Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Integration von Cisco ISE

Cisco ISE-Produktübersicht

Cisco Identity Services Engine (ISE) ist eine umfassende, lokal zu installierende Lösung, die den sicheren Zugriff auf Netzwerke und Anwendungen ermöglicht. Es zentralisiert die Verwaltung von Benutzeridentitäten, Authentifizierung und Richtliniendurchsetzung und stellt sicher, dass nur autorisierte Benutzer und Geräte auf Netzwerkressourcen zugreifen können.

Sophos-Dokumente

Was wir erfassen

Beispiele für Alarme:

  • EAP: Invalid or unexpected EAP payload received
  • EAP: Expected TLS acknowledge for last alert but received another message
  • Profiler: Profiler SNMP request failure
  • External-Active-Directory: Not all Active Directory attributes are retrieved successfully
  • EAP: EAP-TLS failed SSL/TLS handshake after a client alert

Alarme werden vollständig erfasst

Wir empfehlen Ihnen, alle Cisco ISE-Protokollkategorien zu konfigurieren, die in Ihrer Umgebung konfiguriert sind, einschließlich der hier aufgeführten:

  • AAA-Audit
  • Fehlgeschlagene Versuche
  • Authentifizierung erfolgreich
  • AAA-Diagnose
  • Administratorauthentifizierung und -Autorisierung
  • Diagnose des Authentifizierungsflusses
  • Diagnose des Identitätsspeichers
  • Richtliniendiagnose
  • Radiusdiagnose
  • Gast
  • Buchhaltung
  • RADIUS Accounting
  • Audit zu Verwaltung und Betrieb
  • Audit zu Posture und Client-Provisioning
  • Diagnose zu Posture und Client-Provisioning
  • Profiler
  • Systemdiagnose
  • Verteilte Verwaltung
  • Interne Betriebsdiagnose
  • Systemstatistik

Siehe Konfigurieren von Protokollierungskategorien in Cisco ISE.

Filterung

Ereignisse werden wie folgt gefiltert.

Zulassen

Beschreibung

Wir erlauben Syslog-Ereignisse, die dem ISE-Standardformat entsprechen.

Beispiel:

<132>Mar 28 07:16:17 ise CISE_Alarm WARN: Profiler SNMP Request Failure : Server= ise; NAD Address=10.1.2.3; Error Message=Request timed out.

Verwerfen

Beschreibung

Wir verwerfen Ereignisse im Zusammenhang mit routinemäßigen Systemvorgängen, die in der Regel nicht kritisch sind und aufgrund ihrer sich wiederholenden Natur keine Protokollierung erfordern. Wenn Sie diese verwerfen, können Sie Baumstruktur reduzieren und Ressourcen schonen.

Regex-Muster

  • NOTICE Radius-Accounting: RADIUS Accounting watchdog update.
  • NOTICE EAP-TLS: Open secure connection with TLS peer.
  • NOTICE EAP-TLS: Shutdown secure connection with TLS peer.
  • NOTICE System-Stats: ISE Counters.
  • NOTICE System-Stats: ISE Process Health.
  • NOTICE System-Stats: ISE Utilization.
  • NOTICE Radius-Accounting: RADIUS Accounting stop request.
  • NOTICE Radius-Accounting: RADIUS Accounting start request.
  • CISE_MONITORING_DATA_PURGE_AUDIT.

Beispiele für Sample-Zuordnungen

"alertType": RADIUS: Endpoint conducted several failed authentications of the same scenario", "threatId": "T1110", "threatName": "Brute Force",
"alertType": "Failed-Attempt: RADIUS Request dropped", "threatId": "T1562.004", "threatName": "Disable or Modify System Firewall",
"alertType": "NOTICE Failed-Attempt: Supplicant stopped responding to ISE", "threatId": "T1499", "threatName": "Endpoint Denial of Service",
"alertType": "EAP-TLS: Shutdown secure connection with TLS peer", "threatId": "T1573", "threatName": "Encrypted Channel",
"alertType": " MDM: Mobile device management compliant", "threatId": "T1120", "threatName": "Peripheral Device Discovery",

Herstellerdokumentation