Демистификация SecureX

Демистификация SecureX
Pavel Rodionov
Technical Solutions Architect. CCIE 11155, CISSP, GREM
prodiono@cisco.com
Организационная информация
• Начало в 10:00, окончание приблизительно в 15:00 по киевскому
времени
• Общение и вопросы осуществляется в Webex Room, подключиться к
которой можно по ссылке: https://eurl.io/#6vnevqAWY
• Также вопросы можно задавать в окне Q&A и в окне Chat
• Микрофоны у всех выключены принудительно
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Agenda
• 10:10 – 11:20. SecureX. Общая информация
• 11:20 – 11:30. Опросник
• 11:20 – 12:00. Подключение к лабораторным работам по оркестрации
• 12:00 – 12:45 Лабораторная работа №1
• 12:50 – 13:35 Лабораторная работа №2 (самостоятельно)
• 13:45 – 15:00 Лабораторная работа №3 (можно продолжать
самостоятельно!)
Agenda
• Обзор XDR и SecureX

• Унификация безопасности с SecureX
Dashboard
• Упрощение расследований с SecureX Threat
Response
• Эффективность оркестрации SecureX
• Интеграции Будет
лаба!
• Заключение
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
Обзор XDR и
SecureX
CISOs хотять получить понятный план действий…
Действия Успех Будущее

просто быстро защищено
…и идти в ногу с бизнесом
Платформенный подход уверенно решает
наиболее неприятные проблемы ИБ
Простота Видимость Эффективность

Интеграция технологий с Снижение времени обнаружения и Ускорить исправление и коррекцию и
немедленным взаимодействием расследования угроз и поддержка автоматизировать рабочие процессы
знания контекста для усиления безопасности
Построение платформы занимает время и
таланты инженеров
Started with Began acquiring Unified The most comprehensive integrated
foundational new technologies and networking cybersecurity platform on the planet
security solutions innovating at a rapid pace and security gets even better
2007 2009 2011 2013 2015 2017 2019 2021
Network Cloud Web Network Unified Threat Enterprise Firewall CASB Access Management
Segmentation Security Access Management Security Services Network Security Threat
Email Security Gateway Control VPN Policy Response
Web Security
Gateway
Malware Analysis Cloud Security SD-WAN Cloud Email
Endpoint Detection Traffic Analytics SD-Access Security
and Response Workload Protection Application Performance Supplements
NGIPS Management
DC Networking Cloud Analytics
Болл $6млрд в M&A Более 400 Непревзойденная широта

за последние 6 лет исследоваттелей угроз платформ
Extended Detection and Response
Приоритезация Автомати- Охота на
Автоматизированное обогащение угроз событий угроз зированное угрозы
и реагирование – SecOps реагирование
‣ Результат: Я хочу автоматизировать

реагирования угроз для того, чтобы
уменьшить общее время исправления после
инцидента
‣ Проблема: Процессы SOC и специфические
реакции реагирования сегодня
представляют в основном ручные процессы Оркестрация, Корреляция, Приоритезация
Duo, NGFW, Stealthwatch

AMP4E, Orbital
Email Umbrella, SASE Cloud
9
Представляем SecureX
Облачный, встроенный платформенный опыт в нашем портофолио
Cisco Secure Your Infrastructure
Network Endpoint 3rd Party/ITSM Intelligence
Cloud Applications Identity SIEM/SOAR
Unified Visibility
Detection Investigation Managed Orchestration

Analytics Remediation Policy Automation
Команды
SecOps ITOps NetOps
SecureX открывает новые ценности
для вашей организации
Интегрирована Унификация в Максимальная
и открыта для одном месте для операционная
простоты видимости эффективность
Включена за 15 минут, Снижение времени в Сохраняет сотни Снижение на 85%

в каждый продукт вы получите больше выгод два раза, часов времени реагирования
Cisco унифицируя видимость и на атаку и
от того, что вы уже имеете визуализации угроз в среде
автоматизируя рабочие восстановления после
процессы атаки
[1] Source: TechValidate [2] Source: Based on internal simulation

SecureX это полностью облачная платформа
безопасности
Интегрирована Унификация в Максимальная
и открыта для одном месте операционная
простоты для эффективность

