Configureer ISE 2.1 Threat-Centric NAC (TC-NAC) met Qualys

Downloadopties

  • PDF     (1.8 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.7 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 november 2016
Document-id:200548

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u Threat-Centric NAC met Qualys on Identity Services Engine (ISE) 2.1 kunt configureren. Met de functie Threat Centric Network Access Control (TC-NAC) kunt u autorisatiebeleid maken op basis van de eigenschappen van bedreigingen en kwetsbaarheden die u van de adapters voor bedreigingen en kwetsbaarheden ontvangt.

Voorwaarden

Vereisten

Cisco raadt u aan een basiskennis te hebben van deze onderwerpen:

  • Cisco Identity Service Engine

  • Qualys ScanGuard

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco Identity Service Engine versie 2.1
  • Draadloze LAN-controller (WLC) 8.0.121.0
  • Qualys Guard Scanner 8.3.36-1, handtekeningen 2.3.364-2
  • Windows 7-servicepack 1

Configureren

Flow Diagram op hoog niveau

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-00.png

Dit is de flow:

  1. De client maakt verbinding met het netwerk, de beperkte toegang wordt gegeven en het profiel met het selectievakje Vulnerabilities ingeschakeld wordt toegewezen
  2. PSN-knooppunt stuurt Syslog-bericht naar MNT-knooppunt ter bevestiging van de verificatie en VA Scan was het resultaat van het autorisatiebeleid
  3. MNT-knooppunt stuurt SCAN naar TC-NAC-knooppunt (met Admin WebApp) met behulp van deze gegevens:
    -MAC-adres
    -IP-adres
    - Scaninterval
    - Periodieke scan ingeschakeld
    - Oorspronkelijk PSN
  4. Qualys TC-NAC (ingesloten in Docker Container) communiceert met Qualys Cloud (via REST API) om scan te starten indien nodig
  5. Qualys Cloud instrueert Qualys Scanner om het eindpunt te scannen
  6. Qualys Scanner stuurt de resultaten van de scan naar de Qualys Cloud
  7. De resultaten van de scan worden teruggestuurd naar TC-NAC:
    -MAC-adres
    - Alle CVSS-scores
    - Alle kwetsbaarheden (QID, titel, CVEID’s)
  8. TC-NAC werkt PAN bij met alle gegevens van stap 7.
  9. CoA wordt indien nodig geactiveerd volgens het geconfigureerde autorisatiebeleid.

Qualys Cloud en Scanner configureren

Waarschuwing: de Qualys-configuratie in dit document wordt uitgevoerd voor de laboratoriumdoeleinden; raadpleeg de Qualys-engineers voor ontwerpoverwegingen

Stap 1. Qualys-scanner implementeren

De scanner van Qualys kan van OVA- dossier worden opgesteld. Meld u aan bij Qualys cloud en navigeer naar scans > applicaties en selecteer Nieuw > Virtual Scanner Applicatie

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-01.png

Selecteer Alleen afbeelding downloaden en kies de juiste distributie

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-02.png

Voor de activeringscode gaat u naar Scannen > Applicaties en selecteert u Nieuw > Virtuele scanner en selecteert u Mijn afbeelding

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-03.png

Nadat u de naam van de scanner hebt ingevoerd, krijgt u de autorisatiecode die u later zult gebruiken.

Stap 2. Qualys-scanner configureren

OVA implementeren op het virtualisatieplatform van uw keuze. Als u dit hebt gedaan, configureer dan de volgende instellingen:

  • Netwerk instellen (LAN)
  • WAN-interfacestanden (als u twee interfaces gebruikt)
  • Proxy-instellingen (als u proxy gebruikt)
  • Personaliseer deze scanner

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-04.png

Daarna verbindt de scanner met Qualys en downloadt de nieuwste software en handtekeningen.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-05.png

Om te controleren of de scanner is aangesloten, kunt u naar Scannen > Applicaties navigeren.

Het groene verbonden teken aan de linkerkant geeft aan dat de scanner klaar is. U kunt ook LAN IP, WAN IP, versie van Scanner en handtekeningen zien.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-06.png

ISE configureren

Hoewel u Qualys Scanner en Cloud hebt geconfigureerd, moet u nog steeds Cloud-instellingen afstemmen om ervoor te zorgen dat de integratie met ISE goed werkt. Opmerking: dit moet gebeuren voordat u de adapter via GUI configureert, aangezien de kennisbank met CVSS-score wordt gedownload nadat de adapter voor het eerst is geconfigureerd.

Stap 1. Tune Qualys Cloud-instellingen voor integratie met ISE

  • CVSS-scoring inschakelen bij kwetsbaarheidsbeheer > Rapporten > Setup > CVSS > CVSS-sortering inschakelen

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-07.png

  • Zorg ervoor dat de gebruikersreferenties die worden gebruikt in de adapterconfiguratie beheerdersrechten hebben. Selecteer uw gebruiker uit de linkerbovenhoek en klik op Gebruikersprofiel. U moet beheerdersrechten hebben in de gebruikersrol.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-08.png

  • Zorg ervoor dat IP-adressen/subnetten van endpoints die kwetsbaarheidsassessments vereisen, worden toegevoegd aan Qualys op het gebied van kwetsbaarheidsbeheer > Activa > hostactiva > Nieuw > IP-gevolgde hosts

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-09.png

Stap 2. TC-NAC services inschakelen

Schakel TC-NAC services in onder Beheer > Implementatie > Knooppunt bewerken. controleren selectievakje.

Opmerking: er kan per implementatie slechts één TC-NAC-knooppunt zijn.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-10.png

Stap 3. Connectiviteit met Qualys-adapters configureren voor ISE-VA-framework

Navigeer naar Beheer > Threat Centric NAC > Verkopers van derden > Toevoegen. Klik op Opslaan.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-11.png

Wanneer de overgang van de instantie van Qualys naar Klaar om staat te vormen, klik op Klaar om optie in de Status te vormen.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-12.png

De REST API-host moet degene zijn die u gebruikt voor Qualys Cloud, waar uw account zich bevindt. In dit voorbeeld - qualysguard.qg2.apps.qualys.com

Account moet degene zijn met beheerdersrechten, klik op Volgende.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-13.png

ISE downloadt informatie over Scanners die zijn verbonden met Qualys Cloud, kunt u PSN configureren naar Scanner Mapping op deze pagina. Deze functie zorgt ervoor dat de geselecteerde scanner wordt geselecteerd op basis van een PSN dat het eindpunt autoriseert.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-14.png

Geavanceerde instellingen zijn goed gedocumenteerd in de ISE 2.1-beheergids. U vindt een koppeling in het gedeelte Referenties van dit document. Klik op Volgende en Voltooien. Qualys Instance overgangen naar Active state en de kennisbank download start.

Opmerking: er kan slechts één Qualys-instantie per implementatie zijn.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-15.png

Stap 4. Vergunningprofiel configureren om VA Scan te starten

Navigeer naar Beleid > Beleidselementen > Resultaten > Vergunning > Vergunningsprofielen. Voeg nieuw profiel toe. Selecteer onder Common Tasks het aanvinkvakje Vulnerability Assessment.
Het scaninterval op aanvraag moet worden geselecteerd op basis van uw netwerkontwerp.

Autorisatieprofiel bevat die av-paren:

Cisco 800-av-paar = scaninterval op verzoek=48
Cisco 800-av-paar = Peridic-scan-enabled=0
Cisco-av-paar = va-adapter-instantie=796440b7-09b5-4f3b-b611-199fb81a4b99

Ze worden verzonden naar netwerkapparaten binnen het Access-Accept-pakket, hoewel het echte doel van deze is om MNT Node te vertellen dat Scannen moet worden geactiveerd. MNT instrueert de TC-NAC knooppunt om te communiceren met Qualys Cloud.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-16.png

Stap 5. Autorisatiebeleid configureren

  • Configureer het autorisatiebeleid om het nieuwe autorisatieprofiel te gebruiken dat in stap 4 is geconfigureerd. Navigeer naar Beleid > Autorisatie > Autorisatiebeleid, lokaliseer Basic_Authenticated_Access regel en klik op Bewerken. Verander de rechten van PermitAccess naar de nieuwe standaard VA_Scan. Dit veroorzaakt een Vulnerability Scan voor alle gebruikers. Klik op Opslaan.
  • Creëer een autorisatiebeleid voor in quarantaine geplaatste machines. Navigeer naar Beleid > Vergunning > Vergunningsbeleid > Uitzonderingen en maak een Uitzonderingsregel aan. Klik op Voorwaarden > Nieuwe voorwaarde maken (geavanceerde optie) > Kenmerk selecteren, naar beneden scrollen en Bedreiging selecteren. Breid het attribuut Threat uit en selecteer Qualys-CVSS_Base_Score. Verander de operator in Greater Than en voer een waarde in volgens uw beveiligingsbeleid. Het quarantainevergunningsprofiel moet beperkte toegang tot de kwetsbare machine verschaffen.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-17.png

Verifiëren

Identity Services Engine

De eerste verbinding activeert VA Scan. Wanneer de scan is voltooid, wordt CoA Reauthenticatie geactiveerd om nieuw beleid toe te passen als het wordt aangepast.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-18.png

Ga naar Context Visibility > Endpoints om te controleren welke kwetsbaarheden zijn gedetecteerd. Controleer per endpoints Kwetsbaarheid met de scores gegeven door Qualys.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-19.png

Wanneer u een bepaald eindpunt selecteert, wordt er meer informatie over elke kwetsbaarheid weergegeven, inclusief Titel en CVEID's.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-20.png

In Operations > TC-NAC Live Logs, kunt u zien Oude vs Nieuwe vergunningsbeleid toegepast en details op CVSS_Base_Score.

Opmerking: de autorisatievoorwaarden zijn gebaseerd op CVSS_Base_Score, die gelijk is aan de hoogste kwetsbaarheidsscore die gedetecteerd is op het eindpunt.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-21.png

Qualys Cloud

Wanneer de VA Scan wordt geactiveerd door TC-NAC Qualys wachtrijen de Scan, kan deze worden bekeken bij Scans > Scans

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-22.png

 Daarna overgaat het naar Running, wat betekent dat de Qualys cloud de Qualys Scanner heeft geïnstrueerd om daadwerkelijk scannen uit te voeren

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-23.png

 Terwijl de scanner de scan uitvoert, moet u 'Scanning...'-teken rechtsboven in de Qualys Guard-wacht zien

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-24.png

Nadat het scannen is voltooid, verandert de scan in Voltooide status. U kunt de resultaten bekijken op Scannen > Scannen, de gewenste scan selecteren en op Samenvatting bekijken of Resultaten bekijken klikken.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-25.png

In het rapport zelf kunt u Gedetailleerde resultaten zien, waar de gedetecteerde Kwetsbaarheid wordt getoond.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-26.png

Problemen oplossen

Debugs op ISE

Om debugs op ISE in te schakelen, navigeer naar Beheer > Systeem > Vastlegging > Debug Log Configuration, selecteer TC-NAC Node en wijzig de component Log Level via runtime en va-service om te DEBUG

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-27.png

Te controleren logbestanden - varuntime.log. U kunt deze rechtstreeks via ISE CLI volgen:

ISE21-3ek/admin# toont vastlegging toepassing varuntime.log staart

TC-NAC Docker kreeg instructies om Scannen uit te voeren voor een bepaald eindpunt.

2016-06-28 19:06:30,823 DEBUG [Thread-70][] va.runtime.admin.mnt.EndpointFileReader -::::- VA: Lees via runtime. [{"operationType":1,"macAddress":"C0:4A:00:14:8D:4B","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","leverancierinstantie":"796440b7-09b5-4f3b-b611-199fb1a4b99","psnHost2 Name":"ISEName" 1-3ek","heartBeatTime":0,"lastScanTime":0}]
2016-06-28 19:06:30,824 DEBUG [Thread-70][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: ontvangen gegevens van Mnt: {"operationType":1,"macAddress":"C0:4A:00:14:8D:4B","ondemandScanInterval":"48","Periodic":ScanEnkel onwaar,"periodicScanEnabledString":"0","leverancierinstantie":"796440b7-09b5-4f3b-b611-199fb81a4b99","psnHostName":"ISE21-3ek","heartBeatTime":0,"lastScanTime":0}


Zodra het resultaat is ontvangen, worden alle kwetsbaarheidsgegevens opgeslagen in de Context Directory.

