不正および aWIPS イベント通知

不正および aWIPS イベント通知に関する情報

不正または aWIPS 攻撃が発生するたびに通知を送信するように Cisco DNA Center を構成できます。これらのイベントは、Cisco DNA Center 通知センターに記録されません。不正の脅威または aWIPS 脅威に登録した後にイベントが発生した場合、REST API(ウェブフック、PagerDuty、および Webex)または syslog サーバーを介して通知を受信できます。

  • ウェブフックおよび syslog の接続先を設定するには、『Cisco DNA Center プラットフォーム ユーザガイド』の「Work with Events」のトピックを参照してください。

  • PagerDuty の接続先を設定するには、『Cisco DNA Center ITSM Integration Guide』の「Cisco DNA Center to Cisco WebEx Integration」のトピックを参照してください。

  • Webex の接続先を設定するには、『Cisco DNA Center ITSM Integration Guide』の「Cisco DNA Center to Cisco WebEx Integration」のトピックを参照してください。

この手順を完了したら、不正または aWIPS イベントを選択し、登録していることを確認します。

Cisco DNA Center GUI で不正または aWIPS イベントに登録するには、メニューアイコンをクリックして次を選択します。[Platform] > [Developer Toolkit] > [Events]


(注)  

不正または aWIPS イベントへの登録後にのみイベント通知を受け取ります。登録前に発生した脅威の場合は、Cisco DNA Center GUI でメニューアイコンをクリックして次を選択します。[Reports] > [Report Templates] > [Rogue and aWIPS]

Webex および PagerDuty の接続先には、5 分ごとに 100 件のイベント通知の制限があります。5 分間に 100 件を超えるイベントを受信する場合は、ウェブフックまたは syslog の接続先を構成します。

不正イベント

不正イベントは、次の脅威レベルの高い不正に対してのみトリガーされます。

  • ビーコン不正チャネル

  • ビーコン DS 攻撃

  • AP 偽装

  • 有線ネットワーク上の不正

  • ハニーポット

  • 脅威レベルを高として作成されたカスタムルール

不正イベントは、次の場合にトリガーされます。

  • 脅威レベルの高い不正がネットワークで初めて発見された(ROGUE_NEW_THREAT_DETECTED)

  • 脅威レベルの高い不正がネットワークから削除された(ROGUE_THREAT_DELETED)

  • 脅威レベルが [High] から [Potential] または [Informational] に変更された(ROGUE_THREAT_LEVEL_CHANGED)

  • 脅威レベルが [Potential] または [Informational] から [High] に変更された(ROGUE_THREAT_LEVEL_CHANGED)

  • 脅威レベルは [High] のままだが、脅威の種類が変わった(ROGUE_THREAT_TYPE_CHANGED)

不正イベントペイロードの詳細:

{
	"detectingApLocation": "string",
	"rssi": "int",
	"threatMacAddress": "string",
	"threatType": "string",
	"detectingApMacAddress": "string",
	"threatState": "string",
	"wlcIp": "string",
	"detectingApName": "string",
	"containmentState": "string",
	"vendorName": "string",
	"ssid": "string",
	"threatLevel": "string"
}

ペイロード内のコマンド

  • threatMacAddress:不正 AP の MAC アドレス

  • ThreatType:不正の脅威のタイプ(ビーコン DS 攻撃、AP 偽装、有線ネットワーク上の不正、ハニーポット、または脅威レベルを高として作成されたカスタムルール)

  • threatState:不正の脅威の状態(ROGUE_NEW_THREAT_DETECTED、ROGUE_THREAT_DELETED、ROGUE_THREAT_LEVEL_CHANGED)、 ROGUE_THREAT_LEVEL_CHANGED、または ROGUE_THREAT_TYPE_CHANGED

  • threatLevel:不正の状態(高、潜在的、または情報)

  • detectingApName:最も強力な検出 AP の名前

  • detectingApMacAddress:最も強力な検出 AP の MAC アドレス

  • detectingApLocation:最も強力な検出 AP の場所

  • rssi:不正 AP を検出する検出 AP の RSSI 値

  • [containmentState]:不正 AP の封じ込め状態([PENDING]、[NOTCONTAINED]、または [CONTAINED])

  • threatVendorName:不正 AP のベンダー名

  • ssid:最新の SSID またはハニーポット SSID

  • wlcIp:ワイヤレスコントローラ の IP アドレス

aWIPS イベント

aWIPS イベントは、ネットワーク内のすべての aWIPS 脅威に対してトリガーされます。

検出 AP ごとに通知が送信されます。複数の AP が同じ脅威を検出した場合、複数のイベント通知を受け取ります。

送信元ベースの aWIPS 脅威の場合、送信元情報が送信されます。接続先情報は [Not Applicabl] として送信されます。

接続先ベースの aWIPS 脅威の場合、接続先情報が送信されます。送信元情報は [Not Applicable] として送信されます。

ペアベースの aWIPS 脅威の場合、送信元と接続先の両方の情報が送信されます。

aWIPS イベントペイロードの詳細:

{
	"sourceVendorName": "string",
	"detectingApLocation": "string",
	"attackType": "string",
	"sourceMacAddress": "string",
	"detectingApMacAddress": "string",
	"wlcIp": "string",
	"detectingApName": "string",
	"targetMacAddress": "string"
}

ペイロード内のコマンド

  • attackType:aWIPS 攻撃の種類

  • sourceMacAddress:攻撃者の MAC アドレス

  • sourceVendorName:攻撃者のベンダー名

  • targetMacAddress:ターゲットの MAC アドレス

  • detectingApLocation:検出 AP の場所

  • detectingApMacAddress:検出 AP の MAC アドレス

  • detectingApName:検出 AP の名前

  • wlcIpワイヤレスコントローラ の IP アドレス