Qualys で ISE 2.1 脅威中心型 NAC(TC-NAC)を設定する

ダウンロード オプション

  • PDF     (2.0 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.7 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.0 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2016 年 11 月 14 日
Document ID:200548

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Identity Services Engine(ISE)2.1 上で Qualys を使用して脅威中心型 NAC を設定する方法について説明します。Threat Centric Network Access Control(TC-NAC)機能を使用すると、許可ポリシーを、驚異および脆弱性アダプタから受け取る脅威と脆弱性の属性に基づいて作成することができます。

前提条件

要件

次の項目に関する基本的な知識が推奨されます。

  • Cisco Identity Service Engine

  • Qualys ScanGuard

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco Identity Service Engine バージョン 2.1
  • ワイヤレス LAN コントローラ(WLC)8.0.121.0
  • QualysGuard スキャナ 8.3.36-1、シグネチャ 2.3.364-2
  • Windows 7 Service Pack 1

設定

高レベル フロー図

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-00.png

フローは次のとおりです。

  1. クライアントがネットワークに接続すると、限定的なアクセスが付与され、[Assess Vulnerabilities] チェックボックスがオンになったプロファイルが割り当てられます。
  2. PSN ノードが MNT ノードに Syslog メッセージを送信し、許可が行われたことと、VA スキャンが許可ポリシーの結果であることを確認します。
  3. MNT ノードは、次のデータを使用して、TC-NAC ノードに(Admin WebApp を使用して)SCAN を送信します。
    - MAC Address
    - IP アドレス
    - スキャン間隔
    - 有効化されている定期的なスキャン
    - 発信元 PSN
  4. Qualys TC-NAC(Docker コンテナにカプセル化されています)は、Qualys クラウドと(REST API 経由で)通信し、必要に応じてスキャンをトリガーします。
  5. Qualys クラウドは、エンドポイントをスキャンするよう Qualys スキャナに指示します。
  6. Qualys スキャナは、スキャンの結果を Qualys クラウドに送信します。
  7. 次のスキャン結果が TC-NAC に返送されます。
    - MAC Address
    - すべての CVSS スコア
    - すべての脆弱性(QID、タイトル、CVEID)
  8. TC-NAC は、ステップ 7 のすべてのデータを PAN に反映します。
  9. 設定されている許可ポリシーに従い、必要に応じて CoA がトリガーされます。

Qualys クラウドとスキャナの設定

注意:このドキュメントのQualysの設定はラボで行います。設計上の考慮事項については、Qualysのエンジニアに相談してください

ステップ 1:Qualysスキャナの導入

Qualys スキャナは OVA ファイルから導入できます。Qualys クラウドにログインし、[Scans] > [Appliances and select New] > [Virtual Scanner Appliance] の順に移動します。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-01.png

[Download Image Only] を選択し、適切な配布方法を選択します。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-02.png

[Scans] > [Appliances and select New] > [Virtual Scanner Appliance] に移動して [I Have My Image] を選択し、アクティベーション コードを取得します。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-03.png

スキャナ名を入力すると、後で使用する認証コードが付与されます。

ステップ 2:Qualysスキャナの設定

OVA を選択した仮想化プラットフォームに展開します。完了したら、次の設定を行います。

  • ネットワーク(LAN)のセットアップ
  • WAN インターフェイスの設定(2 つのインターフェイスを使用する場合)
  • プロキシの設定(プロキシを使用する場合)
  • スキャナのパーソナライズ

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-04.png

その後、スキャナが Qualys に接続され、最新のソフトウェアとシグネチャがダウンロードされます。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-05.png

スキャナが接続されているか確認するには、[Scans] > [Appliances] に移動します。

左側に緑色の接続中サインが表示されていれば、スキャナの準備は整っています。LAN IP、WAN IP、スキャナのバージョン、およびシグネチャも表示されています。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-06.png

ISE の設定

Qualys スキャナと Qualys クラウドの設定が完了していても、ISE との統合が問題なく機能するようにするには、クラウドの設定を調整する必要があります。この作業は、GUI を使用してアダプタを設定する前に行ってください。理由は、CVSS スコアを含むナレッジ ベースは、アダプタの初回設定の後にダウンロードされるためです。

