思科AMP终端
针对端点的Cisco高级恶意软件保护(AMP)是一个恶意软件和病毒保护平台,您可以使用它来保护您的环境免受入侵、受感染的文件和恶意行为。当您将思科AMP连接到InsightIDR时,您的日志将解析出高级恶意软件和病毒感染事件。
连接Cisco AMP到InsightIDR:
生成客户端ID和API密钥
您必须为第三方访问生成一个API密钥,以便与InsightIDR连接。
这样做:
- 在Cisco AMP for endpoint控制台中,导航到帐户> API凭据。
- 单击新的API凭证按钮。
- 为您的第三方应用程序提供一个名称,例如“InsightIDR”。
- 选择只读选项为API密钥的范围。
- 单击创建按钮。
- 然后您将看到第三方API客户端ID和API密钥。复制这些以便以后在InsightIDR中使用。
重新生成API密钥
如果您已经有一个API密钥,或者您失去了现有的API密钥,那么您可以生成一个新的密钥用于InsightIDR。
这样做:
- 在您的Cisco AMP端点控制台中,选择账户>业务。
- 在“业务”页面,点击编辑按钮。
- 在“第三方API访问”选项旁边,单击再生按钮的API键。您将看到以下消息:
- 单击确认按钮。
- 然后您将看到API客户机ID和API密钥。复制这些以便以后在InsightIDR中使用。
要了解更多信息,您可以从以下链接了解思科AMP API:
- https://api-docs.amp.cisco.com/api_resources?api_host=api.amp.cisco.com&api_version=v1
- https://www.cisco.com/c/en/us/support/docs/security/amp-endpoints/201121-Overview-of-the-Cisco-AMP-for-Endpoints.html
配置事件源
您现在可以使用Cisco AMP的API凭证在InsightIDR中配置云服务事件源。
这样做:
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击云服务图标。出现“添加事件源”面板。
- 选择您的收集器和选择思科AMP作为事件源。如果需要,还可以命名事件源。
- 选择发送未经过滤的日志.
- 选择包含客户端ID和API密钥的现有凭据,或者可选创建一个新的凭证.
- 配置您的默认域和任何高级设置.
- 单击保存按钮。
这个页面对你有帮助吗?