配置ISE 2.1威胁中心美洲台(TC-NAC)和Qualys

简介

本文描述如何配置威胁中心美洲台和在身份服务引擎(ISE) 2.1的Qualys。威胁中心网络访问控制(TC-NAC)功能使您创建根据威胁的授权策略，并且漏洞归因于已接收从威胁和漏洞适配器。

先决条件

要求

Cisco 建议您具有以下主题的基础知识：

• 思科身份服务引擎

• Qualys ScanGuard

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco身份服务引擎版本2.1
• 无线局域网控制器(WLC) 8.0.121.0
• Qualys卫兵扫描仪8.3.36-1，签名2.3.364-2
• Windows 7服务包1

配置

高层次流程图

这是流：

1. 客户端连接对网络，有限访问给，并且配置文件与估计启用的复选框分配的漏洞
2. PSN节点对MNT节点确认的验证的发送系统消息发生了，并且VA扫描是授权策略结果
3. MNT节点提交扫描对TC-NAC节点(使用Admin WebApp)使用此数据， ：
   - MAC地址
   - IP地址
   - Scan interval
   -启用的定期扫描
   -产生PSN
4. Qualys TC-NAC (封装在码头工人容器)与Qualys Cloud联络(通过其余API)若需要触发扫描
5. Qualys Cloud指示Qualys扫描仪扫描终端
6. Qualys扫描仪发送扫描的结果对Qualys Cloud
7. 扫描的结果被退还的对TC-NAC ：
   - MAC地址
   -所有CVSS分数
   -所有漏洞(QID，标题， CVEIDs)
8. TC-NAC更新与所有数据的PAN从步骤7。
9. 若需要CoA根据配置的授权策略被触发。

配置Qualys Cloud和扫描仪

Caution:在本文的Qualys配置为实验室目的被执行，请与设计注意事项的Qualys工程师协商

步骤1.部署Qualys扫描仪

Qualys扫描仪可以从卵文件部署。登陆对Qualys网云并且导航给扫瞄>伊莱克斯并且选择新>虚拟扫描仪设备

选择仅下载镜像并且选择适当的分配

要获得激活代码您可以去扫瞄>伊莱克斯，并且选择新建>虚拟扫描仪设备和选择我有我的镜像

在输入扫描仪名称以后您给您将使用以后的授权码。

步骤2.配置Qualys扫描仪

部署在您的选择虚拟化平台的卵。一旦完成，请配置那些设置：

• 建立网络(LAN)
• 广域网接口设置(如果使用两个接口)
• 代理设置(如果使用代理)
• 个性化此扫描仪

之后扫描仪连接对Qualys并且下载最新的软件和签名。

要验证扫描仪连接您能导航对扫瞄>伊莱克斯。

格林连接在左边的符号表明扫描仪准备好，您能也看到LAN IP、广域网扫描仪IP、版本和签名。

配置ISE

虽然您配置Qualys扫描仪和Cloud，您必须仍然调整Cloud设置优良确保与ISE工作的集成。注意，应该执行它，在您通过GUI前配置适配器，因为包含CVSS计分的信息库下载，在适配器第一次后配置。

步骤1.调整集成的Qualys Cloud设置与ISE

• 计分在漏洞Management>的Enable (event) CVSS报告>设置> CVSS >enable CVSS计分

• 保证用于适配器配置的用户凭证有管理器权限。选择您的从左顶部角落的用户并且点击用户配置文件。您应该有在用户角色的管理器权利。

• 保证要求漏洞评估终端的IP地址/子网被添加到在漏洞Management>资产>主机资产>New > IP被跟踪的主机的Qualys

步骤2. Enable (event) TC-NAC服务

启用TC-NAC服务在Administration >部署> Edit下节点。检查 Enable (event)威胁中心美洲台服务 复选框。

Note:只可以有每部署一个TC-NAC节点。

步骤3.配置Qualys适配器连接对ISE VA框架

导航对Administration >威胁中心美洲台>第三方供应商>Add。点击“Save”。

当Qualys实例过渡准备配置状态，请点击Ready配置在状态的选项。

其余API主机应该是您使用Qualys Cloud，您的帐户查找的那个。在本例中- qualysguard.qg2.apps.qualys.com

帐户应该是那个有管理器权限，其次点击。

ISE下载关于连接对Qualys Cloud的扫描仪的信息，您能配置PSN到在此页的扫描仪映射。它保证授权终端的选定扫描仪根据PSN被选择。

先进的设置是有大量文件证明的在ISE 2.1管理指南，链路可以在本文的References部分找到。其次点击并且完成。Qualys对活动状态和知识库下载的实例转变开始。

Note:只可以有每部署一个Qualys实例。

步骤4.配置授权配置文件触发VA扫描

导航对策略>Policy元素>结果>授权>授权配置文件。添加新配置文件。在普通的任务下请选择漏洞评估复选框。
应该根据您的网络设计选择根据要求scan interval。

授权配置文件包含那些AV对：

cisco-av-pair = on-demand-scan-interval=48
cisco-av-pair = periodic-scan-enabled=0
cisco-av-pair = va-adapter-instance=796440b7-09b5-4f3b-b611-199fb81a4b99

他们发送到在访问接受信息包内的网络设备，虽然真正目的他们将告诉应该触发扫描的MNT节点。MNT指示TC-NAC节点与Qualys Cloud联络。

步骤5.配置授权策略

• 配置授权策略使用配置的新的授权配置文件在步骤4.导航对策略>授权>授权策略，找出Basic_Authenticated_Access规则并且点击Edit。更改从PermitAccess的权限到新建立的标准的VA_Scan。这导致所有用户的一漏洞扫描。点击“Save”。

• 创建Quarantined机器的授权策略。导航对策略>授权>授权策略>例外并且创建例外规则。点击情况>创造新的条件(Advanced选项) >选择属性，把并且选择威胁移下来。展开威胁属性并且选择Qualys-CVSS_Base_Score。更改操作员对极大比并且根据您的安全策略输入值。检疫授权配置文件应该给对易受攻击计算机的有限访问。

验证

身份服务引擎

第一个连接触发VA扫描。当扫描完成时， CoA重新验证被触发运用新建的策略，如果匹配。

为了验证哪些漏洞检测，请导航对上下文可见性>终端。每终端漏洞检查与分数给对它由Qualys。

当选择特定的终端时，关于每个漏洞的更多详细信息出现，包括标题和CVEID。

在操作> TC-NAC中居住日志，您能看到旧有与在CVSS_Base_Score的策略应用的新的授权和详细信息。

Note:授权情况根据CVSS_Base_Score完成，对最高的漏洞斯克尔的等于在终端检测。

Qualys Cloud

当VA扫描由TC-NAC Qualys时触发排队扫描，它能查看在扫瞄>扫瞄

 之后它过渡了到运行，含义Qualys网云指示Qualys扫描仪进行实际扫描

 当扫描仪执行扫描时，您应该看到“扫描…”在Qualys卫兵的右上角符号

一旦扫描执行过渡了到已完成陈述。您能查看结果在扫瞄>扫瞄，选择需要的扫描和点击视图摘要或视图结果。

在报告您能看到详细的结果，检测的漏洞显示。

故障排除

在ISE的调试

为了在ISE的关闭调试导航对管理>System >记录日志>调试日志配置，挑选TC-NAC节点并且更换日志级别VA运行时间和VA服务组件调试

将被检查的日志- varuntime.log。您能直接地从ISE CLI盯梢它：

ISE21-3ek/admin# show logging应用程序varuntime.log尾标

TC-NAC码头工人接收的说明执行特定的终端的扫描。

2016-06-28 19:06:30,823调试[Thread-70][] va.runtime.admin.mnt.EndpointFileReader - ： ： ： ： ：- VA ：读VA运行时间。[{"operationType":1,"macAddress":"C0:4A:00:14:8D:4B","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"796440b7-09b5-4f3b-b611-199fb81a4b99","psnHostName":"ISE21-3ek","heartBeatTime":0,"lastScanTime":0}]
2016-06-28 19:06:30,824调试[Thread-70][] va.runtime.admin.vaservice.VaServiceRemotingHandler - ： ： ： ： ：- VA ：从Mnt的接收的数据：{"operationType":1,"macAddress":"C0:4A:00:14:8D:4B","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"796440b7-09b5-4f3b-b611-199fb81a4b99","psnHostName":"ISE21-3ek","heartBeatTime":0,"lastScanTime":0}

一旦结果接收存储在上下文目录的所有漏洞数据。

2016-06-28 19:25:02,020调试[pool-311-thread-8][] va.runtime.admin.vaservice.VaServiceMessageListener - ： ： ： ： ：-从VaService的收到的消息：[{"macAddress":"C0:4A:00:14:8D:4B","ipAddress":"10.62.148.63","lastScanTime":1467134394000,"vulnerabilities":["{\"vulnerabilityId\":\"QID-90783\",\"cveIds\":\"CVE-2012-0002,CVE-2012-0152,\",\"cvssBaseScore\":\"9.3\",\"cvssTemporalScore\":\"7.7\",\"vulnerabilityTitle\":\"Microsoft Windows远程桌面协议远程编码执行漏洞(MS12-020)\",\"vulnerabilityVendor\":\"Qualys\"}","{\"vulnerabilityId\":\"QID-38173\",\"cveIds\":\"\",\"cvssBaseScore\":\"9.4\",\"cvssTemporalScore\":\"6.9\",\"vulnerabilityTitle\":\"SSL证书-签名验证失败的Vulnerability\",\"vulnerabilityVendor\":\"Qualys\"}","{\"vulnerabilityId\":\"QID-90882\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.7\",\"cvssTemporalScore\":\"4\",\"vulnerabilityTitle\":\"Windows远程桌面协议弱加密方法Allowed\",\"vulnerabilityVendor\":\"Qualys\"}","{\"vulnerabilityId\":\"QID-90043\",\"cveIds\":\"\",\"cvssBaseScore\":\"7.3\",\"cvssTemporalScore\":\"6.3\",\"vulnerabilityTitle\":\"SMB签署不是Required\",\"vulnerabilityVendor\":\"Qualys\"}","{\"vulnerabilityId\":\"QID-38601\",\"cveIds\":\"CVE-2013-2566,CVE-2015-2808,\",\"cvssBaseScore\":\"4.3\",\"cvssTemporalScore\":\"3.7\",\"vulnerabilityTitle\":\"SSL/TLS使用弱RC4密码器的签字禁用的或SMB \”， \ “vulnerabilityVendor \” ：\ “Qualys \ “}”]}]
2016-06-28 19:25:02,127调试[pool-311-thread-8][] va.runtime.admin.vaservice.VaServiceMessageListener - ： ： ： ： ：- VA ：对上下文db的保存， lastscantime ：1467134394000， mac ：C0:4A:00:14:8D:4B
2016-06-28 19:25:02,268调试[pool-311-thread-8][] va.runtime.admin.vaservice.VaAdminServiceContext - ： ： ： ： ：- VA ：发送有弹性搜索json对PRI LAN
2016-06-28 19:25:02,272调试[pool-311-thread-8][] va.runtime.admin.vaservice.VaPanRemotingHandler - ： ： ： ： ：- VA ：保存对有弹性搜索：{C0:4A:00:14:8D:4B=[{"vulnerabilityId":"QID-90783","cveIds":"CVE-2012-0002,CVE-2012-0152,","cvssBaseScore":"9.3","cvssTemporalScore":"7.7","vulnerabilityTitle":"Microsoft Windows远程桌面协议远程编码执行漏洞(MS12-020)","vulnerabilityVendor":"Qualys"}， {"vulnerabilityId":"QID-38173","cveIds":"","cvssBaseScore":"9.4","cvssTemporalScore":"6.9","vulnerabilityTitle":"SSL证书-签名验证失败的漏洞”， “vulnerabilityVendor” ：“Qualys”}，允许的{"vulnerabilityId":"QID-90882","cveIds":"","cvssBaseScore":"4.7","cvssTemporalScore":"4","vulnerabilityTitle":"Windows远程桌面协议弱加密方法”， “vulnerabilityVendor” ：“Qualys”}， {"vulnerabilityId":"QID-90043","cveIds":"","cvssBaseScore":"7.3","cvssTemporalScore":"6.3","vulnerabilityTitle":"SMB签字签字禁用的或的SMB没要求”， “vulnerabilityVendor” ：“Qualys”}， {"vulnerabilityId":"QID-38601","cveIds":"CVE-2013-2566,CVE-2015-2808,","cvssBaseScore":"4.3","cvssTemporalScore":"3.7","vulnerabilityTitle":"SSL/TLS使用弱RC4密码器”， “vulnerabilityVendor” ：“Qualys”}]}

将被检查的日志- vaservice.log。您能直接地从ISE CLI盯梢它：

ISE21-3ek/admin# show logging应用程序vaservice.log尾标

漏洞评估请求提交对适配器

2016-06-28 17:07:13,200调试[endpointPollerScheduler-3][] cpm.va.service.util.VaServiceUtil - ： ： ： ： ：- VA SendSyslog systemMsg ：[{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability评估服务”， “TCNAC.Status”， “VA请求提交对适配器”， “TCNAC.Details”， “VA请求提交对processing","TC-NAC.MACAddress","C0:4A:00:14:8D:4B","TC-NAC.IpAddress","10.62.148.63","TC-NAC.AdapterInstanceUuid","796440b7-09b5-4f3b-b611-199fb81a4b99","TC-NAC.VendorName","Qualys","TC-NAC.AdapterInstanceName","QUALYS_VA"]}]的适配器

AdapterMessageListener检查每5分钟扫描的状态，直到完成。

2016-06-28 17:09:43,459调试[SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener - ： ： ： ： ：-从适配器的消息：为检查扫描结果排队的终端{"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f30248ad0","VendorName":"Qualys","OperationMessageText":"Number ：1，为扫描排队的终端编号：0，终端编号扫描进展中：0"}
2016-06-28 17:14:43,760调试[SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener - ： ： ： ： ：-从适配器的消息：为检查扫描结果排队的终端{"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f30248ad0","VendorName":"Qualys","OperationMessageText":"Number ：0，为扫描排队的终端编号：0，终端编号扫描进展中：1"}
2016-06-28 17:19:43,837调试[SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener - ： ： ： ： ：-从适配器的消息：为检查扫描结果排队的终端{"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f30248ad0","VendorName":"Qualys","OperationMessageText":"Number ：0，为扫描排队的终端编号：0，终端编号扫描进展中：1"}
2016-06-28 17:24:43,867调试[SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener - ： ： ： ： ：-从适配器的消息：为检查扫描结果排队的终端{"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f30248ad0","VendorName":"Qualys","OperationMessageText":"Number ：0，为扫描排队的终端编号：0，终端编号扫描进展中：1"}

适配器是获得QID， CVE'S与CVSS分数一起

2016-06-28 17:24:57,556调试[SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener - ： ： ： ： ：-从适配器的消息：{"requestedMacAddress":"C0:4A:00:14:8D:4B","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1467134394000,"ipAddress":"10.62.148.63","vulnerabilities":[{"vulnerabilityId":"QID-38173","cveIds":"","cvssBaseScore":"9.4","cvssTemporalScore":"6.9","vulnerabilityTitle":"SSL证书-签名验证失败的Vulnerability","vulnerabilityVendor":"Qualys"},{"vulnerabilityId":"QID-90043","cveIds":"","cvssBaseScore":"7.3","cvssTemporalScore":"6.3","vulnerabilityTitle":"SMB签署不是Required","vulnerabilityVendor":"Qualys"},{"vulnerabilityId":"QID-90783","cveIds":"CVE-2012-0002,CVE-2012-0152,","cvssBaseScore":"9.3","cvssTemporalScore":"7.7","vulnerabilityTitle":"Microsoft Windows远程桌面协议远程编码执行漏洞(弱RC4允许的cipher","vulnerabilityVendor":"Qualys"},{"vulnerabilityId":"QID-90882","cveIds":"","cvssBaseScore":"4.7","cvssTemporalScore":"4","vulnerabilityTitle":"Windows远程桌面协议弱加密方法MS12-020)","vulnerabilityVendor":"Qualys"},{"vulnerabilityId":"QID-38601","cveIds":"CVE-2013-2566,CVE-2015-2808,","cvssBaseScore":"4.3","cvssTemporalScore":"3.7","vulnerabilityTitle":"SSL/TLS使用的签字禁用的或SMB”， “vulnerabilityVendor” ：“Qualys”}]}
2016-06-28 17:25:01,282 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener - ： ： ： ： ：-终端详细信息发送对IRF是{"C0:4A:00:14:8D:4B":[{"vulnerability":{"CVSS_Base_Score":9.4,"CVSS_Temporal_Score":7.7},"time-stamp":1467134394000,"title":"Vulnerability","vendor":"Qualys"}]}
2016-06-28 17:25:01,853调试[endpointPollerScheduler-2][] cpm.va.service.util.VaServiceUtil - ： ： ： ： ：- VA SendSyslog systemMsg ：[{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability评估服务”， “TCNAC.Status”， “顺利地完成的VA”， “TCNAC.Details”， “完成的VA;找到的漏洞编号：5","TC-NAC.MACAddress","C0:4A:00:14:8D:4B","TC-NAC.IpAddress","10.62.148.63","TC-NAC.AdapterInstanceUuid","796440b7-09b5-4f3b-b611-199fb81a4b99","TC-NAC.VendorName","Qualys","TC-NAC.AdapterInstanceName","QUALYS_VA"]}]

典型的问题

问题1. ISE获得与CVSS_Base_Score 0.0和CVSS_Temporal_Score的漏洞报告0.0，而Qualys Cloud报告包含检测的漏洞。

问题：

当检查从Qualys Cloud时的报告您能看到检测的漏洞，然而在ISE您看不到他们。

在vaservice.log看到的调试：

2016-06-02 08:30:10,323 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener - ： ： ： ： ：-终端详细信息发送对IRF是{"C0:4A:00:15:75:C8":[{"vulnerability":{"CVSS_Base_Score":0.0,"CVSS_Temporal_Score":0.0},"time-stamp":1464855905000,"title":"Vulnerability","vendor":"Qualys"}]}

解决方案：

是cvss的分数的原因零是二者之一没有漏洞或cvss计分未在Qualys Cloud启用，在您通过UI前配置适配器。在适配器配置第一次后，包含cvss的信息库计分启用的功能下载。您在ISE必须保证CVSS计分启用前面，适配器实例创建。它可以执行在漏洞Management>报告下>设置> CVSS >enable CVSS计分

问题2. ISE从Qualys Cloud没获得结果上一步，即使正确授权策略点击。

问题：

被更正的授权策略匹配，如果请触发VA扫描。尽管该事实扫描没有执行。

在vaservice.log看到的调试：

2016-06-28 16:19:15,401调试[SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener - ： ： ： ： ：-从适配器的消息：(Body:'[B@6da5e620(byte[311])'MessageProperties [headers= {}， timestamp=null、messageId=null、userId=null、appId=null、clusterId=null、type=null、correlationId=null， replyTo=null， contentType=application/octet-stream， contentEncoding=null， contentLength=0， deliveryMode=PERSISTENT， expiration=null， priority=0， redelivered=false， receivedExchange=irf.topic.va-reports， receivedRoutingKey=， deliveryTag=9830， messageCount=0])
2016-06-28 16:19:15,401调试[SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener - ： ： ： ： ：-从适配器的消息：触发扫描的{"requestedMacAddress":"24:77:03:3D:CF:20","scanStatus":"SCAN_ERROR","scanStatusMessage":"Error ：错误，当trigeringon需求扫瞄码和错误时如下1904年：指定的IP都没有资袼漏洞管理scanning.","lastScanTimeLong":0,"ipAddress":"10.201.228.102"}
2016-06-28 16:19:15,771调试[SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener - ： ： ： ： ：-适配器为Macaddress:24:77:03:3D:CF:20失败的扫描结果， IP Address(DB) ：10.201.228.102，设置状态对失败
2016-06-28 16:19:16,336调试[endpointPollerScheduler-2][] cpm.va.service.util.VaServiceUtil - ： ： ： ： ：- VA SendSyslog systemMsg ：[{"systemMsg":"91008","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability评估服务”， “TCNAC.Status”， “VA失败”， “TCNAC.Details”， “触发扫描的错误：错误，当trigering的根据要求扫瞄码和错误时如下1904年：指定的IP都没有资袼漏洞管理scanning.","TC-NAC.MACAddress","24:77:03:3D:CF:20","TC-NAC.IpAddress","10.201.228.102","TC-NAC.AdapterInstanceUuid","796440b7-09b5-4f3b-b611-199fb81a4b99","TC-NAC.VendorName","Qualys","TC-NAC.AdapterInstanceName","QUALYS_VA"]}]

解决方案：

Qualys Cloud表明终端的IP地址没有资袼扫描，请保证您添加了终端的IP地址到漏洞Management>资产>主机资产>New > IP被跟踪主机

参考

• 思科身份服务引擎管理员指南，版本2.1
• 技术支持和文档 - Cisco Systems
• 视频：与Qualys的ISE 2.1
• Qualys文档