伊势 2.1刚刚发布

在完成StealthWatch系列之后,我肯定会在以后的文章中进一步介绍这一点。我将发布有关ISE 2.1某些其他功能的高级信息,我对此感到非常兴奋。

仪表板

 更好的仪表板,使您可以轻松查看网络中不同类型的端点,用户,设备和操作系统,以及创建自定义仪表板的能力。这里有些例子:

摘要仪表板

端点和用户仪表板

来宾仪表板

漏洞仪表板

威胁仪表板

自定义仪表板和仪表板

 

轻松连接

无需在端点(有线或无线)上实施802.1x即可简化网络授权。 Active Directory登录用于将用户信息映射到网络连接上,然后将其用于授权网络上的用户,即使ISE不参与身份验证过程。 轻松连接也可以用作备份身份验证方法,以减少服务台呼叫。 

使用被动ID的EasyConnect策略的示例

 

 

信任安全工作流程增强

引入了用于变更管理和配置回滚以及将新策略逐步部署到网络不同部分的功能,这些功能允许将TrustSec简化集成到当前的IT系统中。

信任安全概述

 

上下文可见性

 专为轻松进行初始安装或概念验证而设计-借助一些简单的信息即可启动ISE并使其运行。 伊势从那里发现网络上的端点和网络设备。 P提供了一种快速简便的方法来了解网络上的各种用户和端点。上下文目录从ISE部署概述开始,为管理员提供了可选的dashlet。管理员可以单击小表格以获取带有其他图形和表格数据的详细钻取。

上下文可见性

 

扩展的分析功能

伊势现在支持新的Active Directory探针和SMB发现,提供确定的操作系统信息,消除了猜测。自定义端口,服务和版本信息可提供更好的信息,以缩小顽固地违反分类标准的设备池。

Active Directory探查器

 

从acs到ise的迁移功能

通过Cisco Secure ACS提供基准功能 以及用于客户从其现有ACS 4.x或更高版本的部署迁移到ISE的工具。 这些功能包括支持用于磁盘利用率的SNMP MIB,支持所有SNMP陷阱,支持启用或禁用IPv6协议的激活/操作的能力,具有多个管理员(每个管理员控制一个组)的能力,开放式数据库连接(ODBC)支持,可配置的TACACS +端口,永久性MAR缓存,NIC分组以提高每个节点的高可用性, 和管理内部用户数据库的功能。

ACS迁移工具

 

扩展的工作中心

伊势延续了从ISE 2.0开始的面向任务的工作中心的主题,将来宾,BYOD,位姿,配置文件和CA添加到现有的Trustsec和设备管理中。工作中心减轻了日常配置和管理负担,将与给定任务相关的工作集中在一个称为工作中心的区域中。

扩展的工作流程

 

以威胁为中心的海军

允许通过ISE策略进行以威胁为中心的网络访问控制,以利用Cisco Advanced Malware Protection将漏洞的高保真指示(IoC)推向ISE,以进行漏洞和威胁检测。这使ISE可以动态更改端点的特权和上下文,从而将更改通知网络和其他应用程序,从而可以限制对资源的访问。

以威胁为中心的NAC配置

基于威胁的ISE策略

 

trustsec-aci策略平面集成

使用通用组标识符在TrustSec和ACI环境之间共享策略组,从而简化跨启用TrustSec的园区,分支机构和DC网络以及启用ACI的数据中心的策略管理。

ACI-TrustSec集成

 

增强的第三方nad支持

提供基于VLAN的解决方案的其他增强功能,该解决方案限制用户访问并将用户流量直接发送到ISE PSN,以提供初始身份验证,CWA,状态评估等。一旦完成注册,状态和强制门户过程,便会授权用户进入访问VLAN。

伊势 3rd Party NAD支持

 

宾客增强

伊势 Guest门户现在支持针对符合SAML的身份提供商的单点登录(SSO)。使用此功能,员工可以在登录ISE门户时根据组织的SAML身份提供商进行身份验证。

 

微软intune& sccm integration

 伊势与Intune和SCCM集成在一起,使IT部门可以收集有关尝试连接到网络的端点的信息,以减少进入网络的潜在安全风险。

 

Windows上的USB连接检查

包括USB连接的其他类别。 您可以在Windows操作系统上检查USB大容量存储连接,并具有通过禁用连接进行补救的功能(将需要AnyConnect 4.3 伊势 姿势模块)。

USB状态检查

 

odbc授权支持

能够从ODBC数据库检索组和用户属性,并在ISE授权策略中使用它们,包括显示特定用户的组和特定用户的属性并将其保存为模板,以及添加属性和组存储过程的能力。

ODBC支持

 

chromebook支持

通过ISE和Google Chrome设备管理,组织可以更轻松地选择Chromebook作为他们的首选设备,IT更加易于管理,用户更加强大。 

Chromebook支持

 

saml-sso增强功能

支持其他符合SAML的身份提供商(IdP), 从Azure AD,SecureAuth,PingID,PingFederate和Oracle IdP中获取属性和组。

伊势 SAML增强功能

 

控制增强

在上下文仪表板中,隔离端点非常容易。 

危害端点仪表板并将策略分配给端点

分配隔离策略

 

....还有许多其他增强功能。最终,我将写更多的帖子,详细介绍这个最新版本的ISE。