Los art铆culos anteriores cubrieron varios temas generales sobre la soluci贸n de monitoreo Cisco StealthWatch . Perm铆tame recordarle que StealthWatch es una soluci贸n para monitorear el tr谩fico de la red en busca de incidentes de seguridad y la legitimidad de la interacci贸n de la red. StealthWatch se basa en recopilar NetFlow e IPFIX de enrutadores, conmutadores y otros dispositivos de red.
Enlaces a todos los art铆culos del ciclo:
1) StealthWatch: conceptos b谩sicos y requisitos m铆nimos. Parte 1
2) StealthWatch: implementaci贸n y configuraci贸n. Parte 2
3) StealthWatch: an谩lisis e investigaci贸n de incidencias. Parte 3
4) StealthWatch: Integraci贸n con Cisco ISE. Parte 4
5)Nube de Stealthwatch. Soluci贸n r谩pida, conveniente y eficiente para la nube y las infraestructuras empresariales. La
monitorizaci贸n de la Parte 5 , en particular Cisco StealthWatch, es principalmente una soluci贸n de detecci贸n de amenazas y ataques. Todas las soluciones de monitoreo no implican la prevenci贸n de amenazas, pero a menudo se requiere. StealthWatch tiene una integraci贸n inmediata con Cisco ISE (Identity Services Engine). La integraci贸n consiste en que StealthWatch detecta un incidente de seguridad y Cisco ISE pone en cuarentena el host hasta que el administrador lo saca de cuarentena manualmente.
Este art铆culo analiza la configuraci贸n de la integraci贸n y un ejemplo de activaci贸n.
Cisco ISE es
En resumen, Cisco ISE es una soluci贸n de control de acceso a la red (NAC) para proporcionar control de acceso contextual a los usuarios de la red interna. Cisco ISE le permite:
- Cree acceso de invitados de forma r谩pida y sencilla
- Detectar dispositivos BYOD (como los PC dom茅sticos de los empleados que traen al trabajo)
- Centralice y aplique pol铆ticas de seguridad a usuarios de dominio y no dominio utilizando etiquetas de grupo de seguridad SGT (tecnolog铆a TrustSec )
- Verifique que las computadoras tengan cierto software instalado y cumplan con los est谩ndares (postura)
- Clasifique y perfile dispositivos de red y terminales
- Proporcionar visibilidad de endpoints
- Enviar registros de eventos de inicio / cierre de sesi贸n de los usuarios, sus cuentas (identidad) en NGFW para formar una pol铆tica basada en el usuario.
- Haga todo lo que pueda hacer el servidor AAA
Muchos colegas de la industria han escrito sobre Cisco ISE, le recomiendo que se familiarice con: la pr谩ctica de implementar Cisco ISE , c贸mo prepararse para la implementaci贸n de Cisco ISE y la integraci贸n con Cisco FirePOWER .
C贸mo funciona la cuarentena
El flujo de trabajo de la pol铆tica ANC "agregar / quitar de la cuarentena" (Adaptive Network Control) en Cisco ISE se describe a continuaci贸n:
- El usuario primero debe iniciar sesi贸n en la red corporativa a trav茅s del WLC (controlador de punto de acceso). Luego, se env铆a una solicitud de cuarentena de API REST desde el Nodo de administraci贸n de pol铆ticas .
- (Monitoring Node), , PrRT PSN (Policy Service Node, ISE). CoA .
- .
- .
- RADIUS (Monitoring Node).
- .
- , .
- , .
1. En la interfaz web de Cisco ISE, vaya a la pesta帽a Operaciones> Lista de pol铆ticas y cree una nueva pol铆tica haciendo clic en Agregar .
2. Vamos a llamarlo StealthWatch_Quarantine y seleccione la acci贸n "Cuarentena " y haga clic en Enviar .
3. El siguiente paso es configurar la pol铆tica. Vaya a Pol铆tica> Conjuntos de pol铆ticas y haga clic en la flecha del extremo derecho debajo de la columna Ver .
4. En la pesta帽a Pol铆tica de autorizaci贸n> Excepciones globales , se crea una nueva regla (haga clic en el "+"). A continuaci贸n, en la columna Condiciones, vuelva a hacer clic en "+" y seleccione el atributo Sesi贸n ANCPolicy . Acci贸n en esta reglaEs igual a: StealthWatch_Quarantine .
En la columna Perfil> Denegar acceso y, opcionalmente, en la columna Grupos de seguridad , puede especificar su grupo de seguridad (por ejemplo, invitados o departamento de marketing). Finalmente, guarde los cambios.
5. En la pesta帽a Operaciones> Registros en vivo (RADIUS o TACACS), puede ver los registros por usuario o direcci贸n. Supongamos que encontramos al usuario wesley.
6. Vaya a la interfaz web de StealthWatch y busque este usuario en la pesta帽a Monitor> Usuarios .
7. Vaya a su host haciendo clic en la direcci贸n IP.
8. En la pol铆tica ISE ANC, seleccione Editar> StealthWatch_Quarantine> Guardar... El anfitri贸n est谩 en cuarentena pendiente de una mayor investigaci贸n.
Adem谩s, la pol铆tica de ANC puede usar las acciones port_shutdown (apagado de un puerto de un dispositivo de red) y port_bounce (apagado / no apagado de un dispositivo). Por ejemplo, si el malware ha logrado extenderse por una VLAN completa, ser铆a m谩s l贸gico y r谩pido apagar el puerto en el conmutador de nivel de acceso, en lugar de poner en cuarentena cada host.
Conclusi贸n
As铆 como Cisco StealthWatch es una valiosa soluci贸n de monitoreo de incidentes de seguridad, Cisco ISE es una excelente soluci贸n de control de acceso de usuarios. La integraci贸n de estas dos soluciones realmente funciona y le permite minimizar el tiempo de respuesta a incidentes de seguridad de la informaci贸n.
Pronto, Cisco promete agregar una respuesta autom谩tica a los incidentes seleccionados y aplicarles pol铆ticas ANC, o puede escribir un script usted mismo. Tanto StealthWatch como ISE tienen una API REST abierta . Sin embargo, esta integraci贸n autom谩tica debe configurarse solo despu茅s de mucho tiempo, cuando StealthWatch haya formado los modelos correctos de comportamiento de host y el n煤mero de falsos positivos sea m铆nimo.
M谩s informaci贸n sobre Cisco StealthWatch est谩 disponible en el sitio web . En un futuro pr贸ximo, estamos planificando varias publicaciones t茅cnicas m谩s sobre varios productos de seguridad de la informaci贸n. Si est谩 interesado en este tema, 隆permanezca atento a nuestros canales ( Telegram , Facebook , VK , TS Solution Blog )!