面向终端的AMP与Splunk集成

简介

本文档介绍高级恶意软件防护(AMP)与Splunk之间的集成过程。

作者：Uriel Islas和Juventino Macias，编辑者：Jorge Navarrete，思科TAC工程师。

先决条件

要求

思科建议您了解：

• 面向终端的 AMP
• 应用编程接口(API)
• 斯普隆克 
• Splunk上的管理员用户

使用的组件

• AMP公共云
• Splunk实例 

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

步骤1.导航至AMP控制台(https://console.amp.cisco.com)，然后导航至Accounts>API Credentials，在其中可以创建事件流。

步骤2.要执行此集成，请勾选“读写”复选框，如下所示： 

注意：如果要收集有关事件的详细信息，请选中Enable Command Line框，以获取从文件存储库生成的审核日志，选中Allow API access to File Repository框。

步骤3.创建事件流后，它将显示Splunk上所需的API客户端ID和API密钥。

注意：在丢失时，此信息无法通过任何方式恢复，必须创建新的API密钥。 

步骤4.为了将Splunk与面向终端的AMP集成，请确保Splunk上存在帐户Admin。

步骤5.登录Splunk后，继续从Splunk应用下载AMP。

步骤6.在应用浏览器上搜索并安装思科终端（面向终端的思科AMP事件输入）。

步骤7.要完成Splunk上的安装，需要重新启动会话。

步骤8.在Splunk下登录后，单击屏幕左侧的面向终端的思科AMP。

步骤9.单击屏幕顶部的“配置”标签。

步骤10.键入之前从AMP控制台生成的API凭证。

注意：API主机位置可能因贵组织指向的云数据中心而异：
         北美:api.amp.cisco.com
         欧洲:api.eu.am p.cisco.com
         亚太地区、日本和中国：api.apjc.amp.cisco.com

步骤11.在Splunk控制台上包含并保存API凭证，以将其与AMP链接。

步骤12.返回“输入”以创建事件流。

注意：如果要从AMP获取所有组的所有事件，请将事件类型和组字段留空。

步骤13.确保输入已成功创建。

注意：请记住，此集成不受正式支持

故障排除

如果在创建事件流时，所有字段都呈灰色显示，则可能是由于以下某些原因导致的：

1. 连通性问题：确保Splunk实例能够与API主机联系
2. API主机：确保在步骤10中配置的API主机与AMP组织匹配，具体取决于您的业务所在位置。
3. API凭证：确保API密钥和客户端ID与第3步中配置的API密钥和客户端ID匹配。
4. 事件流：确保配置的事件流少于4个。