使用ISE在Splunk上配置pxGrid以快速遏制威胁

在本视频中,我们将在Splunk上配置pxGrid。完成后,您将能够使用ISE隔离Splunk的端点。与常规的pxGrid配置相比,这需要更多的设置,因此,我将包括我在本文中使用的命令,以便可以复制并粘贴其中的Linux部分。无论您是使用pxGrid的CA签名证书还是在ISE环境中使用自签名证书,此配置均适用于两者。

向我的同事John Eppich大喊大叫,他帮助我完成了该视频的工作流程部分。他是编写所有pxGrid官方指南的人,并且是一个了不起的人。

串联ISE证书:

cat CertificateServicesEndpointSubCA-ise_.cer CertificateServicesRootCA-ise_.cer CertificateServicesNodeCA-ise_.cer securitydemo-AD1-CA_.cer> CA1.cer


创建mac.p12文件:

openssl pkcs12-导出-out mac.p12 -inkey splunk_10.1.100.20.key -in splunk_10.1.100.20.cer -chain -CAfile CA1.cer


更改密钥库类型:

keytool -importkeystore -srckeystore mac.jks -destkeystore mac.jks -deststoretype pkcs12


创建“ mac” Java密钥库:

keytool -importkeystore -srckeystore mac.p12 -destkeystore mac.jks -srcstoretype PKCS12


更改组合的证书格式:

openssl x509 -outform der -in CA1.cer -out CA1.der


创建新的caroot1.jks密钥库并将新的组合证书导入到其中:

keytool-导入-别名CAroot -keystore caroot1.jks-文件CA1.der


将pxGrid客户端证书导入到mac.jks密钥库中:

keytool-导入-alias splunk -keystore mac.jks -file splunk_10.1.100.20.cer


将新的组合证书导入到mac.jks密钥库中:

keytool-导入-别名CAroot -keystore mac.jks-文件CA1.cer


将ISE证书服务根CA证书导入到caroot1.jks密钥库中:

keytool-导入-alias cert1 -keystore caroot1.jks-文件CertificateServicesRootCA-ise_.cer


将Active Directory根证书导入到caroot1.jks密钥库中:

keytool-导入-alias cert2 -keystore caroot1.jks-文件securitydemo-AD1-CA_.cer


将两个文件都移动到适当的Splunk 伊势 应用程序目录:

mv ./mac.jks /opt/splunk/etc/apps/Splunk_TA_cisco-ise/bin/certs/mac.jks

mv ./caroot1.jks /opt/splunk/etc/apps/Splunk_TA_cisco-ise/bin/certs/caroot1.jks


使用内置脚本使用pxGrid测试密钥库:

java -jar /opt/splunk/etc/apps/Splunk_TA_cisco-ise/bin/lib/pxGrid_Search.jar 10.1.100.21 splunktest /opt/splunk/etc/apps/Splunk_TA_cisco-ise/bin/certs/mac.jks 伊势 isC00L / opt /splunk/etc/apps/Splunk_TA_cisco-ise/bin/certs/caroot1.jks 伊势 isC00L 192.168.1.10 quarantine_ip

上面的格式是:

java -jar /opt/splunk/etc/apps/Splunk_TA_cisco-ise/bin/lib/pxGrid_Search.jar 伊势 IP地址选择一个测试名称 /opt/splunk/etc/apps/Splunk_TA_cisco-ise/bin/certs/mac.jks 密钥库密码 /opt/splunk/etc/apps/Splunk_TA_cisco-ise/bin/certs/caroot1.jks 密钥库密码选择任何IP地址 quarantine_ip