以威胁防护为中心的 NAC 服务
凭借以威胁防护为中心的网络访问控制 (TC-NAC) 功能,您可依据接收自威胁和漏洞适配器的威胁和漏洞属性创建授权策略。
威胁严重级别和漏洞评估结果可用于动态控制终端或用户的访问级别。
您可以配置漏洞和威胁适配器来向思科 ISE 发送高保真危害表现 (IoC)、检测到威胁事件和 CVSS 分数,以便创建以威胁防护为中心的访问策略来相应地更改终端的授权和情景。
思科 ISE 支持以下适配器:
-
SourceFire FireAMP
-
Qualys
注
TC-NAC 流目前仅支持 Qualys 企业版。
当检测到终端威胁事件时,可以在受到危害的终端 (Compromised Endpoints) 窗口选择该终端的 MAC 地址并应用一个 ANC 策略,例如隔离。思科 ISE 对该终端触发 CoA 并应用相应的 ANC 策略。如果 ANC 策略不可用,则思科 ISE 对该终端触发 CoA 并应用原始的授权策略。可以使用受到危害的终端 (Compromised Endpoints) 窗口上的清除威胁和漏洞 (Clear Threat and Vulnerabilities) 选项来(从思科 ISE 系统数据库)清除与某终端关联的威胁和漏洞。
以下属性列在威胁 (Threat) 字典下:
-
Qualys-CVSS_Base_Score
-
Qualys-CVSS_Temporal_Score
基础评分 (Base Score) 和临时分数 (Temporal Score) 属性的有效范围均为 0 至 10。
当收到某个终端的漏洞事件时,思科 ISE 对该终端触发 CoA。但是,在收到威胁事件时不会触发 CoA。
您可以通过使用漏洞属性来创建授权策略,从而基于属性值自动隔离易受攻击的终端。例如:
Any Identity Group & Threat:Qualys-CVSS_Base_Score > 7.0 -> Quarantine
要查看在 CoA 事件期间自动隔离的终端的日志,请选择
。要查看手动隔离的终端的日志,请选择 。启用以威胁防护为中心的 NAC 服务时,请注意以下几点:
-
以威胁防护为中心的 NAC 服务需要思科 ISE Apex 许可证。
-
在一个部署中,只能在一个节点上启用以威胁防护为中心的 NAC 服务。
-
对于漏洞评估服务,每个供应商只能添加一个适配器实例。但是,您可以添加多个 FireAMP 适配器实例。
您可以在以下页面上查看终端的威胁信息:
-
主页 (Home page) > 威胁控制面板 (Threat dashboard)
-
情景可视性 (Context Visibility) > 终端 (Endpoints) > 受到危害的终端 (Compromised Endpoints)
以下警报由以威胁防护为中心的 NAC 服务触发:
-
无法访问适配器(系统日志 ID:91002):表示适配器无法访问。
-
适配器连接失败(系统日志 ID:91018):表示适配器可访问,但是适配器和源服务器之间的连接已中断。
-
适配器因出错而停止工作(系统日志 ID:91006):如果适配器未处于所需状态,则触发此警报。如果显示此警报,请检查适配器配置和服务器连接。有关详细信息,请参阅适配器日志。
-
适配器错误(系统日志 ID:91009):表示 Qualys 适配器无法与 Qualys 站点建立连接或通过其下载信息。
以下报告可用于以威胁防护为中心的 NAC 服务:
-
适配器状态 (Adapter Status):适配器状态报告显示威胁和漏洞适配器的状态。
-
COA 事件 (COA Events):当收到某个终端的漏洞事件时,思科 ISE 对该终端触发 CoA。CoA 事件报告显示这些 CoA 事件的状态。同时显示这些终端的新旧授权规则和配置文件详细信息。
-
漏洞评估 (Vulnerability Assessment):漏洞评估报告提供您的终端正在进行的评估的信息。您可以查看此报告以确认评估是否以配置策略为基础正在进行。
-
收到事件的总数
-
威胁事件的总数
-
漏洞事件的总数
-
发出(到 PSN)的 CoA 的总数
威胁 (Threat) 控制面板包含以下 Dashlet:
-
受到危害的终端总数 (Total Compromised Endpoints) Dashlet 显示当前网络中受影响的终端总数(包括连接和断开连接的终端)。
-
特定时段受危害的终端 (Compromised Endpoints Over Time) Dashlet 显示特定时间段内对终端影响的历史视图。
-
首要威胁 (Top Threats) Dashlet 显示基于受影响的终端数量和威胁的严重程度的首要威胁。
-
可以使用威胁关注列表 (Threats Watchlist) Dashlet 分析所选事件的趋势。
首要威胁 (Top Threats) Dashlet 中的气泡大小表示受影响终端的数量,而浅色面积表示断开连接终端的数量。颜色和垂直刻度表示威胁的严重程度。威胁分为两类 - 指标和事故。指标的严重程度属性是“Likely_Impact”,而事故的严重程度属性是“Impact_Qualification”。
