將WSA與CTR整合
簡介
本檔案介紹將網路安全裝置(WSA)與思科威脅回應(CTR)入口網站整合的步驟。
作者:Shikha Grover,編輯者:Yeraldin Sanchez,思科TAC工程師。
必要條件
需求
思科建議您瞭解以下主題:
- WSA訪問
- CTR門戶訪問
- 思科資安帳戶
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 非同步作業系統版本12.x或更高版本
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
步驟1.在CLI中REPORTINGCONFIG下啟用CTROBSERVABLE,然後提交更改,如下圖所示。
步驟2.設定安全服務交換(SSE)雲端入口網站,導覽至Network >Cloud Services Settings > Edit settings,按一下Enable和Submit,如下圖所示。
根據您的位置選擇雲,如下圖所示。
步驟3.如果您沒有思科安全帳戶,則可以在思科威脅響應門戶中建立具有管理員訪問許可權的使用者帳戶。
若要建立新的使用者帳戶,請導航到思科威脅響應門戶登錄頁面。
步驟4.在SSE門戶的雲服務下啟用思科威脅響應,如下圖所示。
步驟5. 確保WSA在埠443上可訪問SSE門戶:
- api.eu.sse.itd.cisco.com(歐洲)
- api-sse.cisco.com(美洲)
註冊裝置
步驟1.從安全服務交換(SSE)門戶獲取註冊令牌,以向安全服務交換門戶註冊裝置。
SSE門戶連結為https://admin.sse.itd.cisco.com/app/devices。
步驟2.在WSA中輸入從Security Services Exchange門戶獲取的註冊令牌,然後點選Register,如下圖所示。
步驟3.幾秒鐘後,您會看到註冊成功。
步驟4.在SSE門戶上,您可以檢視裝置狀態。
步驟5.在CTR入口上顯示裝置已註冊。
您可以將此裝置關聯到模組,導航到模組>新增新模組>網路安全裝置,如下圖所示。
裝置現在已整合。您可以通過WSA的流量並調查CTR門戶上的威脅。
驗證
使用本節內容,確認您的組態是否正常運作。
可用於從CTR門戶運行查詢的WSA模組及其支援的格式的豐富內容(查詢WSA日誌):
- 域-域:"com"
- URL - url:"http://www.neverssl.com"
- SHA256 - sha256:"8d3a8badf6e5a38e1b6d59a254969b1e0274f8fa120254ba1f7e02991872379"
- IP - ip:"172.217.26.164"
- Filename - file_name:"test.txt"
使用中的豐富示例:
意見