& 伊势 Integration

这篇文章将介绍ISE 2.1和AMP for Endpoints的集成。 伊势 2.1引入了“以威胁为中心的NAC”的概念,该概念使您可以配置易受攻击性和威胁适配器,以向ISE发送高保真威胁指示器(IoC),检测到威胁的事件和CVSS分数,从而可以以威胁为中心的访问策略创建以相应地更改端点的特权。 

需要注意的一件事:ISE 2.1还允许集成Qualys以及基于威胁属性创建策略的能力。如果使用Qualys配置它,则可以在策略中配置以下条件:

if Qualys-CVSS_Base_Score is <num> then <result>

if Qualys-CVSS_Temporal_Score is <num> then <result>

在本文中,我将介绍与AMP for Endpoints的集成,因为这是我可以访问的。 

要开始配置,请导航至 行政>Threat Centric NAC in the 伊势 GUI

请点击 添加新的供应商实例。在此页面上,要求您选择供应商并命名。就我而言,我选择了 安培:威胁 并命名为FireAMP。请点击 .

现在已保存,您应该在“状态”下有一个链接,其中显示 准备配置。点击那个。如果不这样做,请单击刷新按钮。

您将被带到以下页面:

注意:如果您的ISE实例位于代理之后,则需要配置SOCKS代理,ISE可以浏览该代理以与AMP云对话。 

只是为了让您了解如何配置SOCKS代理,我将通过WSA实例对其进行配置。登录到您的WSA并导航到 安全服务>SOCKS Proxy 然后点击 编辑设置。 确保选中复选框 Enable 袜子代理 并选择适合您的端口或将其保留为默认端口,然后单击 提交。

然后导航到 网络安全经理>SOCKS Policies 您可以基于特定主机(ISE)添加策略,也可以编辑全局策略。点击 目的端口 政策:

您可以输入特定的端口或全部。在这种情况下,由于这是一个实验,因此我将全部放入其中。请点击 提交 完成时。

请点击 承诺 在代理上完成配置后。 

返回以ISE 威胁 Centric为中心并输入您的SOCKS代理信息,然后单击 下一页。

在下一页上,您将具有一个下拉菜单,可以选择此ISE实例要连接到的AMP云。在这种情况下,我将选择“美国云”并单击 下一页

在下一页上,您将具有一个重定向链接,以单击以将您带到AMP云。点击它。 

在此页面上,您可以批准此适配器,甚至可以在底部指定允许事件导出的特定组。完成后,单击 允许 您将被带回ISE。

请点击

 

返回“供应商实例”页面,选中您的实例旁边的框,然后单击 编辑 查看ISE将为其报告的某些事件类型。

 

现在我们已经设置好了,我将从EICAR下载一些测试恶意软件。在我的AMP策略中,我在计算机上有一个审核策略,因此它可以检测到该恶意软件但不对其进行隔离,因此它应向ISE发送警报。 

下载后,如果我转到 首页>Threat 仪表板,我应该看到一个受损的端点:

 

您可以在 Top 威胁s 要转到检测到威胁的已过滤页面的图形,或者您可以导航至 上下文可见性>危害端点:

 

在此页面上,您可以单击端点的MAC地址以获取有关主机的更多信息:

 

返回受损的端点页面,如果要隔离此设备,可以选中端点旁边的框,然后单击 非国大>Assign a 政策:

 

从那里,您可以为其分配任何所需的ANC策略,包括“隔离”,“关闭”或“端口退回”。 

 

这样可以给您足够的时间进行补救并防止恶意软件的传播,完成后,您可以通过单击隔离的方式以隔离方式对设备进行隔离 非国大>Revoke a 政策

 

注意:为了使ANC策略生效,您必须预先定义该策略。这很容易做到。为了在ISE这样做,请导航对 运作方式>自适应网络控制>Policy List 并创建以下全部或部分策略:

然后,您可以通过导航到将新的ANC策略添加到“全局例外”列表中。 政策>Policy Sets>Global Exceptions 并创建 这样的政策规则:

if Session:ANCPolicy Equals Quarantine then Quarantine (or whatever your authorization profile is for limited access)

 

任您选择-AMP现在已集成,您可以根据从AMP收到的警报隔离和隔离。 我可能会详细介绍一些额外的细节,例如设置ANC策略或SOCK代理,但是我想给大家一个很好的概述,介绍如何在实验室甚至生产中从头开始设置它。将ISE放在代理后面。