Configurar o 2.1 NAC Ameaça-céntrico ISE (TC-NAC) com AMP e serviços da postura

Opções de download

  • PDF     (3.2 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (3.5 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.8 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de Novembro de 2016
ID do documento:200550

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este original descreve como configurar o NAC Ameaça-céntrico com proteção avançada do malware (AMP) no 2.1 do Identity Services Engine (ISE). Os níveis de seriedade da ameaça e os resultados da avaliação da vulnerabilidade podem ser usados para controlar dinamicamente o nível de acesso de um valor-limite ou de um usuário. Os serviços da postura são sejam cobertos igualmente como parte de este original. 

Nota: A finalidade do original é descrever a integração do 2.1 ISE com AMP, Posture serviços está mostrada como são exigidos quando nós provision o AMP do ISE.

Pré-requisitos

Requisitos

Cisco recomenda que você tem o conhecimento básico destes assuntos:

  • Motor do serviço da identidade de Cisco

  • Proteção avançada do malware

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 2.1 do motor do serviço da identidade de Cisco
  • Controlador do Wireless LAN (WLC) 8.0.121.0
  • Cliente VPN 4.2.02075 de AnyConnect
  • Pacote de serviços 1 de Windows 7

Configurar

Diagrama de Rede

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-00.png

Fluxo detalhado

1. O cliente conecta à rede, o AMP_Profile é atribuído e o usuário é reorientado ao portal do abastecimento de Anyconnect. Se Anyconnect não é detectado na máquina, todos os módulos configurados (VPN, AMP, postura) estão instalados. A configuração é incrementada cada módulo junto com esse perfil

2. Uma vez que Anyconnect é instalado, a avaliação da postura é executado

3. O módulo AMP Habilitador instala o conector de FireAMP

4. Quando o cliente tenta transferir o software malicioso, o conector AMP joga um mensagem de advertência e relata-o à nuvem AMP

5. A nuvem AMP envia esta informação ao ISE

Configurar a nuvem AMP

Etapa 1. Conector da transferência da nuvem AMP

A fim transferir o conector, navegue ao conector do Gerenciamento > da transferência. Selecione então o tipo e a transferência FireAMP (Windows, Android, Mac, Linux). A auditoria foi selecionada neste caso e o arquivo de instalação de FireAMP para Windows.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-01.png

Nota: Transferir este arquivo gerencie um arquivo do .exe chamado Audit_FireAMPSetup.exe no exemplo. Este arquivo esteve enviado ao servidor de Web para estar disponível uma vez que o usuário pede a configuração do AMP.

Configurar o ISE

Etapa 1. Configurar políticas e condições da postura

Navegue à política > aos elementos > às condições > à postura > ao arquivo Condition.You da política pode ver que uma condição simples para a existência do arquivo esteve criada. O arquivo tem que existir se o valor-limite é ser complacente com a política verificada pelo módulo da postura:

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-02.png

Esta circunstância é usada para uma exigência:

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-03.png

A exigência é usada na política da postura para sistemas de Microsoft Windows:

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-04.png

Etapa 2. Configurar o perfil da postura

  • Navegue à política > aos elementos da política > aos resultados > ao abastecimento > aos recursos do cliente e adicionar o perfil da postura do agente do Network Admission Control (NAC) ou do agente de AnyConnect
  • Selecione Anyconnect

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-05.png

  • Da seção de protocolo da postura adicionar * a fim permitir que o agente conecte a todos os server

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-06.png

Etapa 3. Configurar o perfil AMP

O perfil AMP contém a informação onde o instalador de Windows é encontrado. O instalador de Windows foi transferido mais cedo da nuvem AMP. Deve ser acessível da máquina cliente. O certificado do servidor HTTPS, onde o instalador é encontrado deve ser confiado pela máquina cliente também.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-07.png

Etapa 2. Aplicativos da transferência de arquivo pela rede e perfil XML ao ISE

  • Transfira o aplicativo manualmente do local de Cisco do oficial: anyconnect-win-4.2.02075-k9.pkg
  • No ISE, navegue à política > aos elementos da política > aos resultados > ao abastecimento > aos recursos do cliente, e adicionar recursos de agente do disco local
  • Escolha Cisco forneceu pacotes e anyconnect-win-4.2.02075-k9.pkg seleto

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-08.png

  • Navegue à política > aos elementos da política > aos resultados > ao abastecimento > aos recursos do cliente e adicionar recursos de agente do disco local
  • Escolha pacotes e o tipo criados cliente perfil de AnyConnect. Selecione VPNDisable_ServiceProfile.xml

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-09.png

Nota: VPNDisable_ServiceProfile.xml é usado para esconder o título VPN, desde que este exemplo não usa o módulo de VPN. Este é o índice de VPNDisable_ServiceProfile.xml:

xmlns <AnyConnectProfile de " http://schemas.xmlsoap.org/encoding/” do xmlns=: xsi do xsi= " http://www.w3.org/2001/XMLSchema-instance": schemaLocation= " http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd " >
 <ClientInitialization>
  <ServiceDisable>true</ServiceDisable>
 </ClientInitialization>
</AnyConnectProfile>

