Integrazione Cisco ISE
Panoramica del prodotto Cisco ISE
Cisco Identity Services Engine (ISE) è una soluzione completa e on-premise che semplifica l’accesso sicuro a reti e applicazioni. Centralizza la gestione delle identità degli utenti, l’autenticazione e l’implementazione dei criteri, facendo in modo che solo gli utenti e i dispositivi autorizzati possano accedere alle risorse della rete.
Documenti Sophos
I dati raccolti e inseriti
Esempi di avvisi che visualizziamo:
EAP: Invalid or unexpected EAP payload received
EAP: Expected TLS acknowledge for last alert but received another message
Profiler: Profiler SNMP request failure
External-Active-Directory: Not all Active Directory attributes are retrieved successfully
EAP: EAP-TLS failed SSL/TLS handshake after a client alert
Avvisi inseriti per intero
Si consiglia di configurare tutte le categorie di log di Cisco ISE configurate nel proprio ambiente, incluse quelle elencate di seguito:
- Audit AAA
- Tentativi non riusciti
- Autenticazione superata
- Diagnostica AAA
- Autenticazione e autorizzazione dell’amministratore
- Diagnostica del flusso di autenticazione
- Diagnostica dell’archivio identità
- Diagnostica dei criteri
- Diagnostica RADIUS
- Guest
- Accounting
- Accounting RADIUS
- Audit amministrativo e operativo
- Audit della postura e del provisioning del client
- Diagnostica della postura e del provisioning del client
- Profiler
- Diagnostica di sistema
- Gestione distribuita
- Diagnostica delle operazioni interne
- Statistiche di sistema
Vedere Configurazione delle categorie di registrazione in Cisco ISE.
Filtraggio
Filtriamo gli eventi nel modo indicato di seguito.
Autorizzazione
Descrizione
Autorizziamo gli eventi syslog che trovano corrispondenza con il formato ISE standard.
Per esempio:
<132>Mar 28 07:16:17 ise CISE_Alarm WARN: Profiler SNMP Request Failure : Server= ise; NAD Address=10.1.2.3; Error Message=Request timed out.
Rimozioni
Descrizione
Rimuoviamo gli eventi correlati alle operazioni di routine del sistema, che in genere non sono critiche e non richiedono la registrazione nei log per via della loro natura ripetitiva. La rimozione di questi dati contribuisce a ridurre le informazioni superflue nei log e a preservare le risorse.
Pattern regex
NOTICE Radius-Accounting: RADIUS Accounting watchdog update.
NOTICE EAP-TLS: Open secure connection with TLS peer.
NOTICE EAP-TLS: Shutdown secure connection with TLS peer.
NOTICE System-Stats: ISE Counters.
NOTICE System-Stats: ISE Process Health.
NOTICE System-Stats: ISE Utilization.
NOTICE Radius-Accounting: RADIUS Accounting stop request.
NOTICE Radius-Accounting: RADIUS Accounting start request.
CISE_MONITORING_DATA_PURGE_AUDIT.
Esempi di mapping delle minacce
"alertType": "RADIUS: Endpoint conducted several failed authentications of the same scenario", "threatId": "T1110", "threatName": "Brute Force",
"alertType": "Failed-Attempt: RADIUS Request dropped", "threatId": "T1562.004", "threatName": "Disable or Modify System Firewall",
"alertType": "NOTICE Failed-Attempt: Supplicant stopped responding to ISE", "threatId": "T1499", "threatName": "Endpoint Denial of Service",
"alertType": "EAP-TLS: Shutdown secure connection with TLS peer", "threatId": "T1573", "threatName": "Encrypted Channel",
"alertType": " MDM: Mobile device management compliant", "threatId": "T1120", "threatName": "Peripheral Device Discovery",