Cisco ISE 整合

Cisco ISE 產品概覽

Cisco Identity Services Engine (ISE) 是一種全面的內部部署解決方案，可促進對網路和應用程式的安全存取。它集中管理使用者身分、身分驗證和原則執行，確保只有授權的使用者和裝置才能存取網路資源。

Sophos 說明文件

我們擷取的內容

範例警示包括：

EAP：Invalid or unexpected EAP payload received
EAP：Expected TLS acknowledge for last alert but received another message
Profiler:Profiler SNMP Request Failure
External-Active-Directory:Not all Active Directory attributes are retrieved successfully
EAP：EAP-TLS failed SSL/TLS handshake after a client alert

完整擷取警示

我們建議您設定所有在您的資產中配置的思科ISE日誌類別，包括此處列出的類別：

AAA審計
失敗的嘗試
通過驗證
AAA診斷
管理員認證與授權
驗證流程診斷
身分儲存庫診斷
原則診斷
半徑診斷
訪客
會計
半徑會計
行政與營運稽核
姿勢與客戶配置審計
姿勢與客戶配置診斷
Profiler
系統診斷
分散式管理
內部運作診斷
系統統計資料

請參閱《Cisco ISE記錄類別》。

資料篩選

我們依下列方式過濾事件。

許可

說明

我們允許符合ISE標準格式的Syslog事件。

例如：

<132>Mar 28 07:16:17 ise CISE_Alarm WARN:Profiler SNMP Request Failure :Server= ise; NAD Address=10.1.2.3; Error Message=Request timed out.

丟棄

說明

我們會捨棄與例行系統運作相關的事件，這些事件通常不具關鍵性，且因其重複性而無需記錄。捨棄這些項目有助於減少日誌雜亂並節省資源。

正則表達式模式

通知 Radius-Accounting：RADIUS 計費監控器更新。
通知 EAP-TLS：與 TLS 同伴建立安全連線。
通知 EAP-TLS：關閉與 TLS 同伴的安全連線。
系統狀態通知：ISE 計數器。
系統狀態通知：ISE 流程健康狀態。
系統狀態通知：ISE 利用率。
通知 Radius-Accounting：RADIUS 計費停止請求。
通知 Radius-Accounting：RADIUS 計費啟動請求。
CISE_MONITORING_DATA_PURGE_AUDIT.

威脅映射範例

"alertType":"RADIUS:Endpoint conducted several failed authentications of the same scenario", "threatId":"T1110", "threatName":"Brute Force",
"alertType":"Failed-Attempt:RADIUS Request dropped", "threatId":"T1562.004", "threatName":"Disable or Modify System Firewall",
"alertType":"NOTICE Failed-Attempt:Supplicant stopped responding to ISE", "threatId":"T1499", "threatName":"Endpoint Denial of Service",
"alertType":"EAP-TLS:Shutdown secure connection with TLS peer", "threatId":"T1573", "threatName":"Encrypted Channel",
"alertType":" MDM：Mobile device management compliant", "threatId":"T1120", "threatName":"Peripheral Device Discovery",