StealthWatch: интеграция с Cisco ISE. Часть 4

StealthWatch: интеграция с Cisco ISE. Часть 4


В более ранних статьях было рассмотрено несколько обширных тем касательно решения по мониторингу первое представление и возможности, развертывание и настройка, а также анализ и расследование инцидентов.
Прошу заметить, мониторинг, в частности Cisco StealthWatch, — это прежде всего решение по детектированию угроз и атак. Все мониторинговые решения не подразумевают в себе предотвращение угроз, однако часто это требуется. У StealthWatch есть интеграция “из коробки” с практика внедрения Cisco ISE, как подготовиться к внедрению Cisco ISE и интеграция с Cisco FirePOWER.

Как работает карантин


Workflow действий “добавить/удалить из карантина” ANC политики (Adaptive Network Control) в Cisco ISE изображен ниже:



  1. Предварительно пользователь логиниться в корпоративную сеть через WLC (контроллер точек доступа). Затем отправляется REST API запрос на карантин с ноды управления (Policy Administration Node).
  2. Мониторинговая нода (Monitoring Node), которая отвечает за сбор логов, отправляет специальный PrRT запрос на PSN ноду (Policy Service Node, отвечает за применение политик ISE). Также отправляется CoA запрос с целью изменить атрибуты ААА и отключить пользователя.
  3. Клиентское устройство отключается.
  4. Клиент пытается заново аутентифицироваться и переподключиться.
  5. RADIUS запрос со стороны клиента отправляется назад на мониторинговую ноду (Monitoring Node).
  6. Устройство заноситься в карантин.
  7. В карантине оно и остается, так как профиль карантина был применен и до сих пор активен.
  8. Решив инцидент безопасности, администратор выводит хост из карантина.


Настройка


1. В веб-интерфейсе Cisco ISE перейдите во вкладку Operations > Policy List и создайте новую политику, нажав на Add.



2. Назовем ее StealthWatch_Quarantine и выберем действие “Карантин” (Quarantine) и нажимаем Submit.



3. Следующим шагом является настройка политики. Переходим в Policy > Policy Sets и нажимаем на самую правую стрелку под колонкой View.



4. Во вкладке Authorization Policy > Global Exceptions создается новое правило (следует нажать на “+”). Далее в колонке Conditions нажимаете “+” еще раз и выбираете атрибут Session ANCPolicy. Действие в данном правиле Equals — StealthWatch_Quarantine.
В колонке Profile > DenyAccess и по желанию в колонке Security Groups можно указать вашу группу безопасности (например, гости или отдел маркетинга). В конце сохраняем изменения.



5. Во вкладке Operations > Live Logs (RADIUS или TACACS) можно посмотреть по пользователю или адресу логи. Предположим, найдем пользователя wesley.



6. Переходим в StealthWatch веб интерфейс и во вкладке Monitor > Users находим данного пользователя.



7. Переходим в его хост, нажав на IP адрес.



8. В пункте ISE ANC Policy выбираем Edit > StealthWatch_Quarantine > Save. Хост помещается в карантин до дальнейшего разбирательства.



Дополнительно в ANC политике можно использовать действия port_shutdown (выключение порта сетевого устройства) и port_bounce (shutdown/no shutdown устройства). Например, если зловред успел распространиться по целому VLAN, то на коммутаторе уровня доступа логичнее и быстрее будет выключить порт, а не вносить каждый хост в карантин.

Заключение


Как Cisco StealthWatch является достойным решением по мониторингу сети на предмет обнаружения инцидентов безопасности, так и Cisco ISE является отличным решением для контроля пользовательского доступа. Интеграция этих двух решений действительно работает и позволяет минимизировать время реакции на инциденты ИБ.
В скором времени Cisco обещает добавить автоматическую реакцию на выбранные инциденты и применять к ним ANC политики, либо же вы сами можете написать скрипт. Как StealthWatch, так и ISE обладает открытым REST API . Однако данную автоматическую интеграцию следует настраивать только после длительного времени, когда StealthWatch сформировал корректные модели поведения хостов и количество ложных срабатываний минимально.
Более подробная информация о Cisco StealthWatch доступна на сайте . В ближайшее время мы планируем еще несколько технических публикаций по различным продуктам ИБ. Если вам интересна данная тематика, то следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!
Alt text