Integration von Cisco ISE
Cisco ISE-Produktübersicht
Cisco Identity Services Engine (ISE) ist eine umfassende, lokal zu installierende Lösung, die den sicheren Zugriff auf Netzwerke und Anwendungen ermöglicht. Es zentralisiert die Verwaltung von Benutzeridentitäten, Authentifizierung und Richtliniendurchsetzung und stellt sicher, dass nur autorisierte Benutzer und Geräte auf Netzwerkressourcen zugreifen können.
Sophos-Dokumente
Was wir erfassen
Beispiele für Alarme:
EAP: Invalid or unexpected EAP payload received
EAP: Expected TLS acknowledge for last alert but received another message
Profiler: Profiler SNMP request failure
External-Active-Directory: Not all Active Directory attributes are retrieved successfully
EAP: EAP-TLS failed SSL/TLS handshake after a client alert
Alarme werden vollständig erfasst
Wir empfehlen Ihnen, alle Cisco ISE-Protokollkategorien zu konfigurieren, die in Ihrer Umgebung konfiguriert sind, einschließlich der hier aufgeführten:
- AAA-Audit
- Fehlgeschlagene Versuche
- Authentifizierung erfolgreich
- AAA-Diagnose
- Administratorauthentifizierung und -Autorisierung
- Diagnose des Authentifizierungsflusses
- Diagnose des Identitätsspeichers
- Richtliniendiagnose
- Radiusdiagnose
- Gast
- Buchhaltung
- RADIUS Accounting
- Audit zu Verwaltung und Betrieb
- Audit zu Posture und Client-Provisioning
- Diagnose zu Posture und Client-Provisioning
- Profiler
- Systemdiagnose
- Verteilte Verwaltung
- Interne Betriebsdiagnose
- Systemstatistik
Siehe Konfigurieren von Protokollierungskategorien in Cisco ISE.
Filterung
Ereignisse werden wie folgt gefiltert.
Zulassen
Beschreibung
Wir erlauben Syslog-Ereignisse, die dem ISE-Standardformat entsprechen.
Beispiel:
<132>Mar 28 07:16:17 ise CISE_Alarm WARN: Profiler SNMP Request Failure : Server= ise; NAD Address=10.1.2.3; Error Message=Request timed out.
Verwerfen
Beschreibung
Wir verwerfen Ereignisse im Zusammenhang mit routinemäßigen Systemvorgängen, die in der Regel nicht kritisch sind und aufgrund ihrer sich wiederholenden Natur keine Protokollierung erfordern. Wenn Sie diese verwerfen, können Sie Baumstruktur reduzieren und Ressourcen schonen.
Regex-Muster
NOTICE Radius-Accounting: RADIUS Accounting watchdog update.
NOTICE EAP-TLS: Open secure connection with TLS peer.
NOTICE EAP-TLS: Shutdown secure connection with TLS peer.
NOTICE System-Stats: ISE Counters.
NOTICE System-Stats: ISE Process Health.
NOTICE System-Stats: ISE Utilization.
NOTICE Radius-Accounting: RADIUS Accounting stop request.
NOTICE Radius-Accounting: RADIUS Accounting start request.
CISE_MONITORING_DATA_PURGE_AUDIT.
Beispiele für Sample-Zuordnungen
"alertType": RADIUS: Endpoint conducted several failed authentications of the same scenario", "threatId": "T1110", "threatName": "Brute Force",
"alertType": "Failed-Attempt: RADIUS Request dropped", "threatId": "T1562.004", "threatName": "Disable or Modify System Firewall",
"alertType": "NOTICE Failed-Attempt: Supplicant stopped responding to ISE", "threatId": "T1499", "threatName": "Endpoint Denial of Service",
"alertType": "EAP-TLS: Shutdown secure connection with TLS peer", "threatId": "T1573", "threatName": "Encrypted Channel",
"alertType": " MDM: Mobile device management compliant", "threatId": "T1120", "threatName": "Peripheral Device Discovery",