır listesinden bir tür seçin.
• Adım 5 Seçili kaynak türü için olay türlerini seçin.
  Not
  E-Streamer ve Syslog sekmeleri arasında geçiş yaparsanız, yalnızca etkin yapılandırma sekmesi kaydedilir. Bu nedenle, aynı anda yalnızca bir veri içe aktarma yöntemi ayarlayabilirsiniz.
• Adım 6 Kaydet'e tıklayın.

Cisco Çoklu Bulut Savunması

Şekil 7: Güvenli Kötü Amaçlı Yazılım Analitiği Yapılandırma sayfası

• Çoklu Bulut Savunması (MCD), bir API aracılığıyla iletişim kurmak yerine Splunk'un HTTP Olay Toplayıcı işlevinden yararlanır.
• Multicloud Defense yapılandırma sayfasının Kurulum Kılavuzu bölümünde tanımlanan adımları izleyerek Cisco Defense Orchestrator'da (CDO) bir örnek oluşturun.

Multicloud Defense ile yetkilendirme için yalnızca Uygulamayı Yapılandır bölümünde tanımlanan zorunlu alanların doldurulması gerekir.

• Adım 1 Yapılandırma sayfasındaki Kurulum Kılavuzunu izleyerek CDO'ya bir Multicloud Defense örneği yükleyin.
• Adım 2 Giriş Adı alanına bir ad girin.
• Adım 3 Kaydet'e tıklayın.

Cisco XDR

Şekil 8: XDR Yapılandırma sayfası

Private Intel API ile yetkilendirme için aşağıdaki kimlik bilgileri gereklidir:

• istemci_kimliği
• istemci_sırrı

Her girdi çalışması, 2 saniye boyunca geçerli bir belirteç elde etmek için GET /iroh/oauth600/token uç noktasına yapılan bir çağrıyla sonuçlanır.

Tablo 5: Cisco XDR yapılandırma verileri

Alan	Tanım
Bölge	(Zorunlu) Kimlik Doğrulama Yöntemini seçmeden önce bir bölge seçin.
Kimlik doğrulama Yöntem	(Zorunlu) İki kimlik doğrulama yöntemi mevcuttur: İstemci Kimliği ve OAuth kullanarak.
İçe Aktarma Zaman Aralığı	(Zorunlu) Üç adet içe aktarma seçeneği mevcuttur: Tüm Olay verilerini içe aktar, Oluşturulan tarih-saatten içe aktar ve Tanımlanan tarih-saatten içe aktar.
XDR Olaylarını ES Ünlülerine Tanıtmak mı İstiyorsunuz?	(İsteğe bağlı) Splunk Enterprise Security (ES), Notables'ı destekler. Kurumsal Güvenliği etkinleştirmediyseniz, yine de kayda değer öğelere yükseltmeyi seçebilirsiniz; ancak olaylar bu dizinde veya kayda değer makrolarda görünmez. Kurumsal Güvenliği etkinleştirdikten sonra olaylar dizinde görünür. Alacağınız olay türlerini seçebilirsiniz (Tümü, Kritik, Orta, Düşük, Bilgi, Bilinmiyor, Hiçbiri).

• Adım 1 Cisco XDR yapılandırma sayfasında, Giriş Adı alanına bir ad girin.
• Adım 2 Kimlik Doğrulama Yöntemi açılır listesinden bir yöntem seçin.
  • Müşteri Kimliği:
    • XDR'deki hesabınız için bir istemci oluşturmak üzere XDR'ye Git düğmesine tıklayın.
    • İstemci Kimliğini kopyalayıp yapıştırın
    • Bir şifre belirleyin (Client_secret)
  • OAuth:
    • Oluşturulan bağlantıyı takip edin ve kimlik doğrulaması yapın. Bir XDR hesabınız olması gerekir.
    • Eğer kod içeren ilk link çalışmadıysa, ikinci linkte Kullanıcı kodunu kopyalayıp elle yapıştırabilirsiniz.
• Adım 3 İçe Aktarma Zaman Aralığı alanına bir içe aktarma zamanı tanımlayın.
• Adım 4 Gerekirse, XDR Olaylarını ES Önemlilerine Yükselt alanında bir değer seçin.
• Adım 5 Kaydet'e tıklayın.

Cisco Güvenli E-posta Tehdit Savunması

Şekil 9: Güvenli E-posta Tehdit Savunması Yapılandırma sayfası

Güvenli E-posta Tehdit Savunma API'lerinin yetkilendirilmesi için aşağıdaki kimlik bilgileri gereklidir:

• api_anahtarı
• istemci_kimliği
• istemci_sırrı

Tablo 6: Güvenli E-posta Tehdit Savunması Yapılandırma verileri

Alan	Tanım
Bölge	(Zorunlu) Bölgeyi değiştirmek için bu alanı düzenleyebilirsiniz.
İçe Aktarma Zaman Aralığı	(Zorunlu) Üç seçenek mevcuttur: Tüm mesaj verilerini içe aktar, Oluşturulan tarih-saatten içe aktar veya Tanımlanan tarih-saatten içe aktar.

• Adım 1 Güvenli E-posta Tehdit Savunması yapılandırma sayfasında, Giriş Adı alanına bir ad girin.
• Adım 2 API Anahtarını, İstemci Kimliğini ve İstemci Gizli Anahtarını girin.
• Adım 3 Bölge açılır listesinden bir bölge seçin.
• Adım 4 İçe Aktarma Zaman Aralığı altında bir içe aktarma zamanı ayarlayın.
• Adım 5 Kaydet'e tıklayın.

Cisco Güvenli Ağ Analitiği

Eskiden Stealthwatch olarak bilinen Güvenli Ağ Analitiği (SNA), mevcut kontrolleri aşmanın bir yolunu bulmuş olabilecek tehditleri belirlemeye yardımcı olmak için mevcut ağ verilerini analiz eder.

Şekil 10: Güvenli Ağ Analitiği Yapılandırma sayfası

Yetkilendirme için gerekli belgeler:

• smc_host: (Stealthwatch Yönetim Konsolunun IP adresi veya ana bilgisayar adı)
• tenant_id (Bu hesap için Stealthwatch Yönetim Konsolu etki alanı kimliği)
• kullanıcı adı (Stealthwatch Yönetim Konsolu kullanıcı adı)
• şifre (Bu hesap için Stealthwatch Yönetim Konsolu şifresi)

Tablo 7: Güvenli Ağ Analitiği Yapılandırma verileri

Alan	Tanım
Proxy türü	açılır listeden bir değer seçin: • Ev sahibi • Liman • Kullanıcı adı • Şifre
Aralık	(Zorunlu) API sorguları arasındaki zaman aralığı saniye cinsinden. Varsayılan olarak 300 saniye.
Kaynak türü	(Zorunlu)
Dizin	(Zorunlu) SNA Güvenlik Günlükleri için hedef dizini belirtir. Varsayılan olarak durum: cisco_sna.
Sonrasında	(Zorunlu) Stealthwatch API'sini sorgularken ilk değer sonrası kullanılır. Varsayılan olarak, değer 10 dakika öncedir.

• Adım 1 Güvenli Ağ Analitiği yapılandırma sayfasında, Giriş Adı alanına bir ad girin.
• Adım 2 Yönetici Adresini (IP veya Ana Bilgisayar), Alan Kimliğini, Kullanıcı Adını ve Parolayı girin.
• Adım 3 Gerekirse Proxy ayarları altında aşağıdakileri ayarlayın:
  • Proxy türü açılır listesinden bir proxy seçin.
  • İlgili alanlara ana bilgisayarı, portu, kullanıcı adını ve şifreyi girin.
• Adım 4 Giriş yapılandırmalarını tanımlayın:
  • Aralık altında bir zaman ayarlayın. Varsayılan olarak aralık 300 saniyeye (5 dakika) ayarlanmıştır.
  • Gerekirse Gelişmiş Ayarlar altında Kaynak türünü değiştirebilirsiniz. Varsayılan değer cisco:sna'dır.
  • Güvenlik günlükleri için hedef dizini Dizin alanına girin.
• Adım 5 Kaydet'e tıklayın.

Belgeler / Kaynaklar

	CISCO Güvenlik Bulut Uygulaması [pdf] Kullanıcı Kılavuzu Güvenlik Bulut Uygulaması, Bulut Uygulaması, Uygulama
	CISCO Güvenlik Bulut Uygulaması [pdf] Kullanıcı Kılavuzu Güvenlik, Güvenlik Bulutu, Bulut, Güvenlik Bulutu Uygulaması, Uygulama
	CISCO Güvenlik Bulut Uygulaması [pdf] Kullanıcı Kılavuzu Güvenlik Bulut Uygulaması, Bulut Uygulaması, Uygulama

Referanslar

• Kullanıcı Kılavuzu