ステップ 1:ISEとの統合のためのQualysクラウドの調整

  • [Vulnerability Management] > [Reports] > [Setup] > [CVSS] > [Enable CVSS Scoring] の順に選択し、CVSS スコアを有効にします。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-07.png

  • アダプタ設定で使用するユーザ クレデンシャルに管理者権限があることを確認します。左上の角から自分のユーザを選択し、[User Profile] をクリックします。[User Role] に表示される自分の権限が [Manager] であることを確認します。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-08.png

  • [Vulnerability Management] > [Assets] > [Host Assets] > [New] > [IP Tracked Hosts] で、脆弱性評価を必要とするエンドポイントの IP アドレス/サブネットが Qualys に追加されていることを確認します。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-09.png

ステップ 2:TC-NACサービスの有効化

[Administration] > [Deployment] > [Edit Node] で TC-NAC サービスを有効化します。オン チェックボックスにマークを付けます。

:TC-NACノードは、導入ごとに1つだけ存在できます。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-10.png

ステップ 3:ISE VAフレームワークへのQualysアダプタ接続の設定

[Administration] > [Threat Centric NAC] > [Third Party Vendors] > [Add] に移動します。[Save] をクリックします。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-11.png

Qualys インスタンスが [Ready to configure] 状態に遷移したら、[Status] 列で [Ready to configure] オプションをクリックします。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-12.png

[REST API Host] には、Qualys クラウドに使用する、自分のアカウントがあるホストを設定します。この例では、「qualysguard.qg2.apps.qualys.com」が設定されています。

アカウントに管理者権限があることを確認し、[Next] をクリックします。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-13.png

ISE により、Qualys クラウドに接続されているスキャナに関する情報がダウンロードされます。このページでは、PSN to Scanner Mapping を設定することができます。この設定により、エンドポイントを承認する PSN に基づいてスキャナが選択されるようにできます。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-14.png

詳細設定については、『ISE 2.1 管理者ガイド』を参照してください。このガイドへのリンクは、このドキュメントの「参照」の項に記載されています。[Next] と [Finish] をクリックします。Qualys インスタンスが [Active] 状態になり、ナレッジ ベースのダウンロードが開始します。

:導入ごとにQualysインスタンスは1つだけ存在できます。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-15.png

ステップ 4:VAスキャンをトリガーするための許可プロファイルの設定

[Policy] > [Policy Elements] > [Results] > [Authorization] > [Authorization Profiles] の順に選択します。新しいプロファイルを追加します。[Common Tasks] で、[Vulnerability Assessment] チェックボックスをオンにします。
オンデマンドのスキャン間隔は、ネットワーク設計に従って選択します。

許可プロファイルには、次の AV ペアが含まれています。

cisco-av-pair = on-demand-scan-interval=48
cisco-av-pair = periodic-scan-enabled=0
cisco-av-pair = va-adapter-instance=796440b7-09b5-4f3b-b611-199fb81a4b99

これらは、Access-Accept パケットでネットワーク デバイスに送信されます。ただし、これらの実際の目的は、MNT ノードにスキャンのトリガーが必要になったことを通知することです。MNT は、TC-NAC ノードに Qualys クラウドと通信するよう指示します。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-16.png

ステップ 5:許可ポリシーの設定

  • ステップ4で設定した新しい認可プロファイルを使用するように認可ポリシーを設定します。Policy > Authorization > Authorization Policyに移動し、Basic_Authenticated_Accessルールを見つけて、Editをクリックします。[Permissions] を、[PermitAccess] から新しく作成した [Standard VA_Scan] に変更します。これにより、脆弱性スキャンが全ユーザに対して実行されるようになります。[Save] をクリックします。
  • 検疫マシンの許可ポリシーを作成します。[Navigate to Policy] > [Authorization] > [Authorization Policy] > [Exceptions] に移動し、[Exception Rule] を作成します。[Conditions] > [Create New Condition (Advanced Option)] > [Select Attribute] をクリックし、画面を下へスクロールして [Threat] をクリックします。[Threat] 属性を展開し、[Qualys-CVSS_Base_Score] を選択します。演算子を [Greater Than] に変更し、セキュリティ ポリシーに従って値を入力します。許可プロファイル [Quarantine] では、脆弱なマシンには限定的なアクセスが付与されるようにする必要があります。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-17.png

