Integrazione di AMP for Endpoints con Splunk

Opzioni per il download

  • PDF     (1.1 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.0 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (411.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:26 agosto 2020
ID documento:215973

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto il processo di integrazione tra Advanced Malware Protection (AMP) e Splunk.

    Contributo di Uriel Islas e Juventino Macias, a cura di Jorge Navarrete, Cisco TAC Engineers.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza di:

    • AMP for Endpoints
    • API (Application Programming Interface)
    • Splunk 
    • Utente amministratore su Splunk

    Componenti usati

    • AMP Public Cloud
    • Istanza Splunk 

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Passaggio 1. Passare alla console AMP (https://console.amp.cisco.com) e selezionare Account>Credenziali API, dove è possibile creare flussi di eventi.

    Passaggio 2. Per eseguire questa integrazione, selezionare la casella di controllo Lettura e scrittura come mostrato di seguito: 

    Nota: Se si desidera raccogliere ulteriori informazioni sugli eventi, selezionare la casella Abilita riga di comando per ottenere i log di controllo generati dal repository dei file selezionare la casella Consenti accesso API al repository dei file.

    Passaggio 3. Una volta creato il flusso di eventi, vengono visualizzati l'ID client e la chiave API richiesti in Splunk.

    Attenzione: queste informazioni non possono essere recuperate in alcun modo. In caso di perdita, è necessario creare una nuova chiave API. 

    Passaggio 4. Per integrare Splunk con AMP for endpoints, verificare che l'account Admin esista in Splunk.

    Passaggio 5. Dopo aver eseguito l'accesso a Splunk, procedere al download di AMP da Splunk Apps.

    Passaggio 6. Cercare Cisco Endpoint nel browser dell'app e installarlo (Cisco AMP for Endpoints Events Input).

    Passaggio 7. Per completare l'installazione su Splunk, è necessario riavviare la sessione.

    Passaggio 8. Dopo aver effettuato l'accesso in Splunk, fare clic su Cisco AMP For Endpoints sul lato sinistro della schermata.

    Passaggio 9. Fare clic sull'etichetta Configuration nella parte superiore dello schermo.

    Passaggio 10. Digitare le credenziali API generate in precedenza dalla console AMP.

    Nota: L'area API Host potrebbe essere diversa in base al centro dati cloud a cui punta l'organizzazione:
             Nord America: api.amp.cisco.com
             Europa: api.eu.amp.cisco.com
             APJC: api.apjc.amp.cisco.com

    Passaggio 11. Includere e salvare le credenziali API nella console Splunk per collegarle ad AMP.

    Passaggio 12. Tornare a Input per creare il flusso di eventi.

    Nota: Se si desidera ottenere tutti gli eventi per tutti i gruppi da AMP, lasciare vuoti i campi Tipi di evento e Gruppi.

    Passaggio 13. Verificare che l'input sia stato creato correttamente.

    Nota: Questa integrazione non è ufficialmente supportata

    Risoluzione dei problemi

    Se durante la creazione di un flusso di eventi tutti i campi sono disattivati, ciò potrebbe essere dovuto ad alcuni dei motivi seguenti:

    1. Problemi di connettività: Verificare che l'istanza Splunk sia in grado di contattare l'host API
    2. Host API: Verificare che l'host API configurato nel passaggio 10 corrisponda all'organizzazione AMP, in base al punto di riferimento dell'azienda.
    3. Credenziali API: Verificare che la chiave API e l'ID client corrispondano a quelli configurati nel passaggio 3.
    4. Flussi di eventi: Verificare che siano configurati meno di 4 flussi di eventi.
    TAC Authored

    Contributo dei tecnici Cisco

    • Uriel Islas
      Cisco TAC Engineer
    • Juventino Macias
      Cisco TAC Engineer
    • Edited by Jorge Navarrete
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti