LogRhythm Device Config - Cisco AMP and Umbrella - En.es PDF

Guías de configuración del dispositivo
Cisco AMP para puntos finales
Cisco Advanced Malware Protection (AMP) para puntos finales es una solución de seguridad de punto final de software como servicio basada en la nube. Los conectores
AMP se implementan en los puntos finales de Windows, Linux y Mac. Los eventos de los conectores AMP se reenvían a la implementación en la nube y, opcionalmente, a
un dispositivo de consola de administración de potencia (FMC) local.
Interfaz de programación de aplicaciones (API) de Cisco AMP
Cisco proporciona una API basada en REST para AMP que le permite extraer datos de un AMP para la implementación de Endpoints y
manipúlelo si es necesario. La documentación de la API de Cisco AMP se puede encontrar en https://api-docs.amp.cisco.com .
Es importante tener en cuenta que la API se basa en la ubicación y varía según el lugar donde reside su instancia de AMP.
Actualmente, existen tres regiones:
• NOS: api.amp.cisco.com
• Asia, Pacífico, Japón y China: api.apjc.amp.cisco.com
• Europa: api.eu.amp.cisco.com
También hay dos versiones de la API: v0 y v1. Esta guía usa v1.
Prerrequisitos
Potencia Shell
Para usar el script de colección proporcionado, debe ejecutar PowerShell 3.
• Para verificar su versión de PowerShell, ejecute:

$ PSVersionTable.PSVersion
• El script proporciona soporte de proxy basado en las credenciales del usuario que ejecuta el script. La cuenta que ejecuta el script requiere privilegios para
• ejecutar scripts de PowerShell en el host designado. Cualquier miembro del grupo Administradores puede ejecutar el siguiente comando para permitir que
se ejecuten scripts de PowerShell sin firmar:
política de conjunto-ejecución remotamente firmada
Sistema operativo
AMP for Endpoints es compatible con los siguientes sistemas operativos:
Microsoft
• Windows 7
• Windows 8, 8.1
• Windows 10
• Windows Server 2008 R2, 2012, 2012 R2, 2016
Linux
• Red Hat Enterprise Linux o CentOS 6.x 7.x
Cisco Log Collection 112

Androide
• Android 2.1 (Éclair) a 6.0 (Marshmallow)
manzana
• iOS 11 y posterior
• OSX 10.11
• MacOS 10.12, 10.13
Navegador
Para acceder a la consola AMP for Endpoints se necesita uno de los siguientes navegadores web:
• Microsoft Internet Explorer 10 o posterior Mozilla

• Firefox 14 o posterior Apple Safari 6 o posterior
• Google Chrome 20 o posterior
•
Lista de verificación de configuración del dispositivo
• Pasos de configuración del servidor AMP TETRA On-Prem Configure y administre exclusiones en AMP
• para puntos finales La implementación de Cisco AMP para puntos finales con persistencia de identidad El
• servicio del conector FireAMP no se detiene debido a que la protección del conector inicia escaneos
• programados en FireAMP / AMP para puntos finales
•
• La instalación y configuración del módulo AMP a través de AnyConnect 4.xy AMP Enabler actualizan un conector
• FireAMP en sistemas operativos Windows
Obtener Cisco AMP para eventos de punto final en LogRhythm
Este método usa el GET / v1 / eventos acción para recuperar los eventos AMP que se pueden ver en la consola AMP. Un script de PowerShell recupera los eventos haciendo
una llamada a la API para extraer el AMP para eventos de Endpoint en un archivo plano. La configuración dura aproximadamente 30 minutos.
Crear una cuenta de solo lectura de la API de AMP
Para usar el AMP para Endpoint API, debe configurar una credencial de API. La recopilación de eventos requiere una cuenta de API de solo lectura.
1) Inicie sesión en la consola de Cisco. Hacer clic Cuentas, y luego haga clic Credenciales
2) API.
3) En la página Credenciales de API, haga clic en Nueva credencial de API para crear un nuevo conjunto de claves. Aparece la página
Nueva credencial API.
4) En el campo Nombre de la aplicación, ingrese LogRhythm.

5) En el campo Alcance, seleccione Solo lectura.
6) Hacer clic Crear.
Aparece la página Detalles de la clave API.
7) Copie el ID de cliente de API de terceros y la información de clave de API en una ubicación segura, como un administrador de contraseñas o un archivo cifrado.

Tenga en cuenta las siguientes advertencias de Cisco:
• Las credenciales de API permiten que otros programas recuperen y modifiquen su Cisco AMP para datos de puntos finales. Es funcionalmente
equivalente a un nombre de usuario y contraseña, y debe tratarse como tal. Si sospecha que las credenciales de API para una aplicación se
• han visto comprometidas, elimínelas y cree otras nuevas. Al eliminar las credenciales de la API, se bloquea cualquier cliente que use las
antiguas, así que asegúrese de actualizarlas a las nuevas credenciales.
• Sus credenciales de API no se almacenan en texto sin formato y solo se pueden mostrar una vez. Si pierde las credenciales, debe
generar otras nuevas.
8) Regrese a la página de inicio de Cisco Console. Hacer clic Cuentas, y

9) luego haga clic Credenciales API.
Ahora debería ver la cuenta LogRhythm.
10) (Opcional) Puede ampliar los detalles de la cuenta y verificar el alcance de solo lectura haciendo clic en el + cuadro a la izquierda del nombre de la cuenta.
Configurar el host del monitor del sistema
Identifique el host del monitor del sistema para usar
Debe identificar qué host de Monitor de sistema LogRhythm recuperará Cisco AMP para eventos de punto final. El host requiere acceso a Internet a una de las
siguientes URL de API de Cisco. Si no está seguro de qué instancia de AMP está utilizando, inicie sesión en la consola de AMP y tome nota de la URL de la consola.
URL de la consola de Cisco AMP Ubicación
console.amp.cisco.com NOS
console.apjc.amp.cisco.com Asia, Pacífico, Japón y China
console.eu.amp.cisco.com Europa
Use la tabla a continuación para determinar qué URL y puerto específicos permitir desde el host LogRhythm System Monitor.
Ubicación de la instancia de Cisco AMP URL de API Puerto
NOS api.amp.cisco.com 443
Asia, Pacífico, Japón y China api.apjc.amp.cisco.com 443
Europa api.eu.amp.cisco.com 443
El host de LogRhythm System Monitor inicia la conexión de salida a la API de AMP. No se requiere conexión entrante.

Crear la estructura del directorio
1) En la máquina host de LogRhythm System Monitor, cree un directorio llamado AMP4EP en la carpeta LogRhythm System Monitor.
• Sistemas no HA: C: \ Archivos de programa \ LogRhythm \ LogRhythm System Monitor \

• Sistemas HA: D: \ LogRhythmHA \ LogRhythm System Monitor \
El script de PowerShell es compatible con HA, por lo que solo se completa cuando el host del Monitor del sistema en el que reside es el nodo activo.
Esto garantiza que solo el nodo activo recopila los eventos AMP y que los eventos, el estado y la información de registro se comparten entre los dos hosts
HA. Copia el AMP4EP.ps1 archivo a su directorio AMP4EP. Crear tres directorios ( Eventos, registro, y Estado) dentro del directorio AMP4EP.
2)
3)
Crear el archivo de credenciales
1) En la máquina host de LogRhythm System Monitor, ejecute el siguiente comando en una ventana del Administrador de PowerShell:
Debe ejecutar este comando desde la misma cuenta que ejecutará la tarea programada.
• Sistemas no HA: Obtener credencial | Export-Clixml -Path "C: \ Archivos de programa \ LogRhythm \ LogRhythm System Monitor \
AMP4EP \ $ {env: USERNAME} _cred.xml"
• Sistemas HA: Obtener credencial | Export-Clixml -Path "D: \ LogRhythmHA \ LogRhythm System Monitor \ AMP4EP \ $ {env: USERNAME} _cred.xml"
Aparece la ventana de credenciales.

