El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar el NAC Amenaza-céntrico con la protección anticipada de Malware (AMP) en el 2.1 del Identity Services Engine (ISE). Los niveles de gravedad de la amenaza y los resultados de la evaluación de vulnerabilidades se pueden utilizar para controlar dinámicamente el nivel de acceso de un punto final o de un usuario. Los servicios de la postura son también se cubran como una parte de este documento.
Note: El propósito del documento es describir la integración del 2.1 ISE con el AMP, Posture los servicios se muestra como los requieren cuando provision el AMP del ISE.
Cisco recomienda que usted tiene conocimiento básico de estos temas:
Motor del servicio de la identidad de Cisco
Protección anticipada de Malware
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
1. El cliente conecta con la red, se asigna el AMP_Profile y reorientan al usuario al portal de disposición de Anyconnect. Si Anyconnect no se detecta en la máquina, todos los módulos configurados (VPN, AMP, postura) están instalados. La configuración se avanza para cada módulo junto con ese perfil
2. Una vez que Anyconnect está instalado, la evaluación de la postura se ejecuta
3. El módulo del Enabler AMP instala el conector de FireAMP
4. Cuando el cliente intenta descargar el software malévolo, el conector AMP lanza un mensaje de advertencia y lo señala a la nube AMP
5. La nube AMP envía esta información al ISE
Para descargar el conector, navegue al conector de la Administración > de la descarga. Entonces seleccione el tipo y la descarga FireAMP (Windows, Android, mac, Linux). En este caso la auditoría fue seleccionada y el archivo de instalación de FireAMP para Windows.
Note: Descargar este archivo genera un archivo del .exe llamado Audit_FireAMPSetup.exe en el ejemplo. Este archivo fue enviado al servidor Web para estar disponible una vez que el usuario pide la configuración del AMP.
Navegue a la directiva > a los elementos > a las condiciones > a la postura > al archivo Condition.You de la directiva puede ver que una condición simple para la existencia del archivo se ha creado. El archivo tiene que existir si el punto final es ser obediente con la directiva verificada por el módulo de la postura:
Esta condición se utiliza para un requisito:
El requisito se utiliza en la directiva de la postura para los sistemas de Microsoft Windows:
El perfil AMP contiene la información donde se localiza el instalador de Windows. El instalador de Windows fue descargado anterior de la nube AMP. Debe ser accesible de la máquina del cliente. El certificado del servidor HTTPS, donde se localiza el instalador se debe confiar en por la máquina del cliente también.
Note: VPNDisable_ServiceProfile.xml se utiliza para ocultar el título VPN, puesto que este ejemplo no utiliza el módulo VPN. Éste es el contenido de VPNDisable_ServiceProfile.xml:
xmlns <AnyConnectProfile de " http://schemas.xmlsoap.org/encoding/” del xmlns=: xsi del xsi= el " http://www.w3.org/2001/XMLSchema-instance": schemaLocation= " http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd " >
<ClientInitialization>
<ServiceDisable>true</ServiceDisable>
</ClientInitialization>
</AnyConnectProfile>
La configuración de AnyConnect creada anterior se refiere a las reglas del aprovisionamiento del cliente
Primero el cambio de dirección al portal de disposición del cliente ocurre. Las directivas estándar de la autorización para la postura se utilizan.
Luego, una vez que es obediente, se asigna el acceso total
Los servicios del permiso TC-NAC bajo la administración > despliegue > editan el nodo. Checkbox céntrico del servicio del NAC de la amenaza del permiso del control.
Navegue a la administración > al NAC > a los terceros proveedores céntricos de la amenaza > Add. Haga clic en la salvaguardia
Debe transición alistar para configurar el estado. Haga clic en listo para configurar
Seleccione la nube y haga clic en después
Haga clic el link y el login de FireAMP como admin en FireAMP.
El tecleo permite en el panel de las aplicaciones autorizar la petición de la exportación del evento que fluye. Después esa acción, le reorientan de nuevo a Cisco ISE
Seleccione los eventos (por ejemplo, descarga sospechosa, conexión al dominio sospechoso, malware ejecutado, compromiso de las Javas) esos usted quisiera monitorear. El resumen de la configuración del caso del adaptador se visualiza en la página de resumen de la configuración. Transiciones del caso del adaptador al estado conectado/activo.
Conecte con la red inalámbrica vía PEAP (MSCHAPv2).
Una vez que está conectado el cambio de dirección con el portal de disposición del cliente ocurre.
Puesto que no hay nada instalado en la máquina del cliente, el ISE indica para la instalación del cliente de AnyConnect.
La aplicación auxiliar de la configuración de la red (NSA) se debe descargar y funcionamiento de la máquina del cliente.
El NSA toma el cuidado de instalar los componentes requeridos y los perfiles.
Una vez que se acaba la instalación, el módulo de la postura de AnyConnect realiza el control de la conformidad.
Pues se da el acceso total, si el punto final es obediente, el AMP se descarga y está instalado del web server especificado anterior en el perfil AMP.
El conector AMP aparece.
Para probar el AMP en la acción la cadena de Eicar contenida en a archivo zip se descarga. La amenaza se detecta, y está señalada a la nube AMP.
Para verificar los detalles del panel de la amenaza de la nube AMP puede ser utilizado.
Para conseguir más detalles sobre la amenaza, filepath y los fingerpints, usted puede hacer clic en el host, donde el malware fue detectado.
Para ver o desregistrar el caso del ISE que usted puede navegar a las cuentas > a las aplicaciones
En ISE que sí mismo el flujo regular de la postura se considera, cambio de dirección ocurre primero para marcar la conformidad de la red. Tan pronto como el punto final sea obediente, se envía el CoA Reauth y el nuevo perfil con PermitAccess se asigna.
Para ver las amenazas detectadas que usted puede navegar a la visibilidad > a los puntos finales del contexto > los puntos finales comprometidos
Si usted selecciona el punto final y navega a la lengueta de la amenaza, se visualizan más detalles.
Cuando un evento de la amenaza se detecta para un punto final, usted puede seleccionar la dirección MAC del punto final en la página comprometida de los puntos finales y aplicar una directiva ANC (si está configurado, por ejemplo cuarentena). Alternativamente usted puede publicar el cambio de la autorización de terminar la sesión.
Si se selecciona la sesión Terminate CoA, el ISE envía la desconexión CoA y el cliente pierde el acceso a la red.
Para habilitar los debugs en el ISE navegue a la administración > al sistema > a la configuración del registro del registro > del debug, nodo selecto TC-NAC y cambie el registro llano del componente TC-NAC PARA HACER EL DEBUG DE
Registros que se marcarán - irf.log. Usted puede atarlo directamente de ISE CLI:
ISE21-3ek/admin# show logging application irf.log tail
La amenaza incluso se recibe de la nube AMP
2016-06-30 DEBUG [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.amqp.NotificationDispatcher:processDelivery:53 de 18:27:48,617 -:::: :- llamando el mensaje del programa piloto com.cisco.cpm.irf.service.IrfNotificationHandler$MyNotificationHandler@3fac8043 de la notificación {messageType=NOTIFICATION, messageId=THREAT_EVENT, content= {el “c0:4a:00:14:8d:4b": [{“incidente”: {“Impact_Qualification”: “Doloroso”}, “grupo fecha/hora”: 1467304068599, “vendedor”: “AMP”, “título”: “Amenaza detectada”}]} ', priority=0, timestamp=Thu 30 de junio 18:27:48 CEST 2016, amqpEnvelope=Envelope(deliveryTag=79, redeliver=false, exchange=irf.topic.events, routingKey=irf.events.threat), amqpProperties=#contentHeader<basic> (content-type=application/json, content-encoding=null, headers=null, delivery-mode=null, priority=0, correlation-id=null, reply-to=null, expiration=null, message-id=THREAT_EVENT, timestamp=null, type=NOTIFICATION, user-id=null, app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4, cluster-id=null)}
2016-06-30 DEBUG [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.service.IrfNotificationHandler:handle:140 de 18:27:48,617 -:::: :- agregado a la cola pendiente: Mensaje {messageType=NOTIFICATION, messageId=THREAT_EVENT, content= {el “c0:4a:00:14:8d:4b": [{“incidente”: {“Impact_Qualification”: “Doloroso”}, “grupo fecha/hora”: 1467304068599, “vendedor”: “AMP”, “título”: “Amenaza detectada”}]} ', priority=0, timestamp=Thu 30 de junio 18:27:48 CEST 2016, amqpEnvelope=Envelope(deliveryTag=79, redeliver=false, exchange=irf.topic.events, routingKey=irf.events.threat), amqpProperties=#contentHeader<basic> (content-type=application/json, content-encoding=null, headers=null, delivery-mode=null, priority=0, correlation-id=null, reply-to=null, expiration=null, message-id=THREAT_EVENT, timestamp=null, type=NOTIFICATION, user-id=null, app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4, cluster-id=null)}
2016-06-30 DEBUG [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.amqp.NotificationDispatcher:processDelivery:59 de 18:27:48,617 -:::: :- HECHO procesando la notificación: #contentHeader<basic> Envelope(deliveryTag=79, del redeliver=false, exchange=irf.topic.events, routingKey=irf.events.threat) (content-type=application/json, content-encoding=null, headers=null, delivery-mode=null, priority=0, correlation-id=null, reply-to=null, expiration=null, message-id=THREAT_EVENT, timestamp=null, type=NOTIFICATION, user-id=null, app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4, cluster-id=null)
2016-06-30 DEBUG [IRF-EventProcessor-0][] cisco.cpm.irf.service.IrfEventProcessor:parseNotification:221 de 18:27:48,706 -:::: :- notificación del análisis: Mensaje {messageType=NOTIFICATION, messageId=THREAT_EVENT, el content='{"c0:4a:00:14:8d:4b": [{“incidente”: {“Impact_Qualification”: “Doloroso”}, “grupo fecha/hora”: 1467304068599, “vendedor”: “AMP”, “título”: “Amenaza detectada”}]} ', priority=0, timestamp=Thu 30 de junio 18:27:48 CEST 2016, amqpEnvelope=Envelope(deliveryTag=79, redeliver=false, exchange=irf.topic.events, routingKey=irf.events.threat), amqpProperties=#contentHeader<basic> (content-type=application/json, content-encoding=null, headers=null, delivery-mode=null, priority=0, correlation-id=null, reply-to=null, expiration=null, message-id=THREAT_EVENT, timestamp=null, type=NOTIFICATION, user-id=null, app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4, cluster-id=null)}
La información sobre la amenaza se envía PARA CRITICAR
2016-06-30 DEBUG [IRF-EventProcessor-0][] cisco.cpm.irf.service.IrfEventProcessor:storeEventsInES:366 de 18:27:48,724 -:::: :- agregando la Información del evento de la amenaza para enviar PARA CRITICAR - c0:4a:00:14:8d:4b {incident= {Impact_Qualification=Painful}, time-stamp=1467304068599, vendor=AMP, title=Threat detectados}