• Home

  • Documents

  • Intégration d'AMP for Endpoints avec Splunk · d'événements Cisco AMP for Endpoints). Étape 7....
8
Intégration d'AMP for Endpoints avec Splunk Contenu Introduction Conditions préalables Conditions requises Components Used Configuration Dépannage Introduction Ce document décrit le processus d'intégration entre Advanced Malware Protection (AMP) et Splunk. Contribué par Uriel Islas and Juventino Macias, édité par Jorge Navarrete, Ingénieurs du TAC Cisco. Conditions préalables Conditions requises Cisco vous recommande de connaître : AMP pour les points terminaux API (Application Programming Interface) Épingler Utilisateur Admin sur Splunk Components Used Cloud public AMP Instance Splunk Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command. Configuration Étape 1. Accédez à la console AMP (https://console.amp.cisco.com) et accédez à Comptes>Informations d'identification de l'API, où vous pouvez créer des flux d'événements.

Intégration d'AMP for Endpoints avec Splunk · d'événements Cisco AMP for Endpoints). Étape 7. Un redémarrage de la session est nécessaire pour terminer l'installation sur Splunk

  • Upload
    others

  • View
    3

  • Download
    0

Embed Size (px)

Citation preview

  • Intégration d'AMP for Endpoints avec Splunk Contenu

    IntroductionConditions préalablesConditions requisesComponents UsedConfigurationDépannage

    Introduction

    Ce document décrit le processus d'intégration entre Advanced Malware Protection (AMP) etSplunk.

    Contribué par Uriel Islas and Juventino Macias, édité par Jorge Navarrete, Ingénieurs du TACCisco.

    Conditions préalables

    Conditions requises

    Cisco vous recommande de connaître :

    AMP pour les points terminaux●API (Application Programming Interface)●Épingler ●Utilisateur Admin sur Splunk●

    Components Used

    Cloud public AMP●Instance Splunk ●

    Les informations contenues dans ce document ont été créées à partir des périphériques d'unenvironnement de laboratoire spécifique.All of the devices used in this document started with acleared (default) configuration.If your network is live, make sure that you understand the potentialimpact of any command.

    Configuration

    Étape 1. Accédez à la console AMP (https://console.amp.cisco.com) et accédez àComptes>Informations d'identification de l'API, où vous pouvez créer des flux d'événements.

    https://console.amp.cisco.com/dashboard

  • Étape 2. Pour effectuer cette intégration, cochez la case Lecture et écriture comme indiqué ci-dessous : 

    Remarque: Si vous souhaitez collecter plus d'informations sur les événements, cochez lacase Activer la ligne de commande, pour obtenir les journaux d'audit générés à partir duréférentiel de fichiers, cochez la case Autoriser l'accès API au référentiel de fichiers.

    Étape 3. Une fois que vous avez créé le flux d'événements, il affiche l'ID de client et la clé d'APIrequis sur Splunk.

  • Attention : Ces informations ne peuvent être récupérées par aucun moyen, en cas de perte,une nouvelle clé d'API doit être créée. 

    Étape 4. Afin d'intégrer Splunk à AMP pour les terminaux, assurez-vous que l'administrateur ducompte existe sur Splunk.

    Étape 5. Une fois connecté à Splunk, téléchargez AMP à partir des applications Splunk.

  • Étape 6. Recherchez Cisco Endpoint sur le navigateur de l'application et installez-le (entréed'événements Cisco AMP for Endpoints).

    Étape 7. Un redémarrage de la session est nécessaire pour terminer l'installation sur Splunk.

    Étape 8. Une fois connecté sous Splunk, cliquez sur Cisco AMP For Endpoints sur le côté gauchede l'écran.

    Étape 9. Cliquez sur l'étiquette Configuration en haut de l'écran.

  • Étape 10. Tapez vos informations d'identification API précédemment générées à partir de laconsole AMP.

    Remarque: L'emplacement de l'hôte API peut être différent en fonction du data center cloudsur lequel pointe votre entreprise :        Amérique du Nord:api.amp.cisco.com        Europe: api.eu.amp.cisco.com

  •         APJC :api.apjc.amp.cisco.com

    Étape 11. Incluez et enregistrez les informations d'identification API sur la console Splunk pour leslier à AMP.

    Étape 12. Revenez à Entrée pour créer votre flux d'événements.

  • Remarque: Si vous voulez obtenir tous les événements pour tous les groupes à partird'AMP, laissez vides les champs Types d'événements et Groupes.

    Étape 13. Assurez-vous que votre entrée a bien été créée.

    Remarque: N'oubliez pas que cette intégration n'est pas officiellement prise en charge

  • Dépannage

    Si, pendant que vous créez un flux d'événements, tous les champs sont grisés, cela peut être dû àcertaines des raisons suivantes :

    Problèmes de connectivité: Assurez-vous que l'instance Splunk est en mesure de contacterl'hôte API

    1.

    Hôte API : Assurez-vous que l'hôte API configuré à l'étape 10 correspond à votreorganisation AMP, en fonction de l'emplacement de votre entreprise.

    2.

    Informations d'identification de l'API : Assurez-vous que la clé API et l'ID client correspondentà ceux configurés à l'étape 3.

    3.

    Flux d'événements : Vérifiez que moins de 4 flux d'événements sont configurés.4.

    Intégration d'AMP for Endpoints avec SplunkContenuIntroductionConditions préalablesConditions requisesComponents Used

    ConfigurationDépannage


Netfilter Iptables for Splunk Documentation - Read the Docs · Netfilter Iptables for Splunk Documentation, Release 0 Splunk Answers Splunk has a strong community of active users

Netfilter Iptables for Splunk Documentation - Read the Docs · Netfilter Iptables for Splunk Documentation, Release 0 Splunk Answers Splunk has a strong community of active users

Documents
Splunk Search

Splunk Search

Technology
Islands*of*Splunk* - .conf2017 | The 8th Annual Splunk ... · Background*! Splunk*administrators*are*increasingly*required*to*provision*Splunk* as*aservice*offering*to*mulJple*customers*

Islands*of*Splunk* - .conf2017 | The 8th Annual Splunk ... · Background*! Splunk*administrators*are*increasingly*required*to*provision*Splunk* as*aservice*offering*to*mulJple*customers*

Documents
データ分析プラットフォーム「Splunk」eww.gp-club.panasonic.co.jp/data/splunk/splunk.pdfTitle データ分析プラットフォーム「Splunk」 Author パナソニック

データ分析プラットフォーム「Splunk」eww.gp-club.panasonic.co.jp/data/splunk/splunk.pdfTitle データ分析プラットフォーム「Splunk」 Author パナソニック

Documents
Agency Chargeback Models to Enable Enterprise Splunk ......Workshops: Get Splunk Hands -on Experience Attend a Splunk Workshop Upcoming Schedule December 1: Introduction to Splunk

Agency Chargeback Models to Enable Enterprise Splunk ......Workshops: Get Splunk Hands -on Experience Attend a Splunk Workshop Upcoming Schedule December 1: Introduction to Splunk

Documents
Splunk hunkbeta

Splunk hunkbeta

Technology
SPLUNK Capabilities Overview - GTRI · Overview GTRI is the only ELITE Splunk integrator with certified Splunk architects and engineers on staff. In addition to ... SPLUNK-Overview

SPLUNK Capabilities Overview - GTRI · Overview GTRI is the only ELITE Splunk integrator with certified Splunk architects and engineers on staff. In addition to ... SPLUNK-Overview

Documents
データ分析プラットフォーム「Splunk」 - Panasonicdl.it-sol.jpn.panasonic.com/data/splunk/splunk.pdfTitle データ分析プラットフォーム「Splunk」 Author パナソニック

データ分析プラットフォーム「Splunk」 - Panasonicdl.it-sol.jpn.panasonic.com/data/splunk/splunk.pdfTitle データ分析プラットフォーム「Splunk」 Author パナソニック

Documents
Clinical trial endpoints for use in medical product ... - 03 Papadopoulos.pdfClinical vs. Surrogate Endpoints* • Clinical endpoints – Endpoints that describe or reflect how an

Clinical trial endpoints for use in medical product ... - 03 Papadopoulos.pdfClinical vs. Surrogate Endpoints* • Clinical endpoints – Endpoints that describe or reflect how an

Documents
Fortscale Splunk Integrationinfo.fortscale.com/hubfs/UEBA Content/Fortscale Splunk Integration.pdf · Fortscale Splunk Integration ... Fortscale digests access and authentication

Fortscale Splunk Integrationinfo.fortscale.com/hubfs/UEBA Content/Fortscale Splunk Integration.pdf · Fortscale Splunk Integration ... Fortscale digests access and authentication

Documents
Splunk bsides

Splunk bsides

Documents
Splunk Review - University of Birmingham · Ref: Splunk Review, Dec 2014 Mohammad Rameez Shafsad itinnovation@contacts.bham.ac.uk Indexing 2.2.1 Searching using splunk Splunk uses

Splunk Review - University of Birmingham · Ref: Splunk Review, Dec 2014 Mohammad Rameez Shafsad [email protected] Indexing 2.2.1 Searching using splunk Splunk uses

Documents
Splunk For IT Operational Intelligence · • Splunk Apps –Splunk App for VMware –Splunk Apps for Citrix & Hyper V –Splunk App for Microsoft Exchange –Splunk App for Active

Splunk For IT Operational Intelligence · • Splunk Apps –Splunk App for VMware –Splunk Apps for Citrix & Hyper V –Splunk App for Microsoft Exchange –Splunk App for Active

Documents
Rivium Splunk Windows · o Splunk Enterprise Security * o uberAgent* o Splunk App for Web Analytics Common Splunk Apps & Add-ons 15 SplunkingWIndows o Splunk Add-on for Microsoft

Rivium Splunk Windows · o Splunk Enterprise Security * o uberAgent* o Splunk App for Web Analytics Common Splunk Apps & Add-ons 15 SplunkingWIndows o Splunk Add-on for Microsoft

Documents
Netfilter Iptables for Splunk Documentation - Read … · Netfilter Iptables for Splunk Documentation, Release 0 Splunk Answers Splunk has a strong community of active users and

Netfilter Iptables for Splunk Documentation - Read … · Netfilter Iptables for Splunk Documentation, Release 0 Splunk Answers Splunk has a strong community of active users and

Documents
Splunk .conf2011: Splunk for Fraud and Forensics at Intuit

Splunk .conf2011: Splunk for Fraud and Forensics at Intuit

Technology
Exploring Splunk

Exploring Splunk

Documents
Splunk Cloud の製品概要 › ... › product-briefs › splunk-cloud.pdfSplunk App で機能を強化 Splunk Cloud は、Splunk Enterprise Security や Splunk IT Service Intelligence

Splunk Cloud の製品概要 › ... › product-briefs › splunk-cloud.pdfSplunk App で機能を強化 Splunk Cloud は、Splunk Enterprise Security や Splunk IT Service Intelligence

Documents
Splunk user group - automating Splunk with Ansible

Splunk user group - automating Splunk with Ansible

Technology
Splunk Developer & Admin Certification Training...This Splunk course also includes various topics of Splunk, such as installation and configuration, Splunk Syslog, Syslog Server, log

Splunk Developer & Admin Certification Training...This Splunk course also includes various topics of Splunk, such as installation and configuration, Splunk Syslog, Syslog Server, log

Documents
Splunk For IT Operational Intelligenceuploads.integrity360.com/1425903243-Splunk-for-IT-Operations.pdf · • Splunk Apps –Splunk App for VMware –Splunk Apps for Citrix & Hyper

Splunk For IT Operational Intelligenceuploads.integrity360.com/1425903243-Splunk-for-IT-Operations.pdf · • Splunk Apps –Splunk App for VMware –Splunk Apps for Citrix & Hyper

Documents
Monitoring Docker Containers with Splunk - Splunk .conf · Splunk and Docker – At A Glance Visibility in your Container Environments Delivering Splunk as Containers Monitoring for

Monitoring Docker Containers with Splunk - Splunk .conf · Splunk and Docker – At A Glance Visibility in your Container Environments Delivering Splunk as Containers Monitoring for

Documents
Industrial Data Internet of Things splunk (REST API, SDKs) splunk . TESCO splunk 500 Y—Jt1-3— 41328 . SHANON 1/5 splunk . htt . (500MB/B) s lunk splunk . Created Date:

Industrial Data Internet of Things splunk (REST API, SDKs) splunk . TESCO splunk 500 Y—Jt1-3— 41328 . SHANON 1/5 splunk . htt . (500MB/B) s lunk splunk . Created Date:

Documents
Splunk Conf2010: Corporate Express presents Splunk with SAP

Splunk Conf2010: Corporate Express presents Splunk with SAP

Technology
Splunk conf2014 - Splunk Monitoring - New Native Tools for Monitoring your Splunk Deployment

Splunk conf2014 - Splunk Monitoring - New Native Tools for Monitoring your Splunk Deployment

Technology
stoQ’ing your Splunk - SANS · PDF filestoQ’ingyour Splunk Ryan Kovar, Splunk Marcus LaFerrera, PUNCH SANS DFIR 2016

stoQ’ing your Splunk - SANS · PDF filestoQ’ingyour Splunk Ryan Kovar, Splunk Marcus LaFerrera, PUNCH SANS DFIR 2016

Documents
FireEye Splunk InterFireEye + Splunk: Intermediate Guidemediate Guide

FireEye Splunk InterFireEye + Splunk: Intermediate Guidemediate Guide

Documents
インストールマニュアル Splunk Enterprise 6.2docs.splunk.com/images/8/8b/Splunk-6.2.0-ja_JP-Installation.pdf · Splunk Enterprise インストールマニュアルによう

インストールマニュアル Splunk Enterprise 6.2docs.splunk.com/images/8/8b/Splunk-6.2.0-ja_JP-Installation.pdf · Splunk Enterprise インストールマニュアルによう

Documents
Referent / Redner Benjamin Tiggemann · 2015-07-08 · Splunk for Exchange Splunk for Enterprise Security* Splunk for Vmware Splunk for PCI Compliance* Splunk for Windows Splunk for

Referent / Redner Benjamin Tiggemann · 2015-07-08 · Splunk for Exchange Splunk for Enterprise Security* Splunk for Vmware Splunk for PCI Compliance* Splunk for Windows Splunk for

Documents
Splunk Enterprise 6.5.0 Splunk Enterprise 보안

Splunk Enterprise 6.5.0 Splunk Enterprise 보안

Documents