2) En el campo Nombre de usuario, ingrese el ID de cliente API de terceros que generó en la Consola Cisco. En el campo Contraseña,
3) ingrese la clave API que generó en la Consola Cisco. Para crear el archivo de credenciales cifradas, haga clic en OKAY.
4)
5) Vaya al directorio AMP4EP y valide que < nombre-cuenta> _ El archivo cred.xml existe.
Crear la tarea programada
Los siguientes pasos se documentaron en función de un sistema Windows Server 2012 R2. Los pasos para otras versiones de Windows pueden diferir ligeramente.
Cree una tarea programada para ejecutar el script de PowerShell AMP4EP.ps1 cada 1 minuto. Como la secuencia de comandos reside en el directorio de
LogRhythm System Monitor, la tarea debe configurarse para ejecutarse en una cuenta que tenga permisos de administrador o una cuenta con permisos
específicos para el directorio AMP4EP creado anteriormente.
1) En la máquina host de LogRhythm System Monitor, abra el Programador de tareas (presione el Windows + R teclas, ingrese
taskchd.msc, y luego haga clic OKAY).
2) En el panel izquierdo, haga clic derecho Programador de tareas, y luego haga clic Crear tarea básica.
Aparece el Asistente para crear una tarea básica. Ingrese la siguiente

3) información y luego haga clic Próximo.

Parámetro Valor
Nombre LogRhythm Cisco AMP4EP
Descripción Esta tarea llamará al script AMP4EP.ps1 cada 1 minuto para recuperar cualquier nuevo Cisco AMP para
eventos de Endpoint.
4) En el menú de la izquierda, haz clic en Desencadenar, Seleccione Diario, y luego haga clic Próximo.
5) En la ventana diaria, haga clic en próximo para aceptar los valores predeterminados. En la ventana Acción,
6) seleccione Comience un programa, y luego haga clic Próximo.
7) En la ventana Iniciar un programa, ingrese los siguientes detalles en los cuadros de texto. Edite el "<cuenta-
nombre> _cred.xml ”valor toma el nombre del archivo de credenciales creado anteriormente. Deja el comienzo en
(opcional): campo en blanco.
• Sistemas no HA:
Parámetro Valor
Programa / guión potencia Shell
Agregar argumentos (opcional): - comando "& 'C: \ Archivos de programa \ LogRhythm \ LogRhythm System Monitor \
AMP4EP \ AMP4EP.ps1' -CredentialsFile 'C: \ Program Files \ LogRhythm \ LogRhythm
System Monitor \ AMP4EP \ <account- name> _cred.xml'"
• Sistemas HA:
Parámetro Valor
Programa / guión potencia Shell
Agregar argumentos (opcional): - comando "& D: \ LogRhythmHA \ LogRhythm System Monitor \ AMP4EP \
AMP4EP.ps1 '-CredentialsFile' D: \ LogRhythmHA \ LogRhythm System Monitor \
AMP4EP \ <account- name> _cred.xml '"
8) Hacer clic Próximo.
9) En la ventana Resumen, seleccione el Abra el cuadro de diálogo Propiedades para esta tarea cuando haga clic en Finalizar casilla de verificación y luego haga clic Terminar.
Aparece la ventana LogRhythm Cisco AMP4EP Task Properties. En la pestaña General,

10) seleccione Ejecutar si el usuario ha iniciado sesión o no.
11) Selecciona el No almacenar contraseña casilla de verificación Haga clic en el Disparadores pestaña, seleccione el Diario
12) disparador, y luego haga clic Editar.
Aparece la ventana Editar disparador. En la sección Configuración avanzada, seleccione el Repita la tarea cada casilla de verificación y luego seleccione 1
13) minuto.
14) En el campo para una duración de, seleccione Indefinidamente.
15. Para aceptar los cambios, haga clic en OKAY, y luego haga clic Okay de nuevo.

Para verificar que la tarea se ha creado, haga clic en el Biblioteca del programador de tareas icono y compruebe que la tarea LogRhythm Cisco AMP4EP
dieciséis.
aparece en la lista de tareas. Cuando se ejecuta la Tarea de programación, cualquier evento nuevo se escribe en:
• Sistemas no HA: C: \ Archivos de programa \ LogRhythm \ LogRhythm System Monitor \ AMP4EP \ Events \ AMP4EP.txt
• Sistemas HA: D: \ LogRhythmHA \ LogRhythm System Monitor \ AMP4EP \ Events \ AMP4EP.txt Además, se crea
un registro para solucionar problemas en:
• Sistemas no HA: C: \ Archivos de programa \ LogRhythm \ LogRhythm System Monitor \ AMP4EP \ Log \ AMP4EP.log
• Sistemas HA: D: \ LogRhythmHA \ LogRhythm System Monitor \ AMP4EP \ Log \ AMP4EP.log
Configurar los registros
Crear el tipo de fuente de registro personalizado
1) Inicie sesión en la consola del cliente LogRhythm.
2) En la barra de herramientas principal, haga clic en Gerente de implementación.
3) Haga clic en el Herramientas menú, haga clic Conocimiento, y luego haga clic Administrador de tipo de origen de registro.
Aparece el Administrador de tipo de origen de registro. Haga clic en el
4) signo más verde en la parte superior de la página. Complete los
5) siguientes campos:
• Nombre. Archivo plano - Cisco AMP para puntos finales
• Abreviatura. Cisco AMP4EP

• Formato de registro Archivo de texto
• Breve descripción. Cisco AMP para puntos finales
6) Hacer clic OKAY.
Crear la política de procesamiento de registros
1) En la barra de herramientas principal, haga clic en Gerente de implementación.
2) Haga clic en el Políticas de procesamiento de registros lengüeta.
3) Hacer clic Expediente, y luego haga clic Nuevo.
Aparece el selector de tipo de origen de registro. En el Filtro de tipo
4) de registro, seleccione Personalizado.
5) Selecciona el Archivo plano - Cisco Amp para Endpoint tipo de fuente de registro.
Si la lista es larga, use las opciones de filtrado en la parte superior del panel.
6) Hacer clic OKAY.
Aparece el Editor de políticas MPE. Ingrese

7) la siguiente informacion:
• Nombre. LogRhythm Default

• Breve descripción. Cisco AMP para puntos finales
8) Hacer clic OKAY.

