В данном разделе описываются дополнительные настройки к контролю сетевого доступа.
Подавление повтора RADIUS-событий
- Подавление логгирования повторяющихся неуспешных авторизаций. Опция будет полезна в случаях, когда необходимо содержать журналы аудита или логов в лаконичном представлении для последующего удобного анализа событий. Имеется возможность записывать событие с определенным интервалом.
- Автоматически отказываться клиентам с повторяющейся неуспешной авторизацией. Позволяет предотвратить нагрузку на RADIUS сервер. Имеются дополнительные настройки для интервала обнаружения неудач, количества неудачных попыток, период блокирования.
- Подавление логгирования повторяющихся успешных авторизаций. Принцип и логика схожа с первой опцией, но с отличием на успешные авторизации. Присутствует возможность определять интервал записи событий.
Кэширование и таймауты
Данный подраздел отвечает за определение временных интервалов хранения кэша для различных сетевых подключений.
- Длительность кэширования ответа NTLM. Позволяет определить время кэширования ответа сетевой аутентификации в минутах.
- Длительность кэширования принадлежности к группам и состава LDAP-атрибутов.
- Длительность кэширования результата профилирования.
- Подавление повтора запроса CoA Port Bounce.
- Период действия машинной авторизации эндпоинта.
- Удаление неактивных эндпоинтов после определенного времени.
Сертификаты
В подраздел сертификатов можно отнести дополнительный функционал при выдачи сертификатов. Более детальную информацию можно найти в разделе "Сертификаты"
Карантинные эндпоинты
Данный раздел нацелен на разрешение событий, связанных с эндпоинтами, которые были определены в карантин.
Действие – Определяет, разрешить или отклонить подключение эндпоинта. При опции "Accept", необходимо указать, какие RADIUS атрибуты будут переданы эндпоинту.
Авто-карантин – Определяет перемещение подозрительных эндпоинтов для целей безопасности. При включенной опции, необходимо указать интервал обнаружения последовательных отказов и счетчик отказов подряд перед помещением в карантин
Интеграция с сервером КИБ "Сакура"
При включенной опции "Если нет информации об установленности агента, то вернуть" возможно определить разрешение на подключение:
- Accept – Разрешить подключение с передаваемыми RADIUS атрибутами.
- Reject – Отклонить подключение.
- Quarantine – Перевести в карантинное подключение
Внимание! В карантинном подключении, в которое вы переключаете авторизующийся эндпоинт посредством назначения VLAN, ACL либо dACL. у вас обязательно должен присутствовать сервер "Сакура".
В противном случае "не соответствующий политике" эндпоинт не сможет "вылечиться", сообщить об этом своему серверу и никогда из карантина не выйдет.
"Если уровень равен или ниже указанному уровню, то произвести действие" определяет комплекс мер, среди которых уровень срабатывания, действие, VLAN, ACL, dACL (загружаемые ACL).
Поддерживаются следующие уровни защищенности, передаваемые сервером КИБ "Сакура":
- Offline - агент был ранее установлен, но АРМ не подключен к серверу;
- Critical - критический;
- Noncritical - не критический/предупреждение;
- Info - информационный;
- Compliant - нет нарушений, соответствует политике информационной безопасности (ИБ).
Помимо этого, возможно определить длительность кэширования статуса агента в минутах.
Импорт эндпоинтов из ISE
Функция позволяет загружать данные об эндпоинтах из внешних файлов (табличных форматов) с возможностью выбора стратегии обработки существующих записей.
1. Выбор файла
- Нажмите кнопку "Файл содержащий экспортированные из Cisco ISE эндпойнты "
- Поддерживаемые форматы:
- Excel (
.xlsx,) - CSV (
.csv)
- Excel (
2. Выбор действия для дублей
В выпадающем списке "Уже существующие записи" доступны:
| Опция | Описание |
|---|---|
| Обновить существующие записи | Перезаписывает данные по существующим эндпоинтам |
| Пропустить существующие записи | Добавляет только новые записи, существующие остаются без изменений |
3. Запуск импорта
После настройки:
- Нажмите "Импортировать"
- Дождитесь обработки
Рекомендации
- Для больших файлов (>10 000 строк) время обработки может составлять несколько минут
- Перед массовым импортом рекомендуется проверить на небольшом файле