Threat Centric NAC 서비스
TC-NAC(위협 중심 네트워크 액세스 제어) 기능을 사용하면 위협 및 취약점 어댑터에서 수신되는 위협 및 취약점 속성을 기준으로 권한 부여 정책을 생성할 수 있습니다. 위협 심각도 레벨 및 취약점 평가 결과를 사용하여 엔드포인트나 사용자의 액세스 레벨을 동적으로 제어할 수 있습니다.
취약성 및 위협 어댑터가 고품질 IoC(High Fidelity Indications of Compromise), 위협 탐지 이벤트 및 CVSS 점수를 Cisco ISE에 전송하도록 구성할 수 있으며 이를 통해 위협 중심 액세스 정책이 생성되어 엔드포인트의 권한 및 상황이 적절하게 변경될 수 있습니다.
Cisco ISE는 다음 어댑터를 지원합니다.
-
SourceFire FireAMP
-
CTA(Cognitive Threat Analytics) 어댑터
-
Qualys
참고
현재 TC-NAC 플로우에서는 Qualys Enterprise Edition만 지원됩니다.
-
Rapid7 Nexpose
-
Tenable Security Center
엔드포인트에 대한 위협 이벤트가 탐지되면 Compromised Endpoints(침해 엔드포인트) 창에서 그 엔드포인트의 MAC 주소를 선택한 뒤 ANC 정책(예 : 격리)을 적용할 수 있습니다. Cisco ISE는 이 엔드포인트에 대해 CoA를 트리거하고 해당 ANC 정책을 적용합니다. ANC 정책을 사용할 수 없는 경우 Cisco ISE는 해당 엔드포인트에 대해 CoA를 트리거하고 원래 권한 부여 정책을 적용합니다. Compromised Endpoints(침해 엔드 포인트) 창에서 Clear Threat and Vulnerabilities(위협 및 취약점 지우기) 옵션을 사용하여 Cisco ISE 시스템 데이터베이스에서 엔드포인트와 관련된 위협 및 취약점을 지울 수 있습니다.
위협 사전 아래에는 다음 속성이 나열됩니다.
-
CTA-Course_Of_Action(내부 차단, 근절 또는 모니터링을 값으로 사용할 수 있음)
-
Qualys-CVSS_Base_Score
-
Qualys-CVSS_Temporal_Score
-
Rapid7 Nexpose-CVSS_Base_Score
-
Tenable Security Center-CVSS_Base_Score
-
Tenable Security Center-CVSS_Temporal_Score
유효 범위는 기본 점수와 임시 점수 속성 모두 0~10입니다.
엔드포인트에 대한 취약점 이벤트가 수신되면 Cisco ISE는 해당 엔드포인트에 대해 CoA를 트리거합니다. 그러나 위협 이벤트가 수신되면 CoA는 트리거되지 않습니다.
취약성 속성을 사용하여 속성 값을 기반으로 취약한 엔드포인트를 자동으로 격리함으로써 권한 부여 정책을 생성할 수 있습니다. 예를 들면 다음과 같습니다.
Any Identity Group & Threat:Qualys-CVSS_Base_Score > 7.0 -> Quarantine
CoA 이벤트 중에 자동으로 격리되는 엔드포인트의 로그를 보려면
를 선택합니다. 수동으로 격리되는 엔드포인트의 로그를 보려면 를 선택합니다.Threat Centric NAC 서비스를 활성화할 때는 다음 사항에 유의하십시오.
-
Threat Centric NAC 서비스에는 Cisco ISE Advantage 라이선스가 필요합니다.
-
Threat Centric NAC 서비스는 구축 내 한 개 노드에서만 활성화할 수 있습니다.
-
취약점 평가 서비스에 벤더별로 어댑터 인스턴스를 하나만 추가할 수 있습니다. 그러나 FireAMP 어댑터의 인스턴스는 여러 개 추가할 수 있습니다.
-
컨피그레이션을 잃지 않고도 어댑터를 중지했다가 다시 시작할 수 있습니다. 어댑터를 구성한 후에는 언제든지 어댑터를 중지할 수 있습니다. 어댑터는 ISE 서비스가 재시작될 때도 이 상태를 유지합니다. 어댑터를 선택하고 Restart(재시작)을 클릭하여 어댑터를 다시 시작합니다.
참고
어댑터가 중지 상태인 동안에는 어댑터 인스턴스의 이름만 편집할 수 있습니다. 어댑터 컨피그레이션 또는 고급 설정은 편집할 수 없습니다.
다음 페이지에서 엔드포인트에 대한 위협 정보를 볼 수 있습니다.
-
홈 페이지 > 위협 대시보드
-
상황 가시성 > 엔드포인트 > 침해 엔드포인트
Threat Centric NAC 서비스는 다음 경보를 트리거합니다.
-
Adapter not reachable(어댑터에 연결할 수 없음)(syslog ID: 91002): 어댑터에 연결할 수 없음을 나타냅니다.
-
Adapter Connection Failed(어댑터 연결 실패)(syslog ID: 91018): 어댑터에 연결할 수 있지만 어댑터와 소스 서버 간의 연결이 끊겼음을 나타냅니다.
-
Adapter Stopped Due to Error(오류로 인해 어댑터가 중지됨)(syslog ID: 91006): 어댑터가 바람직한 상태가 아닌 경우 이 경보가 트리거됩니다. 이 경보가 표시되면 어댑터 컨피그레이션 및 서버 연결을 확인합니다. 자세한 내용은 어댑터 로그를 참조하십시오.
-
Adapter Error(어댑터 오류)(syslog ID: 91009): Qualys 어댑터가 Qualys 사이트와 연결을 설정할 수 없거나 Qualys 사이트에서 정보를 다운로드 할 수 없음을 나타냅니다.
Threat Centric NAC 서비스에 대해 다음 보고서를 이용할 수 있습니다.
-
Adapter Status(어댑터 상태): 어댑터 상태 보고서에는 위협 및 취약점 어댑터의 상태가 표시됩니다.
-
COA Events(COA 이벤트): 엔드포인트에 대한 취약점 이벤트가 수신되면 Cisco ISE는 해당 엔드포인트에 대해 CoA를 트리거합니다. CoA 이벤트 보고서에는 이러한 CoA 이벤트의 상태가 표시됩니다. 또한 이전 권한 부여 규칙 및 새 권한 부여 규칙과 이러한 엔드포인트에 대한 프로파일 세부정보도 표시됩니다.
-
Threat Events(위협 이벤트): Threat Events(위협 이벤트) 보고서는 Cisco ISE가 사용자가 구성한 다양한 어댑터에서 수신하는 모든 위협 이벤트의 목록을 제공합니다. 취약점 평가 이벤트는 이 보고서에 포함되지 않습니다.
-
Vulnerability Assessment(취약점 평가): 취약점 평가 보고서는 엔드포인트에 대해 수행되는 평가와 관련된 정보를 제공합니다. 이 보고서를 보고 구성된 정책을 기준으로 평가가 수행되는지를 확인할 수 있습니다.
Operations(작업) > Reports(보고서) > Diagnostics(진단) > ISE Counters(ISE 카운터) > Threshold Counter Trends(임계값 카운터 트렌드)에서 다음 정보를 볼 수 있습니다.
-
수신한 총 이벤트 수
-
총 위협 이벤트 수
-
총 취약점 이벤트 수
-
PSN에 발급된 총 CoA 수
이러한 속성의 값은 5분마다 수집되므로 마지막 5분 동안의 수를 나타냅니다.
위협 대시보드에는 다음 대시릿이 포함되어 있습니다.
-
Total Compromised Endpoints(총 침해 엔드포인트) 대시릿에는 현재 네트워크에서 영향을 받은 총 엔드포인트(연결된 엔드포인트와 연결되지 않은 엔드포인트 모두)의 수가 표시됩니다.
-
Compromised Endpoints Over Time(시간별 침해 엔드포인트) 대시릿에는 지정된 기간 동안 엔드포인트에 미친 영향에 대한 기록 보기가 표시됩니다.
-
Top Threats(상위 위협) 대시릿에는 영향 받은 엔드포인트 수와 위협의 심각도를 기반으로 상위 위협이 표시됩니다.
-
Threats Watchlist(위협 감시 목록) 대시릿을 사용하여 선택한 이벤트의 추세를 분석할 수 있습니다.
Top Threats(상위 위협) 대시릿의 거품 방울 크기는 영향 받는 엔드포인트의 수를 나타내며, 밝은 음영 영역은 연결이 끊긴 엔드포인트의 수를 나타냅니다. 색상 및 세로 눈금은 위협의 심각도를 나타냅니다. 위협의 범주는 지표와 인시던트로 두 가지가 있습니다. 지표의 심각도 속성은 "Likely_Impact"이고 인시던트의 심각도 속성은 "Impact_Qualification"입니다.
Compromised Endpoint(침해 엔드포인트) 창에는 영향 받는 엔드포인트의 매트릭스 보기와 각 위협 범주에 대한 영향의 심각도가 표시됩니다. 디바이스 링크를 클릭하여 엔드포인트에 대한 자세한 위협 정보를 볼 수 있습니다.
Action Of Action(조치 과정) 차트에는 CTA 어댑터에서 수신한 CTA-Course_Of_Action 속성을 기반으로 위협 인시던트에 대해 취해진 조치(내부 차단, 근절 또는 모니터링)가 표시됩니다.
홈 페이지의 취약점 대시보드에는 다음 대시릿이 포함되어 있습니다.
-
Total Vulnerable Endpoints(총 취약 엔드포인트) 대시릿에는 CVSS 점수가 지정된 값보다 큰 총 엔드포인트 수가 표시됩니다. 또한 CVSS 점수가 지정된 값보다 큰 연결된 및 연결되지 않은 엔드포인트의 총 개수도 표시됩니다.
-
Top Vulnerability(상위 취약점) 대시릿에는 영향 받는 엔드포인트의 수 또는 취약점의 심각도를 기반으로 상위 취약점이 표시됩니다. Top Vulnerability(상위 취약점) 대시릿의 거품 방울 크기는 영향 받는 엔드포인트의 수를 나타내며, 밝은 음영 영역은 연결되지 않은 엔드포인트의 수를 나타냅니다. 색상 및 세로 눈금은 취약점의 심각도를 나타냅니다.
-
Vulnerability Watchlist(취약점 감시) 대시릿을 사용하면 선택한 취약점에 대한 일정 기간 동안의 추세를 분석할 수 있습니다. 대시릿에서 검색 아이콘을 클릭하고 벤더별 ID(Qualys ID 번호의 경우 "qid")를 입력하여 해당 특정 ID 번호의 트렌드를 선택하고 볼 수 있습니다.
-
Vulnerable Endpoints Over Time(시간별 취약 엔드포인트) 대시릿에는 엔드포인트에 미치는 영향에 대한 시간 경과에 따른 기록 보기가 표시됩니다.
Vulnerable Endpoints(취약 엔드포인트) 창의 CVSS별 엔드포인트 수 그래프에는 영향 받는 엔드포인트의 수와 해당 CVSS 점수가 표시됩니다. Vulnerable Endpoints(취약 엔드포인트) 창에서 영향 받는 엔드포인트의 목록도 볼 수 있습니다. 디바이스 링크를 클릭하여 각 엔드포인트에 대한 세부적인 취약점 정보를 볼 수 있습니다.
Threat Centric NAC 서비스 로그는 지원 번들에 포함되어 있습니다(Cisco ISE 로그 파일 다운로드 참조). Threat Centric NAC 서비스 로그는 support/logs/TC-NAC/에 있습니다.
Threat Centric NAC 서비스 활성화
취약점 및 위협 어댑터를 구성하려면 먼저 Threat Centric NAC 서비스를 활성화해야 합니다. 이 서비스는 구축의 정책 서비스 노드 하나에서만 활성화할 수 있습니다.
프로시저
단계 1 |
Cisco ISE GUI에서 메뉴 아이콘()을 클릭하고 를 선택합니다. |
단계 2 |
Threat Centric NAC 서비스를 활성화할 PSN 옆의 확인란을 선택하고 Edit(편집)를 클릭합니다. |
단계 3 |
Enable Threat Centric NAC Service(Threat Centric NAC 서비스 활성화) 확인란을 선택합니다. |
단계 4 |
Save(저장)를 클릭합니다. |
SourceFire FireAMP 어댑터 추가
시작하기 전에
-
SourceFire FireAMP가 있는 계정이 있어야 합니다.
-
모든 엔드포인트에서 FireAMP 클라이언트를 구축해야 합니다.
-
구축 노드에서 Threat Centric NAC 서비스를 활성화해야 합니다(Threat Centric NAC 서비스 활성화 참고).
-
FireAMP 어댑터는 AMP 클라우드에 대한 REST API 호출에 SSL을 사용하고 이벤트를 수신하는 데 AMQP를 사용합니다. 또한 프록시 사용을 지원합니다. FireAMP 어댑터는 통신에 포트 443을 사용합니다.
프로시저
단계 1 |
Administration(관리) > Threat Centric NAC > Third Party Vendors(서드파티 벤더)Cisco ISE GUI에서 메뉴 아이콘()을 클릭하고 . |
단계 2 |
Add(추가)를 클릭합니다. |
단계 3 |
Vendor(벤더) 드롭다운 목록에서 AMP: Threat를 선택합니다. |
단계 4 |
어댑터 인스턴스의 이름을 입력합니다. |
단계 5 |
Save(저장)를 클릭합니다. |
단계 6 |
Vendor Instances(벤더 인스턴스) 목록 창을 새로 고칩니다. Vendor Instances(벤더 인스턴스) 목록 창에서 어댑터 상태가 Ready to Configure(구성 준비)로 변경된 후에만 어댑터를 구성할 수 있습니다. |
단계 7 |
Ready to Configure(구성 준비) 링크를 클릭합니다. |
단계 8 |
(선택 사항) 모든 트래픽을 라우팅하도록 SOCKS 프록시 서버를 구성한 경우 프록시 서버의 호스트 이름 및 포트 번호를 입력합니다. |
단계 9 |
연결하려는 클라우드를 선택합니다. US 클라우드 또는 EU 클라우드를 선택할 수 있습니다. |
단계 10 |
구독할 이벤트 소스를 선택합니다. 다음 옵션을 사용할 수 있습니다.
|
단계 11 |
FireAMP 링크를 클릭하고 FireAMP에서 관리자로 로그인합니다. Applications(애플리케이션) 창에서 Allow(허용)를 클릭하여 스트리밍 이벤트 내보내기 요청에 권한을 부여합니다. |
단계 12 |
모니터링하려는 이벤트(예: 의심스러운 다운로드, 의심스러운 도메인으로의 연결, 실행된 악성코드, java 보안 침해)를 선택합니다. 고급 설정을 변경하거나 어댑터를 재구성할 때 AMP 클라우드에 새 이벤트가 추가된 경우 해당 이벤트도 Events Listing(이벤트 목록) 창에 나열됩니다. 어댑터의 로그 레벨을 선택할 수 있습니다. 사용 가능한 옵션은 Error, Info, Debug입니다. 어댑터 인스턴스 구성의 요약이 Configuration Summary(구성 요약) 창에 표시됩니다. |
Cognitive Threat Analytics 어댑터 구성
시작하기 전에
-
구축 노드에서 Threat Centric NAC 서비스를 활성화해야 합니다(Threat Centric NAC 서비스 활성화 참고).
