В данном разделе описываются дополнительные настройки к контролю сетевого доступа.
Подавление повтора RADIUS-событий
- Подавление логгирования повторяющихся неуспешных авторизаций. Опция будет полезна в случаях, когда необходимо содержать журналы аудита или логов в лаконичном представлении для последующего удобного анализа событий. Имеется возможность записывать событие с определенным интервалом.
- Автоматически отказываться клиентам с повторяющейся неуспешной авторизацией. Позволяет предотвратить нагрузку на RADIUS сервер. Имеются дополнительные настройки для интервала обнаружения неудач, количества неудачных попыток, период блокирования.
- Подавление логгирования повторяющихся успешных авторизаций. Принцип и логика схожа с первой опцией, но с отличием на успешные авторизации. Присутствует возможность определять интервал записи событий.
Кэширование и таймауты
Данный подраздел отвечает за определение временных интервалов хранения кэша для различных сетевых подключений.
- Длительность кэширования ответа NTLM. Позволяет определить время кэширования ответа сетевой аутентификации в минутах.
- Длительность кэширования принадлежности к группам и состава LDAP-атрибутов.
- Длительность кэширования результата профилирования.
- Подавление повтора запроса CoA Port Bounce.
- Период действия машинной авторизации эндпоинта.
- Удаление неактивных эндпоинтов после определенного времени.
Сертификаты
В подраздел сертификатов можно отнести дополнительный функционал при выдачи сертификатов. Более детальную информацию можно найти в разделе "Сертификаты"
Карантинные эндпоинты
Данный раздел нацелен на разрешение событий, связанных с эндпоинтами, которые были определены в карантин.
| Note |
|---|
Действие – Определяет, разрешить или отклонить подключение эндпоинта. При опции "Accept", необходимо указать, какие RADIUS атрибуты будут переданы эндпоинту. |
Интеграция с сервером КИБ "Сакура"
При включенной опции "Если нет информации об установленности агента, то вернуть" возможно определить разрешение на подключение:
- Accept – Разрешить подключение с передаваемыми RADIUS атрибутами.
- Reject – Отклонить подключение.
- Quarantine – Перевести в карантинное подключение
| Warning |
|---|
Внимание! В карантинном подключении, в которое вы переключаете авторизующийся эндпоинт посредством назначения VLAN, ACL либо dACL. у вас обязательно должен присутствовать сервер "Сакура". В противном случае "не соответствующий политике" эндпоинт не сможет "вылечиться", сообщить об этом своему серверу и никогда из карантина не выйдет. |
"Если уровень равен или ниже указанному уровню, то произвести действие" определяет комплекс мер, среди которых уровень срабатывания, действие, VLAN, ACL, dACL (загружаемые ACL).
| Tip |
|---|
Поддерживаются следующие уровни защищенности, передаваемые сервером КИБ "Сакура":
|
Помимо этого, возможно определить длительность кэширования статуса агента в минутах.
Импорт эндпоинтов из ISE
Функция позволяет загружать данные об эндпоинтах из внешних файлов (табличных форматов) с возможностью выбора стратегии обработки существующих записей.
1. Выбор файла
- Нажмите кнопку "Файл содержащий экспортированные из Cisco ISE эндпойнты "
- Поддерживаемые форматы:
- Excel (
.xlsx,) - CSV (
.csv)
- Excel (
2. Выбор действия для дублей
В выпадающем списке "Уже существующие записи" доступны:
| Опция | Описание |
|---|---|
| Обновить существующие записи | Перезаписывает данные по существующим эндпоинтам |
| Пропустить существующие записи | Добавляет только новые записи, существующие остаются без изменений |
3. Запуск импорта
После настройки:
- Нажмите "Импортировать"
- Дождитесь обработки
Рекомендации
- Для больших файлов (>10 000 строк) время обработки может составлять несколько минут
- Перед массовым импортом рекомендуется проверить на небольшом файле