“受到危害的终端” (Compromised Endpoint) 窗口会显示受影响终端的矩阵视图以及各个威胁类别的影响严重性。您可以点击设备链接以查看某终端的详细威胁信息。
在主页 (Home) 上的漏洞 (Vulnerability) 控制面板包含以下 Dashlet:
-
易受攻击的终端总数 (Total Vulnerable Endpoints) Dashlet 显示 CVSS 分数大于指定值的终端总数。此外,还显示 CVSS 分数大于指定值的连接和断开连接的终端总数。
-
首要漏洞 (Top Vulnerability) Dashlet 显示基于受影响的终端数量或漏洞的严重程度的首要漏洞。首要漏洞 (Top Vulnerability) Dashlet 中的气泡大小表示受影响终端的数量,而浅色面积表示断开连接终端的数量。颜色和垂直刻度表示漏洞的严重程度。
-
可以使用漏洞关注列表 (Vulnerability Watchlist) Dashlet 分析一段时间内所选漏洞的趋势。点击 Dashlet 中的搜索图标并输入供应商特定 ID(Qualys ID 号码为“qid”)以选择和查看该特定 ID 号码的趋势。
-
特定时段易受攻击终端 (Vulnerable Endpoints Over Time) Dashlet 显示一段时间内对终端的影响的历史视图。
易受攻击的终端 (Vulnerable Endpoints) 窗口上的“按 CVSS 排序的终端数”(Endpoint Count By CVSS) 图表显示受影响终端的数量及其 CVSS 分数。在易受攻击的终端 (Vulnerable Endpoints) 窗口,还可以查看受影响的终端列表。可以点击设备链接以查看各个终端的详细漏洞信息。
支持捆绑包中包含以威胁防护为中心的 NAC 服务日志。以威胁防护为中心的 NAC 服务日志位于 support/logs/TC-NAC/
启用威胁中心 NAC 服务
要配置漏洞和威胁适配器,您必须首先启用威胁中心 NAC 服务。此服务只可在您部署中的一个策略服务节点上启用。
过程
步骤 1 |
|
步骤 2 |
选中要启用威胁中心 NAC 服务的 PSN 旁边的复选框,然后点击编辑 (Edit)。 |
步骤 3 |
选中启用威胁中心 NAC 服务 (Enable Threat Centric NAC Service) 复选框。 |
步骤 4 |
点击保存 (Save)。 |
添加 Sourcefire FireAMP 适配器
开始之前
-
您必须有一个配有 SourceFire FireAMP 的账户。
-
您需要在所有终端部署 FireAMP 客户端。
-
您需要在部署节点上启用以威胁防护为中心的 NAC 服务(请参阅启用威胁中心 NAC 服务)。
-
FireAMP 适配器使用 SSL 进行 REST API 调用(对于 AMP 云),并使用 AMQP 接收事件。它还支持使用代理。FireAMP 适配器使用端口 443 进行通信。
过程
步骤 1 |
|
步骤 2 |
点击添加 (Add)。 |
步骤 3 |
从提供商 (Vendor)下拉列表中选择 AMP:威胁防护 (AMP : Threat)。 |
步骤 4 |
输入适配器实例的名称。 |
步骤 5 |
点击保存 (Save)。 |
步骤 6 |
刷新“供应商实例列表”(Vendor Instances listing) 窗口。在“供应商实例列表”(Vendor Instances listing) 窗口中,仅在适配器状态变为配置就绪 (Ready to Configure) 之后,您才可配置适配器。 |
步骤 7 |
点击准备配置 (Ready to Configure) 链接。 |
步骤 8 |
(可选)如果您配置了 SOCKS 代理服务器用于路由所有流量,请输入主机名和该代理服务器的端口号。 |
步骤 9 |
选择您想要连接的云。您可以选择 US 云或 EU 云。 |
步骤 10 |
点击 FireAMP 链路并以管理员的身份登录 FireAMP。点击应用 (Applications) 窗格中的允许 (Allow),以授权流事件导出请求。 |
步骤 11 |
选择您要监控的事件(例如,可疑下载、连接到可疑域、已执行恶意软件、Java 威胁)。 适配器实例配置摘要将在配置摘要 (Configuration Summary) 页面中显示。 |
思科 ISE 中的漏洞评估支持
来自生态系统合作伙伴的结果被转换为结构化威胁信息表达式 (STIX)表示,然后基于该值根据需要触发授权更改 (CoA),并授予终端相应的访问权限级别。
评估终端漏洞所需的时间取决于多种因素,因此无法实时执行 VA。影响评估终端漏洞所需时间的因素包括:
-
漏洞评估生态系统
-
扫描的漏洞类型
-
启用的扫描类型
-
生态系统为扫描设备分配的网络和系统资源
