Configurar o NAC centrado em ameaças (TC-NAC) do ISE 2.1 com Qualys

Opções de download

  • PDF     (1.8 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.7 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:14 de novembro de 2016
ID do documento:200548

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como configurar o NAC centrado em ameaças com o Qualys no Identity Services Engine (ISE) 2.1. O recurso Threat Centric Network Access Control (TC-NAC) permite criar políticas de autorização com base nos atributos de ameaça e vulnerabilidade recebidos dos adaptadores de ameaça e vulnerabilidade.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento básico destes tópicos:

  • Cisco Identity Service Engine

  • Qualys ScanGuard

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Identity Service Engine versão 2.1
  • Controladora Wireless LAN (WLC) 8.0.121.0
  • Qualys Guard Scanner 8.3.36-1, Assinaturas 2.3.364-2
  • Service Pack 1 do Windows 7

Configurar

Diagrama de fluxo de alto nível

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-00.png

Este é o fluxo:

  1. O cliente se conecta à rede, o acesso limitado é fornecido e o perfil com a caixa de seleção Avaliar vulnerabilidades habilitada é atribuído
  2. O nó PSN envia a mensagem Syslog para o nó MNT confirmando que a autenticação ocorreu e que a verificação VA foi o resultado da política de autorização
  3. O nó MNT envia SCAN ao nó TC-NAC (usando Admin WebApp) usando estes dados:
    -Endereço MAC
    -IP Address
    - Intervalo de verificação
    - Varredura periódica ativada
    - PSN de origem
  4. O Qualys TC-NAC (encapsulado no Docker Container) se comunica com o Qualys Cloud (via REST API) para disparar a verificação, se necessário
  5. A Qualys Cloud instrui o Qualys Scanner a verificar o endpoint
  6. O Qualys Scanner envia os resultados da verificação para a nuvem da Qualys
  7. Os resultados da verificação são enviados de volta ao TC-NAC:
    -Endereço MAC
    - Todas as pontuações CVSS
    - Todas as vulnerabilidades (QID, título, CVEIDs)
  8. O TC-NAC atualiza o PAN com todos os dados da etapa 7.
  9. O CoA é acionado, se necessário, de acordo com a Política de autorização configurada.

Configurar a nuvem e o scanner Qualys

Cuidado: a configuração da Qualys neste documento é feita para fins de laboratório. Consulte os engenheiros da Qualys para obter considerações sobre o projeto

Etapa 1. Implantar verificador Qualys

O scanner Qualys pode ser implantado a partir do arquivo OVA. Faça login na nuvem da Qualys e navegue até Scans > Appliances e selecione New > Virtual Scanner Appliance

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-01.png

Selecione Download Image Only e selecione a distribuição apropriada

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-02.png

Para obter o código de ativação, vá para Scans > Appliances (Verificações > Dispositivos), selecione New (Novo) > Virtual Scanner Appliance (Dispositivo de scanner virtual) e selecione I Have My Image (Tenho minha imagem).

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-03.png

Após digitar o nome do scanner, você receberá um Código de autorização que será usado posteriormente.

Etapa 2. Configurar verificador Qualys

Implante o OVA na plataforma de virtualização de sua escolha. Depois de concluído, defina essas configurações:

  • Configurar a rede (LAN)
  • Configurações da interface WAN (se você estiver usando duas interfaces)
  • Configurações de proxy (se estiver usando proxy)
  • Personalizar este scanner

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-04.png

Depois disso, o scanner se conecta à Qualys e baixa o software e as assinaturas mais recentes.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-05.png

Para verificar se o scanner está conectado, você pode navegar para Varreduras > Dispositivos.

O sinal verde conectado à esquerda indica que o scanner está pronto. Você também pode ver LAN IP, WAN IP, version of Scanner and Signatures.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-06.png

Configurar o ISE

Embora você tenha configurado o Qualys Scanner e a nuvem, ainda é necessário ajustar as configurações de nuvem para garantir que a integração com o ISE funcione bem. Observe que isso deve ser feito antes de você configurar o adaptador por meio da GUI, pois a base de conhecimento que contém a pontuação CVSS é descarregada depois que o adaptador é configurado pela primeira vez.

Etapa 1. Ajuste as configurações de nuvem do Qualys para integração com o ISE

  • Habilitar pontuação CVSS no Gerenciamento de vulnerabilidades > Relatórios > Configuração > CVSS > Habilitar pontuação CVSS

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-07.png

  • Verifique se as credenciais do usuário usadas na configuração do adaptador têm privilégios de gerente. Selecione o usuário no canto superior esquerdo e clique em User Profile. Você deve ter direitos de Gerente na Função de Usuário.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-08.png

  • Certifique-se de que os endereços IP/sub-redes de endpoints que exigem a avaliação de vulnerabilidade sejam adicionados ao Qualys em Gerenciamento de vulnerabilidade > Ativos > Ativos de host > Novo > Hosts rastreados por IP

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-09.png

Etapa 2. Habilitar serviços TC-NAC

Ative os serviços TC-NAC em Administration > Deployment > Edit Node. Verificar caixa de seleção.

Observação: pode haver apenas um nó TC-NAC por implantação.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-10.png

Etapa 3. Configurar a conectividade do adaptador Qualys com a estrutura ISE VA

Navegue até Administração > NAC centrado em ameaças > Fornecedores terceiros > Adicionar. Clique em Save.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-11.png

Quando a instância do Qualys mudar para o estado Pronto para configurar, clique na opção Pronto para configurar em Status.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-12.png

O host da API REST deve ser o que você usa para a Qualys Cloud, onde sua conta está localizada. Neste exemplo - qualysguard.qg2.apps.qualys.com

A conta deve ser aquela com privilégios de gerente. Clique em Avançar.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-13.png

O ISE baixa informações sobre Scanners conectados à Qualys Cloud. Você pode configurar o PSN para o Mapeamento de Scanner nesta página. Ele garante que o scanner selecionado seja selecionado com base na PSN que autoriza o endpoint.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-14.png

As configurações avançadas estão bem documentadas no Guia de Administração do ISE 2.1. Um link pode ser encontrado na seção Referências deste documento. Clique em Next e Finish. Transições da instância do Qualys para o estado Ativo e o download da base de dados de conhecimento é iniciado.

Observação: pode haver apenas uma instância Qualys por implantação.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-15.png

Etapa 4. Configurar Perfil de Autorização para disparar Verificação VA

Navegue até Política > Elementos de política > Resultados > Autorização > Perfis de autorização. Adicionar novo perfil. Em Tarefas comuns, marque a caixa de seleção Avaliação de vulnerabilidade.
O intervalo de varredura por solicitação deve ser selecionado de acordo com o projeto da rede.

O perfil de autorização contém os pares av:

cisco-av-pair = intervalo de varredura por solicitação=48
cisco-av-pair = periodic-scan-enabled=0
cisco-av-pair = va-adapter-instance=796440b7-09b5-4f3b-b611-199fb81a4b99

Eles são enviados para dispositivos de rede dentro do pacote Access-Accept, embora a finalidade real deles seja dizer ao MNT Node que a Varredura deve ser disparada. O MNT instrui o nó TC-NAC a se comunicar com a Qualys Cloud.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-16.png

Etapa 5. Configurar Políticas de Autorização

  • Configure a Diretiva de autorização para usar o novo Perfil de autorização configurado na etapa 4. Navegue para Política > Autorização > Política de autorização, localize a regra Basic_Authenticated_Access e clique em Editar. Altere as Permissões de PermitAccess para o recém-criado Standard VA_Scan. Isso causa uma verificação de vulnerabilidade para todos os usuários. Clique em Save.
  • Criar política de autorização para máquinas em quarentena. Navegue até Política > Autorização > Política de autorização > Exceções e crie uma Regra de exceção. Clique em Condições > Criar Nova Condição (Opção Avançada) > Selecionar Atributo, role para baixo e selecione Ameaça. Expanda o atributo Threat e selecione Qualys-CVSS_Base_Score. Altere o operador para Maior que e insira um valor de acordo com sua Política de segurança. O perfil de autorização de quarentena deve conceder acesso limitado à máquina vulnerável.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-17.png

Verificar

Identity Services Engine

A primeira conexão aciona a Varredura VA. Quando a verificação é concluída, a reautenticação do CoA é acionada para aplicar a nova política se ela for correspondida.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-18.png

Para verificar quais vulnerabilidades foram detectadas, navegue para Visibilidade de contexto > Endpoints. Verifique as vulnerabilidades por endpoints com as pontuações atribuídas a ele pela Qualys.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-19.png

Ao selecionar um endpoint específico, mais detalhes sobre cada Vulnerabilidade aparecem, incluindo Título e CVEIDs.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-20.png

Em Operations > TC-NAC Live Logs, você pode ver as políticas de autorização Old vs New aplicadas e detalhes em CVSS_Base_Score.

Observação: as condições de autorização são feitas com base em CVSS_Base_Score, que é igual à Pontuação de Vulnerabilidade mais alta detectada no endpoint.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-21.png

Nuvem da Qualys

Quando a Varredura VA é acionada pelo TC-NAC Qualys enfileira a Varredura, ela pode ser exibida em Varreduras > Varreduras

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-22.png

 Depois disso, ele muda para Running, o que significa que a nuvem da Qualys instruiu o Qualys Scanner a executar uma varredura real

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-23.png

 Enquanto o scanner executa a digitalização, você deve ver o sinal "Digitalizando..." no canto superior direito da Qualys Guard

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-24.png

Quando a varredura estiver concluída, ela passará para o estado Concluído. Você pode exibir os resultados em Varreduras > Varreduras, selecionar a varredura necessária e clicar em Exibir resumo ou Exibir resultados.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-25.png

No próprio Relatório você pode ver Resultados Detalhados, onde as Vulnerabilidades detectadas são mostradas.

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-26.png

Troubleshooting

Depurações no ISE

Para habilitar depurações no ISE, navegue para Administration > System > Logging > Debug Log Configuration, selecione TC-NAC Node e altere o componente Log Level va-runtime e va-service para DEBUG

200548-Configure-ISE-2-1-Threat-Centric-NAC-TC-27.png

Logs a serem verificados - varuntime.log. Você pode acompanhá-lo diretamente do ISE CLI:

ISE21-3ek/admin# show logging application varuntime.log tail

O TC-NAC Docker recebeu uma instrução para executar a verificação de um endpoint específico.

28-06-2016 19:06:30,823 DEBUG [Thread-70][] va.runtime.admin.mnt.EndpointFileReader -:::- VA: Leia via runtime. [{"operationType":1,"macAddress":"C0:4A:00:14:8D:4B","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"796440b7-09b5-4f3b-611-199fb81a4b99","psn HostName":"ISE21-3ek","heartBeatTime":0,"lastScanTime":0}]
2016-06-28 19:06:30,824 DEBUG [Thread-70][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::- VA: dados recebidos de Mnt: {"operationType":1,"macAddress":"C0:4A:00:14:8D:4B","ondemandScanInterval":"48","isPeriodic ScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"796440b7-09b5-4f3b-b611-199fb81a4b99","psnHostName":"ISE21-3ek","heartBeatTime":0,"lastScanTime":0}


Quando o resultado é recebido, ele armazena todos os dados de vulnerabilidade no Diretório de contexto.

2016-06-28 19:25:02,020 DEBUG [pool-311-thread-8][] va.runtime.admin.vaservice.VaServiceMessageListener -:::- Recebeu mensagem do VaService: [{"macAddress":"C0:4A:00:14:8D:4B","ipAddress":"10.62.148.63" ,"lastScanTime":1467134394000,"vulnerabilidades":["{\"vulnerabilityId\":\"QID-90783\",\"cveIds\":\"CVE-2012-0002,CVE-2012-0152,\",\"cvssBaseScore\":\"9.3\",\"cvssTemporalScore\":\"7.7\",\"vulnerabilityScore\"\":\"Vulnerabilidade de execução de código remoto do protocolo de desktop remoto do Microsoft Windows (MS12-020)\",\"vulnerabilityVendor\":\"Qualys\"}","{\"vulnerabilityId\":\"QID-38173\",\"cveIds\":\"\",\"cvssBaseScore\":\"9.4\",\"cvssTemporalScore\":\"6.9\",\"vulnerabilityTitle\"\"Certificado SSL - Vulnerabilidade de falha na verificação de assinatura\",\"vulnerabilityVendor\":\"Qualys\"}","{\"vulnerabilityId\":\"QID-90882\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.7\",\"cvssTemporalScore\":\"4\",\"vulnerabilityTitle\":\"Método de criptografia fraca do protocolo de área de trabalho remota do Windows\" ,\"vulnerabilityVendor\":\"Qualys\"}","{\"vulnerabilityId\":\"QID-90043\",\"cveIds\":\"\",\"cvssBaseScore\":\"7.3\",\"cvssTemporalScore\":\"6.3\",\"vulnerabilityTitle\":\"SMB Signing Disabled ou SMB Signing Not Required\",\"vulnerabilityVendor\":\"vulnerabilityVendor\":\" ys\"}","{\"vulnerabilityId\":\"QID-38601\",\"cveIds\":\"CVE-2013-2566,CVE-2015-2808,\",\"cvssBaseScore\":\"4.3\",\"cvssTemporalScore\":\"3.7\",\"vulnerabilityTitle\":\"Uso de SSL/TLS codificação RC4 fraca\",\"vulnerabilityVendor\":\"Qualys\"}"]}]
2016-06-28 19:25:02,127 DEBUG [pool-311-thread-8][] va.runtime.admin.vaservice.VaServiceMessageListener -::::- VA: Salvar no contexto db, lastscantime: 1467134394000, mac: C0:4A:00:14:8D:4B
2016-06-28 19:25:02,268 DEBUG [pool-311-thread-8][] va.runtime.admin.vaservice.VaAdminServiceContext -::::- VA: enviando json de pesquisa elástica para pri-lan
2016-06-28 19:25:02,272 DEBUG [pool-311-thread-8][] va.runtime.admin.vaservice.VaPanRemotingHandler -:::- VA: Salvo em pesquisa elástica: {C0:4A:00:14:8D:4B=[{"vulnerabilityId":"QID-90783","cveIds":"CVE-20 12-0002,CVE-2012-0152,","cvssBaseScore":"9.3","cvssTemporalScore":"7.7","vulnerabilityTitle":"Vulnerabilidade de execução de código remoto do protocolo de área de trabalho remota do Microsoft Windows (MS12-020)","vulnerabilityVendor":"Qualys"}, {"vulnerabilityId":"QID-38173","cveIds ":"","cvssBaseScore":"9.4","cvssTemporalScore":"6.9","vulnerabilityTitle":"Certificado SSL - Falha na verificação de assinatura Vulnerabilidade","vulnerabilityVendor":"Qualys"}, {"vulnerabilityId":"QID-90882","cveIds":"","cvssBaseScore":"4.7","cvssTemporalScore":"4","vulnerabilityScore" Título":"Método de Criptografia Fraca do Protocolo de Área de Trabalho Remota do Windows Permitido","vulnerabilityVendor":"Qualys"}, {"vulnerabilityId":"QID-90043","cveIds":"","cvssBaseScore":"7.3","cvssTemporalScore":"6.3","vulnerabilityTitle":"Assinatura SMB Desabilitada ou Assinatura SMB Não Necessária","vulnerabilityVendor":"Qualys"}, {"vulnerabilityId d":"QID-38601","cveIds":"CVE-2013-2566,CVE-2015-2808,","cvssBaseScore":"4.3","cvssTemporalScore":"3.7","vulnerabilityTitle":"Uso de SSL/TLS de codificação RC4 fraca","vulnerabilityVendor":"Qualys"}]}

Registros a verificar - vaservice.log. Você pode acompanhá-lo diretamente do ISE CLI:

ISE21-3ek/admin# show logging application vaservice.log tail

Solicitação de avaliação de vulnerabilidade enviada ao adaptador

28-06-2016 17:07:13,200 DEBUG [endpointPollerScheduler-3][] cpm.va.service.util.VaServiceUtil -::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Serviço de Avaliação de Vulnerabilidade","TC -NAC.Status","Solicitação VA enviada ao adaptador","TC-NAC.Details","Solicitação VA enviada ao adaptador para processamento","TC-NAC.MACAddress","C0:4A:00:14:8D:4B","TC-NAC.IpAddress","10.62.148.63","TC-NAC.AdapterInstanceUuid","796440b7-09b5-4f3b-1611 -199fb81a4b99","TC-NAC.VendorName","Qualys","TC-NAC.AdapterInstanceName","QUALYS_VA"]}]

AdapterMessageListener verifica a cada 5 minutos o status da verificação, até que ela seja concluída.

28-06-2016 17:09:43,459 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Mensagem do adaptador : {"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f30248ad0", VendorName":"Qualys","OperationMessageText":"Número de pontos de extremidade enfileirados para verificação dos resultados da verificação: 1, Número de pontos de extremidade enfileirados para verificação: 0, Número de pontos de extremidade para os quais a verificação está em andamento: 0"}
28-06-2016 17:14:43,760 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Mensagem do adaptador : {"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f30248ad0", VendorName":"Qualys","OperationMessageText":"Número de pontos de extremidade enfileirados para verificação dos resultados da verificação: 0, Número de pontos de extremidade enfileirados para verificação: 0, Número de pontos de extremidade para os quais a verificação está em andamento: 1"}
28-06-2016 17:19:43,837 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Mensagem do adaptador : {"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f30248ad0", VendorName":"Qualys","OperationMessageText":"Número de pontos de extremidade enfileirados para verificação dos resultados da verificação: 0, Número de pontos de extremidade enfileirados para verificação: 0, Número de pontos de extremidade para os quais a verificação está em andamento: 1"}
28-06-2016 17:24:43,867 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Mensagem do adaptador : {"AdapterInstanceName":"QUALYS_VA","AdapterInstanceUid":"a70031d6-6e3b-484a-adb0-627f30248ad0", VendorName":"Qualys","OperationMessageText":"Número de pontos de extremidade enfileirados para verificação dos resultados da verificação: 0, Número de pontos de extremidade enfileirados para verificação: 0, Número de pontos de extremidade para os quais a verificação está em andamento: 1"}

O adaptador recebe QIDs, CVEs e as pontuações CVSS

28-06-2016 17:24:57,556 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Mensagem do adaptador : {"requestedMacAddress":"C0:4A:00:14:8D:4B","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1467134394000,"ipAddress" ":"10.62.148.63","vulnerabilidades":[{"vulnerabilityId":"QID-38173","cveIds":"","cvssBaseScore":"9.4","cvssTemporalScore":"6.9","vulnerabilityTitle":"Certificado SSL - Falha na verificação de assinatura Vulnerabilidade","vulnerabilityVendor":"Qualys"},{"vulnerabilityId":"QID-90043 ","cveIds":"","cvssBaseScore":"7.3","cvssTemporalScore":"6.3","vulnerabilityTitle":"Assinatura SMB Desabilitada ou Assinatura SMB Não Necessária","vulnerabilityVendor":"Qualys"},{"vulnerabilityId":"QID-90783","cveIds":"CVE-2012-0002,CVE-2012 "-0152,","cvssBaseScore":"9.3","cvssTemporalScore":"7.7","vulnerabilityTitle":"Vulnerabilidade de execução de código remoto do protocolo de área de trabalho remota do Microsoft Windows (MS12-020)","vulnerabilityVendor":"Qualys"},{"vulnerabilityId":"QID-38601","cveIds":"CVE-2013-2566,2 VE-2015-2808,","cvssBaseScore":"4.3","cvssTemporalScore":"3.7","vulnerabilityTitle":"Uso de SSL/TLS de cifra RC4 fraca","vulnerabilityVendor":"Qualys"},{"vulnerabilityId":"QID-90882","cveIds":"","cvssBaseScore":"4.7","cvssScore alScore":"4","vulnerabilityTitle":"Método de Criptografia Fraca do Protocolo de Área de Trabalho Remota do Windows Permitido","vulnerabilityVendor":"Qualys"}]}
2016-06-28 17:25:01,282 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Os detalhes de endpoint enviados para IRF são {"C0:4A:00:14:8D:4B":[{"vulnerabilidade":{"CVSS_Base_Score":9.4,"CVSS_Temporal_Score":7.7},"datador":1467134394000,"título":"Vulnerabilidade","fornecedor":"Qualys"}]}
28-06-2016 17:25:01,853 DEBUG [endpointPollerScheduler-2][] cpm.va.service.util.VaServiceUtil -::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Serviço de Avaliação de Vulnerabilidade","TC -NAC.Status","VA concluída com êxito","TC-NAC.Details","VA concluída; número de vulnerabilidades encontradas: 5","TC-NAC.MACAddress","C0:4A:00:14:8D:4B","TC-NAC.IpAddress","10.62.148.63","TC-NAC.AdapterInstanceUuid","796440b7-09b5-4f3b-b61 1-199fb81a4b99","TC-NAC.VendorName","Qualys","TC-NAC.AdapterInstanceName","QUALYS_VA"]}]

Problemas típicos

Problema 1. O ISE obtém o relatório de vulnerabilidade com CVSS_Base_Score de 0.0 e CVSS_Temporal_Score de 0.0, enquanto o relatório Qualys Cloud contém vulnerabilidades detectadas.

Problema:

Ao verificar o relatório da Qualys Cloud, você pode ver as vulnerabilidades detectadas, mas no ISE você não as vê.

Depurações vistas em vaservice.log:

2016-06-02 08:30:10,323 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Os detalhes de endpoint enviados para IRF são {"C0:4A:00:15:75:C8":[{"vulnerability":{"CVSS_Base_Score":0.0,"CVSS_Temporal_Score":0.0 {0},"carimbo de data/hora":1464855905000,"título":"Vulnerabilidade","fornecedor":"Qualys"}]}

Solução:

O motivo para a pontuação cvss ser zero é que ela não tem vulnerabilidades ou a pontuação cvss não foi habilitada na nuvem da Qualys antes de você configurar o adaptador por meio da interface do usuário. A base de conhecimento que contém o recurso de pontuação cvss habilitado é descarregada após o adaptador ser configurado pela primeira vez. Você deve garantir que a Pontuação CVSS foi habilitada antes que a instância do adaptador fosse criada no ISE. Isso pode ser feito em Vulnerability Management > Reports > Setup > CVSS > Enable CVSS Scoring

Problema 2. O ISE não obtém resultados da nuvem da Qualys, mesmo que a política de autorização correta tenha sido atingida.

Problema:

A Política de Autorização Corrigida foi correspondida, o que deve disparar a Verificação VA. Apesar desse fato, nenhuma varredura é feita.

Depurações vistas em vaservice.log:

2016-06-28 16:19:15,401 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Mensagem do adaptador : (Corpo:'[B@6da5e620(byte[311])'MessageProperties [headers={}, timestamp=null, messageId=null, userId=null, appId=null, clusterId=null, clusterId=null nulo, tipo=nulo, correlationId=nulo, replyTo=nulo, contentType=application/octet-stream, contentEncoding=nulo, contentLength=0, deliveryMode=PERSISTENT, expiration=nulo, priority=0, redelivery=falso, receivedExchange=irf.topic.va-reports, receivedRoutingKey=, deliveryTag=9830, messageCount=0])
2016-06-28 16:19:15,401 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -::::- Mensagem do adaptador : {"requestedMacAddress":"24:77:03:3D:CF:20","scanStatus":"SCAN_ERROR","scanStatusMessage":"Erro disparando verificação: 1904: nenhum dos IPs especificados está qualificado para verificação do Vulnerability Management.","lastScanTimeLong":0,"ipAddress":"10.201.228.102"}
2016-06-28 16:19:15,771 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Falha no resultado da verificação do adaptador para Macaddress:24:77:03:3D:CF:20, Endereço IP (DB): 10.201.228.102, definindo o status como falha
28-06-2016 16:19:16,336 DEBUG [endpointPollerScheduler-2][] cpm.va.service.util.VaServiceUtil -::::- VA SendSyslog systemMsg : [{"systemMsg":"91008","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Serviço de Avaliação de Vulnerabilidade","TC -NAC.Status","Falha de VA","TC-NAC.Details","Verificação de disparo de erro: erro ao disparar o código de verificação por solicitação e o erro da seguinte forma 1904: nenhum dos IPs especificados está qualificado para verificação do Gerenciamento de vulnerabilidades.","TC-NAC.MACAddress","24:77:03:3D:CF:20","TC-NAC.IpAddress","10.201.228.102" ,"TC-NAC.AdapterInstanceUuid","796440b7-09b5-4f3b-b611-199fb81a4b99","TC-NAC.VendorName","Qualys","TC-NAC.AdapterInstanceName","QUALYS_VA"]}]

Solução:

O Qualys Cloud indica que o endereço IP do endpoint não está qualificado para a verificação. Verifique se você adicionou o endereço IP do endpoint ao Gerenciamento de vulnerabilidades > Ativos > Ativos do host > Novo > Hosts com rastreamento de IP

Referências

Histórico de revisões

Revisão Data de publicação Comentários
1.0
29-Jun-2016
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Eugene Korneychuk
    Engenheiro do Cisco TAC

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos