Configureer ISE 2.2 Threat-Centric NAC (TC-NAC) met Rapid7

Downloadopties

  • PDF     (2.7 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (3.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.4 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 februari 2017
Document-id:200974

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u bedreigingsgerichte NAC met Rapid7 on Identity Service Engine (ISE) 2.2 kunt configureren en problemen kunt oplossen. Met de functie Threat Centric Network Access Control (TC-NAC) kunt u autorisatiebeleid maken op basis van de eigenschappen van bedreigingen en kwetsbaarheden die u van de adapters voor bedreigingen en kwetsbaarheden ontvangt. 

Voorwaarden

Vereisten

Cisco raadt u aan een basiskennis te hebben van deze onderwerpen:

  • Cisco Identity Service Engine

  • Nexpose Vulnerability Scan

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco Identity Service Engine versie 2.2
  • Cisco Catalyst 2960S switch 15.2(2a)E1
  • Rapid7 Nexpose Vulnerability Scanner - Enterprise Edition
  • Windows 7-servicepack 1
  • Windows Server 2012 R2

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Configureren

Flow Diagram op hoog niveau

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-00.png

Dit is de flow:

  1. De client maakt verbinding met het netwerk, de beperkte toegang wordt gegeven en het profiel met het selectievakje Vulnerabilities (Kwetsbaarheid beoordelen) is ingeschakeld wordt toegewezen.

  2. PSN-knooppunt stuurt Syslog-bericht naar MNT-knooppunt ter bevestiging van de verificatie en VA Scan was het resultaat van het autorisatiebeleid.

  3. MNT-knooppunt stuurt SCAN naar TC-NAC-knooppunt (met Admin WebApp) met behulp van deze gegevens:
    -MAC-adres
    -IP-adres
    - Scaninterval
    - Periodieke scan ingeschakeld
    - Oorspronkelijk PSN

  4. Nexpose TC-NAC (ingesloten in Docker Container) communiceert met Nexpose Scanner om scan te activeren indien nodig.

  5. Nexpose Scanner scant het door ISE gevraagde eindpunt.

  6. Nexpose Scanner verstuurt de resultaten van de scan naar ISE.

  7. De resultaten van de scan worden teruggestuurd naar TC-NAC:
    -MAC-adres
    - Alle CVSS-scores
    - Alle kwetsbaarheden (titel, CVEID’s)

  8. TC-NAC werkt PAN bij met alle gegevens van stap 7.

  9. CoA wordt indien nodig geactiveerd volgens het geconfigureerde autorisatiebeleid.

Nexpose-scanner implementeren en configureren

Waarschuwing: de configuratie van Nexpose in dit document wordt uitgevoerd voor de laboratoriumdoeleinden; raadpleeg de Rapid7-engineers voor ontwerpoverwegingen

Stap 1. Stel Nexpose-scanner in.

Nexpose scanner kan worden ingezet vanaf OVA-bestand, geïnstalleerd bovenop Linux en Windows OS. In dit document wordt de installatie uitgevoerd op Windows Server 2012 R2. Download de afbeelding van de Rapid7 website en start de installatie. Wanneer u Type en bestemming configureert, selecteert u Nexpose Security Console met lokale Scan Engine

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-01.png

Wanneer de installatie is voltooid, wordt de server opnieuw opgestart. Na het opstarten moet de Nexpose-scanner toegankelijk zijn via de 3780-poort, zoals in de afbeelding wordt weergegeven:

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-02.png

Zoals in het beeld wordt getoond, doorloopt de scanner het opstartproces voor de Security Console:

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-03.png

Daarna moet de licentiesleutel worden verstrekt om toegang tot de GUI te krijgen. Let op: Enterprise Edition van Nexpose Scanner is vereist, scans worden niet geactiveerd als Community Edition is geïnstalleerd.

Stap 2. Configureer de Nexpose Scanner.

De eerste stap is om het installatiecertificaat op Nexpose Scanner te installeren. Certificaat in dit document wordt afgegeven door dezelfde certificeringsinstantie als een beheercertificaat voor ISE (LAB CA). Navigeren naar Beheer > Globale instellingen en consoles. Selecteer Beheer onder Console, zoals in de afbeelding.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-04.png

Klik op Certificaat beheren, zoals in de afbeelding:

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-05.png

Zoals in de afbeelding, klikt u in Nieuw certificaat maken. Voer een algemene naam en andere gegevens in die u wilt hebben in het identiteitsbewijs van Nexpose Scanner. Zorg ervoor dat ISE in staat is om Nexpose Scanner FQDN met DNS op te lossen.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-06.png

Uitvoer Certificaat Ondertekeningsaanvraag (CSR) naar de terminal.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-07.png

Op dit moment moet u de CSR ondertekenen met Certificate Authority (CA).

