Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=cisco-index

Intégration Cisco ISE

Outil de collecte des journaux Identité

Présentation du produit Cisco ISE

Cisco Identity Services Engine (ISE) est une solution complète qui facilite l’accès sécurisé aux réseaux et aux applications. Elle centralise la gestion des identités des utilisateurs, l’authentification et l’application des stratégies, garantissant que seuls les utilisateurs et les appareils autorisés peuvent accéder aux ressources du réseau.

Documents Sophos

Ce que nous ingérons

Exemples d’alertes concrètes :

  • EAP: Invalid or unexpected EAP payload received
  • EAP: Expected TLS acknowledge for last alert but received another message
  • Profiler: Profiler SNMP request failure
  • External-Active-Directory: Not all Active Directory attributes are retrieved successfully
  • EAP: EAP-TLS failed SSL/TLS handshake after a client alert

Alertes ingérées dans leur intégralité

Nous vous recommandons de configurer toutes les catégories de journaux Cisco ISE configurées dans votre parc informatique, y compris celles répertoriées ici :

  • Audit AAA
  • Tentatives ratées
  • Authentification réussie
  • Diagnostic AAA
  • Authentification et autorisation de l’administrateur
  • Diagnostics de flux d’authentification
  • Diagnostics du magasin d’identités
  • Diagnostics de stratégie
  • Diagnostics Radius
  • Invité
  • Compta
  • Comptes Radius
  • Audit administratif et opérationnel
  • Audit de la posture et de l’approvisionnement des clients
  • Diagnostics de posture et d’approvisionnement des clients
  • Profileur
  • Diagnostics système
  • Gestion distribuée
  • Diagnostic des opérations internes
  • Statistiques système

Voir Configuration des catégories de journalisation dans Cisco ISE.

Filtrage

Nous filtrons les alertes de la manière suivante :

Autoriser

Description

Nous autorisons les événements syslog correspondant au format standard ISE.

Par exemple :

<132>Mar 28 07:16:17 ise CISE_Alarm WARN: Profiler SNMP Request Failure : Server= ise; NAD Address=10.1.2.3; Error Message=Request timed out.

Annuler

Description

Nous injectons des événements liés aux opérations de routine du système qui sont généralement non critiques et qui ne nécessitent pas de journalisation en raison de leur nature répétitive. Leur injection permet de réduire l’encombrement des journaux et de préserver les ressources.

Modèles Regex (expressions régulières)

  • NOTICE Radius-Accounting: RADIUS Accounting watchdog update.
  • NOTICE EAP-TLS: Open secure connection with TLS peer.
  • NOTICE EAP-TLS: Shutdown secure connection with TLS peer.
  • NOTICE System-Stats: ISE Counters.
  • NOTICE System-Stats: ISE Process Health.
  • NOTICE System-Stats: ISE Utilization.
  • NOTICE Radius-Accounting: RADIUS Accounting stop request.
  • NOTICE Radius-Accounting: RADIUS Accounting start request.
  • CISE_MONITORING_DATA_PURGE_AUDIT.

Exemples de mappages de menaces

"alertType": "RADIUS: Endpoint conducted several failed authentications of the same scenario", "threatId": "T1110", "threatName": "Brute Force",
"alertType": "Failed-Attempt: RADIUS Request dropped", "threatId": "T1562.004", "threatName": "Disable or Modify System Firewall",
"alertType": "NOTICE Failed-Attempt: Supplicant stopped responding to ISE", "threatId": "T1499", "threatName": "Endpoint Denial of Service",
"alertType": "EAP-TLS: Shutdown secure connection with TLS peer", "threatId": "T1573", "threatName": "Encrypted Channel",
"alertType": " MDM: Mobile device management compliant", "threatId": "T1120", "threatName": "Peripheral Device Discovery",

Documentation fournisseur