видимости
Интеграция лента и Приборная Реагирование на Оркестрация

встроенная, подключение панель угрозы drag-drop GUI
надстроенная и без/почти без кода
никогда не лишает вас настраивается так, как в ядре платформы
собственная
контекста вы хотите
Поддерживается лучшей командой безопасности в
индустрии
Attack campaigns Public/private feeds Attacker attribution Reverse engineering
Malicious email Malicious files Outbreak filters AMP convictions
DNS entries Reputation Malicious URLs Virus/malware
Free and automatic if customer owns ANY product(s)
Cloud Web Email Endpoint Network
NGFW NGIPS DNS ISE Stealthwatch
Берите SecureX вместе с собой
The SecureX ribbon extension
• Простое подключение к
сторонни инструментам.
Извлекайте наблюдаемые
индикаторы в ленту из сторонних
инструментов и переходите к
расследованию.
• Начните расследование из
браузера за минуты. Это
реальное время для начала
использования. Быстро
запрашивайте узлы и выполняйте
ответные действия, не выходя из
браузера.
• Лучше взаимодействуйте с
командой безопасности.
Создавайте или добавляйте
обращения прямо из браузера и
делитесь ими с командой.
‣ Обзор SecureX
‣ Унификация безопасности с SecureX

dashboard
Программа ‣ Упрощение расследований с SecureX

threat response
‣ Максимизировать эффективность с
оркестрацией SecureX
‣ Интеграции
‣ Заключение
Продукты, интегрированные в SecureX
built-in SecureX
threat
capability orchestration dashboard ribbon sign-on
response
Cisco Secure integration
Cisco AMP for Endpoints ✓ ✓ ✓ ✓ ✓
⮑
Cisco Orbital (advanced search) ✓ ✓ ✓ ✓ ✓
⮑
Cisco Threat Grid (malware analytics) ✓ ✓ ✓ ✓
Cisco NGFW [1] ✓ ✓ [3] ✓
⮑
Cisco Defense Orchestrator ✓ ✓ ✓ ✓
Cisco Umbrella (cloud security) ✓ ✓ ✓ ✓ ✓
Cisco Email Security [2] ✓ ✓ [3,4] ✓ ✓
Cisco Web Security Appliance [2] ✓ ✓ [3] ✓
Cisco Stealthwatch (traffic analytics) ✓ ✓ [3] ✓ ✓
⮑
Cisco Stealthwatch Cloud ✓ ✓ ✓ ✓
Cisco Tetration (workload protection) ✓ [3,4] ✓
Cisco Duo (multi-factor authentication) ✓
Cisco Identity Services Engine (network access) ✓ [3]
Other Cisco & third-party infrastructure ✓ [3,4]
integrations [5]
Third-party security ✓ ✓ [6]
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public 16
Значимые интеграциии – это не просто syslog!
Сторонняя Cisco Сторонняя

Основная инфраструктура
безопасность инфраструктура инфраструктура
Операционные Сеть, взаимодействия, Управление IT сервисами, Инструменты разработки,
инструменты, источники server/app, платформы облачные/виртуальные системные интерфейсы,
инфо, защита управления платформы обмен данными etc.
инфраструктуры и мультиоблаками
видимость
UCS Director CloudCenter
ACI
HTTP SMTP SNMP …и другое!

SecureX бесшовно интегрируется в ваш SOC
Ваша среда Your SOC
сеть | пользователи и узлы Аналитики | охотники
облачная граница | приложения реагирование
Cisco Secure portfolio Cisco SecureX

2 2 панель | лента 4
threat response | оркестрация
Third-party security
Обогащение
и Playbooks (SOAR)
Cisco infrastructure реагирование
Потоки безопасности
Third-party infrastructure
1
SIEM
General infrastructure
3
Ваш ITOps и NOC
AMP for Endpoints
• Orbital
• Threat Grid
Umbrella
Интеграция SecureX с Firepower
портофолио Cisco • Defense Orchestrator

Email Security
Web Security
Stealthwatch Cloud
Stealthwatch Enterprise
Tetration
Partner Public 19

dashboard

threat response
На что похожа унифицированная видимость
Перед: “Мы крутимся на После: “Мы моментально видим
стуле, чтобы увидеть как то, что для нас важно” “Мы можем видеть метрики
можно больше консолей” ROI и операционные метрики
по многим продуктам в одной
Dashboard Integrations Orchestration Administration настраиваемой панели
управления
My apps and NetOps SecOps ITOps 🁢Customize
integrations “Мы никогда не теряем
News
MITRE ATT&CK контекст така лента
tactics detected следует за нами везде
где бы мы не
Talos Intel использовали продукты
Cisco”
Integrations
available
Мы можем попробовать
другие продукты в один
C2 blocked клик перед покупкой”
“Наш SOC получает