Crear las reglas de procesamiento de MPE
La importación de las Reglas de procesamiento de MPE está más allá del alcance de este documento y requiere la asistencia de los Servicios profesionales de
LogRhythm. Las Reglas de procesamiento de MPE se agregarán a una versión futura de Knowledge Base, que negará el requisito de importar las reglas.
Regla base Expresión regular
Para fines informativos, la expresión regular de la regla base se proporciona a continuación. La regla base solo funciona en LogRhythm versión 7.2 y
posterior.
^. *? "Event_Type = (? <vendorinfo> [^"] +) "," Event_TypeID = (? <vmid> [^ "] +)" (, "Detection = (? <Thr eatname> [^"] +)? ")? (," DetectionID = (? <threatid> [^ "] +)?")? (,
"Group_GUIDs [^"] + ")? (," Comput er_Connector_GUID [^ "] +") ? (, "Computer_Hostname = (? <sname> [^"] +)? ")? (," Computer_External_ IP = (? <snatip> [^ "] +)?")? (,
"Computer_User = (? < inicio de sesión> [^ "] +)?")? (, "Computer_Active [^"] + ")? (, "Network_Addr_IP = (? <sip> [^"] +)? ")? (," Network_Addr_MAC = (? <smac> [^ "] +)?")? (,
"Links_Computer [^"] + ")? (," Links_Trajectory [^ "] +")? (, "Links_Group [^"] + ")? (," File_Disposition [^ "] +")? (, "File_Name = (? <objeto> [^ "] +)?")? (, "File_Path = (?
<parentprocesspath> [^"] +)? ")? (," File_Identity_SHA1 [^ "] +")? (, "File_Identity_SHA256 = (? < hash> [^ "] +)?")? (, "File_Parent_Disposition [^"] + ")? (,"
File_Parent_File_Name [^ "] +")? (, "File_Parent_Identity_SHA1 [^"] + ")? (, "Fil e_Parent_Identity_SHA256 [^"] + ")? (," Scan_Description = (? <subject> [^ "] +)?")? (,
"Scan_Clean = (? <result> [^"] +)? ") ? (, "Scanned_Files [^"] + ")? (," Scanned_Processes [^ "] +")? (, "Scanned_Paths [^"] + ")? (, "Malicious_Detections [^"] + ")? (,"
Vuln_Name = (? <objectname> [^ "] +)?")? (, "Vuln_Version = (? <version> [^"] +)? " )? (, "Vuln_CVEs = (? <cve> [^"] +)? ")? (,"
+ ) ? ")? (," Local_IP = (? <sip> [^ "] +)?")? (, "Local_Port = (? <sport> [^"] +)? ")? (," IOC_Desc [^ "] +")? (, "IOC_Short_Desc [^"] + ")?
Asignaciones de campo de metadatos
La siguiente tabla detalla los campos de registro de Cisco AMP for Endpoints para las asignaciones de campo de metadatos LogRhythm. Esto es útil para saber qué
datos se analizan del registro AMP en LogRhythm.
Nombre de campo de Cisco AMP Campo de metadatos LogRhythm Valor / Tipo de datos
Tipo de evento <información del proveedor> Información del vendedor
Event_TypeID <vmid> ID del mensaje del proveedor
Detección <nombre de amenaza> Nombre de amenaza
ID de detección <amenaza> ID de amenaza
Computer_Hostname <nombre> Nombre de host de origen
Computer_User <login> Iniciar sesión

Nombre de campo de Cisco AMP Campo de metadatos LogRhythm Valor / Tipo de datos
Network_Addr_IP <snatip> Host de origen
Network_Addr_MAC <smac> Dirección MAC de origen
Nombre del archivo <proceso> Proceso
Ruta de archivo <objeto> Objeto
File_Identity_SHA1 o <hash> Valor hash
File_Identity_SHA256
File_Parent_File_Name <parentprocessname> Nombre del proceso principal
Vuln_CVEs <cve> CVE
Dirty_URL <url> URL
IP remota <dip> IP impactada
Puerto remoto <dport> Puerto afectado
Local_IP <sip> IP de origen
Local_Port <deporte> Puerto de origen
Eventos comunes personalizados
Se crearon varios eventos comunes personalizados para proporcionar un contexto adicional al AMP para los datos de puntos finales:
Nombre de evento común Clasificación Calificación de riesgo
Análisis requerido Operaciones / Información 7 - Alto-bajo
Falla borrada Operaciones / Información 0 - Sin calificación
Información de escaneo de COI Operaciones / Información 0 - Sin calificación
Reinicio aconsejado Operaciones / Información 2 - Bajo-Medio

Nombre de evento común Clasificación Calificación de riesgo
Reinicio requerido Operaciones / Información 3 - Bajo-Alto
Reinicio completado Operaciones / Información 0 - Sin calificación
Escaneo completado - Sin detecciones Operaciones / Información 0 - Sin calificación
Falla menor planteada Operaciones / Advertencia 5 - Medio-Medio
Falla mayor planteada Operaciones / error 7 - Alto-bajo
Desinstalar fallido Operaciones / error 7 - Alto-bajo
Falla crítica planteada Operaciones / Crítico 9 - Alto-Alto
COI genérico Seguridad / Actividad 7 - Alto-bajo
Posible actividad de ransomware Seguridad / Malware 9 - Alto-Alto
Aplicación vulnerable detectada Seguridad / Vulnerabilidad 9 - Alto-Alto
Amenaza detectada Seguridad / Vulnerabilidad 9 - Alto-Alto
Amenaza en cuarentena Seguridad / Actividad fallida 2 - Bajo-Medio
Elemento en cuarentena eliminado Seguridad / Otra seguridad 1 - Bajo-Bajo
Error de actualización de política Auditoría / Otra falla de auditoría 3 - Bajo-Alto
Información de la regla de MPE
La siguiente tabla detalla la base de MPE y la información de la regla secundaria.
Nombre Clasificación sobre Evento Forwar d Calificación Valor Descripción

Común como de riesgo VMID
evento
Compromiso de Seguridad / Amenaza CIERTO 9- 110729 Adobe Reader descargó y ejecutó un archivo
Adobe Reader Vulnerabilidad detectada Alto-Alto 6261 ejecutable portátil sospechoso.


evento
Adobe Reader lanzó Seguridad / Actividades CIERTO 6- 110729 Adobe Reader ejecutó una aplicación
un Shell sospechoso sospechosas Medio-alto 6266 desconocida, que a su vez lanzó un shell de
comandos.
Todas las operaciones eliminadas por fallas Falla borrada FALSO 0 - Sin 553648 Todas las fallas han sido borradas.
/ Información calificación 197
Amenaza personalizada de Seguridad / Amenaza CIERTO 9- 109052 Se encontró un APK que coincide con una detección
APK detectada Vulnerabilidad detectada Alto-Alto 4041 personalizada simple de Android en este sistema.
APK Amenaza Seguridad / Amenaza CIERTO 9- 109052 Se encontró una amenaza en este sistema.
detectada Vulnerabilidad detectada Alto-Alto 4040
Compromiso de Apple Seguridad / Amenaza CIERTO 9- 110729 QuickTime de Apple descargó y ejecutó un
QuickTime Vulnerabilidad detectada Alto-Alto 6270 archivo ejecutable portátil sospechoso.
Apple QuickTime lanzó Seguridad / Actividades CIERTO 6- 110729 Apple QuickTime ejecutó una aplicación
comandos.
Solicitud Operaciones / Información FALSO 0 - Sin 570425 Se autorizó una solicitud.

autorizada general calificación 398
Información
Solicitud Operaciones / Información FALSO 0 - Sin 570425 Una aplicación fue desautorizada.
desautorizada general calificación 399
Información
Solicitud Operaciones / Información FALSO 0 - Sin 570425 Una aplicación fue dada de baja.
registrada general calificación 397
Información


evento
Solicitud Operaciones / Información FALSO 0 - Sin 570425 Se ha registrado una solicitud.

registrada general calificación 396
Información
Intento de Seguridad / Cuarentena FALSO 0 - Sin 553648 Intentando eliminar un elemento de la

eliminación de Actividad calificación 151 cuarentena,
cuarentena
Cisco AMP4EP - Operaciones / Análisis CIERTO 7- - Si la regla base coincide, entonces el registro no
Regla base requerido Alto-Bajo tiene una sub-regla creada para ella. Utilice las
Información
etiquetas <vmid> y <vendorinfo> para crear una.
Intento de cuarentena Operaciones / Información FALSO 0 - Sin 553648 Se intentó una cuarentena retrospectiva y se
de recuperación de la general calificación 155 completó con éxito.
Información
nube
Intento de cuarentena de Operaciones / Advertencia FALSO 3- 216426 Se intentó una cuarentena retrospectiva y falló.
recuperación de la nube Advertencia general Medio-Medio 0893 Lo más probable es que la ubicación original ya
falló no exista.
Retirada de la nube Operaciones / Información FALSO 0 - Sin 553648 Se intentó una cuarentena retrospectiva
Cuarentena de falsos general calificación 147 para un falso negativo.
Información
negativos
Cuarentena de Operaciones / Información FALSO 0 - Sin 553648 Una cuarentena retrospectiva se

recuperación en la general calificación 155 completó con éxito.
Información
nube exitosa
Restauración de Operaciones / Información FALSO 0 - Sin 553648 Una restauración retrospectiva se completó con
recuperación de nube general calificación 154 éxito.
Información
desde cuarentena
Restauración de Operaciones / Advertencia FALSO 3- 216426 Se intentó una restauración retrospectiva y falló. Lo
recuperación de nube Advertencia general Medio-Medio 0892 más probable es que la ubicación original ya no
de cuarentena fallida exista.


evento
Restauración de la Operaciones / Información FALSO 0 - Sin 553648 Un archivo que alguna vez se pensó que era malicioso se
recuperación de la nube de general calificación 146 marcó como limpio y restaurado.
Información
falsos positivos
Incidente Seguridad / Amenaza CIERTO 9- 110729 Cisco Cognitive Threat Analytics ha detectado una
Cognitivo Vulnerabilidad detectada Alto-Alto 6285 amenaza.
Conexión al Seguridad / Actividades CIERTO 6- 110729 La computadora ha realizado una conexión saliente a
dominio sospechoso sospechosas Medio-alto 6277 un dominio que es similar a los dominios generados
sospechoso aleatoriamente utilizados por algunos sistemas de
comando y control de malware.
Falla crítica Operaciones / Falla crítica CIERTO 9- 216426 Se ha planteado una falla crítica.
planteada Crítico planteada Alto-Alto 0931
Amenaza DFC Seguridad / Amenaza CIERTO 9- 109051 DFC ha detectado una conexión.
detectada Vulnerabilidad detectada Alto-Alto 9084
Email Operaciones / Mensaje de correo FALSO 0 - Sin 1003 Enviado cuando se crea una cuenta de usuario.
Confirmación electrónico enviado calificación
Información
Error de actualización de Operaciones / Error de actualización FALSO 7- 216426 La configuración de IOC de punto final ha fallado
configuración de IOC de error de configuración Alto-Bajo 0911
punto final
Endpoint IOC Auditoría / Configuración FALSO 2 - Bajo-Medio 553648 La configuración de IOC de punto final se actualizó
Configuration Update Configuración modificada: 176 correctamente.
Success aplicación
Error de actualización de Operaciones / Actualización fallida VERDADERO 7- 216426 Actualización de la definición de IOC de punto final Falló.
definición de IOC de error Alto-Bajo 0914

punto final
Endpoint IOC Auditoría / Firmas FALSO 2 - Bajo-Medio 553648 La definición de IOC de punto final se actualizó
Definition Update Configuración actualizadas 179 correctamente.
Success


evento
Endpoint IOC Scan Seguridad / Amenaza FALSO 9- 109156 Un análisis de IOC de punto final ha completado y
completado con Vulnerabilidad detectada Alto-Alto 7670 detectado elementos maliciosos.
detecciones
Endpoint IOC Scan Operaciones / Escaneo completado FALSO 0 - Sin 554696 Se ha completado un escaneo de IOC de punto
completado, sin - Sin detecciones calificación 757 final sin detectar nada malicioso.
Información
detecciones
Resumen de detección de Operaciones / Información de FALSO 0 - Sin 109051 Resumen de detección de escaneo de IOC de punto final
escaneo de IOC de punto escaneo de COI calificación 9089

Información
final
Análisis de punto final Operaciones / Error de proceso de CIERTO 7- 216530 La exploración del punto final IOC falló.
IOC fallido error escaneo Alto-Bajo 9495
Endpoint IOC Scan Operaciones / Escaneo iniciado FALSO 0 - Sin 554696 Endpoint IOC Scan Comenzado.
Comenzado calificación 756
Información
Malware Seguridad / Actividad de CIERTO 9- 110729 La computadora ejecutó malware

ejecutado Malware malware Alto-Alto 6272 conocido.
detectada
Ejecución Seguridad / Aplicación CIERTO 0 - Sin 553648 Se bloqueó la ejecución de una aplicación.
bloqueada Actividad bloqueada calificación 168
fallida
Prevención de Seguridad / Amenaza CIERTO 0 - Sin 109051 Se evitó la ejecución de un exploit.

exploits Actividad bloqueada calificación 9103
fallida
Error al eliminar de la Operaciones / Error de FALSO 7- 216426 Un elemento en cuarentena no se eliminó

cuarentena error cuarentena Alto-Bajo 0889 correctamente de la cuarentena.
Falla borrada Operaciones / Falla borrada FALSO 0 - Sin 553648 Se ha solucionado un error.
calificación 196
Información


evento
Fetch de archivo Operaciones / Información FALSO 0 - Sin 553648 La solicitud de un archivo remoto fue
completado general calificación 173 exitosa.
Información
Operaciones fallidas de recuperación de archivos Información FALSO 0 - Sin 216426 La solicitud de un archivo remoto falló.
/ Información general calificación 0910
Restablecimiento de Operaciones / Cambio de CIERTO 0 - Sin 1004 Enviado cuando un usuario olvida la contraseña.
contraseña olvidada contraseña calificación

Información
solicitado
COI genérico Seguridad / COI genérico CIERTO 3- 110729 Comportamiento sospechoso que indica un posible
Actividad Bajo-Alto 6274 compromiso de la computadora.
Falla de instalación Operaciones / Instalación fallida FALSO 7- 216426 Una instalación ha fallado.
error Alto-Bajo 0895
Instalar iniciado Operaciones / Instalar iniciado FALSO 0 - Sin 553648 Una instalación ha comenzado.
calificación 158
Información
Java Seguridad / Amenaza CIERTO 9- 110729 El complemento Java descargó y ejecutó un

Compromiso Vulnerabilidad detectada Alto-Alto 6260 archivo ejecutable portátil sospechoso.
Java lanzó un shell Seguridad / Actividades CIERTO 6- 110729 Java ejecutó una aplicación desconocida, que a
sospechoso sospechosas Medio-alto 6265 su vez lanzó un shell de comandos.
Falla mayor Operaciones / Falla mayor CIERTO 7- 109051 Se ha planteado una falla importante.
planteada error planteada Alto-Bajo 9107
Compromiso de Seguridad / Actividades CIERTO 6- 110729 Microsoft Calculator descargó y ejecutó un

Microsoft sospechoso sospechosas Medio-alto 6275 archivo ejecutable portátil sospechoso.
Calculator


evento
Compromiso de Seguridad / Amenaza CIERTO 9- 110729 La Ayuda de Microsoft descargó y ejecutó un

Microsoft CHM Vulnerabilidad detectada Alto-Alto 6281 ejecutable portátil sospechoso.
Compromiso de Seguridad / Amenaza CIERTO 9- 110729 Microsoft Excel descargó y ejecutó un archivo
Microsoft Excel Vulnerabilidad detectada Alto-Alto 6263 ejecutable portátil sospechoso.
Microsoft Excel lanzó Seguridad / Actividades CIERTO 6- 110729 Microsoft Excel ejecutó una aplicación
comandos.
Compromiso del Bloc Seguridad / Actividades CIERTO 6- 110729 Microsoft Notepad descargó y ejecutó un archivo
de notas de Microsoft sospechoso sospechosas Medio-alto 6276 ejecutable portátil sospechoso.
Compromiso de Seguridad / Amenaza CIERTO 9- 110729 Microsoft PowerPoint descargó y ejecutó un

Microsoft Vulnerabilidad detectada Alto-Alto 6264 archivo ejecutable portátil sospechoso.
PowerPoint
Microsoft PowerPoint Seguridad / Actividades CIERTO 6- 110729 Microsoft PowerPoint ejecutó una aplicación
lanzó un Shell sospechoso sospechosas Medio-alto 6269 desconocida, que a su vez lanzó un shell de
comandos.
Compromiso de Seguridad / Amenaza CIERTO 9- 110729 Microsoft Word descargó y ejecutó un archivo
Microsoft Word Vulnerabilidad detectada Alto-Alto 6262 ejecutable portátil sospechoso.
Microsoft Word lanzó Seguridad / Actividades CIERTO 6- 110729 Microsoft Word ejecutó una aplicación
comandos.
Falla menor Operaciones / Falla menor FALSO 3- 553648 Se ha planteado una falla menor.
planteada Advertencia planteada Medio-Medio 195
Múltiples archivos infectados Seguridad / Amenaza CIERTO 9- 110729 Múltiples archivos infectados indican que varios archivos
Vulnerabilidad detectada Alto-Alto 6257 en una computadora están intentando descargar malware.


evento
Contraseña se ha Operaciones / Realizar CIERTO 0 - Sin 1005 Una exploración ha completado y detectado elementos
restablecido cambio de calificación maliciosos.

Información
contraseña
Actualización de política Auditoría / Política FALSO 2 - Bajo-Medio 553648 Se le ha dicho a un agente que busque la política.
Política modificada: 130

auditoría
Error de actualización de Auditoría / Otra Error de actualización de CIERTO 3- 216426 La actualización de una política falló y la política
política falla de auditoría política Bajo-Alto 0866 no se aplicó con éxito.
Posible Seguridad / Amenaza CIERTO 9- 110729 Las posibles infecciones por cuentagotas indican que un
infección por Vulnerabilidad detectada Alto-Alto 6258 solo archivo intenta repetidamente descargar malware en
cuentagotas una computadora.
Ransomware Seguridad / Posible actividad CIERTO 9- 110729 Esta computadora puede estar infectada con
potencial Malware de ransomware Alto-Alto 6284 ransomware.
Potencial Seguridad / Posible actividad CIERTO 9- 110729 Esta computadora puede haber sido comprometida
Webshell Malware de puerta trasera Alto-Alto 6283 otorgando acceso remoto.
Actualización de producto Auditoría / Software FALSO 2 - Bajo-Medio 553648 Una actualización del producto se ha completado con
completada Configuración actualizado 136 éxito.
Error de actualización del Operaciones / Actualización fallida VERDADERO 7- 553648 Ha fallado una actualización del producto.
producto error Alto-Bajo 137
Actualización de producto Operaciones / Proceso de FALSO 0 - Sin 553648 Una actualización del producto ha comenzado.
iniciada actualización calificación 135

Información
iniciado
Fracaso de Operaciones / Error de CIERTO 7- 216426 Una amenaza detectada no se puso en cuarentena con
cuarentena error cuarentena Alto-Bajo 0880 éxito.


evento
Artículo de cuarentena Operaciones / Elemento en FALSO 0 - Sin 553648 Un elemento en cuarentena se ha

eliminado cuarentena eliminado calificación 152 eliminado con éxito.
Información
Artículo de cuarentena Seguridad / Cuarentena CIERTO 0 - Sin 553648 Se ha retirado una solicitud restaurada a su
restaurado Actividad calificación 149 ubicación original.
Solicitud de Operaciones / Error de CIERTO 7- 218103 No se envió con éxito una solicitud para restaurar un
cuarentena no se error cuarentena Alto-Bajo 8130 elemento de la cuarentena.
pudo entregar
Restauración de Operaciones / Error de CIERTO 7- 216426 Un artículo que se solicitó que se restaurara a su
cuarentena fallida error cuarentena Alto-Bajo 0884 ubicación original no se pudo restaurar.
Restauración de Seguridad / Cuarentena CIERTO 0 - Sin 570425 Se ha realizado una solicitud para mover un archivo
cuarentena Actividad calificación 394 de Cuarentena a su ubicación original.
solicitada
Restauración de Seguridad / Cuarentena CIERTO 0 - Sin 553648 Se intentó restaurar un archivo de Cuarentena.
cuarentena iniciada Actividad calificación 150
Elemento en Seguridad / Elemento en CIERTO 1- 553648 Un elemento en cuarentena se ha

cuarentena eliminado Otro cuarentena eliminado Bajo-Bajo 152 eliminado con éxito.
Reinicio Operaciones / Reinicio FALSO 0 - Sin 553648 Un agente ha completado su reinicio.

completado completado calificación 171
Información
Reinicio pendiente Operaciones / Reinicio FALSO 0 - Sin 553648 Un agente ha comenzado el proceso de reinicio.
solicitado calificación 170
Información
Detección de Seguridad / Actividad de CIERTO 9- 109051 Se encontró una amenaza oculta en este sistema.
rootkits Malware rootkit Alto-Alto 9081
detectada
Escaneo completado con Seguridad / Amenaza FALSO 9- 109156 Una exploración ha completado y detectado elementos
detecciones Vulnerabilidad detectada Alto-Alto 7628 maliciosos.


evento
Escaneo completado, sin Operaciones / Escaneo completado FALSO 0 - Sin 554696 Se ha completado un escaneo sin
detecciones - Sin detecciones calificación 715 detectar nada malicioso.
Información
Escaneo fallido Operaciones / Error de proceso de CIERTO 7- 216530 Se intentó un análisis y no se pudo ejecutar.
error escaneo Alto-Bajo 9453
Escaneo iniciado Operaciones / Escaneo iniciado FALSO 0 - Sin 554696 Un agente ha comenzado a escanear.
calificación 714
Información
Sospecha de Seguridad / Posible CIERTO 9- 110729 La computadora realizó conexiones salientes

conexión de Malware actividad de Alto-Alto 6273 a sistemas sospechosos de comando y
botnet botnet control de botnet.
Lanzamiento sospechoso Seguridad / Actividades CIERTO 6- 110729 Se activa cuando Internet Explorer inicia Command
de Cscript sospechoso sospechosas Medio-alto 6282 Shell, que a su vez inicia Microsoft Windows Script
Host (también conocido como cscript).
Descarga Seguridad / Actividades CIERTO 6- 110729 Se descargó un archivo sospechoso.

sospechosa sospechoso sospechosas Medio-alto 6280
Amenaza detectada Seguridad / Amenaza CIERTO 9- 109051 Se encontró una amenaza en este sistema.
Vulnerabilidad detectada Alto-Alto 9054
Amenaza detectada en Seguridad / Amenaza CIERTO 9- 553648 Se detectó una amenaza en una ruta de exclusión.
exclusión Vulnerabilidad detectada Alto-Alto 145
Amenaza detectada en Seguridad / Amenaza CIERTO 9- 110729 Se detectó una amenaza en un ejecutable de
ejecutable de baja Vulnerabilidad detectada Alto-Alto 6278 baja prevalencia.
prevalencia
Amenaza en Seguridad / Amenaza en CIERTO 2 - Bajo-Medio 553648 Una amenaza fue puesta en cuarentena con éxito.
cuarentena Actividad cuarentena 143

fallida
Cisco Log Collection 129 129


evento
Desinstalar Auditoría / Software CIERTO 2 - Bajo-Medio 553648 El software fue desinstalado.

Configuración desinstalado 166
Desinstalar operaciones de falla Desinstalar CIERTO 7- 216426 La desinstalación ha fallado.
/ Error fallido Alto-Bajo 0903
Actualización: reinicio Operaciones / Reinicio FALSO 0 - Sin 109051 Se activa cuando el nuevo conector está instalado y en
recomendado aconsejado calificación 9097 ejecución, pero las nuevas características del controlador no
Información
estarán disponibles hasta que se reinicie el sistema.
Actualización: se requiere Operaciones / Reinicio FALSO 0 - Sin 109051 Se dispara cuando el nuevo conector está instalado pero no
reiniciar requerido calificación 9096 se está ejecutando.

Información
Actualización: se requiere Operaciones / Reinicio FALSO 0 - Sin 216426 Se dispara cuando se instala el nuevo conector
reinicio inesperado requerido calificación 0922 pero no se ejecuta en un escenario inesperado.
Información
Aplicación Seguridad / Aplicación CIERTO 2 - Bajo-Medio 110729 Aplicación vulnerable detectada.

vulnerable Vulnerabilidad vulnerable 6279
detectada detectada
Formato de salida esperado
Nombre del mensaje Salida de muestra

Amenaza detectada "Fecha = 2018-04-19T17: 06: 18 + 00: 00", "Marca de tiempo = 1524157578", "EventID = 64192049059568026 05", "Event_Type =
Amenaza
Detectado "," Event_TypeID = 1090519054 "," Detection = W32.File.MalParent "," DetectionID = 6419 204905956802583 ","
Group_GUIDs = ffffffff-ffff-ffff-ffff-
ffffffffffff "," Computer_Connector_GUID = 00000000-0000-0000-0000-000000000000 "," Compute r_Hostname = Demo_WannaCry_Ransomware ","
Computer_External_IP = 192.168.0.9 "," Comp uter_User = "," Computer_Active = True "," Network_Addr_.5 " "," Network_Addr_MAC = "," Links_Computer =
https: //api.amp.cisco.com/v1/computers/ 00000000-0000-0000-0000-000000000000 "," Links_Trajectory = https: //api.amp.cisco. com / v1 / computers /
00000000-0000-0000-0000-000000000000 / trayectoria "," Links_Group = https: // api.amp.cisco.com/v1/groups/ffffffff-ffff-ffff-ffff-ffffffffffff "," File_Disposition =
falta la traducción: en.dispositions "," File_Name = tareasche.exe "," File_Path = \\? \ C: \ ProgramData \ qzkbplcgew884 \ taskche.exe "," File_Identity_SHA1 =
","File_Identity_SHA256 = ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa " "File_Parent_D isposition =",
"File_Parent_File_Name =", "File_Parent_Identity_SHA1 =", "File_Parent_Identity _SHA256 =", "Scan_Description =", "Scan_Clean =", "Scanned_Files =",
"Scanned_Processes ="," Scanned_Paths = "," Malicious_Detections = "," Vuln_Name = "," Vuln_Version = "," Vuln_CVEs = "," V uln_Scores = "," CVE_URLs =
"," Dirty_URL = "," Remote_IP = "," Remote_Port = "," Local_IP = "," Local _Port = "," IOC_Desc = "," IOC_Short_Desc = "File_Parent_File_Name = ","
File_Parent_Identity_SHA1 = "," File_Parent_Identity _SHA256 = "," Scan_Description = "," Scan_Clean = "," Scanned_Files = "," Scanned_Processes = ","
Scanned_Paths = "," = "," "Vuln_Version =", "Vuln_CVEs =", "V uln_Scores =", "CVE_URLs =", "Dirty_URL =", "Remote_IP =", "Remote_Port =", "Local_IP =",
"Local _Port =", "IOC_Desc = "," IOC_Short_Desc = "File_Parent_File_Name = "," File_Parent_Identity_SHA1 = "," File_Parent_Identity _SHA256 = ","
Scan_Description = "," Scan_Clean = "," Scanned_Files = "," Scanned_Processes = "," Scanned_Paths = "," = "," "Vuln_Version =", "Vuln_CVEs =", "V
uln_Scores =", "CVE_URLs =", "Dirty_URL =", "Remote_IP =", "Remote_Port =", "Local_IP =", "Local _Port =", "IOC_Desc = "," IOC_Short_Desc =
""Vuln_Version =", "Vuln_CVEs =", "V uln_Scores =", "CVE_URLs =", "Dirty_URL =", "Remote_IP =", "Remote_Port =", "Local_IP =", "Local _Port =", "IOC_Desc = "," IOC_Short_Desc = ""Vul
Amenaza en cuarentena "Fecha = 2018-04-20T00: 18: 05 + 00: 00", "Marca de tiempo = 1524183485", "EventID = 64126802665186263 36", "Event_Type =
Amenaza
En cuarentena "," Event_TypeID = 553648143 "," Detection = "," DetectionID = 6412680266518626318 "," Group_GUIDs =
22222222-2222-2222-2222-222222222222 "," Computer_Connector_GUID = 00 000000-0000-0000-0000-000000000000 "
Computer_Hostname = Demo_Qakbot_3 "," Compute r_External_IP = 192.168.0.4 "," Computer_User = "," Computer_Active =
True "," Network_Addr_IP =
192.168.0.10 "," Network_Addr_MAC = "," Links_Computer = https: //api.amp.cisco.com/v1/ computers /
00000000-0000-0000-0000-000000000000 "," Links_Trajectory = https: // api.amp .cisco.com / v1 / computers /
00000000-0000-0000-0000-000000000000 / trayectoria "," Links_Group = https: //api.amp.cisco.com/v1/groups/
,.
, "File_Parent_Identity_SHA1 =", "File_Parent_Identity_SHA256 =", "Scan_Description =", "Scan _Clean =", "Scanned_Files =",
"Scanned_Processes =", "Scanned_Paths =", "Malicious_Detection s =", "Vuln_Name =", "Vuln_Name "," Vuln_CVEs = ","
Vuln_Scores = "," CVE_URLs = "," Dirty_URL = "," Remote_IP = "," Remote_Port = "," Local_IP = "," Local_Port = ","
IOC_Desc = "," IOC_Short_Desc = "

Prevención de exploits "Fecha = 2018-04-20T14: 04: 06 + 00: 00", "Marca de tiempo = 1524233046", "EventID = 65328933560018534 43", "Event_Type =
Exploit
Prevención "," Event_TypeID = 1090519103 "," Detection = "," DetectionID = 6532893356001853441 "," Group_GUIDs =
00000000-0000-0000-0000-000000000000 "," Computer_Connector_GUID = 11 111111-1111-1111-1111-111111111111 ","
Computer_Hostname = Demo_AMP_Exploit_Prevent ion " "Computer_External_IP = 192.168.0.5", "Computer_User =
JohnDoe", "Computer_Active = Tr ue", "Network_Addr_IP = 192.168.0.8", "Network_Addr_MAC ="," Links_Computer = https:
// api.amp .cisco.com / v1 / computers /
11111111-1111-1111-1111-111111111111 "," Links_Trajectory = https: //api.amp.cisco.com/v1/ computers /

11111111-1111-1111-1111-111111111111 / trajectory "," Links_Group = https: //
api.amp.cisco.com/v1/groups/00000000-0000-0000-0000-000000000000 "," File_Disposition = Clean "," File_Name =
firefox.exe "," File_Path = C: \ Archivos de programa \ Mozilla Firefox \ firefox .exe " "File_Identity_SHA1 =
6d63da6b10a5cab1e4bd558cfdf606b42428809f", "le_Identity_SHA256 Fi =
4312cdb2ead8fd8d2dd6d8d716f3b6e9717b3d7167a2a0495e4391312102 170f", "File_Parent_Disposition =",
"File_Parent_File_Name =", "File_Parent_Identity_SHA1 ="," File_Parent_Identity_SHA256 = " "Scan_Description =",
"Scan_Clean ="," Scanned_Files = "," Sca nned_Processes = "," Scanned_Paths = ","Malicious_Detections =", "Vuln_Name
=", "Vuln_Versio n =", "Vuln_CVEs =", "Vuln_Scores =", "CVE_URLs =", "Dirty_URL =", "Remote_IP =", "Remote_Port =",
"Local_IP =" , "Local_Port =", "IOC_Desc =", "IOC_Short_Desc ="
COI genérico "Fecha = 2018-04-19T18: 09: 00 + 00: 00", "Marca de tiempo = 1524161340", "EventID = 14930585696360007 36", "Event_Type =
Genérico
IOC "," Event_TypeID = 1107296274 "," Detection = "," DetectionID = "," Group_GUIDs = ffffffff-ffff-ffffffff-
ffffffffffff "," Computer_Connector_GUID = 00000000-0000-0000-0000-000000000000 "," Compute r_Hostname =

Demo_Qakbot_3 "," Computer_External_IP = 192.168.0.7 "," Computer_User = "," C omputer_Active = True ","
Network_Addr.0_IP = 192 "," Network_Addr_MAC = "," Links_Com puter = https: //api.amp.cisco.com/v1/computers/
00000000-0000-0000-0000-000000000000 "," Links_Trajectory = https: //api.amp.cisco.com/v1/ computers /

00000000-0000-0000-0000-000000000000 / trayectoria "," Links_Group = https: //
api.amp.cisco.com/v1/groups/ffffffff-ffff-ffff-ffff-
ffffffffffff "," File_Disposition = Clean "," File_Name = cmd.exe "," File_Path = / C: / Windows / SysWOW64 / cmd.exe
"," File_Identity_SHA1 = ",
roba información y abre una puerta trasera en la computadora comprometida. El gusano también contiene la
funcionalidad de rootkit para permitirle ocultar su presencia. Se vio un comando o ruta de archivo similar a la utilizada
por Qakbot para propagarse a través de la red o persistencia. "," IOC_Short_Desc = W32.Qakbot.ioc "

Después de configurar el dispositivo, también debe configurar LogRhythm de acuerdo con las instrucciones proporcionadas en la página de resumen de esta guía . Solo los
administradores globales o los administradores restringidos con privilegios elevados de visualización y administración pueden realizar esta acción.
El nombre del origen del mensaje de registro es Archivo plano: Cisco AMP para puntos finales. Además, al configurar esta fuente de registro:
• Para el Modo de procesamiento de mensajes de registro, seleccione Procesamiento MPE habilitado, reenvío de eventos habilitado.
• Para la Política del motor de procesamiento de mensajes de registro (MPE), seleccione LogRhythm Predeterminado.
• En la pestaña Configuración de archivo plano, ingrese lo siguiente:
• Ruta de archivo.
• Sistemas no HA: C: \ Archivos de programa \ LogRhythm \ LogRhythm System Monitor \ AMP4EP

\ Events \ AMP4EP.txt
• Sistemas HA: D: \ LogRhythmHA \ LogRhythm System Monitor \ AMP4EP \ Events \ AMP4EP.txt
• Formato de análisis de fecha. Cree un nuevo formato de análisis de fecha con los siguientes valores:
• Nombre. Cisco AMP para puntos finales

• Regex. < UTC> <aa> - <M> - <d> T <h>: <m>: <s> <utcoffset>
• Descripción. Fecha = 2018-04-19T14: 37: 43 + 00: 00
• En la pestaña Configuración adicional:
• Seleccione Comience la recopilación desde el principio del registro.

Aparece la ventana Propiedades avanzadas de la fuente de registro.
• Para aumentar el número máximo de registros recopilados por ciclo de Agente, cambie el
Valor MaxMessageCount para 1000
Solucione problemas de Cisco AMP para la recopilación de registros de puntos finales
La solución de problemas se puede realizar viendo el archivo de registro ubicado en:
• Sistemas no HA: C: \ Archivos de programa \ LogRhythm \ LogRhythm System Monitor \ AMP4EP \ Log \ AMP4EP.log
• Sistemas HA: D: \ LogRhythmHA \ LogRhythm System Monitor \ AMP4EP \ Log \ AMP4EP.log
El archivo de registro tiene tres niveles de gravedad: información, advertencia y error. Los registros con una gravedad de error indican un problema que requiere resolución. La siguiente
tabla proporciona algunos mensajes comunes y pasos para la solución de problemas.
Mensaje Severidad Descripción y acciones de solución de problemas
No se pudo encontrar el archivo de credenciales: <ubicación Error • Valide que el archivo de credenciales existe en el directorio AMP4EP.
del archivo>. Salir
• En la tarea programada AMP4EP, valide que el cuadro de texto "Agregar

argumentos (opcional):" contenga las credenciales, la ubicación y el nombre de
archivo correctos.

Mensaje Severidad Descripción y acciones de solución de problemas
Las credenciales dentro del archivo de credenciales están Error Eliminar y volver a crear el archivo de credenciales.
corruptas. Vuelva a crear el archivo: <ubicación del archivo>
Error al llamar a la API AMP4EP. Salir de Error • La interfaz de red en el host no está activa. La resolución DNS no está
System.Net.WebException: el nombre remoto no se • disponible en el host. El acceso a Internet no está disponible desde el host.
pudo resolver: 'api.amp.cisco.com' • Se está utilizando un servidor proxy entre el host e internet.
•
Error al llamar a la API AMP4EP. Salir Error Se usó un valor de ID de cliente o APIKey incorrecto para crear el archivo de credenciales.
System.Net.WebException: el servidor remoto
devolvió un error: (401) No autorizado.
Error al llamar a la API AMP4EP. Salir Error Un servidor proxy está configurado en Internet Explorer, pero el servidor proxy no está presente.
System.Net.WebException: el servidor remoto

devolvió un error: (501) No implementado.
Error al analizar la fecha del archivo de estado Error El archivo de estado está dañado. Elimine el archivo .pos en el directorio \ AMP4EP \ State.
Este no es el nodo HA activo. Salir Advertencia El script ha detectado un sistema HA, pero el Agente de supervisión del sistema no se está
ejecutando, lo que indica que no es el nodo HA activo.
Este es un nodo HA pero el servicio LifeKeeper no se está Advertencia El script ha detectado un sistema HA, pero el servicio LifeKeeper no se está ejecutando.
ejecutando. Salir
No se pudieron escribir registros en el archivo de eventos: <ubicación del Advertencia El archivo de eventos en el directorio \ AMP4EP \ Events está actualmente bloqueado por otro proceso.
archivo>
No se pudo obtener la entrada de la última fecha de los eventos recibidos Advertencia Error de guión. Póngase en contacto con los servicios profesionales de LogRhythm para obtener ayuda.
No se pudo escribir la marca de tiempo en el archivo de estado: <ubicación Advertencia El archivo de estado en el directorio \ AMP4EP \ State está actualmente bloqueado por otro proceso.
del archivo>. Esto puede resultar en registros duplicados

Registros DNS de Cisco Umbrella
Detalles del dispositivo
Vendedor Cisco
Tipo de dispositivo DNS Resolver
Método de recogida Colección de archivos planos
¿Salida de registro configurable? No
Tipo de origen de registro Archivo plano - Cisco Umbrella
Política de procesamiento de registros LogRhythm Default
Excepciones N/A
Información Adicional Este documento cubre la recopilación de registros en la plataforma Windows, pero no excluye a otros
capaces de recopilar archivos planos.
Prerrequisitos
• Umbrella se registra en un bucket S3 autogestionado o administrado por Cisco. Para más información, ver https: //
support.umbrella.com/hc/en-us/sections/206675008-Log-Management-in-Amazon-S3 . La ID de la clave de acceso de AWS y la clave de
• acceso secreta. La interfaz de línea de comandos de AWS. Para más información, ver https://docs.aws.amazon.com/cli/latest/ userguide /
• awscli-install-windows.html .
No se requiere la instalación adicional de Python o pip.
Actualmente admite tipos de registro
Tipo version del producto Formato de registro (enumere los campos en orden)
DNS n / a, SaaS Marca de tiempo, Identidad más granular, Identidades, InteralIp, ExernalIp, Acción, QueryType,
ResponseCode, Dominio, Categorías

Registros de tráfico: campos de metadatos analizados
Nombre del campo del producto Campo de metadatos LogRhythm Valor / Tipo de datos
Acción <acción> Solicitud de DNS Obstruido o Permitido
Categorias <tema> Categorías asignadas al nombre de dominio
Dominio <url> Nombre de dominio
Ejercicio <dip> Dirección IP
Identidades Todas las identidades asociadas con la solicitud (Usuario, AD, Host, etc.)
InteralIp <sip> Dirección IP
Identidad más granular <login> Usuario
Tipo de consulta <tipo de objeto> Tipo de solicitud de DNS
Código de respuesta <resultado> Código de retorno de DNS
Marca de tiempo Marca de tiempo
Formato de salida esperado
Nombre del mensaje Salida de muestra
Ejemplo de evento 1 2015-01-16

17:48:41, "ActiveDirectoryUserName", "ActiveDirectoryUserName, ADSite, Network", "192.
168.0.2 "," 192.168.0.6 "," Permitido "," 1 (A) "," NOERROR "," domain-used.com "," Chat,
Compartir fotos, Redes sociales, Lista de permitidos "
Ejemplo de evento 2 2017-07-25 12:38:04, "dummy.user", "dummy.user, dummydomain, Sitio predeterminado, PM Sandbox, Pub NAT",
"192.168.0.1", "192.168.0.1", "Bloqueado", "1 (A)", "NOERROR", "http: // dummydomain.com.", "Malware
empresarial"
Evento de ejemplo 3 2017-07-25 15:34:33, "dummy.user", "dummy.user, dummydomain, PM Sandbox, Sitio predeterminado, Pub NAT",
"192.168.0.5", "192.168.0.5", "Permitido", "1 (A)", "NXDOMAIN", "http: // dummydomain.com.", ""

Configurar la CLI de AWS
1) Inicie cmd.exe o PowerShell como el servicio o cuenta de usuario con la que desea ejecutar colecciones. correr aws configure. Utilice la ID de la clave
2) de acceso y la clave de acceso secreta creadas al configurar el depósito para Umbrella Logs.
Crear una carpeta para almacenar registros recopilados
1) En la interfaz de línea de comando anterior, ejecute mkdir c: \ collections \ umbrella

2) ( Opcional) Ejecute manualmente una prueba o sincronización única:
• Por ejemplo, aws s3 sync s3: // BucketURL / dnslogs c: \ collections \ umbrella \ --delete --dryrun muestra qué cambios se realizarán
sin ejecutar.
• - - Eliminar sincroniza las eliminaciones de archivos de s3 al almacenamiento local. Esto aplica las políticas de rotación de s3 en el dispositivo de almacenamiento
local. Eliminar -- seco para ejecutar la sincronización y confirmar cambios. Cierre cmd.exe o PowerShell.
3)
Crear una tarea programada para sincronizar registros en una programación
1) Lanzar el Programador de tareas.

2) Botón derecho del ratón Programador de tareas (local) y elige Crear tarea
3) En la pestaña General:
a. Dale un nombre al trabajo.
si. Si es necesario, cambie la cuenta de usuario para el trabajo a correr como, y requisitos de inicio de sesión. Hacer clic OKAY.
C.
4) En la pestaña Disparadores:
a. Hacer clic Nuevo.
si. Establezca Comenzar la tarea en En un horario.
C. Establecer para correr Diario, Recurrir diariamente, y un tiempo de dos a cinco minutos después de la hora. Umbrella carga registros DNS cada diez
minutos, un desplazamiento de dos minutos le da tiempo para que esto termine. Repita la tarea cada 10 minutos, indefinidamente.
re.
Umbrella carga registros DNS cada diez minutos. Hacer clic OKAY.
mi.
5) En la pestaña Acciones:
a. Haga clic en el Nuevo botón. Establecer acción en Comience
si. un programa.
C. Establezca Programa / Script (con una instalación AWSCLI predeterminada) en C: \ Archivos de programa \ Amazon \ AWSCLI \ aws.exe.
re. Agregar argumentos (utilizando los datos de muestra anteriores) será "s3 sync s3: // BucketURL / dnslogs c: \ collections \
umbrella \ --delete --quiet".
mi. Hacer clic OKAY.
6) Para cerrar y guardar esta nueva tarea programada, haga clic en OKAY.
7) Cierra el Programador de tareas de Windows.

Después de configurar el dispositivo, también debe configurar LogRhythm de acuerdo con las instrucciones proporcionadas en la página de resumen de esta guía . Solo los
administradores globales o los administradores restringidos con privilegios elevados de visualización y administración pueden realizar esta acción.
El nombre del origen del mensaje de registro es Archivo plano - Cisco Umbrella. Además, al configurar esta fuente de registro:
• Para el Modo de procesamiento de mensajes de registro, seleccione Procesamiento MPE habilitado, reenvío de eventos habilitado.
• Para la Política del motor de procesamiento de mensajes de registro (MPE), seleccione LogRhythm Predeterminado.
• En la pestaña Configuración de archivo plano, ingrese lo siguiente:
• Ruta del archivo: c: \ collections \ umbrella \ dnslogs

El uso del subdirectorio dnslogs de la ubicación de recopilación de registros base apunta a la ingestión de registros para un mejor rendimiento del
agente.
• En el campo Formato de análisis de fecha, seleccione Registros DNS de Cisco Umbrella.
• Seleccione Es el directorio.
• Establezca la profundidad de recursión en al menos 2.
• Establecer tipo de compresión en gzip
• Sobre el Ajustes adicionales lengüeta.:
• Seleccione Comience la recopilación desde el principio del registro.

LogRhythm Device Config - Cisco AMP and Umbrella - En.es PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

LogRhythm Device Config - Cisco AMP and Umbrella - En.es PDF

Cargado por

Copyright:

Formatos disponibles

Guías de configuración del dispositivo

Cisco AMP para puntos finales

Interfaz de programación de aplicaciones (API) de Cisco AMP

Para usar el script de colección proporcionado, debe ejecutar PowerShell 3.

• Para verificar su versión de PowerShell, ejecute:

política de conjunto-ejecución remotamente firmada

AMP for Endpoints es compatible con los siguientes sistemas operativos:

• Red Hat Enterprise Linux o CentOS 6.x 7.x

Cisco Log Collection 112

• Android 2.1 (Éclair) a 6.0 (Marshmallow)

• Microsoft Internet Explorer 10 o posterior Mozilla

Lista de verificación de configuración del dispositivo

Obtener Cisco AMP para eventos de punto final en LogRhythm

Crear una cuenta de solo lectura de la API de AMP

Nueva credencial API.

4) En el campo Nombre de la aplicación, ingrese LogRhythm.

6) Hacer clic Crear.

Aparece la página Detalles de la clave API.

Cisco Log Collection 113

Tenga en cuenta las siguientes advertencias de Cisco:

8) Regrese a la página de inicio de Cisco Console. Hacer clic Cuentas, y

Configurar el host del monitor del sistema

Identifique el host del monitor del sistema para usar

URL de la consola de Cisco AMP Ubicación

console.apjc.amp.cisco.com Asia, Pacífico, Japón y China

Ubicación de la instancia de Cisco AMP URL de API Puerto

NOS api.amp.cisco.com 443

Asia, Pacífico, Japón y China api.apjc.amp.cisco.com 443

Europa api.eu.amp.cisco.com 443

Cisco Log Collection 114

Crear la estructura del directorio

• Sistemas no HA: C: \ Archivos de programa \ LogRhythm \ LogRhythm System Monitor \

Crear el archivo de credenciales

Aparece la ventana de credenciales.

Crear la tarea programada

Aparece el Asistente para crear una tarea básica. Ingrese la siguiente

Cisco Log Collection 115

Nombre LogRhythm Cisco AMP4EP

6) seleccione Comience un programa, y luego haga clic Próximo.

Programa / guión potencia Shell

Programa / guión potencia Shell

8) Hacer clic Próximo.

Aparece la ventana LogRhythm Cisco AMP4EP Task Properties. En la pestaña General,

12) disparador, y luego haga clic Editar.

Cisco Log Collection 116

un registro para solucionar problemas en:

Configurar los registros

Crear el tipo de fuente de registro personalizado

1) Inicie sesión en la consola del cliente LogRhythm.

2) En la barra de herramientas principal, haga clic en Gerente de implementación.

Aparece el Administrador de tipo de origen de registro. Haga clic en el

4) signo más verde en la parte superior de la página. Complete los

• Nombre. Archivo plano - Cisco AMP para puntos finales

• Abreviatura. Cisco AMP4EP

• Breve descripción. Cisco AMP para puntos finales

6) Hacer clic OKAY.

Crear la política de procesamiento de registros

1) En la barra de herramientas principal, haga clic en Gerente de implementación.

2) Haga clic en el Políticas de procesamiento de registros lengüeta.

3) Hacer clic Expediente, y luego haga clic Nuevo.

Aparece el selector de tipo de origen de registro. En el Filtro de tipo

4) de registro, seleccione Personalizado.

6) Hacer clic OKAY.