-
http://cognitive.cisco.com/login을 통해 Cisco CTA(Cognitive Threat Analytics) 포털에 로그인하고 CTA STIX/TAXII 서비스를 요청합니다. 자세한 내용은 Cisco ScanCenter Center 관리자 가이드를 참조하십시오.
-
CTA(Cognitive Threat Analytics) 어댑터는 SSL과 함께 TAXII 프로토콜을 사용하여, 탐지된 위협에 대해 CTA 클라우드를 폴링합니다. 또한 프록시의 사용을 지원합니다.
-
신뢰할 수 있는 인증서 저장소로 어댑터 인증서를 가져옵니다. 인증서를 가져오려면 Administration(관리) > System(시스템) > Certificates(인증서) > Trusted Certificates(신뢰할 수 있는 인증서) > Import(가져오기)를 선택합니다.
프로시저
단계 1 |
Cisco ISE GUI에서 메뉴 아이콘()을 클릭하고 를 선택합니다. |
단계 2 |
Add(추가)를 클릭합니다. |
단계 3 |
Vendor(벤더) 드롭다운 목록에서 CTA : Threat를 선택합니다. |
단계 4 |
어댑터 인스턴스의 이름을 입력합니다. |
단계 5 |
Save(저장)를 클릭합니다. |
단계 6 |
Vendor Instances(벤더 인스턴스) 목록 페이지를 새로 고칩니다. Vendor Instances(벤더 인스턴스) 목록 페이지에서 어댑터 상태가 Ready to Configure(구성 준비)로 변경된 후에만 어댑터를 구성할 수 있습니다. |
단계 7 |
Ready to Configure(구성 준비) 링크를 클릭합니다. |
단계 8 |
다음 세부정보를 입력합니다.
|
단계 9 |
Next(다음)를 클릭합니다. |
단계 10 |
Advanced Settings(고급 설정) 탭에서 다음 옵션을 구성합니다.
|
단계 11 |
Finish(종료)를 클릭합니다. |
참고 |
CTA는 웹 프록시 로그에 나열된 사용자 ID를 IP 주소 또는 사용자 이름으로 사용합니다. 특히 IP 주소의 경우 프록시 로그를 통해 사용 가능한 디바이스의 IP 주소가 내부 네트워크에있는 다른 디바이스의 IP 주소와 충돌할 수 있습니다. 예를 들어 AnyConnect와 스플릿 터널링을 통해 연결되는 사용자를 인터넷에 직접 로밍하면 로컬 IP 범위 주소(예: 10.0.0.X 주소)를 가져올 수 있습니다. 이 주소는 내부 네트워크에서 사용되는 중복 개인 IP 범위의 주소와 충돌할 수 있습니다. 불일치 디바이스에 격리 작업이 적용되지 않도록 정책을 정의하는 동시에 논리적 네트워크 아키텍처를 함께 고려하는 것이 좋습니다. |
CTA 어댑터를 위한 권한 부여 프로파일 구성
각 위협 이벤트에 대해 CTA 어댑터는 Course of Action(작업 과정) 속성에 대해 Internal Blocking(내부 차단), Monitoring(모니터링) 또는 Eradication(제거) 값 중 하나를 반환합니다. 이러한 값을 기준으로 권한 부여 프로파일을 생성할 수 있습니다.
프로시저
단계 1 |
Cisco ISE GUI에서 메뉴 아이콘()을 클릭하고 Policy(정책) > Policy Elements(정책 요소) > Authorization(권한 부여) > Authorization Profiles(권한 부여 프로파일)를 선택합니다. |
단계 2 |
Add(추가)를 클릭합니다. |
단계 3 |
권한 부여 프로파일의 이름과 설명을 입력합니다. |
단계 4 |
액세스 유형을 선택합니다. |
단계 5 |
필요한 세부정보를 입력하고 Submit(제출)을 클릭합니다. |
작업 과정 속성을 사용하여 권한 부여 정책 구성
CTA-Course_Of_Action 속성을 사용하여 위협 이벤트가 보고되는 엔드포인트에 대한 권한 부여 정책을 구성할 수 있습니다. 이러한 속성은 Threat(위협) 디렉토리에서 사용할 수 있습니다.
CTA-Course_Of_Action 속성을 기반으로 예외 규칙을 생성할 수도 있습니다.
