集成CTR和Threat Grid云

简介

本文档介绍将思科威胁响应(CTR)与Threat Grid(TG)云集成以执行CTR调查的步骤。

作者：Jesus Javier Martinez，编辑者：Cisco TAC工程师Yeraldin Sanchez。

先决条件

要求

Cisco 建议您了解以下主题：

• 思科威胁响应
• Threat Grid

使用的组件

本文档中的信息基于以下软件版本：

• CTR控制台（具有管理员权限的用户帐户）
• Threat Grid控制台（具有管理员权限的用户帐户）

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

Cisco Threat Grid是一种高级且自动化的恶意软件分析和恶意软件威胁情报平台，可在不影响用户环境的情况下引爆可疑文件或网络目标。

在与Cisco Threat Response的集成中，Threat Grid是一个参考模块，能够透视到Threat Grid门户，以收集有关Threat Grid知识库中文件哈希、IP、域和URL的其他情报。

配置

CTR控制台 — 配置Threat Grid模块

步骤1.使用管理员凭证登录到Cisco Threat Response。

步骤2.导航至Modules选项卡，选择Modules > Add New Module，如图所示。

步骤3.在Available Modules页面上，选择Threat Grid模块窗格中的Add New Module，如图所示。

步骤4.“添加新模块”窗体。填写如图所示的表单。

• 模块名称 — 保留默认名称或输入对您有意义的名称。

• URL — 从下拉列表中，为您的Threat Grid帐户所在位置（北美或欧洲）选择适当的URL。 暂时忽略其他选项。

步骤5.选择“保存”以完成Threat Grid模块配置。

步骤6. Threat Grid现在显示在Modules页面的配置下，如图所示。

（TG可从透视菜单和案例簿中获得，以改进威胁调查）。

Threat Grid控制台 — 授权Threat Grid访问威胁响应

步骤1.使用管理员凭据登录Threat Grid。

步骤2.导航至“我的帐户”部分，如图所示。

步骤3.导航至“连接”部分，然后选择连接威胁响应选项，如图所示。

第4步。选择Authorize选项以允许Threat Grid访问思科威胁响应，如图所示。

步骤5.选择Authorize Threat Grid选项以授予应用程序访问权限，如图所示。

步骤6. Access Authorized（访问授权）消息显示为验证Threat Grid是否有权访问Threat Response威胁情报和浓缩功能，如图所示。

验证

使用本部分可确认配置能否正常运行。

为了验证CTR和TG集成，可以在CTR控制台上执行调查，当显示所有调查详细信息时，您可以看到Threat Grid选项，如图所示。

您可以选择浏览或搜索Threat Grid选项，并重定向到Threat Grid门户以收集有关Threat Grid知识库中的文件/散列/IP/域/URL的其他情报，如图所示。