コンテンツにスキップ
MDR のサポート提供の詳細はこちら

Cisco ISE 統合

Cisco ISE 製品の概要

Cisco Identity Services Engine (ISE) は、ネットワークおよびアプリケーションへのセキュアなアクセスを容易にする包括的なオンプレミスソリューションです。これにより、ユーザーのID、認証、ポリシー適用の管理が一元化され、許可されたユーザーとデバイスのみがネットワークリソースにアクセスできるようになります。

ソフォス製品ドキュメント

取り込まれる内容

表示される警告の例:

  • EAP: Invalid or unexpected EAP payload received
  • EAP: Expected TLS acknowledge for last alert but received another message
  • Profiler: Profiler SNMP request failure
  • External-Active-Directory: Not all Active Directory attributes are retrieved successfully
  • EAP: EAP-TLS failed SSL/TLS handshake after a client alert

完全に取り込まれる警告

管理サイトに設定されているすべての Cisco ISE ログカテゴリを設定することをお勧めします。これには、次の内容のリストも含まれます。

  • AAA 監査 (AAA audit)
  • 失敗した試行 (Failed attempts)
  • 成功した認証 (Passed authentication)
  • AAA 診断
  • 管理者の認証と許可 (Administrator authentication and authorization)
  • 認証フロー診断 (Authentication flow diagnostics)
  • ID ストア診断 (Identity store diagnostics)
  • ポリシー診断 (Policy diagnostics)
  • Radius 診断 (Radius diagnostics)
  • ゲスト
  • アカウンティング
  • Radius アカウンティング (Radius accounting)
  • 管理および操作の監査 (Administrative and operational audit)
  • ポスチャおよびクライアント プロビジョニングの監査 (Posture and client provisioning audit)
  • ポスチャおよびクライアント プロビジョニングの診断 (Posture and client provisioning diagnostics)
  • プロファイラ (Profiler)
  • システム診断 (System diagnostics)
  • 分散管理 (Distributed management)
  • 内部操作診断 (Internal operations diagnostics)
  • システム統計 (System statistics)

Cisco ISE でのロギング・カテゴリーの構成を参照してください。

フィルタリング

イベントは次のようにフィルタリングされます。

許可

説明

ISE 標準形式に一致する syslog イベントを許可します。

例:

<132>Mar 28 07:16:17 ise CISE_Alarm WARN: Profiler SNMP Request Failure : Server= ise; NAD Address=10.1.2.3; Error Message=Request timed out.

破棄

説明

通常は重要ではなく、反復的な性質のためにログ記録を必要としない、日常的なシステム操作に関連するイベントを破棄します。これらを破棄すると、ログの乱雑さを減らし、リソースを節約できます。

正規表現パターン

  • NOTICE Radius-Accounting: RADIUS Accounting watchdog update.
  • NOTICE EAP-TLS: Open secure connection with TLS peer.
  • NOTICE EAP-TLS: Shutdown secure connection with TLS peer.
  • NOTICE System-Stats: ISE Counters.
  • NOTICE System-Stats: ISE Process Health.
  • NOTICE System-Stats: ISE Utilization.
  • NOTICE Radius-Accounting: RADIUS Accounting stop request.
  • NOTICE Radius-Accounting: RADIUS Accounting start request.
  • CISE_MONITORING_DATA_PURGE_AUDIT.

脅威マッピングの例

"alertType": "RADIUS: Endpoint conducted several failed authentications of the same scenario", "threatId": "T1110", "threatName": "Brute Force",
"alertType": "Failed-Attempt: RADIUS Request dropped", "threatId": "T1562.004", "threatName": "Disable or Modify System Firewall",
"alertType": "NOTICE Failed-Attempt: Supplicant stopped responding to ISE", "threatId": "T1499", "threatName": "Endpoint Denial of Service",
"alertType": "EAP-TLS: Shutdown secure connection with TLS peer", "threatId": "T1573", "threatName": "Encrypted Channel",
"alertType": " MDM: Mobile device management compliant", "threatId": "T1120", "threatName": "Peripheral Device Discovery",

ベンダーのドキュメント