Integração do Cisco ISE
Visão geral do produto Cisco ISE
O Cisco Identity Services Engine (ISE) é uma solução local e abrangente que facilita o acesso seguro a redes e aplicativos. Ele centraliza o gerenciamento de identidade de usuários, autenticação e aplicação de política, assegurando que apenas usuários e dispositivos autorizados possam acessar os recursos de rede.
Documentação da Sophos
O que ingerimos
Exemplos de alertas que vemos:
EAP: Invalid or unexpected EAP payload received
EAP: Expected TLS acknowledge for last alert but received another message
Profiler: Profiler SNMP request failure
External-Active-Directory: Not all Active Directory attributes are retrieved successfully
EAP: EAP-TLS failed SSL/TLS handshake after a client alert
Alertas ingeridos na íntegra
Recomendamos que você configure todas as categorias de log do Cisco ISE que estão configuradas em seu patrimônio digital, incluindo as listadas aqui:
- Auditoria AAA
- Tentativas malsucedidas
- Autenticação aprovada
- Diagnóstico AAA
- Autenticação e autorização do administrador
- Diagnóstico do fluxo de autenticação
- Diagnóstico do armazenamento de identidade
- Diagnóstico da política
- Diagnóstico do Radius
- Convidado
- Contas
- Contas do Radius
- Auditoria administrativa e operacional
- Auditoria de postura e provisionamento de clientes
- Diagnóstico de postura e provisionamento de clientes
- Criador de perfil
- Diagnóstico do sistema
- Gerenciamento distribuído
- Diagnóstico de operações internas
- Estatísticas do sistema
Consulte Configuring logging categories in Cisco ISE.
Filtragem
Filtramos eventos da seguinte forma.
Permitir
Descrição
Permitimos eventos syslog que correspondam ao formato padrão ISE.
Por exemplo:
<132>Mar 28 07:16:17 ise CISE_Alarm WARN: Profiler SNMP Request Failure : Server= ise; NAD Address=10.1.2.3; Error Message=Request timed out.
Drop
Descrição
Abandonamos eventos relacionados a operações de rotina do sistema que normalmente não são críticas e não requerem registro em log devido à sua natureza repetitiva. Deixá-las de lado ajuda a reduzir o acúmulo de logs e preservar recursos.
Padrões de regex
NOTICE Radius-Accounting: RADIUS Accounting watchdog update.
NOTICE EAP-TLS: Open secure connection with TLS peer.
NOTICE EAP-TLS: Shutdown secure connection with TLS peer.
NOTICE System-Stats: ISE Counters.
NOTICE System-Stats: ISE Process Health.
NOTICE System-Stats: ISE Utilization.
NOTICE Radius-Accounting: RADIUS Accounting stop request.
NOTICE Radius-Accounting: RADIUS Accounting start request.
CISE_MONITORING_DATA_PURGE_AUDIT.
Amostra de mapeamento de ameaça
"alertType": "RADIUS: Endpoint conducted several failed authentications of the same scenario", "threatId": "T1110", "threatName": "Brute Force",
"alertType": "Failed-Attempt: RADIUS Request dropped", "threatId": "T1562.004", "threatName": "Disable or Modify System Firewall",
"alertType": "NOTICE Failed-Attempt: Supplicant stopped responding to ISE", "threatId": "T1499", "threatName": "Endpoint Denial of Service",
"alertType": "EAP-TLS: Shutdown secure connection with TLS peer", "threatId": "T1573", "threatName": "Encrypted Channel",
"alertType": " MDM: Mobile device management compliant", "threatId": "T1120", "threatName": "Peripheral Device Discovery",