Etapa 3. Módulo da conformidade de AnyConnect da transferência

  • Navegue à política > aos elementos da política > aos resultados > ao abastecimento > aos recursos do cliente e adicionar recursos de agente do local de Cisco
  • Selecione o módulo 3.6.10591.2 da conformidade de AnyConnect Windows e clique sobre a salvaguarda

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-10.png

Etapa 4. Adicionar a configuração de AnyConnect

  • Navegue à política > aos elementos da política > aos resultados > ao abastecimento > aos recursos do cliente, e adicionar a configuração de AnyConnect
  • Configurar o nome e selecione módulo da conformidade e todos os módulos exigidos de AnyConnect (VPN, AMP, e a postura)
  • Na seleção do perfil, escolha o perfil configurado mais cedo para cada módulo

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-11.png

Etapa 5. Configurar regras do abastecimento do cliente

A configuração de AnyConnect criada mais cedo é provida nas regras do abastecimento do cliente

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-12.png

Etapa 6. Configurar políticas da autorização

Primeiramente a reorientação ao portal do abastecimento do cliente ocorre. As políticas padrão da autorização para a postura são usadas.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-13.png

Mais tarde, uma vez que complacente, o acesso direto é atribuído

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-14.png

Etapa 7. Permita serviços TC-NAC

Permita serviços TC-NAC sob a administração > o desenvolvimento > editam o nó. A verificação permite a caixa de seleção céntrica do serviço da ameaça NAC.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-15.png

Etapa 8. Configurar o adaptador AMP

Navegue à administração > à ameaça céntricas NAC > > Add dos fornecedores de terceira parte. Clique sobre a salvaguarda

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-16.png

 Deve transição aprontar-se para configurar o estado. Clique sobre pronto para configurar

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-17.png

 Selecione a nuvem e clique-a sobre em seguida

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-18.png

Clique a relação e o início de uma sessão de FireAMP como o admin em FireAMP.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-19.png

O clique permite no painel dos aplicativos de autorizar o pedido de fluência da exportação do evento. Em seguida essa ação, você é reorientado de volta a Cisco ISE

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-20.png

Selecione os eventos (por exemplo, transferência suspeito, conexão ao domínio suspeito, malware executado, acordo das Javas) esses você gostaria de monitorar. O sumário da configuração do exemplo do adaptador é indicado na página de sumário de configuração. Transições do exemplo do adaptador estado conectado/ativo.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-21.png

Verificar

Valor-limite

Conecte à rede Wireless através de PEAP (MSCHAPv2).

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-22.png

Uma vez que conectado a reorientação ao portal do abastecimento do cliente ocorre.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-23.png

 Desde que não há nada instalado na máquina cliente, o ISE alerta para a instalação de cliente de AnyConnect.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-24.png

O aplicativo assistente da instalação de rede (NSA) deve ser transferido e corrida da máquina cliente.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-25.png

O NSA toma de instalar componentes requeridos e perfis.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-26.png

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-27.png

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-28.png

Uma vez que a instalação é terminada, o módulo da postura de AnyConnect executa a verificação da conformidade.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-29.png

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-30.png

Porque o acesso direto está dado, se o valor-limite é complacente, o AMP está transferido e instalado do web server especificado mais cedo no perfil AMP.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-31.png

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-32.png

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-33.png

O conector AMP aparece.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-34.png

Para testar o AMP na ação a corda de Eicar contida em um arquivo zip é transferida. A ameaça é detectada, e relatada à nuvem AMP.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-35.png

Nuvem AMP

Para verificar os detalhes do painel da ameaça da nuvem AMP pode ser usada.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-36.png

A fim obter mais detalhes sobre a ameaça, caminho do arquivo e fingerpints, você pode clicar sobre o host, onde o malware foi detectado.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-37.png

Para ver ou exemplo do desfazer/cancelar registro do ISE que você pode navegar às contas > aos aplicativos

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-38.png

ISE

Em ISE que próprio o fluxo regular da postura é considerado, reorientação ocorre primeiramente para verificar a conformidade da rede. Assim que o valor-limite for complacente, o CoA Reauth está enviado e o perfil novo com PermitAccess é atribuído.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-39.png

Para ver as ameaças que detectadas você pode navegar à visibilidade > aos valores-limite do contexto > valores-limite comprometidos

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-40.png

Se você seleciona o valor-limite e navega à aba da ameaça, mais detalhes estão indicados.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-41.png

Quando um evento de ameaça é detectado para um valor-limite, você pode selecionar o MAC address do valor-limite na página comprometida dos valores-limite e aplicar uma política ANC (se configurado, por exemplo quarentena). Alternativamente você pode emitir a mudança da autorização terminar a sessão.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-42.png

Se a sessão Terminate CoA é selecionada, o ISE envia a disconexão CoA e o cliente perde o acesso à rede.