последнюю
информацию от самой
большой команды
исследователей угроз на
планете”
Новый уровень видимости с панелью управления
SecureX
• Приложения (слева)
Просмотр, запуск или тестирование
интегрированных продуктов
• Плитки (середина)
Представляет метрики и операционные
значения интегрированных продуктов
• Новости (справа)
Обновления продуктов, новости
индустрии и блог посты о безопасности
Понимание того, что важно с одного взгляда для всей вашей

инфраструктуры безопасности
Сделайте что хотите с настраиваемыми панелями
управления
• До 5 панелей на пользователя
• 60+ разноцветных плиток доступны для 12+

семейств продуктов Cisco Secure
• Настраивайте плитки по размещению,

размеру, времени, масштабу и т.д.
Лента SecureX (ribbon)
SecureX ribbon позволяет переносить наиболее релевантный контекст
безопасности и информацию об угрозах между всеми вашими продуктами
Передавайте информацию для функциональности: возьмите возможности

SecureX и ваших интегрированных продуктов с вами когда вы переходите в
другую продуктовую консоль. Пусть с вами всегда будут удобные инструменты
Объединяет продукты вместе и обеспечивает унифицированный опыт и

широкие возможности по реагированию для всех продуктов
Возможности кросс запуска: переходите в любой другой продукт прямо из

ленты
Приложения ribbon: SecureX как посредник, SecureX как поставщик или другие
продукты
Никогда не теряйте контекст с SecureX ribbon
Инциденты Найти наблюдения на странице
Casebook Запрос
Home узлов Search Settings
Max/Min
SecureX ribbon
SecureX ribbon
Доступные сейчас приложения SecureX:
Casebook Менеджер инцидентов Поиск Orbital

Собирает наблюдения в группы, назначает Простой список инцидентов безопасности на
Детализированная видимость свойств узла
кейсу имя и описание, собирает и сохраняет всех поддерживаемых продуктах, назначение,
с запросами с знакомом формате SQL с
заметки в кейс, добавляет другие открытие, закрытие и рабочие тикеты, быстрый
интуитивным графическим интегрфейсом
наблюдения в любое время, немедленно переход в действия расследования и
и каталог преднастроенных запросов для
видеть вердикты и предпринимать реагирования, автоматизированная
охоты на угрозы и реагирования на
действия, обмениваться кейсами с сортировка сохраняет время и снижает
инциденты.
персоналом. нагрузку
… больше приложений будет в будущем

dashboard

threat response
Как выглядит настоящая простота
Перед: 32 минуты После: 5 минут
1. IOC/alert SecureX threat response

интегрировано по всей
инфраструктуре безопасности
2. Расследование инциденты в разных консолях

Product Product Product Product
dashboard 1 dashboard 2 dashboard 3 dashboard 4
Email Malicious
Subject domain
Target endpoint SHA - 256

IP
3. Исправление через координацию нескольких команд
Product Product Product Product В одной консоле
dashboard 1 dashboard 2 dashboard 3 dashboard 4
Запрос инфо и Быстрая Исправление
телеметрии визуализация быстро из одного
из множества влияния угрозы в интерфейса
продуктов вашей среде
Ускорение расследований в SecureX
SecureX threat response
Агрегация и запрос глобальной инфо и
локального контекста с единым
отображением
Визуализация влияния угроз во всей

среде
Предпринять немедленные действия для

изоляции узлов и блокировки доменов,
URL или файлов
Автоматизированные процессы с
подтверждением для лучшего
взаимодействия
Увидеть и остановить атаки с помощью нескольких
кликов мыши
SecOps с SecureX threat response
Query intel
Визуализация and context
влияния угроз Email from your
адрес
в вашей сети вредоносный URL integrated
security
Message вредоносный
Target
Domain
Email
IP
IP
Получить Вредоносный 85% снижения
домен SHA-256 Сообщение
наблюдаемые времени
объекты из браузера реагирования и
в 1 клик исправления
Целевой
Подозрительный URL
узел
Блоги безопасности Изоляция узлов
целевая сеть Целевой SHA-256 Email
Cisco интерфейсы узел получателя Блокировка файлов
Сторонние интерфейсы Блокировка целевых
IP/доменов
Или вообще без кликов, с помощью автоматизации процесса
Ключевое приложения платформы SecureX
Реагирование в Объединяет инфо об угрозах, локализованный контекст безопасности и

зависимости от возможности реагирования – скоординированный стек доменов задач
безопасности
контекста и инфо
Снижение Enrich observables automatically across multiple sources and collate results into an
сложности intuitive format in one location
Открытая Integrate your existing Cisco Secure investments along with

платформа third party technologies.
Варианты использования
Охота на угрозы Реагирование на инциденты
• Шифровальщиков • Фишинг атак
Защитите вашу • Атак на сервера • Корпоративного шпионажа

организацию от • Безфайлового malware • IoT атак
• Криптомайнинга • Брешей в данных
Расследуйте с информацией, контекстом и реагированием

Информация Локальный контекст безопасности Response actions
Безопасность узлов Безопасность Облачная Block destinations

Инфо о malware узлов безопасность
Инфо об Internet Block files
Безопасность email Межсетевой экран
Isolate hosts
VirusTotal и другие
Аналитика
Веб безопасность
(Stealthwatch)
Наблюдения подозрительные Мы видели эти наблюдения? Где? Что я могу с этим сделать?
или вредоносные?
Какие узлы подключаются к домену/URL?
Наблюдения: 1 ) Хеш файла, 2) IP адрес, 3) Домен, 4) URL, 5) email адрес, и т.д.
Демистификация
SecureX:
Оркестратор
Agenda
• Почему оркестрация?
• Построение процессов
• SXO основы
• Адаптеры
• REST APIs
• Условия и логика циклов
• Переиспользование Workflows и Atomics
• Заключение
Автоматизация и оркестрация
Автоматизация
Возможность выполнения Оркестрация
индивидуальных повторяющихся задач. Упорядочивание и координация автоматизированных и
неавтоматизированных задач, в конце концов
создающее консолидированный процесс или workflow.
Зачем нужна автоматизация?
“Мне нужно быстрее развертывать новые сервисы; Клиент Зачем нужна оркестрация?
меня торопит.”
“У меня есть повторяющиеся задачи, которые мы выполняем “Я хочу объединить свои системы, чтобы
вручную - мне нужно высвободить людей для выполнения достичь непрерывного рабочего процесса,
другой работы с более высоким приоритетом.” отражающего жизненный цикл нашего сервиса
- запрос, реализация, поддержка, модификация,
“Мне нужно сделать более с меньшими затратами” вывод из эксплуатации..”
(уменьшение бюджета)
Поставщики предлагают множество
инструментов управления - одни предоставляют
услуги, другие - мониторинг - почему их нельзя
объединить в одно решение?
Представляем оркестрацию SecureX
Расследование Автоматизация
Сократите время исследования Устранение повторяющихся задач и
сокращение среднего времени
Простая
и отклика с помощью
восстановления, чтобы повысить
автоматизации рабочих производительность и
процессов и сценариев сосредоточиться на критически
автоматизация важных проектах.
процессов с
интерфейсом drag- Интеграция Масштабирование
drop no/low-code Уникальный подход для
быстрой интеграции с другими
Автоматизация, которая
бесконечно масштабируется и
системами и решениями для никогда не берет выходной
расширения вашего набора
инструментов
Оркестрация SecureX
Облачная , микросервисная
Start
архитектура с дизайном “API-first”
• Высокопроизводительная, Invoke
масштабируемая и безопасная 1 Target
• Переиспользуемая и встраиваемая Response
Интуитивный drag-drop UI с Invoke

визуальными процессами 2 Target
Response
Объединяет гибкие адаптеры для ~
создания новых интеграций Invoke
N Target
• Автоматизация заданий в Response
соответствии с расписанием или
внешними событиями
End
”Каждая битва выигрывается
ПЕРЕД ТЕМ
как происходит”
Sun Tzu
SecureX оркестрация: что мы будем делать если...?
Взломан
лаптоп Превышена
директора! пропускная
способность VPN
Вирус в нашей
Скомпрометированы
производственной Web сервера
цепочке!
Зачем нам нужны процессы
Close Case
Is user or
Open case computer Brew coffee Isolate host
important?
Take forensic
snapshot
Involve Get network

Desktop team flows for submit for
Human Network team ThreatGrid
Analysis compromised
Legal host analysis
Management
Recover host(s) Report Close Case
Процесс: ”Реагирование на взломанный IP”
Involve Team!
AD
Get user info from IP
ISE
Isolate host
AMP
Forensic snapshot
Create Report/Casebook
SecureX Orchestrator (SXO) “Expert-free”
Workflows
Drag-and-drop UI
“Stacked Activities”
Drag n’ Drop UI
Интеграция с Cisco и сторонними “Expert-free”
инструментами interoperability
“Expert-free”
Предварительные условия Workflows
Он бессерверный!
• Не обязательно знать:
• OS экспертиза: Linux/Windows
• Массу библиотек
Cross Department
• языки программирования: C, Java, C#, .....
• Очень полезно знать:

• Логика : ”if-then”, ”while true”
• Базовые понятия REST APIs и JSON
Доступ к SXO
• Прямой доступ из меню
• Создание или импорт Workflow...
Создайте собственный Workflow или

импорт Workflow
Окрестрация SXO
Слева: Компоненты, которые используются всеми workflows
Компоненты, релевантные для Workflows (1)
Когда запускать?
• Календарь
• Расписания
• События
Когда выполнять Workflow?
Вручную
• Из консоли SXO
• Из Threat Response
Когда выполнять Workflow?
Автоматически
• По расписанию
• Каждый день в 09.00
• По событию
• API вызов
Компоненты, релевантные для (2)
• Targets
Components used inside
• Account Keys
your workflow
• Variables
Account Keys
• Сохраняет учетные записи для
• AWS
• Email
• Git
• Google Cloud
• HTTP
• Meraki
• Microsoft Windows
• SNMP
• Terminal
• .....
Targets
• Цели активности
• HTTP
• AWS
• Google
• Git
• Meraki
• Microsoft
• POP3/SMTP
• SNMP
• Unix
• ....
Переменные
• Сохраняет данные определнного типа
• String: ”10.1.33.33” , ”hacke”
• SecureString: ”************”
• Boolean: true or false
• Integer: 1, 2, 3 ......
• Date Time
• Может быть глобальные
• Читаются или модифицируются любым workflow
• ...или локальные для Workflow
• только работают с workflow
Создание Worfklow: Adapters и Properties
Значимое имя
Adapters Workflow Properties
Workflow Properties: Category и Variables
• Category: Добавить ”response” для того,
чтобы использовать действие в CTR
• Переменные:
• Помните как CTIM представляет значение ip
{
”type”: “ip”,
“value”:”10.1.33.33”
}
Первая активность: подключите команду!
Display Name
Drag and Drop {

Adapter to Canvas }
{
}
Input
Properties
Определите ввод для ”Post Message to Room”
Store Necessary Adapter Information in
Adapter Type
SXO Global Veriables
*how to get Room ID and Access token, see

https://github.com/......
Выбор Variables из Global Variables
{
}
Выбор Input Variables из Workflow
Запуск Workflow
{
}
Workflow Editor
Threat Response
{
}
Просмотр запусков Workflow и Activities
{
}
Взаимодействие с произвольным REST APIs
• Возможность взаимодействовать с любоым REST APIs
• ... например – получить информацию из ISE и/или Active Directory?
”Пользователь важный?”
• Технический/медицинский термин: Triage
• Определенные пользователи более важны...
• IT админы (Active Directory, Cloud, WMware....)
• Разработчики!
• Техподдержка!
• CEO Personal Assistant
• CEO
• Finance, Sales
• ......
• Гости
Пример Middleware для доступа к ISE и AD
• Proof-of-concept для интеграции REST API
• https://github.com/drnop/RTCaaS
• IP адрес на входе, возвращает пользователя (из ISE) и User Info из AD
GET /getUserInfoFromIP?ip=10.1.33.33
200 OK
{ ”user”:”Garfield”, ”memberOf”:”cats”...}
LDAP
Get user info from IP REST API Middleware
pxGrid
JSON
• JSON передает произвольную информацию между системами
• Works with any environment and programming language
• Easy to read (and get the hang of)
POST /brewCoffe
{”mugs”:2,”type”:”expresso”}
200 OK
{ ”readyIn”:”2 mins”}
https://www.w3schools.com/js/js_json_intro.asp
JSON
{
• JSON передает произвольную "rtcResult": "OK",
"ad_info": {
информацию между различными "memberOf": [
"CN=Cats,CN=Users,DC=labrats,DC=se",
системами "CN=PostureCheck,OU=Lab,DC=labrats,DC=se",
"CN=CiscoSEs,OU=Users,OU=Cisco,DC=labrats,DC=se",
"CN=Network Configuration
• Работает в любой среде и с любой Operators,CN=Builtin,DC=labrats,DC=se"
],
системой "mail": "garfield@labrats.se",
"badPasswordTime": "2020-09-17 07:50:58.268549+00:00",
"lastLogon": "2020-11-24 08:53:32.617270+00:00",
• Легко читать... "badPwdCount": "0",
"userPrincipalName": "garfield@labrats.se",
"distinguishedName": "CN=garfield,DC=labrats,DC=se",
"sAMAccountName": "garfield"
},
"ise_info": {
"macAddress": "00:50:56:8B:95:4A",
"endpointOperatingSystem": "Windows 10 Enterprise",
"ctsSecurityGroup": "SGcats",
}
https://www.w3schools.com/js/js_json_intro.asp }
REST API: Получить User info из IP
Meaningful Display Name
{
}
{ Target
}
Drag and Drop

HTTP Request
{ Adapter to Canvas Relative URL
} ...ip=<variable for ip>
{
}
{ Method
}
REST API аутентификация
• Разные APIs используют разные методы
аутентификации
• Basic Authentication
• Cookies
• Bearer Tokens
• JWT
• Client certificates
• Proprietory...
Запуск Workflow и получение реакции
Copy the content of

Response Body
JSONPath запросы
• Язык для получения релевантной информации из JSON
• Tip: используйте инструмент, https://jsonpath.herokuapp.com/
Original JSON
{
{ }
}
Result
{
JSONPath Query
}
$.ad_info.memberOf
Получение информации из REST API Response (1)
Meaningful Display Name
{
} Drag and Drop
JSONPath Query
Adapter to Canvas
Source JSON to query ->

Output from previous activity
Получение информации из REST API Response (2)
{
} Drag and Drop
JSONPath Query
Adapter to Canvas
Запуск Workflow для получения результатов
Изоляция хоста
• Простая изоляция с AMP (если AMP установлен) или ISE (через
middleware)
Узнать AMP GUID из IP адреса
{
}
{
}
AMP Host Isolation
{
}
{
}
Создать отчет (Casebook)
• Отчет об инцидентах может быть обязателен (GDPR и т.д.)
• Что мы включаем в отчет
• Пользоветеля, AD groups, время логина...
• Device type, OS, location, SGT...
• Статус изоляции
• Линк на forensic snapshot
• ...
Ключ к успеху – это подготовка
• Определение процессов для сценариев ”what-if” критично
• Оркестрация SecureX позволяет автоматизировать процессы
• ...и это проще, чем вы думаете!
• Он бессерверный! не зависит от среды, языков программирования,
железа...
• Уже есть много интеграций!
• ...и вы можете создать свои!
Как быстро
получить
результат
Agenda
GitHub репозиторий Встроенные Workflows Создание своих

• Доступный контент • Варианты и примеры • Workflows
• Документация • Phishing Investigation • Atomic Actions
• Response Workflows
GitHub
репозиторий
Важное замечение
Весь контент в SecureX

Orchestration GitHub
предлагается “as-is” под
лицензией Cisco Sample
Code.
Orchestration Content Documentation
https://cs.co/SXO_repo https://cs.co/SXO_docs
#CiscoLive © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 86
Контент
https://cs.co/SXO_repo
• Atomic Actions
• Библиотека действий для разных продуктов
Workflow
• Включает как Cisco так и сторонние продукты
Atomic Action
• Workflows
• Различные варианты использование Proof of
Concept
• Примеры для определенных концепций
Orchestration Content Documentation
https://cs.co/SXO_repo https://cs.co/SXO_docs
#CiscoLive © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 88
Документация
https://cs.co/SXO_docs
• Широкий набор информации про оркестрацию включая:
• Как начать работать
• Концепции и терминология
• Руководства для различных примеров
• Документация процессов
Заключение
98% 95% 91%
Proven platform found the unified view
enables rapid threat
say that our security
platform helps them
find that our
security platform
with 9,000+ response take action helps their teams
and remediate collaborate more
customers
unlocking new
“I am able to visualize threats within my
value today with environment and take action in half the time it
SecureX used to take me.”
threat response —Security Engineer,
Large Enterprise Banking Company
In Summary…
Unlock new value from your current investments
From partial awareness to complete and

actionable insights
From inefficient workflows to the

strength of automation
From siloed product usage to shared

context
From complexity to simplicity
SecureX в классе
Глобальные threat hunting workshops

