& ISE Integration

此帖子将越过ISE 2.1和AMP的集成。 ISE 2.1介绍了“威胁中心NAC”的概念,允许您配置漏洞和威胁适配器,以发送妥协(IOC),威胁检测到的事件,并且CVSS分数到ISE的高保真指标,以便为ISE提供CVSS分数,以便以威胁为中心的访问策略创建以相应地更改端点的权限。 

有一点要注意:ISE 2.1还允许整合Qualys和基于威胁属性创建策略的能力。如果使用Qualys配置它,则可以在策略中配置以下条件:

if Qualys-CVSS_Base_Score is <num> then <result>

if Qualys-CVSS_Temporal_Score is <num> then <result>

在这篇文章中,我将刚刚与AMP for Endpoint进行整合,因为这就是我可以访问的。 

要开始配置,导航到 行政>Threat Centric NAC in the ISE GUI

点击 添加 添加新的供应商实例。在此页面上,您将要求您选择供应商并给出一个名称。在我的情况下,我选择了 amp:威胁 并命名为Fireeamp。点击 保存.

现在它保存了,您应该在状态下进行链接 准备配置。点击即可。如果不这样做,请单击“刷新”按钮。

您将被采用以下页面:

注意:如果您的ISE实例在代理后面,则需要配置ISE将能够导航才能与放大器云进行导航的SOCKS代理。 

只是为了让您了解如何配置SOCKS代理,我将通过我的WSA实例配置它。登录您的WSA并导航到 安全服务>SOCKS Proxy 然后点击 编辑设置。 确保检查框 使袜子代理 并选择适用于您的端口或将其保留在默认值并单击 提交。

然后导航到 Web安全管理器>SOCKS Policies 您可以根据特定主机(ISE)添加策略或编辑全局策略。点击一下 目的地港口 政策:

您可以放在特定端口或所有人中。在这种情况下,我只是要放入所有这些,因为这是一个实验室。点击 提交 完成后。

点击 犯罪 当您完成代理配置时。 

回到ISE威胁中心,在您的袜子代理信息中输入,然后单击 下一个。

在下一页上,您将有一个下拉来选择此ISE实例的AMP云以达到。在这种情况下,我将选择美国云并点击 下一页

在下一页上,您将有一个重定向链接来单击以带您到放大器云。点击它。 

在此页面上,您可以批准此适配器,甚至指定将允许在底部导出的事件导出的特定组。完成后,单击 允许 你将被带回ise。

点击 结束

 

返回Vendor实例页面,选中实例旁边的框,然后单击 编辑 查看ISE将接收报告的一些类型的事件。

 

现在我们已经设置了这一点,我将从EICAR下载一些测试恶意软件。在我的AMP策略中,我在我的计算机上有一个审计策略,所以它会检测到恶意软件,但不会隔离它,所以它应该向ISE发送警报。 

下载后,如果我去了 首页>Threat 仪表板,我应该看到一个受损的端点:

 

您可以单击终点 最重要的威胁 要将图形视为检测到的威胁或您只能导航到 情境救济>受损终点:

 

在此页面上,您可以单击端点的MAC地址,以提取有关主机的更多信息:

 

返回incomed endpoints页面,如果要隔离此设备,可以选中端点旁边的框,然后单击 anc>Assign a Policy:

 

从那里,您可以分配您想要的ANC策略,包括隔离,关闭或端口。 

 

这可以为您提供足够的时间来修复和防止恶意软件的传播以及完成后,您可以以通过单击的方式与您隔离的方式相同的方式取消查询 anc>Revoke a Policy

 

注意:对于ANC的工作,您必须预定义政策。这很容易。为了在ISE中这样做,导航到 运营>自适应网络控制>Policy List 并创建以下全部或部分策略:

然后您将通过导航到全局例外列表添加新的ANC策略 政策>Policy Sets>Global Exceptions 并创造 政策规则如此:

if Session:ANCPolicy Equals Quarantine then Quarantine (or whatever your authorization profile is for limited access)

 

在那里,您现在已经集成了,您可以根据您收到的AMP收到的警报隔离和禁区。 我经历了更多的额外细节,如设置ANC政策或袜子代理,但我想给你们概述如何从实验室中的划痕或甚至在生产中将其从头开始设置它把ise放在代理后面。