Cisco AMP用于端点

针对端点的Cisco高级恶意软件保护(AMP)是一个恶意软件和病毒保护平台，您可以使用它来保护您的环境免受入侵、受感染的文件和恶意行为。当您将思科AMP连接到InsightIDR时，您的日志将解析出高级恶意软件和病毒感染事件。

连接Cisco AMP到InsightIDR:

1. 生成思科AMP客户端ID和API密钥
2. 配置Insightidr事件源

生成客户端ID和API键

您必须为第三方访问提供一个API密钥以与InsightIdr连接。

这样做:

1. 在您的Cisco AMP for Endpoints控制台中，导航到帐户> API凭据。
2. 点击新的API凭证按钮。

3. 为您的第三方应用程序提供名称，例如“InsightIdr”。
4. 选择只读选项为API密钥的范围。
5. 点击创建按钮。

6. 然后您将看到第三方API客户端ID和API密钥。复制这些以便以后在InsightIDR中使用。

重新生成API密钥

如果您已有API键，或者您丢失现有的API密钥，则可以生成用于InsightIdr的新密钥。

这样做:

1. 在您的Cisco AMP端点控制台中，选择账户>业务。

3. 在“业务”页面，点击编辑按钮。
4. 在“第三方API Access”选项旁边，单击再生用于API键的按钮。您将看到以下消息：

5. 点击确认按钮。
6. 然后，您将看到API客户端ID和API密钥。复制这些以便以后在InsightIDR中使用。

要了解更多信息，您可以从以下链接了解思科AMP API:

• https://api-docs.amp.cisco.com/api_resources?api_host=api.amp.cisco.com&api_version=v1
• https://www.cisco.com/c/en/us/support/docs/security/amp-endpoints/201121-ofview-of-the-cisco-amp-for-endpoints.html.

配置事件源

您现在可以使用Cisco AMP的API凭据在InsightIdr中配置云服务事件源。

这样做:

1. 从仪表板中选择数据收集在左侧菜单上。
2. 当出现“数据采集”页面时，单击设置事件源下拉点和选择添加事件源．
3. 从“安全数据”部分，单击云服务图标。出现“添加事件源”面板。
4. 选择您的收集器和选择思科AMP作为您的活动来源。如果您愿意，您还可以命名您的活动源。
5. 可选择选择发送未经过滤的日志．
6. 选择包含客户端ID和API密钥的现有凭据，或者可选创建一个新的凭证．
7. 配置您的默认域和任何高级设置．
8. 点击保存按钮。