프로시저
단계 1 |
Policy(정책) > Policy Sets(정책 집합)를 선택합니다. |
||
단계 2 |
CTA-Course_Of_Action 속성 값을 확인하고 적절한 권한 부여 프로파일을 할당하는 조건을 생성합니다. 예를 들면 다음과 같습니다. Network_Access_Authentication_Passed AND ThreatCTA-Course_Of_Action CONTAINS Internal Blocking then blocking (authorization profile)
|
||
단계 3 |
Save(저장)를 클릭합니다. |
참고 |
경우에 따라 CTA는 하나의 사고에서 여러 리스크 및 이와 관련된 Course of Action(작업 과정) 속성을 전송하기도 합니다. 예를 들어 하나의 사고에서 "Internal Blocking(내부 차단)"및 "Monitoring(모니터링)"(작업 과정 속성)을 전송할 수 있습니다. 이 경우 "Equals(같음)" 연산자를 사용하여 엔드포인트를 격리하도록 권한 부여 정책을 구성하면 엔드포인트가 격리되지 않습니다. 예를 들면 다음과 같습니다. 이러한 경우 권한 부여 정책에서 "Contains(포함)" 연산자를 사용하여 엔드포인트를 격리해야 합니다. 예를 들면 다음과 같습니다. |
Cisco ISE의 취약점 평가 지원
Cisco ISE는 다음의 VA(취약점 평가) 에코시스템 파트너와 통합되어 Cisco ISE 네트워크에 연결된 엔드포인트의 취약점 결과를 가져옵니다.
-
Qualys: Qualys는 네트워크에 스캐너 어플라이언스가 구축된 클라우드 기반 평가 시스템입니다. Cisco ISE에서는 Qualys와 통신하여 VA 결과를 가져오는 어댑터를 구성할 수 있습니다. 관리 포털에서 어댑터를 구성할 수 있습니다. 어댑터를 구성하려면 슈퍼 관리자 권한이 있는 Cisco ISE 관리자 계정이 필요합니다. Qualys 어댑터는 REST API를 사용하여 Qualys Cloud Service와 통신합니다. Qualys에서 REST API에 액세스 가능한 관리자 권한이 있는 사용자 계정이 필요합니다. Cisco ISE는 다음과 같은 Qualys REST API를 사용합니다.
-
호스트 탐지 목록 API: 엔드포인트의 마지막 스캔 결과를 확인합니다.
-
API 스캔 : 엔드포인트의 온디맨드 스캔을 트리거합니다.
-
-
Rapid7 Nexpose: Cisco ISE는 취약점 관리 솔루션인 Rapid 7 Nexpose와 통합되어 취약점을 탐지하고 이러한 위협에 신속하게 대응하는 데 도움을 줍니다. Cisco ISE는 Nexpose에서 취약점 데이터를 수신하며, ISE에서 구성한 정책에 따라 영향을 받는 엔드포인트를 격리합니다. Cisco ISE 대시 보드에서 영향 받는 엔드포인트를 보고 적절한 조치를 취할 수 있습니다.
Cisco ISE는 Nexpose 릴리스 6.4.1에서 테스트되었습니다.
-
Tenable SecurityCenter(Nessus 스캐너) : Cisco ISE는 Tenable SecurityCenter와 통합되고 Tenable Nessus 스캐너(Tenable SecurityCenter에서 관리)에서 취약점 데이터를 수신하며 ISE에서 구성한 정책에 따라 영향받는 엔드포인트를 격리합니다. Cisco ISE 대시 보드에서 영향 받는 엔드포인트를 보고 적절한 조치를 취할 수 있습니다.
Cisco ISE는 Tenable SecurityCenter 5.3.2에서 테스트되었습니다.
에코시스템 파트너의 결과는 STIX(Structured Threat Information Expression) 표현으로 변환되며, 이 값을 기반으로 CoA(Change of Authorization)가 트리거되고 필요한 경우 엔드포인트에 대한 적절한 액세스 레벨이 부여됩니다.
엔드포인트의 취약점을 평가하는 데 걸리는 시간은 다양한 요인에 따라 달라지므로 VA를 실시간으로 수행할 수 없습니다. 엔드포인트의 취약점을 평가하는 데 걸리는 시간에 영향을 미치는 요인은 다음과 같습니다.
-
취약점 평가
-
스캔되는 취약점의 유형
-
활성화되는 스캔 유형
-
에코시스템에서 스캐너 어플라이언스에 대해 할당한 네트워크 및 시스템 리소스
이 Cisco ISE 릴리스에서는 IPv4 주소가있는 엔드 포인트 만 취약점을 평가할 수 있습니다.
취약점 평가 서비스 활성화 및 구성
Cisco ISE에서 취약점 평가 서비스를 활성화하고 구성하려면 다음 작업을 수행합니다.
프로시저
단계 1 | |
단계 2 |
구성하려면 다음을 따릅니다.
|
단계 3 | |
단계 4 |
Threat Centric NAC 서비스 활성화
취약점 및 위협 어댑터를 구성하려면 먼저 Threat Centric NAC 서비스를 활성화해야 합니다. 이 서비스는 구축의 정책 서비스 노드 하나에서만 활성화할 수 있습니다.
프로시저
단계 1 |
Cisco ISE GUI에서 메뉴 아이콘()을 클릭하고 를 선택합니다. |
단계 2 |
Threat Centric NAC 서비스를 활성화할 PSN 옆의 확인란을 선택하고 Edit(편집)를 클릭합니다. |
단계 3 |
Enable Threat Centric NAC Service(Threat Centric NAC 서비스 활성화) 확인란을 선택합니다. |
단계 4 |
Save(저장)를 클릭합니다. |
Qualys 어댑터 구성
Cisco ISE는 Qualys Vulnerability Assessment Ecosystem을 지원합니다. Cisco ISE가 Qualys와 통신하고 VA 결과를 얻도록 하려면 Qualys 어댑터를 생성해야 합니다.
시작하기 전에
-
다음 사용자 계정이 있어야 합니다.
-
벤더 어댑터를 구성할 수 있도록 슈퍼 관리자 권한이 있는 Cisco ISE의 관리 사용자 계정
-
관리자 권한이 있는 Qualys의 사용자 계정
-
-
적절한 Qualys 라이선스 구독이 있는지 확인합니다. Qualys Report Center, KBX(Knowledge Base) 및 API 액세스 권한이 필요합니다. 자세한 내용은 Qualys 어카운트 매니저에게 문의하십시오.
-
Cisco ISE(Administration(관리) > Certificates(인증서) > Certificate Management(인증서 관리) > Trusted Certificates(신뢰할 수 있는 인증서) > Import(가져오기))에서 Qualys 서버 인증서를 신뢰할 수 있는 인증서 저장소로 가져옵니다. Cisco ISE 신뢰할 수 있는 인증서 저장소에서 적절한 루트 및 중간 인증서를 가져왔는지 또는 해당 인증서가 있는지 확인합니다.
-
다음 컨피그레이션은 Qualys API 가이드를 참조하십시오.
-
Qualys(Reports(보고서) > Setup(설정) > CVSS Scoring(CVSS 점수) > Enable CVSS Scoring(CVSS 점수 활성화))에서 CVSS 점수를 활성화했는지 확인합니다.
-
Qualys(Assets(자산) > Host Assets(호스트 자산))에서 엔드포인트의 IP 주소 및 서브넷 마스크를 추가해야 합니다.
-
Qualys 옵션 프로파일의 이름이 있는지 확인합니다. 옵션 프로파일은 Qualys에서 스캔에 사용할 스캐너 템플릿입니다. 인증된 스캔을 포함하는 옵션 프로파일을 사용하는 것이 좋습니다. 이 옵션은 엔드포인트의 MAC 주소도 확인합니다.
-
-
Cisco ISE는 HTTPS/SSL(포트 443)을 통해 Qualys와 통신합니다.
프로시저
단계 1 |
Cisco ISE GUI에서 메뉴 아이콘()을 클릭하고 를 선택합니다. |
||||||||||||||||||||||||||||
단계 2 |
Add(추가)를 클릭합니다. |
||||||||||||||||||||||||||||
단계 3 |
Vendor(벤더) 드롭다운 목록에서 Qualys:VA를 선택합니다. |
||||||||||||||||||||||||||||
단계 4 |
어댑터 인스턴스의 이름을 입력합니다. Qualys_Instance를 예로 들 수 있습니다. 구성된 어댑터 인스턴스 목록과 함께 목록 창이 나타납니다. |
||||||||||||||||||||||||||||
단계 5 |
Vendor Instances(벤더 인스턴스) 목록 창을 새로 고칩니다. 새로 추가된 Qualys_Instance 어댑터의 상태가 Ready to Configure(구성 준비)로 변경되어야 합니다. |
||||||||||||||||||||||||||||
단계 6 |
Ready to Configure(구성 준비) 링크를 클릭합니다. |
||||||||||||||||||||||||||||
단계 7 |
Qualys 컨피그레이션 화면에서 다음 값을 입력하고 Next(다음)를 클릭합니다.
Qualys 서버에 대한 연결이 설정된 경우 Qualys 스캐너 목록과 함께 Scanner Mappings(스캐너 매핑) 창이 나타납니다. 사용 중인 네트워크의 Qualys 스캐너가 이 창에 표시됩니다. |
||||||||||||||||||||||||||||
단계 8 |
Cisco ISE가 온디맨드 스캔에 사용할 기본 스캐너를 선택합니다. |
||||||||||||||||||||||||||||
단계 9 |
PSN to Scanner Mapping(PSN-스캐너 매핑) 영역에서 PSN노드에 Qualys 스캐너 어플라이언스를 하나 이상 선택하고 Next(다음)를 클릭할 수 있습니다. Advanced Settings(고급 설정) 창이 나타납니다. |
||||||||||||||||||||||||||||
단계 10 |
Advanced Setting(고급 설정) 창에서 다음 값을 입력합니다. 이 창의 설정에 따라 VA에 대해 마지막 스캔 결과가 사용되는지 아니면 온디맨드 스캔이 트리거되는지가 결정됩니다.
|
||||||||||||||||||||||||||||
단계 11 |
컨피그레이션 설정을 검토하려면 Next(다음)를 클릭합니다. |
||||||||||||||||||||||||||||
단계 12 |
Finish(종료)를 클릭합니다. |
Nexpose 어댑터 구성
Cisco ISE가 Nexpose와 통신하고 VA 결과를 얻도록 하려면 Nexpose 어댑터를 생성해야 합니다.
시작하기 전에
-
Cisco ISE에서 위협 중심 NAC 서비스를 활성화했는지 확인합니다.
-
Nexpose 보안 콘솔에 로그인하여 다음 권한으로 사용자 계정을 생성합니다. -
사이트 관리
-
보고서 생성
-
-
Nexpose 서버 인증서를 Cisco ISE의 신뢰할 수 있는 인증서 저장소로 가져옵니다(Administration(관리) > Certificates(인증서) > Certificate Management(인증서 관리) > Trusted Certificates(신뢰할 수 있는 인증서) > Import(가져오기)). Cisco ISE 신뢰할 수 있는 인증서 저장소에서 적절한 루트 및 중간 인증서를 가져왔는지 또는 해당 인증서가 있는지 확인합니다.
-
Cisco ISE는 HTTPS/SSL(포트 3780)을 통해 Nexpose와 통신합니다.
프로시저
단계 1 |
Cisco ISE GUI에서 메뉴 아이콘()을 클릭하고 를 선택합니다. |
||||||||||||||||||||||||||
단계 2 |
Add(추가)를 클릭합니다. |
||||||||||||||||||||||||||
단계 3 |
Vendor(벤더) 드롭다운 목록에서 Rapid7 Nexpose:VA를 선택합니다. |
||||||||||||||||||||||||||
단계 4 |
어댑터 인스턴스의 이름을 입력합니다. 예를 들어 Nexpose를 입력합니다. 구성된 어댑터 인스턴스 목록과 함께 목록 창이 나타납니다. |
||||||||||||||||||||||||||
단계 5 |
Vendor Instances(벤더 인스턴스) 목록 창을 새로 고칩니다. 새로 추가된 Nexpose 어댑터의 상태가 Ready to Configure(구성 준비)로 변경되어야 합니다. |
||||||||||||||||||||||||||
단계 6 |
Ready to Configure(구성 준비) 링크를 클릭합니다. |
||||||||||||||||||||||||||
단계 7 |
Nexpose 컨피그레이션 화면에서 다음 값을 입력하고 Next(다음)를 클릭합니다.
|
||||||||||||||||||||||||||
단계 8 |
Next(다음)를 클릭하여 고급 설정을 구성합니다. |
||||||||||||||||||||||||||
단계 9 |
Advanced Setting(고급 설정) 창에서 다음 값을 입력합니다. 이 창의 설정에 따라 VA에 대해 마지막 스캔 결과가 사용되는지 아니면 온디맨드 스캔이 트리거되는지가 결정됩니다.
|
||||||||||||||||||||||||||
단계 10 |
컨피그레이션 설정을 검토하려면 Next(다음)를 클릭합니다. |
||||||||||||||||||||||||||
단계 11 |
Finish(종료)를 클릭합니다. |
Tenable 어댑터 구성
Cisco ISE가 Tenable SecurityCenter(Nessus 스캐너)와 통신하고 VA 결과를 얻도록 하려면 Tenable 어댑터를 생성해야 합니다.
시작하기 전에
참고 |
Cisco ISE에서 Tenable 어댑터를 구성하려면 먼저 Tenable SecurityCenter에서 다음을 설정해야 합니다. Tenable SecurityCenter 설명서에서 관련 컨피그레이션을 참조하십시오. |
-
Tenable SecurityCenter 및 Tenable Nessus 취약점 스캐너가 설치되어 있어야 합니다. Tenable Nessus 스캐너를 등록하는 동안 Registration(등록) 필드에서 Managed by SecurityCenter(SecurityCenter에서 관리됨)를 선택했는지 확인합니다.
-
Tenable SecurityCenter에서 보안 매니저 권한이 있는 사용자 계정을 생성합니다.
-
관리자 자격 증명으로 Tenable SecurityCenter에 로그인하고 Repository(저장소) > Add(추가)를 선택하여 SecurityCenter에서 저장소를 생성합니다.
-
저장소에서 스캔할 엔드포인트 IP 범위를 추가합니다.
-
Nessus 스캐너를 추가합니다.
-
스캔 영역을 생성하고 해당 스캔 영역에 매핑된 스캔 영역 및 스캐너에 IP 주소를 할당합니다.
-
ISE에 대한 스캔 정책을 생성합니다.
-
활성 스캔을 추가하고 ISE 스캔 정책과 연결합니다. 설정 및 대상(IP/DNS 이름)을 구성합니다.
-
Tenable SecurityCenter에서 시스템 및 루트 인증서를 내보낸 후 Cisco ISE의 신뢰할 수 있는 인증서 저장소로 가져옵니다(Administration(관리) > Certificates(인증서) > Certificate Management(인증서 관리) > Trusted Certificates(신뢰할 수 있는 인증서) > Import(가져오기)). Cisco ISE 신뢰할 수 있는 인증서 저장소에서 적절한 루트 및 중간 인증서를 가져왔는지 또는 해당 인증서가 있는지 확인합니다.
-
Cisco ISE는 HTTPS/SSL(포트 443)을 통해 Tenable SecurityCenter와 통신합니다.
프로시저
단계 1 |
Cisco ISE GUI에서 메뉴 아이콘()을 클릭하고 를 선택합니다. |
||||||||||||||||||||||||||||
단계 2 |
Add(추가)를 클릭합니다. |
||||||||||||||||||||||||||||
단계 3 |
Vendor(벤더) 드롭다운 목록에서 Tenable SecurityCenter:VA를 선택합니다. |
||||||||||||||||||||||||||||
단계 4 |
어댑터 인스턴스의 이름을 입력합니다. 예를 들어 Tenable을 입력합니다. 구성된 어댑터 인스턴스 목록과 함께 목록 창이 나타납니다. |
||||||||||||||||||||||||||||
단계 5 |
Vendor Instances(벤더 인스턴스) 목록 창을 새로 고칩니다. 새로 추가된 Tenable 어댑터의 상태가 Ready to Configure(설정 준비)로 변경되어야 합니다. |
||||||||||||||||||||||||||||
단계 6 |
Ready to Configure(구성 준비) 링크를 클릭합니다. |
||||||||||||||||||||||||||||
단계 7 |
Tenable SecurityCenter 설정창에서 다음 값을 입력하고 Next(다음)를 클릭합니다.
|
||||||||||||||||||||||||||||
단계 8 |
Next(다음)를 클릭합니다. |
||||||||||||||||||||||||||||
단계 9 |
Advanced Setting(고급 설정) 창에서 다음 값을 입력합니다. 이 창의 설정에 따라 VA에 대해 마지막 스캔 결과가 사용되는지 아니면 온디맨드 스캔이 트리거되는지가 결정됩니다.
|
||||||||||||||||||||||||||||
단계 10 |
컨피그레이션 설정을 검토하려면 Next(다음)를 클릭합니다. |
||||||||||||||||||||||||||||
단계 11 |
Finish(종료)를 클릭합니다. |
권한 부여 프로파일 구성
이제 Cisco ISE의 권한 부여 프로파일에는 엔트포인트의 취약점을 스캔하는 옵션이 포함되어 있습니다. 정기적으로 스캔을 실행하도록 선택할 수 있으며 이러한 스캔의 시간 간격도 지정할 수 있습니다. 권한 부여 프로파일을 정의한 후 기존 권한 부여 정책 규칙에 적용하거나 새 권한 부여 정책 규칙을 생성할 수 있습니다.
시작하기 전에
Threat Centric NAC 서비스를 활성화하고 벤더 어댑터를 구성해야 합니다.
프로시저
단계 1 |
Cisco ISE GUI에서 메뉴 아이콘()을 클릭하고 를 선택합니다. |
단계 2 |
새 권한 부여 프로파일을 생성하거나 기존 프로파일을 편집합니다. |
단계 3 |
Common Tasks(일반 작업) 영역에서 Assess Vulnerabilities(취약점 평가) 확인란을 선택합니다. |
단계 4 |
Adapter Instance(어댑터 인스턴스) 드롭다운 목록에서, 구성한 벤더 어댑터를 선택합니다. Qualys_Instance를 예로 들 수 있습니다. |
단계 5 |
마지막 스캔 이후 경과된 시간이 텍스트 상자의 값보다 크면 Trigger scan(스캔 트리거)에 스캔 간격을 시간 단위로 입력합니다. 유효 범위는 1~9999입니다. |
단계 6 |
Assess periodically using above interval(위의 간격을 사용하여 정기적으로 평가) 확인란을 선택합니다. |
단계 7 |
Submit(제출)을 클릭합니다. |
취약한 엔드포인트 격리를 위한 예외 규칙 구성
다음 취약점 평가 속성을 사용하여 예외 규칙을 구성하고 취약한 엔드포인트에 대한 제한된 액세스를 제공할 수 있습니다.
-
Threat:Qualys-CVSS_Base_Score
-
Threat:Qualys-CVSS_Temporal_Score
-
Rapid7 Nexpose-CVSS_Base_Score
-
Tenable Security Center-CVSS_Base_Score
-
Tenable Security Center-CVSS_Temporal_Score
이러한 속성은 Threat 디렉토리에서 사용할 수 있습니다. 유효한 값의 범위는 0~10입니다.
엔드포인트를 격리하거나, 제한된 액세스를 제공하거나(다른 포털로 리디렉션) 요청을 거부하도록 선택할 수 있습니다.
프로시저
단계 1 |
를 선택합니다. |
단계 2 |
Qualys 점수를 확인하고 적절한 권한 부여 프로파일을 할당하는 조건을 생성합니다. 예를 들면 다음과 같습니다. Any Identity Group & Threat:Qualys-CVSS_Base_Score > 5 -> Quarantine (authorization profile) |
단계 3 |
Save(저장)를 클릭합니다. |
취약점 평가 로그
Cisco ISE는 VA 서비스 문제 해결을 위해 다음 로그를 제공합니다.
-
vaservice.log - VA 코어 정보를 포함하며, TC-NAC 서비스를 실행하는 노드에서 사용할 수 있습니다.
-
varuntime.log - 엔드포인트 및 VA 플로우에 대한 정보를 포함하며, 모니터링 노드 및 TC-NAC 서비스를 실행하는 노드에서 사용할 수 있습니다.
-
vaaggregation.log - 엔드포인트 취약점에 대한 시간별 집계 세부정보를 포함하며, 기본 관리 노드에서 사용할 수 있습니다.