Вы можете запросить виртуальные классы для того,
чтобы пройти обучение на реальных атаках
Использует варианты использования

SecureX
Узнайте, как защититься от злоумышленников с помощью
платформы SecureX
Ресурсы
Документация интеграции UI документы GitHub
cs.co/SecureX_integration_workflows github.com/threatgrid/ctim/tree/master/doc github.com/CiscoSecurity
Ресурсы SecureX threat response
DevNet DevNet learning labs
• developer.cisco.com/threat-response/ • cs.co/CTR-API-labs
• cs.co/SecureX_integration_workflows
Ресурсы SecureX orchestration
Videos DevNet GitHub
cs.co/AOvideos developer.cisco.com/securex/orchestration github.com/CiscoSecurity
Thank you

Демистификация SecureX

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Демистификация SecureX

Загружено:

Авторское право:

Доступные форматы

Демистификация SecureX

• Обзор XDR и SecureX

Действия Успех Будущее

…и идти в ногу с бизнесом

Простота Видимость Эффективность

2007 2009 2011 2013 2015 2017 2019 2021

Болл $6млрд в M&A Более 400 Непревзойденная широта

‣ Результат: Я хочу автоматизировать

Duo, NGFW, Stealthwatch

Network Endpoint 3rd Party/ITSM Intelligence

Cloud Applications Identity SIEM/SOAR

Detection Investigation Managed Orchestration

простоты видимости эффективность

Включена за 15 минут, Снижение времени в Сохраняет сотни Снижение на 85%

[1] Source: TechValidate [2] Source: Based on internal simulation

простоты для эффективность

Интеграция лента и Приборная Реагирование на Оркестрация

Malicious email Malicious files Outbreak filters AMP convictions

DNS entries Reputation Malicious URLs Virus/malware

Free and automatic if customer owns ANY product(s)

Cloud Web Email Endpoint Network

NGFW NGIPS DNS ISE Stealthwatch

‣ Унификация безопасности с SecureX

Программа ‣ Упрощение расследований с SecureX

Сторонняя Cisco Сторонняя

UCS Director CloudCenter

HTTP SMTP SNMP …и другое!

Cisco Secure portfolio Cisco SecureX

портофолио Cisco • Defense Orchestrator

‣ Унификация безопасности с SecureX

Программа ‣ Упрощение расследований с SecureX

“Наш SOC получает

Понимание того, что важно с одного взгляда для всей вашей

• 60+ разноцветных плиток доступны для 12+

• Настраивайте плитки по размещению,

Передавайте информацию для функциональности: возьмите возможности

Объединяет продукты вместе и обеспечивает унифицированный опыт и

Возможности кросс запуска: переходите в любой другой продукт прямо из

Casebook Менеджер инцидентов Поиск Orbital

… больше приложений будет в будущем

‣ Унификация безопасности с SecureX

Программа ‣ Упрощение расследований с SecureX

1. IOC/alert SecureX threat response

2. Расследование инциденты в разных консолях

Target endpoint SHA - 256

Визуализация влияния угроз во всей

Предпринять немедленные действия для

Реагирование в Объединяет инфо об угрозах, локализованный контекст безопасности и

Открытая Integrate your existing Cisco Secure investments along with

• Шифровальщиков • Фишинг атак

Защитите вашу • Атак на сервера • Корпоративного шпионажа

SecureX threat response

Безопасность узлов Безопасность Облачная Block destinations

Наблюдения: 1 ) Хеш файла, 2) IP адрес, 3) Домен, 4) URL, 5) email адрес, и т.д.

автоматизация важных проектах.

Интуитивный drag-drop UI с Invoke

Involve Get network

Recover host(s) Report Close Case

• Очень полезно знать:

Создайте собственный Workflow или

Adapters Workflow Properties

Drag and Drop {

*how to get Room ID and Access token, see

Drag and Drop