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-43.png

Troubleshooting

A fim permitir debuga no ISE navegam à administração > ao sistema > registrando > debugam a configuração do log, nó seleto TC-NAC e mudam o log em nível do componente TC-NAC PARA DEBUGAR

200550-Configure-ISE-2-1-Threat-Centric-NAC-TC-44.png

Logs a ser verificados - irf.log. Você pode atá-lo diretamente de ISE CLI:

ISE21-3ek/admin# show logging application irf.log tail

A ameaça mesmo é recebida da nuvem AMP

2016-06-30 18:27:48,617 DEBUGAM [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.amqp.NotificationDispatcher:processDelivery:53 -:::: :- chamando a mensagem do alimentador com.cisco.cpm.irf.service.IrfNotificationHandler$MyNotificationHandler@3fac8043 da notificação {messageType=NOTIFICATION, messageId=THREAT_EVENT, content= {“c0:4a:00:14:8d:4b": [{“incidente”: {“Impact_Qualification”: “Doloroso”}, “marcador temporal”: 1467304068599, “vendedor”: “AMP”, “título”: “Ameaça detectada”}]} ', priority=0, timestamp=Thu o 30 de junho 18:27:48 CEST 2016, amqpEnvelope=Envelope(deliveryTag=79, redeliver=false, exchange=irf.topic.events, routingKey=irf.events.threat), amqpProperties=#contentHeader<basic> (content-type=application/json, content-encoding=null, headers=null, delivery-mode=null, priority=0, correlation-id=null, reply-to=null, expiration=null, message-id=THREAT_EVENT, timestamp=null, type=NOTIFICATION, user-id=null, app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4, cluster-id=null)}
2016-06-30 18:27:48,617 DEBUGAM [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.service.IrfNotificationHandler:handle:140 -:::: :- adicionado à fila pendente: Mensagem {messageType=NOTIFICATION, messageId=THREAT_EVENT, content= {“c0:4a:00:14:8d:4b": [{“incidente”: {“Impact_Qualification”: “Doloroso”}, “marcador temporal”: 1467304068599, “vendedor”: “AMP”, “título”: “Ameaça detectada”}]} ', priority=0, timestamp=Thu o 30 de junho 18:27:48 CEST 2016, amqpEnvelope=Envelope(deliveryTag=79, redeliver=false, exchange=irf.topic.events, routingKey=irf.events.threat), amqpProperties=#contentHeader<basic> (content-type=application/json, content-encoding=null, headers=null, delivery-mode=null, priority=0, correlation-id=null, reply-to=null, expiration=null, message-id=THREAT_EVENT, timestamp=null, type=NOTIFICATION, user-id=null, app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4, cluster-id=null)}
2016-06-30 18:27:48,617 DEBUGAM [IRF-AMQP-Dispatcher-Notification-0][] cisco.cpm.irf.amqp.NotificationDispatcher:processDelivery:59 -:::: :- FEITO processando a notificação: #contentHeader<basic> Envelope(deliveryTag=79, de redeliver=false, exchange=irf.topic.events, routingKey=irf.events.threat) (content-type=application/json, content-encoding=null, headers=null, delivery-mode=null, priority=0, correlation-id=null, reply-to=null, expiration=null, message-id=THREAT_EVENT, timestamp=null, type=NOTIFICATION, user-id=null, app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4, cluster-id=null)
2016-06-30 18:27:48,706 DEBUGAM [IRF-EventProcessor-0][] cisco.cpm.irf.service.IrfEventProcessor:parseNotification:221 -:::: :- notificação da análise gramatical: Mensagem {messageType=NOTIFICATION, messageId=THREAT_EVENT, content='{"c0:4a:00:14:8d:4b": [{“incidente”: {“Impact_Qualification”: “Doloroso”}, “marcador temporal”: 1467304068599, “vendedor”: “AMP”, “título”: “Ameaça detectada”}]} ', priority=0, timestamp=Thu o 30 de junho 18:27:48 CEST 2016, amqpEnvelope=Envelope(deliveryTag=79, redeliver=false, exchange=irf.topic.events, routingKey=irf.events.threat), amqpProperties=#contentHeader<basic> (content-type=application/json, content-encoding=null, headers=null, delivery-mode=null, priority=0, correlation-id=null, reply-to=null, expiration=null, message-id=THREAT_EVENT, timestamp=null, type=NOTIFICATION, user-id=null, app-id=fe80e16e-cde8-4d7f-a836-545416ae56f4, cluster-id=null)}

A informação sobre a ameaça é enviada PARA FILTRAR

2016-06-30 18:27:48,724 DEBUGAM [IRF-EventProcessor-0][] cisco.cpm.irf.service.IrfEventProcessor:storeEventsInES:366 -:::: :- adicionando a informação de evento de ameaça para enviar PARA FILTRAR - c0:4a:00:14:8d:4b {incident= {Impact_Qualification=Painful}, time-stamp=1467304068599, vendor=AMP, title=Threat detectados}

TAC Authored

Colaborado por engenheiros da Cisco

  • Eugene Korneychuk
    Engenheiro de TAC da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos