Splunk中的思科安全套件

在这篇博文中,我将介绍将Splunk的所有各种安全插件聚合到Cisco Security Suite中的过程。这将是非常短的时间,因为大多数工作已在我们之前的Spunk帖子中完成。 

在我们开始配置之前,一些先决条件是在您的Splunk实例上安装以下免费应用程序:

  • Cisco Security Suite - //splunkbase.splunk.com/app/525/
  • Cisco ESA Add-On - //splunkbase.splunk.com/app/1761/

注意:我目前在实验室中没有ESA,但是我发现,如果未创建ESA插件的事件类型和来源,则WSA仪表板无法正确显示,即使我们没有使用ESA插件,它仍然需要在那里才能使某些仪表板正常工作。

两者都安装完后,单击Splunk仪表板左侧面板上的Cisco Security Suite。它将带您到一个页面,指出需要配置该应用程序。继续进入应用设置页面。

在下一页上,选择ISE,WSA,Sourcefire以及您想在此应用程序上看到的其他任何附件。就我而言,我可能稍后再添加ASA,所以我选择了它。 

保存之后,您将进入Cisco Security Suite概述仪表板:

如您所见,该仪表板的顶部始终都有下拉菜单,可用于查看Web安全,Firepower,ISE等。它具有各个应用程序的仪表板以及其他一些仪表板,使您能够在应用程序之间进行搜索见下文。