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-08.png

Importeer het certificaat dat door CA is afgegeven door op Invoercertificaat te klikken.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-09.png

Configureer een site. De site bevat Assets die u zou moeten kunnen scannen en de account die wordt gebruikt om ISE te integreren met Nexpose Scanner zou rechten moeten hebben om Sites te beheren en rapporten te maken. Navigeer naar Maken > Site, zoals in de afbeelding.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-10.png

Zoals getoond in de afbeelding, voer de naam van de site in op het tabblad Info & Security. Het tabblad Activa moet IP-adressen bevatten van de geldige bedrijfsmiddelen, endpoints die in aanmerking komen voor het scannen van kwetsbaarheden.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-11.png200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-12.png

Voer CA-certificaat in dat een ISE-certificaat heeft ondertekend in de vertrouwde winkel. Navigeer naar Beheer > Basiscertificaten > Beheer > Importeercertificaten.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-13.png

ISE configureren

Stap 1. TC-NAC services inschakelen.

TC-NAC services inschakelen op ISE-knooppunt. Let op deze:

  • De Threat Centric NAC-service vereist een Apex-licentie.
  • U hebt een afzonderlijk Policy Service Node (PSN) nodig voor Threat Centric NAC-service.
  • Threat Centric NAC-service kan op slechts één knooppunt in een implementatie worden ingeschakeld.
  • U kunt per leverancier slechts één exemplaar van een adapter toevoegen voor de Vulnerability Assessment-service.
200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-14.png

Stap 2. Nexpose-scannercertificaat importeren.

Importeer het CA-certificaat van de Nexpose Scanner in het archief van Trusted Certificates in Cisco ISE (Beheer > Certificaten > Certificaatbeheer > Trusted Certificates > Importeren). Zorg ervoor dat de juiste basis- en tussentijdse certificaten worden geïmporteerd (of aanwezig) in het Cisco ISE-servicecertificaat

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-15.png

Stap 3. Configureer de Nexpose Scanner TC-NAC instantie.

Voeg Rapid7 Instance toe bij Beheer > Threat Centric NAC > Verkopers van derden.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-16.png

Zodra toegevoegd, instantie overgangen naar Klaar om staat te vormen. Klik op deze link. Configureer Nexpose Host (Scanner) en Port, standaard is het 3780. Gebruikersnaam en wachtwoord opgeven met toegang tot de juiste site.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-17.png

Geavanceerde instellingen zijn goed gedocumenteerd in de ISE 2.2 Admin Guide. De koppeling vindt u in het gedeelte Referenties van dit document. Klik op Volgende en Voltooien. Nexpose Instance overgangen naar Active state en de kennisbank download start.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-18.png

Stap 4. Configuratie van autorisatieprofiel om VA Scan te starten.

Navigeer naar Beleid > Beleidselementen > Resultaten > Vergunning > Vergunningsprofielen. Voeg nieuw profiel toe. Selecteer onder Common Tasks het aanvinkvakje Vulnerability Assessment. Het scaninterval op aanvraag moet worden geselecteerd op basis van uw netwerkontwerp.

Autorisatieprofiel bevat die av-paren:

cisco-av-pair = on-demand-scan-interval=48
cisco-av-pair = periodic-scan-enabled=0
cisco-av-pair = va-adapter-instance=c2175761-0e2b-4753-b2d6-9a9526d85c0c

Ze worden verzonden naar netwerkapparaten binnen het Access-Accept-pakket, hoewel het echte doel van deze is om MNT-knooppunt (Monitoring Node) te vertellen dat Scannen moet worden geactiveerd. MNT instrueert de TC-NAC knooppunt om te communiceren met Nexpose Scanner.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-19.png

Stap 5. Configuratie van autorisatiebeleid.

  • Configureer het autorisatiebeleid om het nieuwe autorisatieprofiel te gebruiken dat in stap 4 is geconfigureerd. Navigeer naar Beleid > Autorisatie > Autorisatiebeleid, lokaliseer Basic_Authenticated_Access regel en klik op Bewerken. Verander de toegangsrechten van PermitAccess naar de nieuwe standaard Rapid7. Dit veroorzaakt een Vulnerability Scan voor alle gebruikers. Klik in Opslaan.
  • Creëer een autorisatiebeleid voor in quarantaine geplaatste machines. Navigeer naar Beleid > Toestemming > Toepassingsbeleid > Uitzonderingen en maak een Uitzonderingsregel aan. Ga nu naar Voorwaarden > Nieuwe voorwaarde maken (geavanceerde optie) > Kenmerk selecteren, naar beneden scrollen en selecteer Bedreiging. Breid het attribuut Threat uit en selecteer Nexpose-CVSS_Base_Score. Verander de operator in Greater Than en voer een waarde in volgens uw beveiligingsbeleid. Het quarantainevergunningsprofiel moet beperkte toegang tot de kwetsbare machine verschaffen.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-20.png

Verifiëren

Identity Services Engine

De eerste verbinding activeert VA Scan. Wanneer de scan is voltooid, wordt CoA Reauthenticatie geactiveerd om nieuw beleid toe te passen als het wordt aangepast.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-21.png

Ga naar Context Visibility > Endpoints om te controleren welke kwetsbaarheden zijn gedetecteerd. Controleer per endpoints Kwetsbaarheid met de scores die door Nexpose Scanner aan haar zijn gegeven.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-22.png

In Operations > TC-NAC Live Logs, kunt u zien welk autorisatiebeleid is toegepast en details op CVSS_Base_Score.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-23.png

Nexpose-scanner

Wanneer de VA Scan wordt geactiveerd door TC-NAC Nexpose Scan overgangen naar In-Progress-status, en de scanner begint het eindpunt te testen, als u de wireshark Capture op het eindpunt uitvoert, ziet u op dit punt pakketuitwisseling tussen het eindstation en de scanner. Nadat het scannen is voltooid, zijn de resultaten beschikbaar onder Homepagina.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-24.png

Onder de pagina Assets kunt u zien dat er een nieuw eindpunt beschikbaar is met de resultaten van het Scannen, het Besturingssysteem wordt geïdentificeerd en 10 Vulnerabilities worden gedetecteerd.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-25.png

Wanneer u in het IP-adres van het eindpunt klikt neemt Nexpose Scanner u naar het nieuwe menu, waar u meer informatie kunt zien, waaronder hostname, Risc Score en gedetailleerde lijst van kwetsbaarheden

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-26.png200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-27.png

Wanneer u in de Vulnerability zelf klikt, wordt de volledige beschrijving getoond in het beeld.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-28.png

Problemen oplossen

Debugs op ISE

Om debugs op ISE in te schakelen, navigeer naar Beheer > Systeem > Vastlegging > Debug Log Configuration, selecteer TC-NAC Node en verander de Log Level va-runtime en va-service component naar DEBUG.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-29.png

Te controleren logbestanden - varuntime.log. U kunt deze rechtstreeks via ISE CLI volgen:

ISE21-3ek/admin# toont vastlegging toepassing varuntime.log staart

TC-NAC Docker kreeg instructies om Scannen uit te voeren voor een bepaald eindpunt.

2016-11-24 13:32:04,436 DEBUG [Thread-94][] va.runtime.admin.mnt.EndpointFileReader -:::::- VA: Read va runtime. [{"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}, {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}]
2016-11-24 13:32:04,437 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}
2016-11-24 13:32:04,439 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}

Zodra het resultaat is ontvangen, worden alle kwetsbaarheidsgegevens opgeslagen in de Context Directory.

2016-11-24 13:45:28,378 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":2,"isPeriodicScanEnabled":false,"heartBeatTime":1479991526437,"lastScanTime":0}
2016-11-24 13:45:33,642 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- Got message from VaService: [{"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","lastScanTime":1479962572758,"vulnerabilities":["{\"vulnerabilityId\":\"ssl-cve-2016-2183-sweet32\",\"cveIds\":\"CVE-2016-2183\",\"cvssBaseScore\":\"5\",\"vulnerabilityTitle\":\"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-static-key-ciphers\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports The Use of Static Key Ciphers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"rc4-cve-2013-2566\",\"cveIds\":\"CVE-2013-2566\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-prime-under-2048-bits\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"Diffie-Hellman group smaller than 2048 bits\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-primes\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Is Using Commonly Used Prime Numbers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-cve-2011-3389-beast\",\"cveIds\":\"CVE-2011-3389\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server is enabling the BEAST attack\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tlsv1_0-enabled\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS Server Supports TLS version 1.0\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}"]}]
2016-11-24 13:45:33,643 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- VA: Save to context db, lastscantime: 1479962572758, mac: 3C:97:0E:52:3F:D9
2016-11-24 13:45:33,675 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaPanRemotingHandler -:::::- VA: Saved to elastic search: {3C:97:0E:52:3F:D9=[{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"}]}

Logbestanden te controleren - vaservice.log. U kunt deze rechtstreeks via ISE CLI volgen:

ISE21-3ek/admin# toont vastlegging toepassing vaservice.log staart

Aanvraag voor kwetsbaarheidsbeoordeling ingediend bij adapter.

2016-11-24 12:32:05,783 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA request submitted to adapter","TC-NAC.Details","VA request submitted to adapter for processing","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:32:05,810 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}

AdapterMessageListener controleert elke 5 minuten de status van de scan tot het is voltooid.

2016-11-24 12:36:28,143 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"AdapterInstanceName":"Rapid7","AdapterInstanceUid":"7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","VendorName":"Rapid7 Nexpose","OperationMessageText":"Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1"}
2016-11-24 12:36:28,880 DEBUG [endpointPollerScheduler-5][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","Adapter Statistics","TC-NAC.Details","Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1","TC-NAC.AdapterInstanceUuid","7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]

Adapter krijgt CVE's samen met de CVSS Scores.

2016-11-24 12:45:33,132 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"returnedMacAddress":"","requestedMacAddress":"3C:97:0E:52:3F:D9","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1479962572758,"ipAddress":"10.229.20.32","vulnerabilities":[{"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,137 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Endpoint Details sent to IRF is {"3C:97:0E:52:3F:D9":[{"vulnerability":{"CVSS_Base_Score":5.0,"CVSS_Temporal_Score":0.0},"time-stamp":1479962572758,"title":"Vulnerability","vendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,221 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA successfully completed","TC-NAC.Details","VA completed; number of vulnerabilities found: 7","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:45:33,299 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
14-Feb-2017
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Eugene Korneychuk
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten