脅威中心型 NAC サービス
脅威中心型ネットワーク アクセス コントロール(TC-NAC)機能により、脅威および脆弱性のアダプタから受信する脅威と脆弱性の属性に基づいて、許可ポリシーを作成できます。脅威の重大度レベルと脆弱性評価の結果は、エンドポイントまたはユーザのアクセス レベルを動的に制御するために使用できます。
忠実度の高い侵害の兆候(IoC)、脅威検出イベント、および CVSS スコアを Cisco ISE に送信するように脆弱性および脅威のアダプタを設定できます。これにより、エンドポイントの権限とコンテキストを適宜変更するための脅威中心型アクセス ポリシーを作成できます。
Cisco ISE では次のアダプタがサポートされています。
-
SourceFire FireAMP
-
Cognitive Threat Analytics(CTA)アダプタ
-
Qualys
(注)
TC-NAC フローで現在サポートされているのは Qualys Enterprise Edition のみです。
-
Rapid7 Nexpose
-
Tenable Security Center
エンドポイントの脅威イベントが検出されたら、[侵害されたエンドポイント(Compromised Endpoints)] ページでエンドポイントの MAC アドレスを選択して ANC ポリシー(Quarantine など)を適用できます。Cisco ISE は、そのエンドポイントに対して CoA をトリガーし、対応する ANC ポリシーを適用します。ANC ポリシーが使用可能ではない場合、Cisco ISE はそのエンドポイントに対して CoA をトリガーし、元の許可ポリシーを適用します。[侵害されたエンドポイント(Compromised Endpoints)] ページの [脅威と脆弱性のクリア(Clear Threat and Vulnerabilities)] オプションを使用して、(Cisco ISE システム データベースから)エンドポイントに関連付けられている脅威と脆弱性をクリアできます。
脅威ディクショナリには次の属性がリストされます。
-
CTA-Course_Of_Action(値は Internal Blocking、Eradication、または Monitoring です。)
-
Qualys-CVSS_Base_Score
-
Qualys-CVSS_Temporal_Score
-
Rapid7 Nexpose-CVSS_Base_Score
-
Tenable Security Center-CVSS_Base_Score
-
Tenable Security Center-CVSS_Temporal_Score
Base Score 属性と Temporal Score 属性の有効な範囲は 0 ~ 10 です。
脆弱性イベントがエンドポイントに受信されると、Cisco ISE はそのエンドポイントの CoA をトリガーします。ただし、脅威イベントの受信時には CoA はトリガーされません。
脆弱性属性を使用して、属性の値に基づいて脆弱なエンドポイントを自動的に隔離する許可ポリシーを作成できます。次に例を示します。
Any Identity Group & Threat:Qualys-CVSS_Base_Score > 7.0 -> Quarantine
脅威中心型 NAC サービスを有効にする際には、次の点に注意してください。
-
脅威中心型 NAC サービスを使用するには、Apex ライセンスが必要です。
-
脅威中心型 NAC サービスは、展開内の 1 つのノードでのみ有効にできます。
-
脆弱性アセスメント サービスでは、ベンダーあたり 1 つのアダプタ インスタンスだけを追加できます。ただし、FireAMP アダプタ インスタンスは複数追加できます。
-
設定を失わずにアダプタを停止、再開できます。アダプタの設定後は、任意の時点でアダプタを停止できます。ISE サービスの再起動時でもアダプタはこの状態のままになります。アダプタを再起動するには、アダプタを選択して [再起動(Restart)] をクリックします。
(注)
アダプタが [停止(Stopped)] 状態の場合、アダプタ インスタンスの名前だけを編集できます。アダプタ設定や詳細設定は編集できません。
[脅威中心型 NAC ライブ ログ(Threat Centric NAC Live Logs)] ページ([操作(Operations)] > [TC NAC ライブ ログ(TC NAC Live Log)])には、脅威イベントと脆弱性イベントがすべて表示されます。エンドポイントのインシデント タイプ、アダプタ名、一致する許可ルール、許可プロファイル(新しいプロファイルと古いプロファイル)が表示されます。また、イベントの詳細情報も確認できます。
エンドポイントの脅威情報は次に示すページで確認できます。
-
[ホーム(Home)] ページ > [脅威(Threat)] ダッシュボード
-
[コンテキストの可視性(Context Visibility)] > [エンドポイント(Endpoints)] > [侵害されたエンドポイント(Compromised Endpoints)]
脅威中心型 NAC サービスによりトリガーされるアラームを次に示します。
-
Adapter not reachable(syslog ID:91002):アダプタに到達できないことを示します。
-
Adapter Connection Failed(syslog ID:91018):アダプタに到達できるが、アダプタとソース サーバの間の接続がダウンしていることを示します。
-
Adapter Stopped Due to Error(syslog ID:91006):このアラームは、アダプタが必要な状態になっていない場合にトリガーされます。このアラームが表示されたら、アダプタ設定とサーバ接続を調べてください。詳細については、アダプタ ログを参照してください。
-
Adapter Error(syslog ID:91009):Qualys アダプタが Qualys サイトとの接続を確立できないか、またはこのサイトから情報をダウンロードできないことを示します。
脅威中心型 NAC サービスで使用できるレポートを次に示します。
-
アダプタのステータス:アダプタのステータス レポートには、脅威と脆弱性のアダプタのステータスが表示されます。
-
COA イベント:エンドポイントの脆弱性イベントを受信すると、Cisco ISE はそのエンドポイントについて CoA をトリガーします。CoA イベント レポートには、これらの CoA イベントのステータスが表示されます。また、これらのエンドポイントの新旧の認証ルールとプロファイルの詳細が表示されます。
-
脅威イベント:脅威イベント レポートには、設定したさまざまなアダプタから Cisco ISE が受信した脅威イベントがすべて表示されます。脆弱性アセスメントのイベントは、このレポートには含まれません。
-
脆弱性アセスメント:脆弱性アセスメント レポートには、エンドポイントで実行中のアセスメントに関する情報が示されます。このレポートを表示して、設定されたポリシーに基づいてアセスメントが行われているかどうかを確認することができます。
-
受信したイベントの総数
-
脅威イベントの総数
-
脆弱性イベントの総数
-
(PSN に対して)発行された CoA の総数
これらの属性の値は 5 分おきに収集されるため、この値は直近 5 分間の数を表します。
[脅威(Threat)] ダッシュボードには次のダッシュレットが表示されます。
-
[侵害されたエンドポイントの総数(Total Compromised Endpoints)] ダッシュレットには、ネットワーク上で現在影響を受けているエンドポイント(接続エンドポイントと切断エンドポイントの両方)の総数が表示されます。
-
[特定期間における侵害されたエンドポイント(Compromised Endpoints Over Time)] ダッシュレットには、指定された期間におけるエンドポイントへの影響の履歴ビューが表示されます。
-
[上位の脅威(Top Threats)] ダッシュレットには、影響を受けるエンドポイントの数と脅威の重大度に基づく上位の脅威が表示されます。
-
[脅威ウォッチリスト(Threats Watchlist)] ダッシュレットを使用して、選択したイベントのトレンドを分析できます。
[上位の脅威(Top Threats)] ダッシュレットでは、バブルのサイズが影響を受けるエンドポイントの数を示し、薄い影が付いているエリアが切断されているエンドポイントの数を示します。色と縦方向の目盛りで脅威の重大度を示します。脅威には、インディケータとインシデントという 2 つのカテゴリがあります。インディケータの重大度属性は「Likely_Impact」、インシデントの重大度属性は「Impact_Qualification」です。
[侵害されたエンドポイント(Compromised Endpoint)] ページには、影響を受けるエンドポイントのマトリックス ビューと、各脅威カテゴリの影響の重大度が示されます。エンドポイントの詳細な脅威情報を表示するには、デバイス リンクをクリックします。
[実行されたアクション(Course Of Action)] チャートには、CTA アダプタから受信した CTA-Course_Of_Action 属性に基づき、脅威インシデントに対して実行されたアクション([内部ブロック(Internal Blocking)]、[撲滅(Eradication)]、または [モニタリング(Monitoring)])が表示されます。
[ホーム(Home)] ページの [脆弱性(Vulnerability)] ダッシュボードには、次のダッシュレットが表示されます。
-
[脆弱なエンドポイントの総数(Total Vulnerable Endpoints)] ダッシュレットには、指定された値よりも大きい CVSS スコアを持つエンドポイントの総数が表示されます。また、CVSS スコアが指定された値よりも大きい接続エンドポイントと切断エンドポイントの総数も表示されます。
-
[上位の脆弱性(Top Vulnerability)] ダッシュレットには、影響を受けるエンドポイントの数または脆弱性の重大度に基づく上位の脅威が表示されます。[上位の脆弱性(Top Vulnerability)] ダッシュレットでは、バブルのサイズが影響を受けるエンドポイントの数を示し、薄い影が付いているエリアが切断されているエンドポイントの数を示します。色と縦方向の目盛りで脆弱性の重大度を示します。
-
[脆弱性ウォッチリスト(Vulnerability Watchlist)] ダッシュレットを使用して、一定期間にわたる選択した脆弱性のトレンドを分析できます。ダッシュレットで検索アイコンをクリックし、ベンダー固有の ID(Qualys の ID 番号の場合は「qid」)を入力して、その ID 番号の傾向を選択して表示します。
-
[特定期間における脆弱なエンドポイント(Vulnerable Endpoints Over Time)] ダッシュレットには、一定期間におけるエンドポイントへの影響の履歴ビューが表示されます。
[脆弱なエンドポイント(Vulnerable Endpoints)] ページの [CVSS 別エンドポイント数(Endpoint Count By CVSS)] グラフには、影響を受けるエンドポイントの数とその CVSS スコアが表示されます。[脆弱なエンドポイント(Vulnerable Endpoints)] ページでは、影響を受けるエンドポイントのリストも表示されます。各エンドポイントの詳細な脆弱性情報を表示するには、デバイス リンクをクリックします。
脅威中心型 NAC サービス ログはサポート バンドルに含まれています(『』の「Cisco ISE ログ ファイルのダウンロード」のセクションCisco ISE ログ ファイルのダウンロードを参照してください)。脅威中心型 NAC サービス ログは support/logs/TC-NAC/ にあります。
脅威中心型 NAC サービスの有効化
脆弱性と脅威のアダプタを設定するには、まず脅威中心型 NAC サービスを有効にする必要があります。このサービスは、導入内の 1 つのポリシー サービス ノードでのみ有効にできます。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
脅威中心型 NAC サービスを有効にする PSN の隣にあるチェック ボックスにマークを付けて、[編集(Edit)] をクリックします。 |
ステップ 3 |
[脅威中心型 NAC サービスの有効化(Enable Threat Centric NAC Service)] チェック ボックスにマークを付けます。 |
ステップ 4 |
[保存(Save)] をクリックします。 |
SourceFire FireAMP アダプタの追加
始める前に
-
SourceFire FireAMP のアカウントが必要です。
-
すべてのエンドポイントの FireAMP クライアントを導入する必要があります。
-
脅威中心型 NAC サービスを展開ノードで有効にする必要があります(脅威中心型 NAC サービスの有効化を参照)。
-
FireAMP アダプタは REST API コール(AMP クラウドへ)、およびイベントを受信する AMQP に SSL を使用します。また、プロキシの使用をサポートしています。FireAMP アダプタは通信にポート 443 を使用します。
手順
ステップ 1 |
[管理(Administration)] > [脅威中心型 NAC(Threat Centric NAC)] > [サード パーティ ベンダー(Third Party Vendors)] を選択します。 |
ステップ 2 |
[追加(Add)] をクリックします。 |
ステップ 3 |
[ベンダー(Vendor)] ドロップダウン リストから [AMP:脅威(AMP:Threat)] を選択します。 |
ステップ 4 |
アダプタ インスタンスの名前を入力します。 |
ステップ 5 |
[保存(Save)] をクリックします。 |
ステップ 6 |
ベンダー インスタンスのリスト ページを更新します。ベンダー インスタンスのリスト ページでアダプタのステータスが [設定準備完了(Ready to Configure)] に変更された後でのみ、アダプタを設定できます。 |
ステップ 7 |
[設定準備完了(Ready to Configure)] リンクをクリックします。 |
ステップ 8 |
(オプション)すべてのトラフィックをルーティングするように SOCKS プロキシ サーバを設定した場合、プロキシ サーバのホスト名とポート番号を入力します。 |
ステップ 9 |
接続するクラウドを選択します。US クラウドまたは EU クラウドを選択できます。 |
ステップ 10 |
サブスクライブするイベント ソースを選択します。次のオプションを使用できます。
|
ステップ 11 |
FireAMP リンクをクリックし、admin として FireAMP にログインします。[アプリケーション(Applications)] ペインの [許可(Allow)] をクリックして、ストリーミング イベント エクスポート要求を許可します。 |
ステップ 12 |
監視するイベントを選択します(たとえば、不審なダウンロード、疑わしいドメインへの接続、実行されたマルウェア、Java 侵害)。 詳細設定の変更またはアダプタの再設定時に、AMP クラウドに新しいイベントが追加されている場合、これらのイベントも [イベントリスト(Events Listing)] ページに表示されます。 アダプタ用のログ レベルを選択できます。選択可能なオプションは、[エラー(Error)]、[情報(Info)]、[デバッグ(Debug)] です。 アダプタ インスタンスの設定の要約が [設定サマリー(Configuration Summary)] ページに表示されます。 |
Cognitive Threat Analytics アダプタの追加
始める前に
-
脅威中心型 NAC サービスを展開ノードで有効にする必要があります(脅威中心型 NAC サービスの有効化を参照)。
-
http://cognitive.cisco.com/login から Cisco Cognitive Threat Analytics(CTA)ポータルにログインし、CTA STIX/TAXII サービスを要求します。詳細については、『Cisco ScanCenter Administrator Guide』を参照してください。
-
Cognitive Threat Analytics(CTA)アダプタは、SSL とともに TAXII プロトコルを使用して、CTA クラウドをポーリングし、検出された脅威を確認します。また、プロキシの使用をサポートしています。
-
信頼できる証明書ストアにアダプタ証明書をインポートします。[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)] の順に選択し、証明書をインポートします。
手順
ステップ 1 |
[管理(Administration)] > [脅威中心型 NAC(Threat Centric NAC)] > [サード パーティ ベンダー(Third Party Vendors)] を選択します。 |
ステップ 2 |
[追加(Add)] をクリックします。 |
ステップ 3 |
[ベンダー(Vendor)] ドロップダウン リストから [CTA:脅威(CTA:Threat)] を選択します。 |
ステップ 4 |
アダプタ インスタンスの名前を入力します。 |
ステップ 5 |
[保存(Save)] をクリックします。 |
ステップ 6 |
ベンダー インスタンスのリスト ページを更新します。ベンダー インスタンスのリスト ページでアダプタのステータスが [設定準備完了(Ready to Configure)] に変更された後でのみ、アダプタを設定できます。 |
ステップ 7 |
[設定準備完了(Ready to Configure)] リンクをクリックします。 |
ステップ 8 |
次の詳細を入力します。
|
ステップ 9 |
[Next] をクリックします。 |
ステップ 10 |
次のオプションを設定するには、[詳細設定(Advanced Settings)] をクリックします。
|
ステップ 11 |
[終了(Finish)] をクリックします。 |
(注) |
CTA は Web プロキシ ログに IP アドレスまたはユーザ名としてリストされているユーザ ID を処理します。具体的には、IP アドレスの場合、プロキシ ログで使用可能なデバイスの IP アドレスが、内部ネットワークの別のデバイスの IP アドレスと競合する可能性があります。たとえば AnyConnect 経由で接続するローミング ユーザと、インターネットに直接接続するスプリット トンネルが獲得するローカル IP 範囲アドレス(例:10.0.0.X)が、内部ネットワークで使用されている重複するプライベート IP 範囲のアドレスと競合することがあります。不一致のデバイスに隔離アクションが適用されることを防ぐポリシーを定義するときには、論理ネットワーク アーキテクチャを考慮することが推奨されます。 |
CTA アダプタの許可プロファイルの設定
脅威イベントごとに、CTA アダプタは Course of Action 属性の値「Internal Blocking」、「Monitoring」、または「Eradication」のいずれかを返します。これらの値に基づいて許可プロファイルを作成できます。
手順
ステップ 1 |
[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] を選択します。 |
ステップ 2 |
[追加(Add)] をクリックします。 |
ステップ 3 |
許可プロファイルの名前および説明を入力します。 |
ステップ 4 |
アクセス タイプを選択します。 |
ステップ 5 |
必要な詳細を入力し、[送信(Submit)] をクリックします。 |
Course of Action 属性を使用した許可ポリシーの設定
脅威イベントが報告されたエンドポイントに対して許可ポリシーを設定するには、CTA-Course_Of_Action 属性を使用できます。この属性は [脅威(Threat)] ディレクトリで使用できます。
また、CTA-Course_Of_Action 属性に基づいて例外ルールを作成することもできます。
手順
ステップ 1 |
[ポリシー(Policy)] > [ポリシー セット(Policy Sets)] を選択します。 |
||
ステップ 2 |
CTA-Course_Of_Action 属性値を検査するための条件を作成し、適切な許可プロファイルを割り当てます。次に例を示します。 Network_Access_Authentication_Passed AND ThreatCTA-Course_Of_Action CONTAINS Internal Blocking then blocking (authorization profile)
|
||
ステップ 3 |
[保存(Save)] をクリックします。 |
(注) |
CTA が 1 つのインシデントで複数のリスクとそれらに関連付けられている Course of Action 属性を送信することがあります。たとえば 1 つのインシデントで「Internal Blocking」と「Monitoring」(Course of Action 属性)を送信することがあります。この場合、「equals」演算子を使用してエンドポイントを隔離する許可ポリシーが設定されていると、エンドポイントは隔離されません。次に例を示します。
この場合、エンドポイントを隔離するには許可ポリシーで「contains」演算子を使用する必要があります。次に例を示します。
|
Cisco ISE での脆弱性アセスメントのサポート
Cisco Identity Services Engine は次の脆弱性アセスメント(VA)エコシステム パートナーと連携し、Cisco ISE ネットワークに接続するエンドポイントの脆弱性アセスメント結果を取得します。
-
Qualys:Qualysは、ネットワークに導入されているスキャナ アプライアンスを使用するクラウド ベースの評価システムです。Cisco ISE では、Qualys と通信して VA 結果を取得するアダプタを設定できます。管理者ポータルからアダプタを設定できます。アダプタを設定するには、スーパー管理者権限を持つ Cisco ISE 管理者アカウントが必要です。Qualys アダプタは、Qualys クラウド サービスとの通信に REST API を使用します。REST API にアクセスするには、Qualys でマネージャ権限が付与されたユーザ アカウントが必要です。Cisco ISE は次の Qualys REST API を使用します。
-
Host Detection List API:エンドポイントの最新スキャン結果を確認します。
-
Scan API:エンドポイントのオンデマンド スキャンをトリガーします。
-
-
Rapid7 Nexpose:Cisco ISE は脆弱性管理ソリューションである Rapid 7 Nexpose と連携して、脆弱性の検出を促進します。これにより、このような脅威に迅速に対応できるようになります。Cisco ISE は Nexpose から脆弱性データを受信し、ISE で設定したポリシーに基づいて、影響を受けるエンドポイントを隔離します。Cisco ISE ダッシュボードから、影響を受けるエンドポイントを確認し、適切なアクションを実行できます。
Cisco ISE は Nexpose リリース 6.4.1 でテスト済みです。
-
Tenable Security Center(Nessus スキャナ):Cisco ISE は Tenable SecurityCenter と連携し、(Tenable SecurityCenter により管理される)Tenable Nessus スキャナから脆弱性データを受信します。また、ISE で設定したポリシーに基づいて、影響を受けるエンドポイントを隔離します。Cisco ISE ダッシュボードから、影響を受けるエンドポイントを確認し、適切なアクションを実行できます。
Cisco ISE はTenable SecurityCenter 5.3.2 でテスト済みです。
エコシステム パートナーからの結果は Structured Threat Information Expression(STIX)表現に変換され、この値に基づき、必要に応じて認可変更(CoA)がトリガーされ、適切なアクセス レベルがエンドポイントに付与されます。
エンドポイントの脆弱性に関する評価にかかる時間は、さまざまな要因に基づいて異なるため、VA をリアルタイムで実行することはできません。エンドポイントの脆弱性に関する評価にかかる時間に影響する要因を次に示します。
-
脆弱性アセスメント エコシステム
-
スキャン対象の脆弱性のタイプ
-
有効なスキャンのタイプ
-
エコシステムによりスキャナ アプライアンスに割り当てられるネットワーク リソースとシステム リソース
このリリースの Cisco ISE では、IPv4 アドレスを持つエンドポイントのみが脆弱性を評価できます。
脆弱性アセスメント サービスの有効化と設定
Cisco ISE で脆弱性アセスメント サービスを有効にして設定するには、次の作業を行います。
手順
ステップ 1 | |
ステップ 2 |
次の設定を行います。
|
ステップ 3 | |
ステップ 4 |
脅威中心型 NAC サービスの有効化
脆弱性と脅威のアダプタを設定するには、まず脅威中心型 NAC サービスを有効にする必要があります。このサービスは、導入内の 1 つのポリシー サービス ノードでのみ有効にできます。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
脅威中心型 NAC サービスを有効にする PSN の隣にあるチェック ボックスにマークを付けて、[編集(Edit)] をクリックします。 |
ステップ 3 |
[脅威中心型 NAC サービスの有効化(Enable Threat Centric NAC Service)] チェック ボックスにマークを付けます。 |
ステップ 4 |
[保存(Save)] をクリックします。 |
Qualys アダプタの設定
Cisco ISE は、Qualys 脆弱性アセスメント エコシステムをサポートしています。Cisco ISE 用の Qualys アダプタを作成して、Qualys と通信し、VA 結果を取得する必要があります。
始める前に
-
次のユーザ アカウントを準備する必要があります。
-
ベンダー アダプタを設定できる、スーパー管理者権限を持つ Cisco ISE の管理者ユーザ アカウント。
-
管理者権限を持つ Qualys のユーザ アカウント
-
-
適切な Qualys ライセンス サブスクリプションがあることを確認します。Qualys レポート センター、ナレッジ ベース(KBX)、API にアクセスする必要があります。詳細については、Qualys アカウント マネージャにお問い合わせください。
-
Cisco ISE の信頼できる証明書ストアに Qualys サーバ証明書をインポートします([管理(Administration)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)])。適切なルートと中間証明書が、Cisco ISE の信頼できる証明書ストアにインポートされている(または存在する)ことを確認します。
-
Qualys API ガイドの次の設定を参照してください。
-
Qualys で CVSS スコアが有効になっていることを確認します([レポート(Reports)] > [設定(Setup)] > [CVSS スコア(CVSS Scoring)] > [CVSS スコアの有効化(Enable CVSS Scoring)])。
-
Qualys にエンドポイントの IP アドレスとサブネット マスクが追加されていることを確認します([アセット(Assets)] > [ホスト アセット(Host Assets)])。
-
Qualys オプション プロファイルの名前があることを確認します。オプション プロファイルは、Qualys がスキャンのために使用するスキャナ テンプレートです。認証されたスキャンを含むオプション プロファイルを使用することを推奨します(このオプションは、エンドポイントの MAC アドレスも確認します)。
-
-
HTTPS/SSL(ポート 443)を介して Qualys と通信する Cisco ISE。
手順
ステップ 1 |
の順に選択します。 |
||||||||||||||||||||||||||||
ステップ 2 |
[追加(Add)] をクリックします。 |
||||||||||||||||||||||||||||
ステップ 3 |
[ベンダー(Vendor)] ドロップダウン リストから、[Qualys:VA] を選択します。 |
||||||||||||||||||||||||||||
ステップ 4 |
アダプタ インスタンスの名前を入力します。たとえば、Qualys_Instance などです。 設定されているアダプタ インスタンスのリストを含むリスト ページが表示されます。 |
||||||||||||||||||||||||||||
ステップ 5 |
ベンダー インスタンスのリスト ページを更新します。新しく追加された Qualys_Instance アダプタのステータスが、[設定準備完了(Ready to Configure)] に変化します。 |
||||||||||||||||||||||||||||
ステップ 6 |
[設定準備完了(Ready to Configure)] リンクをクリックします。 |
||||||||||||||||||||||||||||
ステップ 7 |
Qualys の設定画面で次の値を入力し、[次へ(Next)] をクリックします。
Qualys サーバへの接続が確立されると、Qualys スキャナのリストを含む [スキャナ マッピング(Scanner Mappings)] ページが表示されます。ネットワークからの Qualys スキャナがこのページに表示されます。 |
||||||||||||||||||||||||||||
ステップ 8 |
Cisco ISE がオンデマンド スキャンに使用するデフォルトのスキャナを選択します。 |
||||||||||||||||||||||||||||
ステップ 9 |
[スキャナ マッピングに対する PSN(PSN to Scanner Mapping)] エリアで、PSN ノードに対して 1 つ以上の Qualys スキャナ アプライアンスを選択し、[次へ(Next)] をクリックします。 [詳細設定(Advanced Settings)] ページが表示されます。 |
||||||||||||||||||||||||||||
ステップ 10 |
[詳細設定(Advanced Settings)] ページに次の値を入力します。このページの設定は、オンデマンド スキャンがトリガーされるかどうかや、最後のスキャン結果が VA に使用されるかどうかを決定します。
|
||||||||||||||||||||||||||||
ステップ 11 |
[次へ(Next)] をクリックして、構成設定を確認します。 |
||||||||||||||||||||||||||||
ステップ 12 |
[終了(Finish)] をクリックします。 |
Nexpose アダプタの設定
Cisco ISE 用の Nexpose アダプタを作成して、Nexpose と通信し、VA 結果を取得する必要があります。
始める前に
-
Cisco ISE で脅威中心型 NAC サービスを有効にしていることを確認します。
-
Nexpose Security Console にログインし、ユーザ アカウントを作成して次の権限をこのアカウントに付与します。 -
サイトの管理
-
レポートの作成
-
-
Cisco ISE の信頼できる証明書ストアに Nexpose サーバ証明書をインポートします([管理(Administration)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)])。適切なルートと中間証明書が、Cisco ISE の信頼できる証明書ストアにインポートされている(または存在する)ことを確認します。
-
HTTPS/SSL(ポート 3780)を介して Nexpose と通信する Cisco ISE。
手順
ステップ 1 |
の順に選択します。 |
||||||||||||||||||||||||||
ステップ 2 |
[追加(Add)] をクリックします。 |
||||||||||||||||||||||||||
ステップ 3 |
[ベンダー(Vendor)] ドロップダウンリストから [Rapid7 Nexpose:VA] を選択します。 |
||||||||||||||||||||||||||
ステップ 4 |
アダプタ インスタンスの名前を入力します。たとえば Nexpose と入力します。 設定されているアダプタ インスタンスのリストを含むリスト ページが表示されます。 |
||||||||||||||||||||||||||
ステップ 5 |
ベンダー インスタンスのリスト ページを更新します。新しく追加された Nexpose アダプタのステータスが、[設定準備完了(Ready to Configure)] に変化します。 |
||||||||||||||||||||||||||
ステップ 6 |
[設定準備完了(Ready to Configure)] リンクをクリックします。 |
||||||||||||||||||||||||||
ステップ 7 |
Nexpose の設定画面で次の値を入力し、[次へ(Next)] をクリックします。
|
||||||||||||||||||||||||||
ステップ 8 |
[次へ(Next)] をクリックして拡張設定を設定します。 |
||||||||||||||||||||||||||
ステップ 9 |
[詳細設定(Advanced Settings)] ページに次の値を入力します。このページの設定は、オンデマンド スキャンがトリガーされるかどうかや、最後のスキャン結果が VA に使用されるかどうかを決定します。
|
||||||||||||||||||||||||||
ステップ 10 |
[次へ(Next)] をクリックして、構成設定を確認します。 |
||||||||||||||||||||||||||
ステップ 11 |
[終了(Finish)] をクリックします。 |
Tenable アダプタの設定
Cisco ISE が Tenable SecurityCenter(Nessus スキャナ)と通信し、VA 結果を取得するためには、Tenable アダプタを作成する必要があります。
始める前に
(注) |
Cisco ISE で Tenable Adapter を設定する前に、Tenable SecurityCenter で次の項目を設定する必要があります。これらの設定については、Tenable SecurityCenter のマニュアルを参照してください。 |
-
Tenable Security Center と Tenable Nessus Vulnerability Scanner がインストールされている必要があります。Tenable Nessus スキャナの登録時に、[登録(Registration)] フィールドで [SecurityCenter で管理(Managed by SecurityCenter)] を必ず選択します。
-
Tenable SecurityCenter で Security Manager 権限を持つユーザ アカウントを作成します。
-
SecurityCenter でリポジトリを作成します(管理者クレデンシャルを使用して Tenable SecurityCenter にログインし、[リポジトリ(Repository)] > [追加(Add)] を選択します)。
-
リポジトリにスキャン対象のエンドポント IP 範囲を追加します。
-
Nessus スキャナを追加します。
-
スキャン ゾーンを作成し、作成したスキャン ゾーンと、これらのスキャン ゾーンにマッピングされているスキャナに、IP アドレスを割り当てます。
-
ISE のスキャン ポリシーを作成します。
-
アクティブなスキャンを追加し、ISE スキャン ポリシーに関連付けます。設定項目、ターゲット(IP/DNS 名)を設定します。
-
システム証明書とルート証明書を Tenable SecurityCenter からエクスポートし、Cisco ISE の信頼できる証明書ストアにインポートします([管理(Administration)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)])。適切なルートと中間証明書が、Cisco ISE の信頼できる証明書ストアにインポートされている(または存在する)ことを確認します。
-
HTTPS/SSL(ポート 443)を介して Tenable SecurityCenter と通信する Cisco ISE。
手順
ステップ 1 |
の順に選択します。 |
||||||||||||||||||||||||||||
ステップ 2 |
[追加(Add)] をクリックします。 |
||||||||||||||||||||||||||||
ステップ 3 |
[ベンダー(Vendor)] ドロップダウン リストから、[Tenable Security Center:VA] を選択します。 |
||||||||||||||||||||||||||||
ステップ 4 |
アダプタ インスタンスの名前を入力します。たとえば、Tenable。 設定されているアダプタ インスタンスのリストを含むリスト ページが表示されます。 |
||||||||||||||||||||||||||||
ステップ 5 |
ベンダー インスタンスのリスト ページを更新します。新しく追加された Tenable アダプタのステータスが、[設定準備完了(Ready to Configure)] に変化します。 |
||||||||||||||||||||||||||||
ステップ 6 |
[設定準備完了(Ready to Configure)] リンクをクリックします。 |
||||||||||||||||||||||||||||
ステップ 7 |
Tenable SecurityCenter の設定画面で次の値を入力し、[次へ(Next)] をクリックします。
|
||||||||||||||||||||||||||||
ステップ 8 |
[Next] をクリックします。 |
||||||||||||||||||||||||||||
ステップ 9 |
[詳細設定(Advanced Settings)] ページに次の値を入力します。このページの設定は、オンデマンド スキャンがトリガーされるかどうかや、最後のスキャン結果が VA に使用されるかどうかを決定します。
|
||||||||||||||||||||||||||||
ステップ 10 |
[次へ(Next)] をクリックして、構成設定を確認します。 |
||||||||||||||||||||||||||||
ステップ 11 |
[終了(Finish)] をクリックします。 |
認可プロファイルの設定
Cisco ISE の許可プロファイルに、脆弱性がないかエンドポイントをスキャンするオプションが含まれるようになりました。スキャンの定期的な実行を選択できます。また、これらのスキャンの時間間隔を指定することもできます。許可プロファイルを定義した後、既存の認可ポリシー ルールに適用するか、または新しい認可ポリシー ルールを作成できます。
始める前に
脅威中心型 NAC サービスを有効にし、ベンダー アダプタを設定する必要があります。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
新規の許可プロファイルを作成するか、既存のプロファイルを編集します。 |
ステップ 3 |
[共通タスク(Common Tasks)] 領域で、[脆弱性を評価する(Assess Vulnerabilities)] チェックボックスをオンにします。 |
ステップ 4 |
[アダプタ インスタンス(Adapter Instance)] ドロップダウン リストから、設定したベンダー アダプタを選択します。たとえば、Qualys_Instance などです。 |
ステップ 5 |
最後のスキャンからの時間がテキスト ボックスよりも大きい場合は、トリガー スキャンのスキャン間隔を時間単位で入力します。有効な範囲は 1 ~ 9999 です。 |
ステップ 6 |
[上の間隔を使用して定期的に評価する(Assess periodically using above interval)] チェックボックスをオンにします。 |
ステップ 7 |
[送信(Submit)] をクリックします。 |
脆弱なエンドポイントを隔離する例外ルールの設定
例外ルールを設定し、脆弱なエンドポイントへのアクセスを制限するには、次の脆弱性アセスメント属性を使用できます。
-
Threat:Qualys-CVSS_Base_Score
-
Threat:Qualys-CVSS_Temporal_Score
-
Rapid7 Nexpose-CVSS_Base_Score
-
Tenable Security Center-CVSS_Base_Score
-
Tenable Security Center-CVSS_Temporal_Score
これらの属性は [脅威(Threat)] ディレクトリで使用できます。有効な値の範囲は 0 ~ 10 です。
エンドポイントの隔離、アクセスの制限(別のポータルへのリダイレクト)、または要求の拒否のいずれかを選択できます。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
Qualys スコアを確認して適切な許可プロファイルを割り当てるための条件を作成します。次に例を示します。 Any Identity Group & Threat:Qualys-CVSS_Base_Score > 5 -> Quarantine (authorization profile) |
ステップ 3 |
[保存(Save)] をクリックします。 |
脆弱性アセスメント ログ
Cisco ISE には、VA サービスのトラブルシューティングのための次のログがあります。
-
vaservice.log:VA コア情報が含まれており、TC-NAC サービスを実行しているノードで使用可能です。
-
varuntime.log:エンドポイントと VA フローに関する情報が含まれており、モニタリング ノードと、TC-NAC サービスを実行しているノードで使用可能です。
-
vaaggregation.log:1 時間ごとに収集されるエンドポイントの脆弱性に関する情報が含まれており、プライマリ管理ノードで使用可能です。