주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=cisco-index

Cisco ISE 통합

Cisco ISE 제품 개요

Cisco Identity Services Engine(ISE)은 네트워크 및 애플리케이션에 대한 보안 액세스를 용이하게 하는 포괄적인 온프레미스 솔루션입니다. 이는 사용자 신원 관리, 인증, 정책 적용을 중앙 집중화하여 승인된 사용자와 장치만 네트워크 리소스에 액세스할 수 있도록 합니다.

Sophos 문서

수집되는 것

저희가 확인하는 알림 예시는 다음과 같습니다.

  • EAP: Invalid or unexpected EAP payload received
  • EAP: Expected TLS acknowledge for last alert but received another message
  • Profiler: Profiler SNMP Request Failure
  • External-Active-Directory: Not all Active Directory attributes are retrieved successfully
  • EAP: EAP-TLS failed SSL/TLS handshake after a client alert

완전히 수집되는 경고

여기에 나열된 항목을 포함하여 자산 에 구성된 모든 Cisco ISE 로그 범주를 구성하는 것이 좋습니다.

  • AAA 감사
  • 실패한 시도
  • 인증 통과
  • AAA 진단
  • 관리자 인증 및 권한 부여
  • 인증 흐름 진단
  • ID 저장소 진단
  • 정책 진단
  • 반경 진단
  • 게스트
  • 회계
  • RADIUS 계정
  • 행정 및 운영 감사
  • 자세 및 클라이언트 프로비저닝 감사
  • 자세 및 클라이언트 프로비저닝 진단
  • 프로파일러
  • 시스템 진단
  • 분산 관리
  • 내부 운영 진단
  • 시스템 통계

Cisco ISE에서 로깅 범주 구성에 대한 자세한 내용을 참조하십시오.

필터링

저희는 다음과 같이 이벤트를 필터링합니다.

허용

설명

저희는 ISE 표준 형식과 일치하는 syslog 이벤트를 허용합니다.

예:

<132>Mar 28 07:16:17 ise CISE_Alarm WARN: Profiler SNMP Request Failure : Server= ise; NAD Address=10.1.2.3; Error Message=Request timed out.

차단

설명

일반적으로 중요하지 않고 반복적인 특성으로 인해 로깅이 필요하지 않은 일상적인 시스템 운영과 관련된 이벤트는 삭제합니다. 이러한 항목을 삭제하면 로그가 너무 많아지는 것을 방지하고 자원을 절약하는 데 도움이 됩니다.

정규 표현식 패턴

  • NOTICE Radius-Accounting: RADIUS Accounting watchdog update.
  • NOTICE EAP-TLS: Open secure connection with TLS peer.
  • NOTICE EAP-TLS: Shutdown secure connection with TLS peer.
  • NOTICE System-Stats: ISE Counters.
  • NOTICE System-Stats: ISE Process Health.
  • NOTICE System-Stats: ISE Utilization.
  • NOTICE Radius-Accounting: RADIUS Accounting stop request.
  • NOTICE Radius-Accounting: RADIUS Accounting start request.
  • CISE_MONITORING_DATA_PURGE_AUDIT.

샘플 위협 지도 작성

"alertType": "RADIUS: Endpoint conducted several failed authentications of the same scenario", "threatId": "T1110", "threatName": "Brute Force",
"alertType": "Failed-Attempt: RADIUS Request dropped", "threatId": "T1562.004", "threatName": "Disable or Modify System Firewall",
"alertType": "NOTICE Failed-Attempt: Supplicant stopped responding to ISE", "threatId": "T1499", "threatName": "Endpoint Denial of Service",
"alertType": "EAP-TLS: Shutdown secure connection with TLS peer", "threatId": "T1573", "threatName": "Encrypted Channel",
"alertType": " MDM: Mobile device management compliant", "threatId": "T1120", "threatName": "Peripheral Device Discovery",

공급업체 설명서