思科AMP终端

针对端点的Cisco高级恶意软件保护(AMP)是一个恶意软件和病毒保护平台,您可以使用它来保护您的环境免受入侵、受感染的文件和恶意行为。当您将思科AMP连接到InsightIDR时,您的日志将解析出高级恶意软件和病毒感染事件。

连接Cisco AMP到InsightIDR:

  1. 生成思科AMP客户端ID和API密钥
  2. 配置InsightIDR事件源

生成客户端ID和API密钥

您必须为第三方访问生成一个API密钥,以便与InsightIDR连接。

这样做:

  1. 在Cisco AMP for endpoint控制台中,导航到帐户> API凭据。
  2. 单击新的API凭证按钮。
  1. 为您的第三方应用程序提供一个名称,例如“InsightIDR”。
  2. 选择只读选项为API密钥的范围。
  3. 单击创建按钮。
  1. 然后您将看到第三方API客户端ID和API密钥。复制这些以便以后在InsightIDR中使用。

重新生成API密钥

如果您已经有一个API密钥,或者您失去了现有的API密钥,那么您可以生成一个新的密钥用于InsightIDR。

这样做:

  1. 在您的Cisco AMP端点控制台中,选择账户>业务。
  1. 在“业务”页面,点击编辑按钮。
  2. 在“第三方API访问”选项旁边,单击再生按钮的API键。您将看到以下消息:
  1. 单击确认按钮。
  2. 然后您将看到API客户机ID和API密钥。复制这些以便以后在InsightIDR中使用。

要了解更多信息,您可以从以下链接了解思科AMP API:

配置事件源

您现在可以使用Cisco AMP的API凭证在InsightIDR中配置云服务事件源。

这样做:

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击云服务图标。出现“添加事件源”面板。
  4. 选择您的收集器和选择思科AMP作为事件源。如果需要,还可以命名事件源。
  5. 选择发送未经过滤的日志
  6. 选择包含客户端ID和API密钥的现有凭据,或者可选创建一个新的凭证
  7. 配置您的默认域和任何高级设置
  8. 单击保存按钮。