確認

Identity Services Engine

初回の接続により、VA スキャンがトリガーされます。スキャンが終了すると CoA 再認証がトリガーされ、新しいポリシーが、一致していれば適用されます。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-18.png

どの脆弱性が検出されたか確認するには、[Context Visibility] > [Endpoints] に移動します。各エンドポイントの脆弱性を Qualys が与えたスコアで確認します。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-19.png

特定のエンドポイントを選択すると、[Title] や [CVEIDS] など、各脆弱性の詳細が表示されます。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-20.png

[Operations] > [TC-NAC Live Logs] では、適用された新旧の許可ポリシーと CVSS_Base_Score の詳細が確認できます。

:認可条件はCVSS_Base_Scoreに基づいて実行されます。これは、エンドポイントで検出された最も高い脆弱性スコアと等しくなります。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-21.png

Qualys クラウド

VA スキャンが TC-NAC でトリガーされると、Qualys はスキャンをキューに入れます。これは [Scans] > [Scans] で確認できます。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-22.png

 その後、状態が [Running] に遷移します。これは、Qualys クラウドが Qualys スキャナに実際のスキャンを実行するよう指示したことを意味します。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-23.png

 スキャナがスキャンを実行している間、Qualys Guardの右上隅に「Scanning...」という記号が表示されます

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-24.png

スキャンが完了すると、[Finished] 状態に遷移します。結果を表示するには、[Scans] > [Scans] で必要なスキャンを選択して、[View Summary] または [View Results] をクリックします。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-25.png

レポート自体では、[Detailed Results] に、検出された脆弱性が表示されます。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-26.png

トラブルシュート

ISE でのデバッグ

ISE 上でデバッグを有効にするには、[Administration] > [System] > [Logging] > [Debug Log Configuration] で TC-NAC ノードを選択し、[Log Level va-runtime] と [va-service] コンポーネントを [DEBUG] に変更します。

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-27.png

チェック対象のログは varuntime.log です。ISE CLI からこれを直接追跡することができます。

ISE21-3ek/admin# show logging application varuntime.log tail

TC-NAC Docker が、特定のエンドポイントに対するスキャン実行の指示を受け取ります。

2016-06-28 19:06:30,823 DEBUG [Thread-70][] va.runtime.admin.mnt.EndpointFileReader -:::- VA:ランタイムを読み取ります。[{"operationType":1,"macAddress":"C0:4A:00:14:8D:4B","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"796440b7-09b5-4f3b-b611-199fb81a4b99","psnHostName":"ISE21-3ek","heartBeatTime":0,"lastScanTime":0}]
2016-06-28 19:06:30,824 DEBUG [Thread-70][] va.runtime.admin.vaservice.VaServiceRemotingHandler -::::- VA: received data from Mnt: {"operationType":1,"macAddress":"C0:4A:00:14:8D:4B","ondemandScanInterval":"48","Is Periodic ScanEnabled":false、"periodicScanEnabledString":"0"、"vendorInstance":"796440b7-09b5-4f3b-b611-199fb81a4b99"、"psnHostName":"ISE21-3ek"、"heartBeatTime":0、"lastScanTime":0}


結果を受信すると、すべての脆弱性データをコンテキスト ディレクトリに保存します。

2016-06-28 19:25:02,020 DEBUG [pool-311-thread-8][] va.runtime.admin.vaservice.VaServiceMessageListener -:::- Got message from VaService: [{"macAddress":"C0:4A:00:14:8D:4B","ipAddress":"10.62.148.63", "lastScanTime":1467134394000,"vulnerabilities":["{\"vulnerabilityId\":\"QID-90783\",\"cveIds\":\"CVE-2012-0002,CVE-2012-0152,\",\",\"cvssBaseScore\":\"9.3\",\"cvssTemporalScore\":\"7. microsoft Windowsリモートデスクトッププロトコルリモートコード実行の脆弱性(MS12-020)\",\"vulnerabilityVendor\":\"Qualys\"}","{\"vulnerabilityId\":\"QID-38173\",\"cveIds\":\"\",\"cvssBaseScore\":\"9.4\",\"cvssTemporalScore\":\"6.9\",\"VulnerabilityTitle\":\"SSL – 署名検証が失敗しましたVulnerability\",\"vulnerabilityVendor\":\"Qualys\"}","{\"vulnerabilityId\":\"QID-90882\",\"cveIds\":\",\"cvssBaseScore\":\"4.7\",\"cvssTemporalScore\":\"4\",\"vulnerabilityTitle\":\"Windows Remote Desktop Protocol Weak Encryption Method Allowed\": Qualys\"}","{\"vulnerabilityId\":\"QID-90043\",\"cveIds\":\"\",\"cvssBaseScore\":\"7.3\",\"cvssTemporalScore\":\"6.3\",\"vulnerabilityTitle\":\"SMB署名が無効かSMB署名が不要\",\"vulnerabilityVendor\":\" \"QID-38601\",\"cveIds\":\"CVE-2013-2566,CVE-2015-2808,\",\"cvssBaseScore\" :\"4.3\",\"cvssTemporalScore\":\"3.7\",\"vulnerabilityTitle\":\"脆弱なRC4暗号のSSL/TLS使用\",\"vulnerabilityVendor\":\"Qualys\"}"]}]
2016-06-28 19:25:02,127 DEBUG [pool-311-thread-8][] va.runtime.admin.vaservice.VaServiceMessageListener -::::- VA:コンテキストdbに保存, lastscantime: 1467134394000, mac: C0:4A:00:14:8D:4B
2016-06-28 19:25:02,268 DEBUG [pool-311-thread-8][] va.runtime.admin.vaservice.VaAdminServiceContext -::::- VA:弾性検索jsonをpri-lanに送信しています
2016-06-28 19:25:02,272 DEBUG [pool-311-thread-8][] va.runtime.admin.vaservice.VaPanRemotingHandler -::::- VA:保存されたエラスティック検索: {C0:4A:00:14:8D:4B=[{"vulnerabilityId":"QID-90783","cveIds":"CVE-20 12-0002,CVE-2012-0152,","cvssBaseScore":"9.3","cvssTemporalScore":"7.7","vulnerabilityTitle":"Microsoft Windows Remote Desktop Protocol Remote Code Execution Vulnerability (MS12-020)","vulnerabilityVendor":"Qualys"}, {"vulnerabilityId":"QID-38173","cveIds" ":"","cvssBaseScore":"9.4","cvssTemporalScore":"6.9","vulnerabilityTitle":"SSL Certificate - Signature Verification Failed Vulnerability","vulnerabilityVendor":"Qualys"}, {"vulnerabilityId":"QID-90882","cveIds":","cvssBaseScore":"4.7","cvssTemporalTitle":"Windows デスクトッププロトコルの脆弱な暗号化方式を許可"、"vulnerabilityVendor":"Qualys"}、{"vulnerabilityId":"QID-90043"、"cveIds":"、"cvssBaseScore":"7.3"、"cvssTemporalScore":"6.3"、"vulnerabilityTitle":"SMB署名が無効であるか、SMB署名が不要"、"vulnerabilityVendor":"Qualys"}、{"vulnerabilityId":"QID-38601" 「CVEIds」:「CVE-2013-2566,CVE-2015-2808」、「cvssBaseScore」:「4.3」、「cvssTemporalScore」:「3.7」、「vulnerabilityTitle」:「SSL/TLSでの脆弱なRC4暗号の使用」、「vulnerabilityVendor」:「Qualys」}

チェック対象のログは vaservice.log です。ISE CLI からこれを直接追跡することができます。

ISE21-3ek/admin# show logging application vaservice.log tail

次の脆弱性アセスメント要求がアダプタに送信されます。

2016-06-28 17:07:13,200 DEBUG [endpointPollerScheduler-3][] cpm.va.service.util.VaServiceUtil -::::- VA SendSyslog systemMsg :[{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service", TC-NAC.Status」、「VA request submitted to adapter」、「TC-NAC.Details」、「VA request submitted to adapter for processing」、「TC-NAC.MACAddress」、「C0:4A:00:14:8D:4B」、「TC-NAC.IpAddress」、「10.62.148.63」、「TC-NAC.AdapterUinstance ","796440b7-09b5-4f3b-b611-199fb81a4b99","TC-NAC.VendorName","Qualys","TC-NAC.AdapterInstanceName","QUALYS_VA"]}

AdapterMessageListener が、スキャンが終了するまで 5 分ごとにスキャンの状態を確認します。

2016-06-28 17:09:43,459 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::- Message from adapter : {"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f030248 ","VendorName":"Qualys","OperationMessageText":"スキャン結果をチェックするためにキューに入れられたエンドポイントの数: 1、スキャンのためにキューに入れられたエンドポイントの数: 0、スキャンが進行中のエンドポイントの数: 0"}
2016-06-28 17:14:43,760 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::- Message from adapter : {"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f030248 ","VendorName":"Qualys","OperationMessageText":"スキャン結果をチェックするためにキューに入れられたエンドポイントの数: 0、スキャンのためにキューに入れられたエンドポイントの数: 0、スキャンが進行中のエンドポイントの数: 1"}
2016-06-28 17:19:43,837 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::- Message from adapter : {"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f030248 ","VendorName":"Qualys","OperationMessageText":"スキャン結果をチェックするためにキューに入れられたエンドポイントの数: 0、スキャンのためにキューに入れられたエンドポイントの数: 0、スキャンが進行中のエンドポイントの数: 1"}
2016-06-28 17:24:43,867 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::- Message from adapter : {"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f030248 ","VendorName":"Qualys","OperationMessageText":"スキャン結果をチェックするためにキューに入れられたエンドポイントの数: 0、スキャンのためにキューに入れられたエンドポイントの数: 0、スキャンが進行中のエンドポイントの数: 1"}

アダプタが QID、CVE、および CVSS スコアを取得します。

2016-06-28 17:24:57,556 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::- Message from adapter : {"requestedMacAddress":"C0:4A:00:14:8D:4B","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1467134394000, ipAddress":"10.62.148.63"、"vulnerabilities":[{"vulnerabilityId":"QID-38173"、"cveIds":"、"cvssBaseScore":"9.4"、"cvssTemporalScore":"6.9"、"vulnerabilityTitle":"SSL証明書 – 署名検証失敗の脆弱性"、"vulnerabilityVendor":"Qualys"}、{"vulnerabilityId":"QID-90043"、 CVEIds":""、"CVSSBaseScORE":"7.3"、"CVSSTemPORALScORE":"6.3"、"VULNERABILITYTitle":"SMB署名が無効であるか、SMB署名が不要"、"vulnerabilityVendor":"Qualys"}、{"vulnerabilityId":"QID-90783"、"cveIds":"CVE-2012-01 52,","cvssBaseScore":"9.3","cvssTemporalScore":"7.7","vulnerabilityTitle":"Microsoft Windowsリモートデスクトッププロトコルリモートコード実行の脆弱性(MS12-020)","vulnerabilityVendor":"Qualys"},{"vulnerabilityId":"QID-38601","cveIds":"CVE-2013-26,CVE 2015-2808,","cvssBaseScore":"4.3","cvssTemporalScore":"3.7","vulnerabilityTitle":"SSL/TLS use of weak RC4 cipher","vulnerabilityVendor":"Qualys"},{"vulnerabilityId":"QID-90882","cveIds":","cvssBaseScore":"4.7": ","vulnerabilityTitle":"Windows Remote Desktop Protocol Weak Encryption Method Allowed","vulnerabilityVendor":"Qualys"}]}
2016-06-28 17:25:01,282 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::- Endpoint Details sent to IRF is {"C0:4A:00:14:8D:4B":[{"vulnerability":{"CVSS_Base_Score":9.4,"CVSS_Temporal_Score": 7.7},"time-stamp":1467134394000,"title":"Vulnerability","vendor":"Qualys"}]}
2016-06-28 17:25:01,853 DEBUG [endpointPollerScheduler-2][] cpm.va.service.util.VaServiceUtil -::::- VA SendSyslog systemMsg :[{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service", TC-NAC.Status」、「VA successfully completed」、「TC-NAC.Details」、「VA completed;検出された脆弱性の数:5"、"TC-NAC.MACAddress"、"C0:4A:00:14:8D:4B"、"TC-NAC.IpAddress"、"10.62.148.63"、"TC-NAC.AdapterInstanceUuid"、"796440b7-09b5-4f3b-199fb81a4b 99","TC-NAC.VendorName","Qualys","TC-NAC.AdapterInstanceName","QUALYS_VA"]}]

よくある問題

問題 1.ISEはCVSS_Base_Scoreが0.0、CVSS_Temporal_Scoreが0.0の脆弱性レポートを取得し、Qualysクラウドレポートには検出された脆弱性が含まれます。

問題:

Qualys クラウドからのレポートには検出された脆弱性が表示されているが、ISE には脆弱性が表示されない。

vaservice.log には次のデバッグが表示されている。

2016-06-02 08:30:10,323 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::- Endpoint Details sent to IRF is {"C0:4A:00:15:75:C8":[{"vulnerability":{"CVSS_Base_Score":0.0,"CVSS_Temporal_Score": 0.0},"time-stamp":1464855905000,"title":"Vulnerability","vendor":"Qualys"}]}

ソリューション:

CVSS スコアがゼロになるのは、脆弱性がないためか、または、Qualys クラウドでの CVSS スコアの有効化が UI を使用してアダプタを設定する前に行われなかったためです。CVSS スコア機能の有効化が記載されたナレッジ ベースは、アダプタが初めて設定された後にダウンロードされます。CVSS の有効化は、ISE にアダプタ インスタンスが作成される前に行う必要があります。これは、[Vulnerability Management] > [Reports] > [Setup] > [CVSS] > [Enable CVSS Scoring] で実行できます。

問題 2:正しい認可ポリシーがヒットした場合でも、ISEは結果をQualysクラウドから取得しません。

問題:

修正された許可ポリシーが一致したため、VA スキャンがトリガーされるはずである。にもかかわらず、スキャンが実行されない。

vaservice.log には次のデバッグが表示されている。

2016-06-28 16:19:15,401 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::- Message from adapter : (Body:'[B@6da5e620(byte[311])'MessageProperties [headers={}, timestamp=null, messageId=null, userId=null, appId=null, clusterId=null, type=null, correlationId null, replyTo=null, contentType=application/octet-stream, contentEncoding=null, contentLength=0, deliveryMode=PERSISTENT, expiration=null, priority=0, redelivered=false, receivedExchange=irf.topic.va-reports, receivedRoutingKey=, deliveryTag=9830, messageCount=0])
2016-06-28 16:19:15,401 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::- Message from adapter : {"requestedMacAddress":"24:77:03:3D:CF:20","scanStatus":"SCAN_ERROR","scanStatusMessage":"Triggurling scan: Error while trigger on-demand scan code and error as follows 1904: none of the specified IPs are eligible for Vulnerability Management scanning.","lastScanTimeLong":0,"ipAddress":"10.201.228.102"}
2016-06-28 16:19:15,771 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Macaddress:24:77:03:3D:CF:20、IP Address(DB):10.201.228.102のアダプタスキャン結果が失敗しました。ステータスをに設定できませんでした
2016-06-28 16:19:16,336 DEBUG [endpointPollerScheduler-2][] cpm.va.service.util.VaServiceUtil -::::- VA SendSyslog systemMsg :[{"systemMsg":"91008","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service", TC-NAC.Status」、「VA Failure」、「TC-NAC.Details」、「Error trigging scan: Error while trigger on-demand scan code and error as follows 1904: none of the specified IPs are eligible for Vulnerability Management scanning」、「24:77:03:3D:CF:20」、「TC-NAC.IpAddress」、「10.0 201.228.102","TC-NAC.AdapterInstanceUuid","796440b7-09b5-4f3b-b611-199fb81a4b99","TC-NAC.VendorName","Qualys","TC-NAC.AdapterInstanceName","QUALYS_VA"]}

ソリューション:

Qualys クラウドは、エンドポイントの IP アドレスがスキャンの対象ではないことを示しています。[Vulnerability Management] > [Assets] > [Host Assets] > [New] > [IP Tracked Hosts] で、IP アドレスがエンドポイントに追加されていることを確認してください。

参考資料

更新履歴

改定 発行日 コメント
1.0
29-Jun-2016
初版
TAC Authored

シスコ エンジニア提供

  • ユージーン・コルネイチュク
    Cisco TACエンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています