Академический Документы
Профессиональный Документы
Культура Документы
Pavel Rodionov
Technical Solutions Architect. CCIE 11155, CISSP, GREM
prodiono@cisco.com
Организационная информация
• Начало в 10:00, окончание приблизительно в 15:00 по киевскому
времени
• Общение и вопросы осуществляется в Webex Room, подключиться к
которой можно по ссылке: https://eurl.io/#6vnevqAWY
• Также вопросы можно задавать в окне Q&A и в окне Chat
• Микрофоны у всех выключены принудительно
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Agenda
• 10:10 – 11:20. SecureX. Общая информация
• 11:20 – 11:30. Опросник
• 11:20 – 12:00. Подключение к лабораторным работам по оркестрации
• 12:00 – 12:45 Лабораторная работа №1
• 12:50 – 13:35 Лабораторная работа №2 (самостоятельно)
• 13:45 – 15:00 Лабораторная работа №3 (можно продолжать
самостоятельно!)
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public
Agenda
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
Платформенный подход уверенно решает
наиболее неприятные проблемы ИБ
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
Построение платформы занимает время и
таланты инженеров
Started with Began acquiring Unified The most comprehensive integrated
foundational new technologies and networking cybersecurity platform on the planet
security solutions innovating at a rapid pace and security gets even better
Network Cloud Web Network Unified Threat Enterprise Firewall CASB Access Management
Segmentation Security Access Management Security Services Network Security Threat
Email Security Gateway Control VPN Policy Response
Web Security
Gateway
Malware Analysis Cloud Security SD-WAN Cloud Email
Endpoint Detection Traffic Analytics SD-Access Security
and Response Workload Protection Application Performance Supplements
NGIPS Management
DC Networking Cloud Analytics
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
Extended Detection and Response
Приоритезация Автомати- Охота на
Автоматизированное обогащение угроз событий угроз зированное угрозы
и реагирование – SecOps реагирование
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
9
Представляем SecureX
Облачный, встроенный платформенный опыт в нашем портофолио
Cisco Secure Your Infrastructure
Unified Visibility
Команды
SecOps ITOps NetOps
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
SecureX открывает новые ценности
для вашей организации
Интегрирована Унификация в Максимальная
и открыта для одном месте для операционная
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
Поддерживается лучшей командой безопасности в
индустрии
Attack campaigns Public/private feeds Attacker attribution Reverse engineering
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
Берите SecureX вместе с собой
The SecureX ribbon extension
• Простое подключение к
сторонни инструментам.
Извлекайте наблюдаемые
индикаторы в ленту из сторонних
инструментов и переходите к
расследованию.
• Начните расследование из
браузера за минуты. Это
реальное время для начала
использования. Быстро
запрашивайте узлы и выполняйте
ответные действия, не выходя из
браузера.
• Лучше взаимодействуйте с
командой безопасности.
Создавайте или добавляйте
обращения прямо из браузера и
делитесь ими с командой.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
‣ Обзор SecureX
‣ Максимизировать эффективность с
оркестрацией SecureX
‣ Интеграции
‣ Заключение
Продукты, интегрированные в SecureX
built-in SecureX
threat
capability orchestration dashboard ribbon sign-on
response
Cisco Secure integration
Cisco AMP for Endpoints ✓ ✓ ✓ ✓ ✓
⮑
Cisco Orbital (advanced search) ✓ ✓ ✓ ✓ ✓
⮑
Cisco Threat Grid (malware analytics) ✓ ✓ ✓ ✓
Cisco NGFW [1] ✓ ✓ [3] ✓
⮑
Cisco Defense Orchestrator ✓ ✓ ✓ ✓
Cisco Umbrella (cloud security) ✓ ✓ ✓ ✓ ✓
Cisco Email Security [2] ✓ ✓ [3,4] ✓ ✓
Cisco Web Security Appliance [2] ✓ ✓ [3] ✓
Cisco Stealthwatch (traffic analytics) ✓ ✓ [3] ✓ ✓
⮑
Cisco Stealthwatch Cloud ✓ ✓ ✓ ✓
Cisco Tetration (workload protection) ✓ [3,4] ✓
Cisco Duo (multi-factor authentication) ✓
Cisco Identity Services Engine (network access) ✓ [3]
Other Cisco & third-party infrastructure ✓ [3,4]
integrations [5]
Third-party security ✓ ✓ [6]
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public 16
Значимые интеграциии – это не просто syslog!
ACI
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public 18
AMP for Endpoints
• Orbital
• Threat Grid
Umbrella
Интеграция SecureX с Firepower
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Partner Public 19
‣ Обзор SecureX
‣ Максимизировать эффективность с
оркестрацией SecureX
‣ Интеграции
‣ Заключение
На что похожа унифицированная видимость
Перед: “Мы крутимся на После: “Мы моментально видим
стуле, чтобы увидеть как то, что для нас важно” “Мы можем видеть метрики
можно больше консолей” ROI и операционные метрики
по многим продуктам в одной
Dashboard Integrations Orchestration Administration настраиваемой панели
управления
My apps and NetOps SecOps ITOps 🁢Customize
integrations “Мы никогда не теряем
News
MITRE ATT&CK контекст така лента
tactics detected следует за нами везде
где бы мы не
Talos Intel использовали продукты
Cisco”
Integrations
available
Мы можем попробовать
другие продукты в один
C2 blocked клик перед покупкой”
• Плитки (середина)
Представляет метрики и операционные
значения интегрированных продуктов
• Новости (справа)
Обновления продуктов, новости
индустрии и блог посты о безопасности
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
Сделайте что хотите с настраиваемыми панелями
управления
• До 5 панелей на пользователя
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
Лента SecureX (ribbon)
SecureX ribbon позволяет переносить наиболее релевантный контекст
безопасности и информацию об угрозах между всеми вашими продуктами
Приложения ribbon: SecureX как посредник, SecureX как поставщик или другие
продукты
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public 24
Никогда не теряйте контекст с SecureX ribbon
Инциденты Найти наблюдения на странице
Casebook Запрос
Home узлов Search Settings
Max/Min
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 25
SecureX ribbon
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public 26
SecureX ribbon
Доступные сейчас приложения SecureX:
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public 27
‣ Обзор SecureX
‣ Максимизировать эффективность с
оркестрацией SecureX
‣ Интеграции
‣ Заключение
Как выглядит настоящая простота
Перед: 32 минуты После: 5 минут
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
Ускорение расследований в SecureX
SecureX threat response
Агрегация и запрос глобальной инфо и
локального контекста с единым
отображением
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
Увидеть и остановить атаки с помощью нескольких
кликов мыши
SecOps с SecureX threat response
Query intel
Визуализация and context
влияния угроз Email from your
адрес
в вашей сети вредоносный URL integrated
security
Message вредоносный
Target
Domain
Email
IP
IP
Получить Вредоносный 85% снижения
домен SHA-256 Сообщение
наблюдаемые времени
объекты из браузера реагирования и
в 1 клик исправления
Целевой
Подозрительный URL
узел
Блоги безопасности Изоляция узлов
целевая сеть Целевой SHA-256 Email
Cisco интерфейсы узел получателя Блокировка файлов
Сторонние интерфейсы Блокировка целевых
IP/доменов
Или вообще без кликов, с помощью автоматизации процесса
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 31
Ключевое приложения платформы SecureX
Снижение Enrich observables automatically across multiple sources and collate results into an
сложности intuitive format in one location
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public 32
Варианты использования
SecureX threat response
Охота на угрозы Реагирование на инциденты
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
Расследуйте с информацией, контекстом и реагированием
Наблюдения подозрительные Мы видели эти наблюдения? Где? Что я могу с этим сделать?
или вредоносные?
Какие узлы подключаются к домену/URL?
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public 34
Демистификация
SecureX:
Оркестратор
Agenda
• Почему оркестрация?
• Построение процессов
• SXO основы
• Адаптеры
• REST APIs
• Условия и логика циклов
• Переиспользование Workflows и Atomics
• Заключение
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 36
Автоматизация и оркестрация
Автоматизация
Возможность выполнения Оркестрация
индивидуальных повторяющихся задач. Упорядочивание и координация автоматизированных и
неавтоматизированных задач, в конце концов
создающее консолидированный процесс или workflow.
Зачем нужна автоматизация?
“Мне нужно быстрее развертывать новые сервисы; Клиент Зачем нужна оркестрация?
меня торопит.”
“У меня есть повторяющиеся задачи, которые мы выполняем “Я хочу объединить свои системы, чтобы
вручную - мне нужно высвободить людей для выполнения достичь непрерывного рабочего процесса,
другой работы с более высоким приоритетом.” отражающего жизненный цикл нашего сервиса
- запрос, реализация, поддержка, модификация,
“Мне нужно сделать более с меньшими затратами” вывод из эксплуатации..”
(уменьшение бюджета)
Поставщики предлагают множество
инструментов управления - одни предоставляют
услуги, другие - мониторинг - почему их нельзя
объединить в одно решение?
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 37
Представляем оркестрацию SecureX
Расследование Автоматизация
Сократите время исследования Устранение повторяющихся задач и
сокращение среднего времени
Простая
и отклика с помощью
восстановления, чтобы повысить
автоматизации рабочих производительность и
процессов и сценариев сосредоточиться на критически
процессов с
интерфейсом drag- Интеграция Масштабирование
drop no/low-code Уникальный подход для
быстрой интеграции с другими
Автоматизация, которая
бесконечно масштабируется и
системами и решениями для никогда не берет выходной
расширения вашего набора
инструментов
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 38
Оркестрация SecureX
Облачная , микросервисная
Start
архитектура с дизайном “API-first”
• Высокопроизводительная, Invoke
масштабируемая и безопасная 1 Target
• Переиспользуемая и встраиваемая Response
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 39
”Каждая битва выигрывается
ПЕРЕД ТЕМ
как происходит”
Sun Tzu
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 41
SecureX оркестрация: что мы будем делать если...?
Взломан
лаптоп Превышена
директора! пропускная
способность VPN
Вирус в нашей
Скомпрометированы
производственной Web сервера
цепочке!
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 42
Зачем нам нужны процессы
Close Case
Is user or
Open case computer Brew coffee Isolate host
important?
Take forensic
snapshot
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 43
Процесс: ”Реагирование на взломанный IP”
Involve Team!
AD
Get user info from IP
ISE
Isolate host
AMP
Forensic snapshot
Create Report/Casebook
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 44
SecureX Orchestrator (SXO) “Expert-free”
Workflows
Drag-and-drop UI
“Stacked Activities”
Drag n’ Drop UI
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 45
Интеграция с Cisco и сторонними “Expert-free”
инструментами interoperability
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 46
“Expert-free”
Предварительные условия Workflows
Он бессерверный!
• Не обязательно знать:
• OS экспертиза: Linux/Windows
• Массу библиотек
Cross Department
• языки программирования: C, Java, C#, .....
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 47
Доступ к SXO
• Прямой доступ из меню
• Создание или импорт Workflow...
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 48
Окрестрация SXO
Слева: Компоненты, которые используются всеми workflows
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 49
Компоненты, релевантные для Workflows (1)
Когда запускать?
• Календарь
• Расписания
• События
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 50
Когда выполнять Workflow?
Вручную
• Из консоли SXO
• Из Threat Response
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 51
Когда выполнять Workflow?
Автоматически
• По расписанию
• Каждый день в 09.00
• По событию
• API вызов
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 52
Компоненты, релевантные для (2)
• Targets
Components used inside
• Account Keys
your workflow
• Variables
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 53
Account Keys
• Сохраняет учетные записи для
• AWS
• Email
• Git
• Google Cloud
• HTTP
• Meraki
• Microsoft Windows
• SNMP
• Terminal
• .....
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 54
Targets
• Цели активности
• HTTP
• AWS
• Google
• Git
• Meraki
• Microsoft
• POP3/SMTP
• SNMP
• Unix
• ....
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 55
Переменные
• Сохраняет данные определнного типа
• String: ”10.1.33.33” , ”hacke”
• SecureString: ”************”
• Boolean: true or false
• Integer: 1, 2, 3 ......
• Date Time
• Может быть глобальные
• Читаются или модифицируются любым workflow
• ...или локальные для Workflow
• только работают с workflow
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 56
Создание Worfklow: Adapters и Properties
Значимое имя
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 57
Workflow Properties: Category и Variables
• Category: Добавить ”response” для того,
чтобы использовать действие в CTR
• Переменные:
• Помните как CTIM представляет значение ip
{
”type”: “ip”,
“value”:”10.1.33.33”
}
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 58
Первая активность: подключите команду!
Display Name
{
}
Input
Properties
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 59
Определите ввод для ”Post Message to Room”
Store Necessary Adapter Information in
Adapter Type
SXO Global Veriables
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 60
Выбор Variables из Global Variables
{
}
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 61
Выбор Input Variables из Workflow
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 62
Запуск Workflow
{
}
Workflow Editor
Threat Response
{
}
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 63
Просмотр запусков Workflow и Activities
{
}
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 64
Взаимодействие с произвольным REST APIs
• Возможность взаимодействовать с любоым REST APIs
• ... например – получить информацию из ISE и/или Active Directory?
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 65
”Пользователь важный?”
• Технический/медицинский термин: Triage
• Определенные пользователи более важны...
• IT админы (Active Directory, Cloud, WMware....)
• Разработчики!
• Техподдержка!
• CEO Personal Assistant
• CEO
• Finance, Sales
• ......
• Гости
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 66
Пример Middleware для доступа к ISE и AD
• Proof-of-concept для интеграции REST API
• https://github.com/drnop/RTCaaS
• IP адрес на входе, возвращает пользователя (из ISE) и User Info из AD
GET /getUserInfoFromIP?ip=10.1.33.33
200 OK
{ ”user”:”Garfield”, ”memberOf”:”cats”...}
LDAP
Get user info from IP REST API Middleware
pxGrid
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 67
JSON
• JSON передает произвольную информацию между системами
• Works with any environment and programming language
• Easy to read (and get the hang of)
POST /brewCoffe
{”mugs”:2,”type”:”expresso”}
200 OK
{ ”readyIn”:”2 mins”}
https://www.w3schools.com/js/js_json_intro.asp
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 68
JSON
{
• JSON передает произвольную "rtcResult": "OK",
"ad_info": {
информацию между различными "memberOf": [
"CN=Cats,CN=Users,DC=labrats,DC=se",
системами "CN=PostureCheck,OU=Lab,DC=labrats,DC=se",
"CN=CiscoSEs,OU=Users,OU=Cisco,DC=labrats,DC=se",
"CN=Network Configuration
• Работает в любой среде и с любой Operators,CN=Builtin,DC=labrats,DC=se"
],
системой "mail": "garfield@labrats.se",
"badPasswordTime": "2020-09-17 07:50:58.268549+00:00",
"lastLogon": "2020-11-24 08:53:32.617270+00:00",
• Легко читать... "badPwdCount": "0",
"userPrincipalName": "garfield@labrats.se",
"distinguishedName": "CN=garfield,DC=labrats,DC=se",
"sAMAccountName": "garfield"
},
"ise_info": {
"macAddress": "00:50:56:8B:95:4A",
"endpointOperatingSystem": "Windows 10 Enterprise",
"ctsSecurityGroup": "SGcats",
}
https://www.w3schools.com/js/js_json_intro.asp }
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 69
REST API: Получить User info из IP
Meaningful Display Name
{
}
{ Target
}
{ Method
}
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 70
REST API аутентификация
• Разные APIs используют разные методы
аутентификации
• Basic Authentication
• Cookies
• Bearer Tokens
• JWT
• Client certificates
• Proprietory...
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 71
Запуск Workflow и получение реакции
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 72
JSONPath запросы
• Язык для получения релевантной информации из JSON
• Tip: используйте инструмент, https://jsonpath.herokuapp.com/
Original JSON
{
{ }
}
Result
{
JSONPath Query
}
$.ad_info.memberOf
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 73
Получение информации из REST API Response (1)
Meaningful Display Name
{
} Drag and Drop
JSONPath Query
Adapter to Canvas
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 74
Получение информации из REST API Response (2)
{
} Drag and Drop
JSONPath Query
Adapter to Canvas
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 75
Запуск Workflow для получения результатов
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 76
Изоляция хоста
• Простая изоляция с AMP (если AMP установлен) или ISE (через
middleware)
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 77
Узнать AMP GUID из IP адреса
{
}
{
}
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 78
AMP Host Isolation
{
}
{
}
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 79
Создать отчет (Casebook)
• Отчет об инцидентах может быть обязателен (GDPR и т.д.)
• Что мы включаем в отчет
• Пользоветеля, AD groups, время логина...
• Device type, OS, location, SGT...
• Статус изоляции
• Линк на forensic snapshot
• ...
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 80
Ключ к успеху – это подготовка
• Определение процессов для сценариев ”what-if” критично
• Оркестрация SecureX позволяет автоматизировать процессы
• ...и это проще, чем вы думаете!
• Он бессерверный! не зависит от среды, языков программирования,
железа...
• Уже есть много интеграций!
• ...и вы можете создать свои!
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 81
Как быстро
получить
результат
Agenda
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 83
GitHub
репозиторий
Важное замечение
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 85
Orchestration Content Documentation
https://cs.co/SXO_repo https://cs.co/SXO_docs
#CiscoLive © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 86
Контент
https://cs.co/SXO_repo
• Atomic Actions
• Библиотека действий для разных продуктов
Workflow
• Включает как Cisco так и сторонние продукты
Atomic Action
• Workflows
• Различные варианты использование Proof of
Concept
• Примеры для определенных концепций
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 87
Orchestration Content Documentation
https://cs.co/SXO_repo https://cs.co/SXO_docs
#CiscoLive © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 88
Документация
https://cs.co/SXO_docs
• Широкий набор информации про оркестрацию включая:
• Как начать работать
• Концепции и терминология
• Руководства для различных примеров
• Документация процессов
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 89
Заключение
98% 95% 91%
Proven platform found the unified view
enables rapid threat
say that our security
platform helps them
find that our
security platform
with 9,000+ response take action helps their teams
and remediate collaborate more
customers
unlocking new
“I am able to visualize threats within my
value today with environment and take action in half the time it
SecureX used to take me.”
threat response —Security Engineer,
Large Enterprise Banking Company
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 91
In Summary…
Unlock new value from your current investments
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 92
SecureX в классе
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 93
Ресурсы
Документация интеграции UI документы GitHub
cs.co/SecureX_integration_workflows github.com/threatgrid/ctim/tree/master/doc github.com/CiscoSecurity
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 94
Ресурсы SecureX threat response
DevNet DevNet learning labs
• developer.cisco.com/threat-response/ • cs.co/CTR-API-labs
• cs.co/SecureX_integration_workflows
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 95
Ресурсы SecureX orchestration
Videos DevNet GitHub
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Public 96
Thank you