Integración de Cisco ISE
Resumen del producto Cisco ISE
Cisco Identity Services Engine (ISE) es una completa solución local que ofrece un acceso seguro a redes y aplicaciones. Centraliza la gestión de las identidades de los usuarios, la autenticación y la aplicación de políticas, garantizando que solo los usuarios y dispositivos autorizados puedan acceder a los recursos de la red.
Documentos de Sophos
Datos que ingerimos
Ejemplos de alertas que vemos:
EAP: Invalid or unexpected EAP payload received
EAP: Expected TLS acknowledge for last alert but received another message
Profiler: Profiler SNMP request failure
External-Active-Directory: Not all Active Directory attributes are retrieved successfully
EAP: EAP-TLS failed SSL/TLS handshake after a client alert
Alertas ingeridas en su totalidad
Le recomendamos que configure todas las categorías de registro de Cisco ISE que están configuradas en su entorno, incluidas las que figuran aquí:
- Auditoría AAA
- Intentos fallidos
- Autenticación comprobada
- Diagnóstico de AAA
- Autenticación y autorización del administrador
- Diagnósticos de flujo de autenticación
- Diagnósticos de almacén de identidad
- Diagnósticos de políticas
- Diagnósticos Radius
- Invitado
- Contabilidad
- Cuentas Radius
- Auditoría administrativa y operativa
- Auditoría de postura y aprovisionamiento de clientes
- Diagnósticos de postura y aprovisionamiento de clientes
- Profiler
- Diagnósticos del sistema
- Gestión distribuida
- Diagnóstico de operaciones internas
- Estadísticas del sistema
Consulte Configuración de categorías de registro en Cisco ISE.
Filtrado
Filtramos los eventos de la siguiente manera.
Permitir
Descripción
Permitimos eventos de Syslog que coincidan con el formato estándar ISE.
Por ejemplo:
<132>Mar 28 07:16:17 ise CISE_Alarm WARN: Profiler SNMP Request Failure : Server= ise; NAD Address=10.1.2.3; Error Message=Request timed out.
Descartar
Descripción
Descartamos los eventos relacionados con las operaciones del sistema de rutinas que normalmente no son críticos y no requieren registro debido a su naturaleza repetitiva. Descartarlos nos ayuda a reducir el desorden de registro y preservar los recursos.
Patrones de Regex
NOTICE Radius-Accounting: RADIUS Accounting watchdog update.
NOTICE EAP-TLS: Open secure connection with TLS peer.
NOTICE EAP-TLS: Shutdown secure connection with TLS peer.
NOTICE System-Stats: ISE Counters.
NOTICE System-Stats: ISE Process Health.
NOTICE System-Stats: ISE Utilization.
NOTICE Radius-Accounting: RADIUS Accounting stop request.
NOTICE Radius-Accounting: RADIUS Accounting start request.
CISE_MONITORING_DATA_PURGE_AUDIT.
Muestra de asignaciones de amenazas
"alertType": "RADIUS: Endpoint conducted several failed authentications of the same scenario", "threatId": "T1110", "threatName": "Brute Force",
"alertType": "Failed-Attempt: RADIUS Request dropped", "threatId": "T1562.004", "threatName": "Disable or Modify System Firewall",
"alertType": "NOTICE Failed-Attempt: Supplicant stopped responding to ISE", "threatId": "T1499", "threatName": "Endpoint Denial of Service",
"alertType": "EAP-TLS: Shutdown secure connection with TLS peer", "threatId": "T1573", "threatName": "Encrypted Channel",
"alertType": " MDM: Mobile device management compliant", "threatId": "T1120", "threatName": "Peripheral Device Discovery",