Vai al contenuto
Il supporto che offriamo per MDR.

Integrazione Cisco ISE

Panoramica del prodotto Cisco ISE

Cisco Identity Services Engine (ISE) è una soluzione completa e on-premise che semplifica l’accesso sicuro a reti e applicazioni. Centralizza la gestione delle identità degli utenti, l’autenticazione e l’implementazione dei criteri, facendo in modo che solo gli utenti e i dispositivi autorizzati possano accedere alle risorse della rete.

Documenti Sophos

I dati raccolti e inseriti

Esempi di avvisi che visualizziamo:

  • EAP: Invalid or unexpected EAP payload received
  • EAP: Expected TLS acknowledge for last alert but received another message
  • Profiler: Profiler SNMP request failure
  • External-Active-Directory: Not all Active Directory attributes are retrieved successfully
  • EAP: EAP-TLS failed SSL/TLS handshake after a client alert

Avvisi inseriti per intero

Si consiglia di configurare tutte le categorie di log di Cisco ISE configurate nel proprio ambiente, incluse quelle elencate di seguito:

  • Audit AAA
  • Tentativi non riusciti
  • Autenticazione superata
  • Diagnostica AAA
  • Autenticazione e autorizzazione dell’amministratore
  • Diagnostica del flusso di autenticazione
  • Diagnostica dell’archivio identità
  • Diagnostica dei criteri
  • Diagnostica RADIUS
  • Guest
  • Accounting
  • Accounting RADIUS
  • Audit amministrativo e operativo
  • Audit della postura e del provisioning del client
  • Diagnostica della postura e del provisioning del client
  • Profiler
  • Diagnostica di sistema
  • Gestione distribuita
  • Diagnostica delle operazioni interne
  • Statistiche di sistema

Vedere Configurazione delle categorie di registrazione in Cisco ISE.

Filtraggio

Filtriamo gli eventi nel modo indicato di seguito.

Autorizzazione

Descrizione

Autorizziamo gli eventi syslog che trovano corrispondenza con il formato ISE standard.

Per esempio:

<132>Mar 28 07:16:17 ise CISE_Alarm WARN: Profiler SNMP Request Failure : Server= ise; NAD Address=10.1.2.3; Error Message=Request timed out.

Rimozioni

Descrizione

Rimuoviamo gli eventi correlati alle operazioni di routine del sistema, che in genere non sono critiche e non richiedono la registrazione nei log per via della loro natura ripetitiva. La rimozione di questi dati contribuisce a ridurre le informazioni superflue nei log e a preservare le risorse.

Pattern regex

  • NOTICE Radius-Accounting: RADIUS Accounting watchdog update.
  • NOTICE EAP-TLS: Open secure connection with TLS peer.
  • NOTICE EAP-TLS: Shutdown secure connection with TLS peer.
  • NOTICE System-Stats: ISE Counters.
  • NOTICE System-Stats: ISE Process Health.
  • NOTICE System-Stats: ISE Utilization.
  • NOTICE Radius-Accounting: RADIUS Accounting stop request.
  • NOTICE Radius-Accounting: RADIUS Accounting start request.
  • CISE_MONITORING_DATA_PURGE_AUDIT.

Esempi di mapping delle minacce

"alertType": "RADIUS: Endpoint conducted several failed authentications of the same scenario", "threatId": "T1110", "threatName": "Brute Force",
"alertType": "Failed-Attempt: RADIUS Request dropped", "threatId": "T1562.004", "threatName": "Disable or Modify System Firewall",
"alertType": "NOTICE Failed-Attempt: Supplicant stopped responding to ISE", "threatId": "T1499", "threatName": "Endpoint Denial of Service",
"alertType": "EAP-TLS: Shutdown secure connection with TLS peer", "threatId": "T1573", "threatName": "Encrypted Channel",
"alertType": " MDM: Mobile device management compliant", "threatId": "T1120", "threatName": "Peripheral Device Discovery",

Documentazione del vendor