在此版本的思科 ISE 中,仅对采用 IPv4 地址的终端进行漏洞评估。
支持的漏洞评估生态系统合作伙伴
思科 ISE 支持 Qualys,Qualys 是一种基于云的评估系统,其在网络中部署有扫描设备。
思科 ISE 允许您配置与 Qualys 通信并获取 VA 结果的适配器。您可以从管理门户配置适配器。您需要具有超级管理员权限的思科 ISE 管理员帐户来配置适配器。
Qualys 适配器使用 REST API 与 Qualys 云服务进行通信。您需要 Qualys 中具有管理器权限的用户帐户来访问 REST API。思科 ISE 使用以下 Qualys REST API:
-
托管检测列表 API - 检查终端的最后一次扫描结果
-
扫描 API - 触发终端的按需扫描
Qualys 对已订阅用户可进行的 API 调用数量实施限制。默认速率限制数为每 24 小时 300 次。
思科 ISE 使用 Qualys API 版本 2.0 连接到 Qualys。请参阅 Qualys API V2 用户指南,以了解这些 API 功能的详细信息。
Qualys 漏洞评估流程
-
终端发送请求到 NAD
-
NAD 向思科 ISE 发送身份验证请求。
-
终端会得到身份验证,并获得网络访问权限。
-
在思科 ISE 上运行的 VA 服务发送请求到 Qualys,以扫描终端。基于思科 ISE 中的 Qualys 适配器实例配置,Qualys 执行以下操作之一:
-
扫描终端。
-
根据终端 IP 地址从数据库获取最后一次扫描的结果。或者,您可以在使用最后一次扫描结果时,使用终端的 MAC 地址。
-
-
Qualys 将 CVSS 得分返回到思科 ISE。
-
根据 Qualys 返回的 CVSS 得分和您在思科 ISE 中配置的策略,TC-NAC 核心引擎容器(在思科 ISE 上运行的进程)可以发出授权变更 (CoA) 以授予对终端的完全、有限或或无访问权限。
启用并配置漏洞评估服务
要启用和配置思科 ISE 的漏洞评估服务,请执行以下任务:
开始之前
请在启用以威胁防护为中心的 NAC 服务时注意以下问题︰
-
在一个部署中,只能在一个节点上启用以威胁防护为中心的 NAC 服务
-
您只能每供应商添加一个适配器实例
过程
步骤 1 |
|
步骤 2 |
|
步骤 3 |
|
步骤 4 |
启用威胁中心 NAC 服务
要配置漏洞和威胁适配器,您必须首先启用威胁中心 NAC 服务。此服务只可在您部署中的一个策略服务节点上启用。
过程
步骤 1 |
|
步骤 2 |
选中要启用威胁中心 NAC 服务的 PSN 旁边的复选框,然后点击编辑 (Edit)。 |
步骤 3 |
选中启用威胁中心 NAC 服务 (Enable Threat Centric NAC Service) 复选框。 |
步骤 4 |
点击保存 (Save)。 |
配置 Qualys 适配器
思科 ISE 支持 Qualys 漏洞评估生态系统。您必须创建一个 Qualys 适配器供思科 ISE 与 Qualys 通信和获取 VA 结果。此思科 ISE 版本仅支持每个供应商一个适配器。
开始之前
-
您必须拥有以下用户帐户:
-
带可配置供应商适配器的超级管理员权限的思科 ISE 的管理员用户帐户。
-
带管理器权限的 Qualys 用户帐户
-
-
确保您拥有适当的 Qualys 许可证订用。您需要 Qualys 报告中心、知识库 (KBX) 和 API 的访问权限。有关详细信息,请联系您的 Qualys 客户经理。
-
将 Qualys 服务器证书导入思科 ISE 的受信任证书库(管理 (Administration) > 证书 (Certificates) > 证书管理 (Certificate Management) > 受信任证书 (Trusted Certificates) > 导入 (Import))。确保适当的根证书和中间证书导入(或存在于)思科 ISE 受信任证书库中。
-
请参阅《Qualys API 指南》以了解以下配置:
-
确保已启用 Qualys CVSS 评分(报告 (Reports) > 设置 (Setup) > CVSS 评分 (CVSS Scoring) > 启用 CVSS 评分 (Enable CVSS Scoring))。
-
确保添加了 IP 地址和 Qualys 终端子网掩码(资产 (Assets) > 主机资产 (Host Assets))。
-
确保拥有 Qualys 选项配置文件的名称。选项配置文件是 Qualys 用于扫描的扫描器模板。我们建议您使用包括身份验证扫描的选项配置文件(此选项也检查终端的 MAC 地址)。
-
-
思科 ISE 通过 HTTPS/SSL (端口443)与 Qualys 通信。
过程
步骤 1 |
|||||||||||||||||||||||||||||
步骤 2 |
点击添加 (Add)。 |
||||||||||||||||||||||||||||
步骤 3 |
从供应商 (Vendor) 下拉列表中选择Qualys:VA。 |
||||||||||||||||||||||||||||
步骤 4 |
输入适配器实例的名称。例如,Qualys_Instance。 系统会显示一个列表窗口,其中包含配置的适配器实例列表。 |
||||||||||||||||||||||||||||
步骤 5 |
刷新“供应商实例列表”(Vendor Instances listing) 窗口。新添加的 Qualys_Instance 适配器的状态应更改为准备配置 (Ready to Configure)。 |
||||||||||||||||||||||||||||
步骤 6 |
点击准备配置 (Ready to Configure) 链接。 |
||||||||||||||||||||||||||||
步骤 7 |
在 Qualys 配置屏幕输入以下值并点击下一步 (Next)。
如果与 Qualys 服务器建立了连接,将显示“扫描仪映射”(Scanner Mappings) 窗口,其中包含 Qualys 扫描仪列表。您网络中的 Qualys 扫描仪将显示在此窗口中。 |
||||||||||||||||||||||||||||
步骤 8 |
选择思科 ISE 用于按需扫描的默认扫描仪。 |
||||||||||||||||||||||||||||
步骤 9 |
在 PSN 到扫描仪映射 (PSN to Scanner Mapping) 区域中,选择一个或多个到 PSN 节点的 Qualys 扫描仪设备,然后点击下一步 (Next)。 系统将显示高级设置 (Advanced Settings) 窗口。 |
||||||||||||||||||||||||||||
步骤 10 |
在高级设置 (Advanced Settings) 窗口中输入以下值。此窗口中的设置确定按需扫描是否会触发或最后扫描结果将用于 VA。
|
||||||||||||||||||||||||||||
步骤 11 |
点击下一步 (Next) 以审核配置设置。 |
||||||||||||||||||||||||||||
步骤 12 |
点击完成。 Qualys 适配器实例的状态更改为“活动”。有关如何在授权配置文件中启用 VA 服务的信息,请参阅配置授权配置文件。 |
配置授权配置文件
思科 ISE 中的授权配置文件现在包括扫描漏洞终端的选项。您可以选择定期运行扫描,并指定这些扫描的时间间隔。定义授权配置文件后,可以将其应用于现有授权策略规则,或创建新的授权策略规则。
开始之前
您必须已启用以威胁防护为中心的 NAC 服务,并且已配置供应商适配器。
过程
步骤 1 |
|
步骤 2 |
创建新授权配置文件或编辑现有配置文件。 |
步骤 3 |
从常见任务 (Common Tasks) 区域中,选中评估漏洞 (Assess Vulnerabilities) 复选框。 |
步骤 4 |
从适配器实例 (Adapter Instance) 下拉列表中,选择已配置的供应商适配器。例如,Qualys_Instance。 |
步骤 5 |
如果上一次扫描的时间大于文本框中的时间,请在触发扫描字段中输入以小时为单位的扫描间隔。有效范围为 1 到 9999。 |
步骤 6 |
勾选按上述间隔定期评估 (Assess periodically using above internval) 复选框。 |
步骤 7 |
点击提交 (Submit)。 |
配置隔离易受攻击的终端的例外规则
您可以使用以下漏洞评估 (Vulnerability Assessment) 属性来配置一个例外规则,并提供对以下易受攻击终端的有限访问权限:
-
Threat:Qualys-CVSS_Base_Score
-
Threat:Qualys-CVSS_Temporal_Score
这些属性在威胁目录下可用。有效值范围为 0 到 10。
您可以选择隔离终端,提供有限访问权限(重定向至不同的门户)或拒绝请求。
过程
步骤 1 |
系统会显示授权策略页面。您可以编辑现有策略规则或创建新例外规则,以检查 VA 属性。 |
步骤 2 |
创造条件检查 Qualys 评分并分配正确的授权配置文件。例如: 任何身份组和 Threat:Qualys-CVSS_Base_Score (Any Identity Group & Threat:Qualys-CVSS_Base_Score) > 5 -> 隔离(授权配置文件)(Quarantine (authorization profile)) |
步骤 3 |
点击保存 (Save)。 |
漏洞评估日志
思科 ISE 为故障排除 VA 服务提供以下日志。
-
vaservice.log - 包含 VA 核心信息,在运行 TC-NAC 服务的节点上可用。
-
varuntime.log - 包含终端和 VA 流程的信息;在监控节点和运行 TC-NAC 服务的节点上可用。
-
vaaggregation.log - 包含终端漏洞的每小时汇聚详细信息,在主管理节点上可用。