隐形守望 6.8和ISE与CA签名证书的集成

在此博客文章中,我将介绍StealthWatch和ISE与pxGrid的集成。通过这种集成,ISE将与StealthWatch共享上下文信息,例如用户名和设备信息,并增加了进行快速威胁遏制的能力,以隔离行为异常的端点。我将在本文中使用CA签名的证书,稍后再添加具有自签名证书的帖子。 

我要做的第一件事是将CA Root证书上传到StealthWatch。为了下载此,请导航对http:// _ <CA-IP-address> / certsrv

点击 下载CA证书,证书链或CRL 并下载Base64格式的CA证书。

 

在浏览器中打开StealthWatch管理控制台,然后导航到 管理员用户>Administer Appliance>Configuration>证书颁发机构证书

在此屏幕上,选择您先前从CA下载的根证书,并将其添加到Stealthwatch。

 
完成此操作后,应该看到以下内容:

接下来,我们将需要创建一个由SMC机构签名的SMC私钥和一个证书签名请求(CSR)。 

为此,请通过SSH或控制台进入StealthWatch管理控制台Root Shell并创建私钥:

openssl genrsa -out smc.key 4096

 

然后创建将由CA服务器使用密钥文件签名的SMC CSR请求:

openssl req -new -key smc.key -out smc.csr 

 

使用您选择的SCP客户端将SMC.csr和SMC.key文件复制到安全PC上。在桌面上的记事本中打开CSR。 

回到浏览器中的CA服务器,然后单击 申请证书:

 

在下一页上,单击 高级证书申请。您将被带到以下页面:

从记事本复制CSR的内容并将其粘贴到Base-64编码的证书请求中,然后选择pxGrid证书模板。要查看有关如何创建此模板的说明,请参阅我以前的博客文章 这里

请点击 提交

创建证书后,以Base 64格式下载它,并将刚刚下载的证书扩展名更改为.crt。

 

在SMC中,导航到 管理员用户>Administer Appliance>Configuration>SSL Certificates 并滚动到页面底部,您可以在其中上传身份。 


在早期版本的Stealthwatch中,要求您替换整个SSL证书才能使用pxGrid。从版本6.7.1开始,Stealthwatch分离了SSL证书功能。在此页面上,您可以选择上载SSL服务器身份,但如果向下滚动,则还可以选择上载SSL客户端身份。这是我们上载先前创建的证书的地方

将CA签名的证书上载到“目标证书”字段,在证书链中上载CA根证书,然后将SMC.key文件上载到“私钥”字段。 
 

为了利用ISE隔离端点,我们需要在ISE中创建一个隔离ANC策略,并将其添加到例外策略中。 

在ISE中,我们将需要创建将用于隔离策略的dACL。 Navigate to 政策>Policy Elements>Authorization>Downloadable ACLs 并点击添加以创建新的dACL,该dACL将成为我们针对该策略的隔离ACL。此dACL应该限制对网络的访问,以便快速遏制威胁。 

需要注意的一件事: 由于思科无线控制器不支持dACL,因此您还需要在无线控制器上创建一个ACL,并在您的授权配置文件中按名称在Airespace ACL名称字段下引用它。

接下来,我们将需要创建授权配置文件。创建dACL后,导航至 政策>Policy Elements>Authorization>授权资料 然后点击 。在“授权配置文件”上,选择先前创建的dACL和任何Airespace ACL(如果适用)

 

Create the 自适应网络控制 政策 List. 在ISE中,导航至 运作方式>自适应网络控制>Policy List 然后点击 。使用隔离操作创建一个列表:

创建全局例外策略。在ISE中的策略下,创建以下全局异常

 

在下一步中,我们将在ISE中创建一个远程日志导出器,并将某些日志导出到SMC。 In 伊势 , navigate to 行政>System>Logging>Remote 记录中 Targets 然后点击 。使用以下内容创建日志记录目标:

  • 名称:  <您想给这个出口商的名字>
  • IP /主机地址: <SMC-IP-Address>
  • 港口:  3514
  • 设施代码: Local6
  • 最大长度: 1024

请点击 完成时。

 

导航 行政>System>Logging>Logging Categories 并将新的远程日志记录目标添加到以下类别:

  • 通过认证
  • RADIUS记帐
  • 行政和运营审计
  • 探查器

 

pxGrid ANC缓解功能使SMC可以注册为ISE pxGrid 节点的pxGrid客户端,并订阅EndpointProtectionService Capability,以在ISE身份验证的终结点上调用隔离/非隔离缓解措施。 我们需要做的第一件事是在SMC中添加ISE。为此,请导航至 工具类>Settings>Cisco 伊势 组态 在SMC中。您将拥有以下可用字段:

本部分将允许您添加ISE MnT和PSN节点。添加它们之后,您应该看到以下弹出窗口,表明您与ISE的连接已成功:

接下来要做的是添加ISE缓解措施。在同一页面上,应该有一个按钮来添加ISE缓解措施。单击此按钮后,将填写以下字段:

 

从“证书选择”下拉列表中,选择您先前上传的SSL客户端身份证书,然后添加ISE PAN节点信息。如果一切正确完成,您将看到一个弹出窗口,指出已成功连接到ISE缓解节点。 

在ISE上,导航至 行政>pxGrid Services 并且您应该看到SMC已注册。如果未注册,请确保已启用pxGrid服务,已配置pxGrid证书,并且此页面上没有任何待批准的项目。如果所有步骤都正确完成,您应该在列表中看到以下内容:

选中此页面上SMC旁边的框,然后单击 按钮。

类型 每股收益 进入弹出窗口并 .

 

要测试缓解措施,请在SMC中查找端点,然后应看到 隔离 不检疫 纽扣

当您单击 隔离 按钮,您应该在SMC中看到一个弹出窗口,指出隔离请求已成功发送到ISE。 

导航 the 伊势 RADIUS LiveLog 页面以查看端点已被隔离。 

要取消隔离端点,请返回SMC中的主机页面,然后单击“取消隔离”按钮。您应该看到ISE在RADIUS Livelog中触发了CoA请求,并将先前的策略应用于端点。 

恭喜你!您只需在Pxgrid中设置Lancope和ISE即可隔离网络上的威胁!