Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integración de Cisco ISE

Resumen del producto Cisco ISE

Cisco Identity Services Engine (ISE) es una completa solución local que ofrece un acceso seguro a redes y aplicaciones. Centraliza la gestión de las identidades de los usuarios, la autenticación y la aplicación de políticas, garantizando que solo los usuarios y dispositivos autorizados puedan acceder a los recursos de la red.

Documentos de Sophos

Datos que ingerimos

Ejemplos de alertas que vemos:

  • EAP: Invalid or unexpected EAP payload received
  • EAP: Expected TLS acknowledge for last alert but received another message
  • Profiler: Profiler SNMP request failure
  • External-Active-Directory: Not all Active Directory attributes are retrieved successfully
  • EAP: EAP-TLS failed SSL/TLS handshake after a client alert

Alertas ingeridas en su totalidad

Le recomendamos que configure todas las categorías de registro de Cisco ISE que están configuradas en su entorno, incluidas las que figuran aquí:

  • Auditoría AAA
  • Intentos fallidos
  • Autenticación comprobada
  • Diagnóstico de AAA
  • Autenticación y autorización del administrador
  • Diagnósticos de flujo de autenticación
  • Diagnósticos de almacén de identidad
  • Diagnósticos de políticas
  • Diagnósticos Radius
  • Invitado
  • Contabilidad
  • Cuentas Radius
  • Auditoría administrativa y operativa
  • Auditoría de postura y aprovisionamiento de clientes
  • Diagnósticos de postura y aprovisionamiento de clientes
  • Profiler
  • Diagnósticos del sistema
  • Gestión distribuida
  • Diagnóstico de operaciones internas
  • Estadísticas del sistema

Consulte Configuración de categorías de registro en Cisco ISE.

Filtrado

Filtramos los eventos de la siguiente manera.

Permitir

Descripción

Permitimos eventos de Syslog que coincidan con el formato estándar ISE.

Por ejemplo:

<132>Mar 28 07:16:17 ise CISE_Alarm WARN: Profiler SNMP Request Failure : Server= ise; NAD Address=10.1.2.3; Error Message=Request timed out.

Descartar

Descripción

Descartamos los eventos relacionados con las operaciones del sistema de rutinas que normalmente no son críticos y no requieren registro debido a su naturaleza repetitiva. Descartarlos nos ayuda a reducir el desorden de registro y preservar los recursos.

Patrones de Regex

  • NOTICE Radius-Accounting: RADIUS Accounting watchdog update.
  • NOTICE EAP-TLS: Open secure connection with TLS peer.
  • NOTICE EAP-TLS: Shutdown secure connection with TLS peer.
  • NOTICE System-Stats: ISE Counters.
  • NOTICE System-Stats: ISE Process Health.
  • NOTICE System-Stats: ISE Utilization.
  • NOTICE Radius-Accounting: RADIUS Accounting stop request.
  • NOTICE Radius-Accounting: RADIUS Accounting start request.
  • CISE_MONITORING_DATA_PURGE_AUDIT.

Muestra de asignaciones de amenazas

"alertType": "RADIUS: Endpoint conducted several failed authentications of the same scenario", "threatId": "T1110", "threatName": "Brute Force",
"alertType": "Failed-Attempt: RADIUS Request dropped", "threatId": "T1562.004", "threatName": "Disable or Modify System Firewall",
"alertType": "NOTICE Failed-Attempt: Supplicant stopped responding to ISE", "threatId": "T1499", "threatName": "Endpoint Denial of Service",
"alertType": "EAP-TLS: Shutdown secure connection with TLS peer", "threatId": "T1573", "threatName": "Encrypted Channel",
"alertType": " MDM: Mobile device management compliant", "threatId": "T1120", "threatName": "Peripheral Device Discovery",

Documentación del proveedor