Tweet
Viewing Active Users(Xem người dùng hoạt động)
Bạn đã hoàn thành tất cả các bước cấu hình để tích hợp nhận dạng với FMC và ISE, nhưng làm thế nào để bạn biết rằng FMC đang tìm hiểu về người dùng và thiết bị trực tuyến thụ động và thụ động?
Hướng đến Analysis > Users > Active Sessions và bạn nên bắt đầu thấy các đăng nhập tên miền, chẳng hạn như những gì bạn thấy trong Hình 6-32.
Hình 6-32 cho thấy người dùng trực tuyến mà ISE đã tìm hiểu thông qua ánh xạ nhận dạng chủ động hoặc thụ động. Xem Chương 3, Vượt ra ngoài Kiểm soát truy cập mạng cơ bản, để biết thêm về nhận dạng chủ động và thụ động.
Đối với ứng cử viên CCIE hoặc CCIE theo định hướng CLI, cũng có một cách tuyệt vời để xem danh tính người dùng từ dòng lệnh, phiên adi_cli, như trong Ví dụ 6-1.
Configuring Rapid Threat Containment with Firepower and ISE(Cấu hình ngăn chặn mối đe dọa nhanh chóng với hỏa lực và ISE)
Tìm hiểu về người dùng trực tuyến và thiết bị đầu cuối chỉ là một trong những trường hợp sử dụng khi tích hợp FMC với ISE. Một trường hợp sử dụng phổ biến khác của tích hợp là hành động khi một hoạt động độc hại đã xảy ra, như bạn đã tìm hiểu trong phần Ngăn chặn mối đe dọa nhanh chóng trước đó trong chương này.
Hình 6-33 minh họa cách FMC hoạt động với các quy tắc tương quan và mô-đun khắc phục, để hỗ trợ sự hiểu biết của bạn về cách tất cả các phần khớp với nhau.
Các phần tạo nên phản ứng như sau:
Step 1. Hướng đến Policies > Actions > Remediation > Modules, đưa bạn đến màn hình Mô-đun khắc phục đã cài đặt, như trong Hình 6-34.
Step 2. Nhấp vào biểu tượng kính lúp (không được hiển thị trong Hình 6-34) ở cuối bên phải của hàng mô-đun Giảm thiểu pxGrid.
Step 3. Nhấp vào Thêm để tạo phiên bản mới của mô-đun.
Step 4. Cung cấp một tên cho ví dụ và một mô tả tùy chọn, như trong Hình 6-35.
Step 5. Nhấp vào Tạo.
Step 6. Chọn Nguồn giảm thiểu trong danh sách thả xuống Khắc phục được cấu hình, như trong Hình 6-36.
Step 7. Nhấp vào Tạo.
Sau khi nhấp vào Tạo, bạn sẽ tự động được đưa đến cửa sổ nơi bạn tạo hành động khắc phục cho mô-đun.
Step 8. Cung cấp tên cho khắc phục và mô tả tùy chọn, như trong Hình 6-37.
Step 9. Đặt Hành động giảm thiểu thành kiểm dịch, như trong Hình 6-36.
Step 10. Nhấp vào Tạo.
Bạn đã hoàn thành tất cả các bước cấu hình để tích hợp nhận dạng với FMC và ISE, nhưng làm thế nào để bạn biết rằng FMC đang tìm hiểu về người dùng và thiết bị trực tuyến thụ động và thụ động?
Hướng đến Analysis > Users > Active Sessions và bạn nên bắt đầu thấy các đăng nhập tên miền, chẳng hạn như những gì bạn thấy trong Hình 6-32.
Hình 6-32 cho thấy người dùng trực tuyến mà ISE đã tìm hiểu thông qua ánh xạ nhận dạng chủ động hoặc thụ động. Xem Chương 3, Vượt ra ngoài Kiểm soát truy cập mạng cơ bản, để biết thêm về nhận dạng chủ động và thụ động.
Đối với ứng cử viên CCIE hoặc CCIE theo định hướng CLI, cũng có một cách tuyệt vời để xem danh tính người dùng từ dòng lệnh, phiên adi_cli, như trong Ví dụ 6-1.
Configuring Rapid Threat Containment with Firepower and ISE(Cấu hình ngăn chặn mối đe dọa nhanh chóng với hỏa lực và ISE)
Tìm hiểu về người dùng trực tuyến và thiết bị đầu cuối chỉ là một trong những trường hợp sử dụng khi tích hợp FMC với ISE. Một trường hợp sử dụng phổ biến khác của tích hợp là hành động khi một hoạt động độc hại đã xảy ra, như bạn đã tìm hiểu trong phần Ngăn chặn mối đe dọa nhanh chóng trước đó trong chương này.
Hình 6-33 minh họa cách FMC hoạt động với các quy tắc tương quan và mô-đun khắc phục, để hỗ trợ sự hiểu biết của bạn về cách tất cả các phần khớp với nhau.
Các phần tạo nên phản ứng như sau:
- Correlation policy: Cấu trúc chính sách được tạo thành từ các quy tắc tương quan và các biện pháp khắc phục được cấu hình.
- Correlation rule: Một quy tắc riêng lẻ nằm trong chính sách tương quan được cấu hình để tìm kiếm một hoặc nhiều sự kiện bảo mật. Có thể có một hoặc nhiều quy tắc tương quan trong mỗi chính sách tương quan.
- Remediation module: Các mô-đun của FMC hiểu cách giao tiếp với hệ thống bên ngoài; ví dụ, mô-đun pxGrid biết cách sử dụng EPS trên ISE để cách ly các điểm cuối.
- Remediation instance: Một phiên bản cụ thể của một mô-đun khắc phục, vì có thể có nhiều trường hợp, mỗi trường hợp có một cấu hình khác nhau.
- Remediation: Một hành động cụ thể được cấu hình, chẳng hạn như kiểm dịch. Có thể có nhiều biện pháp khắc phục trong mỗi phiên bản của mô-đun khắc phục.
Step 1. Hướng đến Policies > Actions > Remediation > Modules, đưa bạn đến màn hình Mô-đun khắc phục đã cài đặt, như trong Hình 6-34.
Step 2. Nhấp vào biểu tượng kính lúp (không được hiển thị trong Hình 6-34) ở cuối bên phải của hàng mô-đun Giảm thiểu pxGrid.
Step 3. Nhấp vào Thêm để tạo phiên bản mới của mô-đun.
Step 4. Cung cấp một tên cho ví dụ và một mô tả tùy chọn, như trong Hình 6-35.
Step 5. Nhấp vào Tạo.
Step 6. Chọn Nguồn giảm thiểu trong danh sách thả xuống Khắc phục được cấu hình, như trong Hình 6-36.
Step 7. Nhấp vào Tạo.
Sau khi nhấp vào Tạo, bạn sẽ tự động được đưa đến cửa sổ nơi bạn tạo hành động khắc phục cho mô-đun.
Step 8. Cung cấp tên cho khắc phục và mô tả tùy chọn, như trong Hình 6-37.
Step 9. Đặt Hành động giảm thiểu thành kiểm dịch, như trong Hình 6-36.
Step 10. Nhấp vào Tạo.