2016-06-28 19:25:02,020 DEBUG [pool-311-thread-8][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- Got message from VaService: [{"macAddress":"C0:4A:00:14:8D:4B","ipAddress":"10.62.148.63","lastScanScan:1467134394000,"kwetsbaarheden":["{\"kwetsbaarheidID\":\"QID-90783\",\"cveIDS\":\"CVE-2012-0002,CVE-2012-0152,\",\"cvssBaseScore\":\"9.3\",\"cvssTemporalScore\":\"Microsoft Windows Remote Desktop Protocol Remote MS Vulnerability 12-020)\",\"kwetsbaarheidVerkoper\":\"Qualys\","{\"kwetsbaarheidID\":\"QID-38173\",\"cveIds\":\",\"cvssBaseScore\":\"9.4\",\"cvssTemporalScore\":\"6.9\",\"kwetsbaarheidTitle\":\"SSL-certificaat - verificatie van handtekening mislukte kwetsbaarheid\",\"kwetsbaarheidVendor\" "Qualys\"}","{\"kwetsbaarheidID\":\"QID-90882 90043\",\"cveIDS\":\"\",\"cvssBaseScore\":\"4.7\",\"cvssTemporalScore\":\"4\",\"kwetsbaarheidTitle\":\"Windows Remote Desktop Protocol Weak Encryption Method Allow\",\"kwetsbaarheidVendor\":\"Qualys\"}",\"kwetsbaarheidID\"\"QID\"\"cveBaseScore\":\"7.3\",\"cvssTemporalScore\":\"6.3\",\"kwetsbaarheidTitle\":\"SMB Signing Disabled or SMB Signing Not Required\",\"kwetsbaarheidVendor\":\"Qualys\"}","{\"kwetsbaarheidID\":\"QID-38601\",\"cveIds\":\"CVE-201 2566,CVE-2015-2808,\",\"cvssBaseScore\":\"4.3\",\"cvssTemporalScore\":\"3.7\",\"kwetsbaarheidTitle\":\"SSL/TLS gebruik van zwakke RC4 algoritme\",\"kwetsbaarheidVendor\":\"Qualys\"}"]
2016-06-28 19:25:02,127 DEBUG [pool-311-thread-8][] va.runtime.admin.vaservice.VaServiceMessageListener -::::- VA: Opslaan naar context db, laatste scantime: 1467134394000, mac: C0:4A:00:14:8D:4B
2016-06-28 19:25:02,268 DEBUG [pool-311-thread-8][] va.runtime.admin.vaservice.VaAdminServiceContext -::::- VA: het verzenden van elastische zoekmachine naar pri-lan
2016-06-28 19:25:02,272 DEBUG [pool-311-thread-8][] va.runtime.admin.vaservice.VaPanRemotingHandler -::::::- VA: Opgeslagen naar elastische zoekopdracht: {C0:4A:00:14:8D:4B=[{"kwetsbaarheidID":"QID-90783","cveIds":"CVE-2002-00 02,CVE-2012-0152,","cvssBaseScore":"9.3","cvssTemporalScore":"7.7","kwetsbaarheidTitle":"Microsoft Windows Remote Desktop Protocol Remote Code Execution Vulnerability (MS12-020)","kwetsbaarheidVerkoper":"Qualys"}, {"kwetsbaarheidId":"QID-38173","cveIds": "cvssBaseScore": 4","cvssTemporalScore":"6.9","kwetsbaarheidsTitle":"SSL-certificaat - Signature Verification Failnerability","kwetsbaarheidsVerkoper":"Qualys"}, {"kwetsbaarheidsID":"QID-90882","cveIds":","cvssBaseScore":"4.7","cvssTemporalScore":"4","kwetsbaarheidsTitle":"Windows Remote Desktop Protocol Weak Encryption Method Allied","kwetsbaarheidVendor": "", {"kwetsbaarheidsID":"QID-90043","cveIds":","cvssBaseScore":"7.3","cvssTemporalScore":"6.3", "kwetsbaarheidsTitle":"SMB Signing Disabled or SMB Signing Not Required","kwetsbaarheidsVerkoper":"Qualys"}, {"kwetsbaarheidsId":"QID-38601","cveIds":"CVE-2013-256 -2015-2808,","cvssBaseScore":"4.3","cvssTemporalScore":"3.7","kwetsbaarheidTitle":"SSL/TLS gebruik van zwakke RC4-algoritme","kwetsbaarheidVerkoper":"Qualys"}]

Logbestanden te controleren - vaservice.log. U kunt deze rechtstreeks via ISE CLI volgen:

ISE21-3ek/admin# toont vastlegging toepassing vaservice.log staart

Aanvraag voor kwetsbaarheidsbeoordeling ingediend bij adapter

2016-06-28 17:07:13,200 DEBUG [endpointPollerScheduler-3][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributen":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC" "VA-verzoek ingediend bij adapter", "TC-NAC.Details", "VA-verzoek ingediend bij adapter voor verwerking", "TC-NAC.MACAddress", "C0:4A:00:14:8D:4B", "TC-NAC.IPAddress", "10.62.148.63", "TC-NAC.AdapterInstanceUuid", "796440b7-09b5-4f3b-611-199fb91a4b 9","TC-NAC.VendorName","Qualys","TC-NAC.AdapterInstanceName","QUALYS_VA"]}

AdapterMessageListener controleert elke 5 minuten de status van de scan, tot het klaar is.

2016-06-28 17:09:43,459 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Bericht van adapter: {"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f30248ad0","VendorName": ys","OperationMessageText":"Aantal eindpunten in wachtrij voor het controleren van scanresultaten: 1, Aantal eindpunten in wachtrij voor scan: 0, Aantal eindpunten waarvoor de scan wordt uitgevoerd: 0"}
2016-06-28 17:14:43,760 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Bericht van adapter: {"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f30248ad0","VendorName": ys","OperationMessageText":"Aantal eindpunten in de wachtrij voor het controleren van scanresultaten: 0, aantal eindpunten in de wachtrij voor scan: 0, aantal eindpunten waarvoor de scan wordt uitgevoerd: 1"}
2016-06-28 17:19:43,837 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Bericht van adapter: {"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f30248ad0","VendorName": ys","OperationMessageText":"Aantal eindpunten in de wachtrij voor het controleren van scanresultaten: 0, aantal eindpunten in de wachtrij voor scan: 0, aantal eindpunten waarvoor de scan wordt uitgevoerd: 1"}
2016-06-28 17:24:43,867 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Bericht van adapter: {"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f30248ad0","VendorName": ys","OperationMessageText":"Aantal eindpunten in de wachtrij voor het controleren van scanresultaten: 0, aantal eindpunten in de wachtrij voor scan: 0, aantal eindpunten waarvoor de scan wordt uitgevoerd: 1"}

Adapter krijgt QID's, CVE's samen met de CVSS Scores

2016-06-28 17:24:57,556 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.seservice.processor.AdapterMessageListener -:::::- Bericht van adapter: {"requestMacAddress":"C0:4A:00:14:8D:4B","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1467134394000,"ipAddress":"10.62.12 8.63","kwetsbaarheden":["{"kwetsbaarheidID":"QID-38173","cveIds":","cvssBaseScore":"9.4","cvssTemporalScore":"6.9","kwetsbaarheidTitle":"SSL-certificaat - Signature Verification Failnerability","kwetsbaarheidVerkoper":"Qualys"},{"kwetsbaarheidID":"QID-90043","cveIds":"cvssBaseScore": 3","cvssTemporalScore":"6.3","kwetsbaarheidTitle":"SMB Signing Disabled or SMB Signing Not Required","kwetsbaarheidVerkoper":"Qualys"},{"kwetsbaarheidID":"QID-90783","cveIDS":"CVE-2012-0002,CVE-2012-0152","cvssBaseScore":"9.3","cvssTemporal Score":"7.7","kwetsbaarheidTitle":"Microsoft Windows Remote Desktop Protocol Remote Code Execution Vulnerability (MS12-020)","kwetsbaarheidVerkoper":"Qualys"},{"kwetsbaarheidID":"QID-38601","cveIDS":"CVE-2013-2566,CVE-2015-2808","cvssBaseScore":"4.3","cvssssTemporal Score":"3.7","kwetsbaarheidTitle":"SSL/TLS gebruik van zwakke RC4-algoritme","kwetsbaarheidVerkoper":"Qualys"},{"kwetsbaarheidID":"QID-90882","cveIds":","cvssBaseScore":"4.7","cvssTemporalScore":"4","kwetsbaarheidTitle":"Windows Remote Desktop Protocol Weak Encryption Method","kwetsbaarheidVerkoper":"Qualys"}
2016-06-28 17:25:01,282 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.seservice.processor.AdapterMessageListener -::::- Endpoint Details verzonden naar IRF is {"C0:4A:00:14:8D:4B":["kwetsbaarheid":{"CVSS_Base_Score":9.4,"CVSS_Temporal_Score":7.7},"time-stamp":1467134394000, titel": "Kwetsbaarheid", "leverancier": "Qualys"}
2016-06-28 17:25:01,853 DEBUG [endpointPollerScheduler-2][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributen":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC" "VA met succes voltooid","TC-NAC.Details","VA voltooid; aantal gevonden kwetsbaarheden: 5","TC-NAC.MACAddress","C0:4A:00:14:8D:4B","TC-NAC.IPAddress","10.62.148.63","TC-NAC.AdapterInstanceUuid","796440b7-09b5-4f3b-611-199fb91a4b 9","TC-NAC.VendorName","Qualys","TC-NAC.AdapterInstanceName","QUALYS_VA"]}

Typische problemen

Probleem 1. ISE krijgt kwetsbaarheidsrapport met CVSS_Base_Score van 0.0 en CVSS_Temporal_Score van 0.0, terwijl Qualys Cloud rapport gedetecteerde kwetsbaarheden bevat.

Probleem:

Tijdens het controleren van het rapport van Qualys Cloud kunt u gedetecteerde Kwetsbaarheid zien, maar op ISE ziet u deze niet.

Debugs gezien in vaservice.log:

2016-06-02 08:30:10,323 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.seservice.processor.AdapterMessageListener -::::- Endpoint Details verzonden naar IRF is {"C0:4A:00:15:75:C8":["kwetsbaarheid":{"CVSS_Base_Score":0.0,"CVSS_Temporal_Score":0.0","1464855905000-stamp": "title": "Vulnerability", "leverancier": "Qualys"}

Oplossing:

De reden voor cvss score is of dat het geen kwetsbaarheden heeft of cvss scoring werd niet ingeschakeld in Qualys Cloud voordat u de adapter configureert via UI. Knowledgebase met cvss scoring optie ingeschakeld wordt gedownload nadat de adapter voor het eerst is geconfigureerd. U moet ervoor zorgen dat CVSS Scoring is ingeschakeld voordat, adapter instantie is gemaakt op ISE. Dit kan worden gedaan onder Vulnerability Management > Rapporten > Setup > CVSS > CVSS-score inschakelen

Probleem 2. ISE krijgt geen resultaten uit de Qualys Cloud, hoewel correct autorisatiebeleid is geraakt.

Probleem:

Er is een aangepast autorisatiebeleid gemaakt, dat de activering van de VA Scan in gang moet zetten. Ondanks dat feit wordt er geen scan gemaakt.

Debugs gezien in vaservice.log:

2016-06-28 16:19:15,401 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Bericht van adapter: (Tekst:'[B@6da5e620(byte[311])'MessageProperties [headers={}, timestamp=null, messageId=null, userId=null, appId=null, appId=null, clusterId=null, type=nullTo contentType=application/octet-stream, contentEncoding=null, contentLength=0, deliveryMode=PERSISTENTE, expiration=null, ority=0, redelivery=false, ReceiveExchange=irf.topic.va-reports, ReceitedRoutingKey=, deliveryTag=9830, messageCount=0])
2016-06-28 16:19:15,401 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Bericht van adapter: {"requestMacAddress":"24:77:03:3D:CF:20", "scanStatus": "SCAN_ERROR", "scanStatusMessage": "Error triggering error: scanwhile trigering on-scan code" als volgt: 1904: geen van de gespecificeerde IP’s komt in aanmerking voor scannen op basis van kwetsbaarheidsbeheer.","lastScanTimeLong":0"ipAddress":"10.201.228.102"}
2016-06-28 16:19:15,771 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.seservice.processor.AdapterMessageListener -:::::- Adapterscanresultaat mislukt voor Macaddress:24:77:03:3D:CF:20, IP-adres(DB): 10.201.228.102, de instellingsstatus is mislukt
2016-06-28 16:19:16,336 DEBUG [endpointPollerScheduler-2][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91008 796440","isAutoInsertSelfAcsInstance":true,"attributen":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC" "VA-storing","TC-NAC.Details","Fout die een scan veroorzaakt: Fout terwijl het activeren van scancode en fout op aanvraag als volgt 1904: geen van de gespecificeerde IP's komt in aanmerking voor het scannen van Vulnerability Management.","TC-NAC.MACAddress","24:77:03:3D:CF:20","TC-NAC.IpAddress","10.201.228.102","TC-NAC.AdapterInstanceUUU", b7-09b5-4f3b-b611-199fb81a4b99","TC-NAC.VendorName","Qualys","TC-NAC.AdapterInstanceName","QUALYS_VA"])

Oplossing:

Qualys Cloud geeft aan dat het IP-adres van het eindpunt niet in aanmerking komt voor de Scanning. Zorg ervoor dat u het IP-adres van het eindpunt hebt toegevoegd aan Vulnerability Management > Assets > Host Assets > New > IP Tracked Hosts

Referenties

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
29-Jun-2016
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Eugene Korneychuk
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten