Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Integração do Cisco ISE

Visão geral do produto Cisco ISE

O Cisco Identity Services Engine (ISE) é uma solução local e abrangente que facilita o acesso seguro a redes e aplicativos. Ele centraliza o gerenciamento de identidade de usuários, autenticação e aplicação de política, assegurando que apenas usuários e dispositivos autorizados possam acessar os recursos de rede.

Documentação da Sophos

O que ingerimos

Exemplos de alertas que vemos:

  • EAP: Invalid or unexpected EAP payload received
  • EAP: Expected TLS acknowledge for last alert but received another message
  • Profiler: Profiler SNMP request failure
  • External-Active-Directory: Not all Active Directory attributes are retrieved successfully
  • EAP: EAP-TLS failed SSL/TLS handshake after a client alert

Alertas ingeridos na íntegra

Recomendamos que você configure todas as categorias de log do Cisco ISE que estão configuradas em seu patrimônio digital, incluindo as listadas aqui:

  • Auditoria AAA
  • Tentativas malsucedidas
  • Autenticação aprovada
  • Diagnóstico AAA
  • Autenticação e autorização do administrador
  • Diagnóstico do fluxo de autenticação
  • Diagnóstico do armazenamento de identidade
  • Diagnóstico da política
  • Diagnóstico do Radius
  • Convidado
  • Contas
  • Contas do Radius
  • Auditoria administrativa e operacional
  • Auditoria de postura e provisionamento de clientes
  • Diagnóstico de postura e provisionamento de clientes
  • Criador de perfil
  • Diagnóstico do sistema
  • Gerenciamento distribuído
  • Diagnóstico de operações internas
  • Estatísticas do sistema

Consulte Configuring logging categories in Cisco ISE.

Filtragem

Filtramos eventos da seguinte forma.

Permitir

Descrição

Permitimos eventos syslog que correspondam ao formato padrão ISE.

Por exemplo:

<132>Mar 28 07:16:17 ise CISE_Alarm WARN: Profiler SNMP Request Failure : Server= ise; NAD Address=10.1.2.3; Error Message=Request timed out.

Drop

Descrição

Abandonamos eventos relacionados a operações de rotina do sistema que normalmente não são críticas e não requerem registro em log devido à sua natureza repetitiva. Deixá-las de lado ajuda a reduzir o acúmulo de logs e preservar recursos.

Padrões de regex

  • NOTICE Radius-Accounting: RADIUS Accounting watchdog update.
  • NOTICE EAP-TLS: Open secure connection with TLS peer.
  • NOTICE EAP-TLS: Shutdown secure connection with TLS peer.
  • NOTICE System-Stats: ISE Counters.
  • NOTICE System-Stats: ISE Process Health.
  • NOTICE System-Stats: ISE Utilization.
  • NOTICE Radius-Accounting: RADIUS Accounting stop request.
  • NOTICE Radius-Accounting: RADIUS Accounting start request.
  • CISE_MONITORING_DATA_PURGE_AUDIT.

Amostra de mapeamento de ameaça

"alertType": "RADIUS: Endpoint conducted several failed authentications of the same scenario", "threatId": "T1110", "threatName": "Brute Force",
"alertType": "Failed-Attempt: RADIUS Request dropped", "threatId": "T1562.004", "threatName": "Disable or Modify System Firewall",
"alertType": "NOTICE Failed-Attempt: Supplicant stopped responding to ISE", "threatId": "T1499", "threatName": "Endpoint Denial of Service",
"alertType": "EAP-TLS: Shutdown secure connection with TLS peer", "threatId": "T1573", "threatName": "Encrypted Channel",
"alertType": " MDM: Mobile device management compliant", "threatId": "T1120", "threatName": "Peripheral Device Discovery",

Documentação do fornecedor