Integrazione Cisco Threat Response (CTR) ed ESA

Opzioni per il download

  • PDF     (1.4 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.5 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:28 maggio 2020
ID documento:215556

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive il processo per integrare Cisco Threat Response (CTR) con Email Security Appliance (ESA) e come verificarlo per eseguire alcune indagini CTR.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Cisco Threat Response
    • Email Security Appliance

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Account CTR
    • Cisco Security Services Exchange
    • ESA C100V sul software versione 13.0.0-392

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Per configurare Integration CTR ed ESA, accedere a Email Security Virtual Appliance e attenersi alla seguente procedura rapida:

    Passaggio 1.  Selezionare Rete > Impostazioni servizio cloud

    Nell'ESA, passare al menu di scelta rapida Network > Cloud Service Settings (Rete > Impostazioni servizio cloud) per visualizzare lo stato attuale della risposta alla minaccia (Disabilitato/Abilitato), come mostrato nell'immagine.

    Passaggio 2. Fare clic su Modifica impostazioni

    Finora la funzione Threat Response dell'ESA è disabilitata, per abilitarla, fare clic su Edit Settings (Modifica impostazioni) come mostrato nell'immagine:

    Passaggio 3. Selezionare la casella di controllo Abilita e il server di risposta alla minaccia

    Selezionare la casella di controllo Abilita, quindi scegliere il server di risposta alla minaccia. Vedere l'immagine seguente:

    Nota: La selezione predefinita per l'URL del server di risposta alle minacce è AMERICAS (api-sse.cisco.com). Per le aziende europee, fare clic sul menu a discesa e scegliere EUROPA (api.eu.sse.itd.cisco.com)

    Passaggio 4. Sottomettere e confermare le modifiche

    È necessario inviare ed eseguire il commit delle modifiche per salvare e applicare le modifiche. Ora, se l'interfaccia ESA viene aggiornata, è necessario un token di registrazione per registrare l'integrazione, come mostrato nell'immagine qui sotto.

    Nota: Viene visualizzato il messaggio Operazioni riuscite: Commit delle modifiche eseguito.

    Passaggio 5. Accedere al portale del CTR e generare il token di registrazione richiesto nell'ESA

    1.- Una volta nel portale CTR, passare a Moduli > Dispositivi > Gestisci dispositivi, vedere l'immagine successiva.

    2.- Il collegamento Gestisci dispositivi reindirizza l'utente a Security Services Exchange (SSE), una volta lì, fare clic sull'icona Add Devices and Generate Tokens (Aggiungi dispositivi e genera token) come mostrato nell'immagine.

    3.- Per generare il Token, fare clic su Continue (Continua). Una volta generato il Token, fare clic su Copy to Clipboard (Copia negli Appunti), come mostrato nell'immagine.

    Suggerimento: È possibile selezionare il numero di dispositivi da aggiungere (da 1 e fino a 100) e anche l'ora di scadenza del token (1h, 2h, 4h, 6h, 8h, 12h, 01 giorni, 02 giorni, 03 giorni, 04 giorni e 05 giorni).

    Passaggio 6. Incollare il token di registrazione (generato dal portale del CTR) nell'ESA

    Una volta generato il token di registrazione, incollarlo nella sezione Cloud Services Settings dell'ESA, come nell'immagine seguente.

    Nota: Viene visualizzato il messaggio Operazioni riuscite: Verrà inviata una richiesta di registrazione dell'appliance sul portale Cisco Threat Response. Tornare a questa pagina in seguito per verificare lo stato dell'accessorio.

    Passaggio 7. Verificare che il dispositivo ESA si trovi nel portale SSE

    È possibile passare al portale SSE (CTR > Moduli > Dispositivi > Gestisci dispositivi) e nella scheda Ricerca osservare il dispositivo ESA, come mostrato nell'immagine.

    Passaggio 8. Passare al portale CTR e aggiungere un nuovo modulo ESA

    1.- Una volta entrati nel portale CTR, passare a Moduli > Aggiungi nuovo modulo, come mostrato nell'immagine.

    2.- Scegliere il tipo di modulo, in questo caso il modulo è un modulo di Email Security Appliance come immagine di seguito.

    3.- Inserire i campi: Nome modulo, Periferica registrata (selezionare quella registrata in precedenza), Tempo richiesta (giorni) e Salva, come mostrato nell'immagine.

    Verifica

    Per verificare l'integrazione di CTR ed ESA, è possibile inviare un messaggio di prova, che può essere visualizzato anche dall'ESA, selezionare Monitor > Message Tracking e trovare l'e-mail di prova. In questo caso, ho filtrato per Oggetto e-mail come immagine qui sotto.

    Ora, dal portale CTR, è possibile eseguire un'Indagine, passare a Indaga e utilizzare alcuni e-mail osservabili, come mostrato nell'immagine.

    Suggerimento: È possibile utilizzare la stessa sintassi per altri oggetti osservabili tramite e-mail come indicato di seguito nell'immagine.

    Risoluzione dei problemi

    I clienti CES o che gestiscono i dispositivi ESA tramite SMA possono connettersi solo a Threat Response tramite SMA. Verificare che il modulo SMA esegua AsyncOS 12.5 o versione successiva. Se l'ESA non viene gestita con un SMA e viene integrata direttamente, verificare che sia AsyncOS versione 13.0 o successive.

    Il dispositivo ESA non è visualizzato nel portale CTR

    Se il dispositivo ESA non viene visualizzato nell'elenco a discesa Periferica registrata mentre il modulo ESA viene aggiunto nel portale CTR, assicurarsi di aver abilitato CTR in SSE, in CTR passare a Moduli > Dispositivi > Gestisci dispositivi, quindi in Portale SSE passare a Servizi cloud e abilitare CTR, come nell'immagine seguente:

    L'inchiesta sul CTR non mostra dati forniti dall'ESA

    Assicurarsi che:

    • La sintassi dell'indagine è corretta, gli e-mail osservabili sono mostrati sopra nella sezione Verifica.
    • È stato selezionato il server di risposta alla minaccia appropriato o il cloud (Americhe/Europa).

    L'ESA non richiede il token di registrazione

    Assicurarsi di eseguire il commit delle modifiche, quando la funzionalità Threat Response è stata abilitata, altrimenti le modifiche non verranno applicate alla sezione Threat Response dell'ESA.

    Registrazione non riuscita a causa di un token non valido o scaduto

    Verificare che il token sia generato dal cloud corretto:

    Se usi Europe (EU) Cloud per ESA, genera il token da: https://admin.eu.sse.itd.cisco.com/

    Se usi Americas (NAM) Cloud per ESA, genera il token da: https://admin.sse.itd.cisco.com/

    Inoltre, ricorda che il token di registrazione ha una scadenza (seleziona l'ora più conveniente per completare l'integrazione in tempo).

    Informazioni correlate

    TAC Authored

    Contributo dei tecnici Cisco

    • Brenda Marquez
      Cisco TAC Engineer
    • Edited by Jorge Navarrete
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti