Pxgrid что это
Перейти к содержимому

Pxgrid что это

  • автор:

Интеграция Cisco FirePOWER и ISE

Привет habr! Начиная с версии FirePOWER 6.0.0.0, появилась возможность интеграции с корпоративным сервером централизованной аутентификации и авторизации Cisco ISE. В данной заметке кратко рассмотрим, что именно даёт связь Cisco FirePOWER с ISE и как эта связь настраивается.

Что такое FirePOWER

  • Что такое SourceFire?
  • Каковы преимущества FirePOWER и особенности его внедрения/использования?
  • Как запустить сервисы FirePOWER на ASA 5500-X?

Что такое Cisco ISE

Достаточно подробно написано на habrahabr в корпоративном блоге Cisco.
Также есть серьёзная статья от инженера Cisco, описывающая сценарии использования Cisco ISE и архитектуру TrustSec.

Интеграция FirePOWER c ISE даёт в первую очередь новый способ получения идентификационных данных пользователей. До версии FirePOWER 6.0.0.0 аутентификация пользователей происходила в пассивном режиме. Это означает, что где-то в сети на компьютере, входящем в домен, или непосредственно на сервере Active Directory (AD) должен быть установлен агент. Данный агент должен мониторить логи AD на предмет событий login/logoff пользователей и передавать соответствия IP-адреса и учётной записи пользователя на FirePOWER. Последняя реинкарнация данного агента от SourceFIRE получила название Cisco FirePOWER User Agent.

Агенты пассивной аутентификации

В наследство от SourceFIRE компания Cisco получила агент SourceFIRE User Agent, способный интегрироваться с системой управления Defence Center (FireSIGHT). К слову сказать, сейчас актуальное название системы управления FirePOWER выглядит так: FirePOWER Management Center (сокращённо FMC). А агент именуется Cisco FirePOWER User Agent.

До этого у Cisco были собственные варианты агентов: Cisco Active Directory Agent (AD Agent), управляемый из командной строки, и более позднее решение с графическим интерфейсом — Context Directory Agent (CDA). Данные решения можно было использовать для получения функциональности Identity FireWall на устройстве Cisco ASA. Т.е. на Cisco ASA появлялась возможность создавать списки доступа не по IP-адресам, а по учётным записям из AD. Также CDA можно было использовать с решением Cisco ASA CX (данное решение уже более не продаётся в пользу ASA+FirePOWER), с WEB-proxy сервером Cisco WSA и с сервером аутентификации и авторизации Cisco ISE.

Преимущество использования агента для аутентификации пользователей – полная прозрачность процесса аутентификации. Другими словами, User Experience для конечного пользователя абсолютно никак не меняется при внедрении аутентификации на сетевом шлюзе. Однако, у данного метода ряд недостатков. Очевидный минус заключается в самом подходе: нужно устанавливать дополнительное ПО, которое должно круглосуточно мониторить логи AD. Если по какой-то причине логи AD будут недоступны, пользователь не будет авторизован на сетевом устройстве. Также может проявиться проблема с неверным предоставлением прав доступа. Например, если на момент входа пользователя в систему ПК был отключен от сети, в теории, новый пользователь сможет получить права доступа предыдущего пользователя ПК, если через какое-то время подключит ПК обратно к сети.

Другой подход – активная аутентификация, при которой установка агента не требуется, но пользователи должны самостоятельно вводить учётные данные по запросу. Недостаток этого метода очевиден.

Активная аутентификация на FirePOWER также была представлена с выходом версии 6.0.0.0.

Использование Cisco ISE для идентификации пользователей на FirePOWER решает проблемы, присущие как пассивной аутентификации с агентом, так и активной аутентификации. Как следует из определения, Cisco ISE является централизованной системой аутентификации и авторизации пользователей при подключении в сеть. Как только пользователь успешно проходит процедуры аутентификации и авторизации и получает доступ в сеть, на Cisco ISE появляется полная информация об этом пользователе, включающая IP-адрес пользователя и его учётную запись. Далее эту информацию достаточно передать на FirePOWER, а точнее на систему управления FirePOWER Management Center. Cистема получит возможность сопоставить IP-адрес сетевой транзакции с учётной записью пользователя и применить настроенные политики доступа.

Но функциональность Cisco ISE не ограничивается аутентификацией и авторизацией пользователей в сети. Cisco ISE позволяет профилировать пользовательские устройства, т.е. определять, какое устройство подключено к определённому порту определённого коммутатора. К информации об устройстве относятся: производитель, версия ОС, тип устройства (мобильное/стационарное) и т.д. Данная информация также может быть передана на FirePOWER. Это даёт возможность настраивать разные правила доступа для разных типов устройств. Например, для Android и iOS более специфичные ограничения, чем для Microsoft Workstation. Пример настройки правила с учётом типа устройства представлен ниже:

Помимо профилирования устройств Cisco ISE позволяет реализовать архитектуру Cisco TrustSec. Очень кратко, Cisco TrustSec позволяет разграничивать доступ в сети по меткам, называемым Security Group Tags (SGT). Метка представляет собой произвольное число от 1 до 65535 передаётся в рамках Ethernet-кадра. Соответственно, устройства, через которые проходят кадры с метками SGT, должны поддерживать архитектуру TrustSec. В противном случае, информация о метке для сетевой транзакции может передаваться посредством протокола Security Group Tag Exchange Protocol (SXP). При успешном прохождении процедур аутентификации и авторизации пользователю присваивается метка, определяющая его доступ к ресурсам сети. Описание, присвоение метки SGT, а также настройка правил доступа по меткам (SGT ACL) осуществляется при помощи Cisco ISE. Начиная с версии FirePOWER 6.0.0.0 появилась возможность использовать метки SGT в политиках доступа на FirePOWER. Пример настройки правила с учётом метки SGT представлен ниже:

Последний атрибут ISE, который может быть использован в политиках доступа FirePOWER версии 6.0.0.0, – Location IP. Данный атрибут означает IP-адрес сетевого устройства, которое аутентифицировало пользователя через Cisco ISE. Следовательно, можно создавать различные правила доступа для одного и того же пользователя, в зависимости от того, к какому сетевому устройству он подключен (коммутатор или точка доступа WiFi, или, например, коммутатор в головном офисе или коммутатор в удалённом филиале, или, например, подключение пользователя удалённо через AnyConnect).

  1. Отпадает необходимость использования агента Cisco FirePOWER User Agent для аутентификации пользователей. Также отпадает необходимость в активной аутентификации. Все задачи аутентификации и авторизации пользователей в сети берёт на себя Cisco ISE.
  2. Более точная идентификация пользователей на FirePOWER по сравнению с использованием агента Cisco FirePOWER User Agent.
  3. Использование атрибутов Cisco ISE, а именно:
    • Появляется возможность использовать результаты профилирования Cisco ISE в правилах доступа FirePOWER.
    • Появляется возможность использовать метки TrustSec (SGT) в правилах доступа FirePOWER.
    • Появляется возможность использования IP-адреса авторизующего устройства в правилах доступа FirePOWER.

Настройка приводится для FirePOWER Management Center версии 6.0.1 и Cisco ISE версии 2.0.0.306. Как говорилось ранее, Cisco ISE хранит подробную информацию об авторизованных в сети пользователях. Основная задача – передать необходимую информацию на FirePOWER.

Традиционно, когда одна система должна коммуницировать с другой системой, используют кастомные или проприетарные API (Application Programing Interface). Cisco предлагает собственную технологию, посредством которой осуществляется взаимодействие различных продуктов Cisco, а также связь решений Cisco с системами других вендоров. Технология именуется Cisco Platform Exchange Grid (pxGrid). Данная технология предлагает общий язык взаимодействия для обмена информации между различными системами, например, FirePOWER, ISE, WSA, Cyber Threat Defense (CTD) и т.д.

Центральным компонентов pxGrid является Cisco ISE. Другие внешние системы выступают в роли клиентов или агентов в рамках pxGrid и подписываются на Cisco ISE для получения или передачи информации. Когда внешние системы подключаются к pxGrid, регистрируясь на Cisco ISE, они получают возможность обмениваться информацией по схеме «каждый с каждым», используя для этого единые методы. Регистрация внешних систем на Cisco ISE в pxGrid осуществляется посредством цифровых сертификатов. Для возможности использования pxGrid на Cisco ISE требуется наличие лицензии PLUS.

Перейдём к настройкам. Сперва Cisco ISE.

1. Активировать pxGrid Persona на Cisco ISE.

Вкладка Administration -> System -> Deployment.

Выбрать сервер ISE. Кликнуть по его названию. Установить галку напротив pxGrid:

2. Получить цифровой сертификат для pxGrid. Сервис pxGrid требует расширенные возможности использования цифрового ключа, а именно, аутентификация как сервера, так и клиента. Поэтому сертификат, используемый для стандартных задач ISE (EAP Authentication, Admin portals, User Portals) не подходит для pxGrid. Необходимо сгенерировать и подписать на корпоративном удостоверяющем центре (далее корпоративный CA) сертификат для pxGrid. Для этого нужно зайти на вкладку Administration -> System -> Certificates и в меню слева выбрать Certificate Signing Requests:

Нажать Generate Certificate Signing Request (CSR) и заполнить необходимые поля. Пример на изображении ниже:

Нажимам Generate и экспортируем полученный CSR. Теперь идём на корпоративный CA и подписываем по CSR сертификат. На данном моменте подробно останавливаться не буду, просто вставлю скриншоты:

Подписанный сертификат получен. Возвращаемся на ISE, привязываем сертификат к CSR:

Теперь на ISE есть необходимый сертификат для pxGrid:

3. Проверить подключенные по pxGrid клиенты можно на вкладке Administration -> pxGrid Services. Здесь же установим настройку «Enable Auto Registration»:

ISE настроен. Теперь перейдём к настройкам pxGrid на FirePOWER.

4. Необходимо перейти на вкладку System -> Integration -> Identity Sources и выбрать Identity Services Engine в качестве источника идентификационной информации:

5. Заполнить обязательные поля. Необходимо указать IP-адрес или имя сервера ISE:

6. Указать сертификаты «pxGrid Server CA» и «MNT Server CA». В качестве этих сертификатов можно использовать корневой сертификат корпоративного CA:

7. Указать сертификат и ключ «FMC Server Certificate». Данный сертификат FirePOWER Management Center будет предъявлять Cisco ISE при попытке подключения к pxGrid. Чтобы получить этот сертификат, нужно на FirePOWER сгенерировать CSR, подписать его на корпоративном CA и загрузить полученный подписанный сертификат на FirePOWER. Для этого нужно сгенерировать пару ключей и CSR из командной строки FMC, используя утилиту openssl:

Я использовал следующую строку параметров для создания CSR и Private Key:

req -batch -new -newkey rsa:2048 -nodes -keyout fp.key -subj '/C=RU/ST=Moscow/L=Moscow/O=CBS/OU=Computers/emailAddress=uskov@cbs.ru/CN=fmc/CN=cbs/CN=com/CN=ru' -out fp.csr 

Далее по CSR нужно подписать сертификат на корпоративном CA. Процедура абсолютно аналогична процессу получения сертификата pxGrid для ISE. Подписанный сертификат импортируем на FirePOWER Management Center. Вкладка Objects -> Object Management меню PKI -> Internal Certs:

Нажимаем Add Internal Cert, выбираем подписанный сертификат и Private Key:

Сертификат и ключ «FMC Server Certificate» готов. Возвращаемся на вкладку System -> Integration -> Identity Sources и выбрать Identity Services Engine. Указываем «FMC Server Certificate»:

8. В этом же меню нажимаем Test. Должно появиться окно «Success»:

9. Не забыть нажать Save в верхнем правом углу:

10. Вернёмся к ISE, проверим вкладку Administration -> pxGrid Services. Видим, появились новые клиенты pxGrid:

Проверим работоспособность настроенного решения. Cisco ISE настроен на аутентификацию тестового сегмента проводной сети. Настройки политик Cisco ISE в рамках данной заметки рассматривать не будем. Подключимся с помощью ноутбука к проводной сети, в качестве сапликанта используем Cisco AnyConnect Network Access Manager (NAM):

В логах ISE проверим Radius Livelog (вкладка Operations -> RADIUS Livelog):

Аутентификация прошла успешно. Теперь проверим User Activity на FirePOWER (вкладка Analysis -> Users -> User Activity):

Если промотать вывод User Activity правее, то можно увидеть, что FirePOWER Management Center получил от ISE дополнительные атрибуты: Security Group Tag, Endpoint Profile и Endpoint Location:

На этом описание настройки интеграции ISE и FirePOWER я завершаю. Надеюсь, приведённый материал будет полезен читателям.

Если данная тема заинтересует, добро пожаловать к нам на демостенды по Cisco ISE, Cisco FirePOWER.

  • Блог компании CBS
  • IT-инфраструктура
  • Cisco
  • Сетевые технологии

pxGrid

Что такое pxGrid? По термину pxGrid для вас мы собрали 5 публикаций.

Cisco расширила свою стратегию повсеместной безопасности

08.11.15

Это сделано с помощью усовершенствованных средств наблюдения, контроля и защиты для теневых ИТ, оконечных устройств и облачных сред. Служба Cisco Threat Awareness Service поможет обеспечивать безопасность корпоративных сетей Далее..

Cisco представила технологии, обеспечивающие повсеместную безопасность

16.06.15

На своей ежегодной конференции CiscoLive(в этот раз прошла в Сан-Диего) компания Cisco представила новые решения, призванные обеспечить безопасность и значительно улучшить возможности мониторинга и контроля на всем протяжении расширенной сети — от центров обработки данных, облачных инфраструктур и удаленных офисов до оконечных устройств. Далее..

Безопасность Cisco: итоги 2013-го года

29.01.14

Статья бизнес-консультанта Cisco по информационной безопасности Алексея Лукацкого Далее..

Cisco ISE

Cisco ISE предлагает инновационный подход к сетевой безопасности, обеспечивая точную идентификацию пользователей и устройств, автоматическую настройку конечных точек, применение централизованных контекстно-зависимых политик, а также методы быстрого выявления, смягчения и устранения угроз. В частности, Cisco ISE является универсальным инструментом для выполнения задач, приведенных ниже.

Встроенный профайлер устройств определяет пользователя, время подключения, их месторасположение и сеть, к которой они подключены. Регулярные обновления позволяют распознавать Cisco ISE самые свежие новинки на рынке сетевого оборудования (по мере появления их в продаже).

Основанные на идентификации пользователей и устройств, политики определяют права доступа к различным сегментам сети (например, неавторизованные, авторизованные и клиенты с доверенными устройствами могут обладать разными правами доступа к корпоративным сетевым ресурсам).

Cisco ISE предлагает полный набор инструментов для управления гостевыми аккаунтами, их учетом, а также сроками истечения действия подключений. Системные администраторы могут в считанные минуты развернуть гостевой доступ со всеми его атрибутами (в том числе, с темами и рекламными баннерами на веб-страницах).

Самообслуживание клиентских устройств.

Эта особенность обеспечивает возможности автоматической инициализации сетевых устройств, их профилирования и назначения политик безопасности без непосредственного участия IT персонала.

Соответствие стандарту IEEE 802.1X гарантирует соблюдение политик безопасности при кабельном подключении оборудования к сети.

Cisco AnyConnect® 4.0 Unified Agent обеспечивает проверку состояния конечных точек, и, в случае несоответствия нормативным требованиям, предпринимает исправительные меры.

Доступ к сети мобильных клиентов.

Вне зависимости от времени и даты, мобильные и удаленные клиенты могут получить доступ ко всем необходимым сетевым ресурсам по беспроводным и кабельным соединениям.

Автоматизация сетевых операций позволяет минимизировать усилия, затраченные IT персоналом на управление политиками, устранение неполадок и интеграцию с решениями Cisco Prime™.

Минимальные инвестиции для управления сетью.

Большинство коммутаторов и беспроводных контроллеров Cisco являются универсальным оборудованием, которое способно предоставить услуги идентификации сетевых устройств.

» Приобрести новые модели Cisco ISE Вы можете на VTKT.ru. Наши специалисты помогут сделать наиболее правильный выбор и подскажут основные особенности каждой из рассматриваемых моделей.

В случае, если заинтересовавший Вас Cisco ISE в данный момент не размещен на сайте, мы предлагаем обратиться к менеджеру, чтобы уточнить возможность его приобретения под заказ. «

Поддержка различных инструментов для управления.

pxGrid значительно снижает уязвимость сети, а также обеспечивает анализ сетевого трафика и SSO. Кроме того, интегрированные технологии для EMM, службы SIEM и TD в совокупности представляют мощное и чрезвычайно эффективное решение для мониторинга сети.

Поддержка различных производителей сетевого оборудования.

Решение Cisco ISE совместимо со всеми поставщиками сетевой инфраструктуры, которые соответствуют стандартам RADIUS и IEEE 802.1x.

Информация о подключаемых устройствах.

Технология pxGrid собирает контекстные данные об устройствах со всей сети, тем самым смягчая последствия, а в большинстве случаев – и полностью предотвращая сетевые атаки.

Cisco ISE обеспечивает безопасный проводной, беспроводной и VPN-доступ. Используя эту платформу, системные администраторы и обычные клиенты сети получают целый ряд преимуществ, описанных далее.

Возможности интеграции с такими инструментами, как Microsoft Active Directory, Lightweight Directory Access Protocol, RADIUS, установка пароля RSA (OTP, аутентификация и авторизация) предоставляют оптимальные условия для создания гибких политик безопасности.

Загружаемые списки контроля доступа (списки DACL), VLAN задания, перенаправление URL, именные списки ACL, а также группа безопасности тегов (SGTS) с использованием расширенных возможностей Cisco TrustSec позволяют создавать различные уровни доступа для отдельных групп пользователей.

Управление гостевыми подключениями.

Work Center для администрирования позволяет устанавливать временные рамки пользовательских подключений, рассылка SMS-подтверждений, а также аудит клиентов представляют собой полный набор услуг для сетевых администраторов по управлению гостевой сетью.

Включение и подключение устройств.

Это свойство обеспечивает автоматическую подачу заявки на сертификат стандарта ПК или мобильных платформ. Таким образом, мобильные сотрудники могут без затруднений подключать свои устройства на базе IOS и Android к сети.

Авторизация, аутентификация и учет.

Использование стандартного протокола RADIUS для аутентификации, авторизации и учета, а также поддержка PAP, MS-CHAP, Extensible Authentication Protocol -MD5, Protected EAP, EAP-FAST, EAP-TLS и многих других протоколов обуславливают безопасное подключение для сетевых устройств.

Решение Cisco ISE предлагает единую консоль для управления конечными точками с возможностью проверки состояния сертификата по стандарту протокола OCSP. В случае, если устройство украдено, сертификат автоматически аннулируется.

Эта возможность позволяет коммутаторам быстро собирать информацию о конечных точках, а затем, используя стандартный RADIUS, передавать эту информацию Cisco ISE для их классификации и реализации политик.

Эти услуги предлагают механизм, при котором партнеры и клиенты могут поделиться их индивидуальными профильными данными. С помощью этой информации предприятия получают возможность обнаруживать новинки среди устройств при их попытке подключения их к сети.

Проверка соответствия политикам для подключенных к сети конечных точек (в том числе, мобильных устройств) обеспечивает дополнительные меры соблюдения безопасности. эти политики проверяют самые последние патчи OS, а также распознают наличие шпионских и вирусных программ.

Экосистема с pxGrid.

pxGrid – это надежная контекстно-зависимая платформа для обмена в Cisco ISE. Такое решение позволяет снизить до минимума уязвимость сети в кратчайшие сроки.

Интеграция экосистемы с EMM.

Связь с решениями технологии EMM гарантирует, что мобильные устройства, которые пытаются подключиться к сети, зарегистрированы платформой EMM и соответствуют политике предприятия.

Интеграция экосистемы с SIEM и TD.

Интеграция экосистемы с SIEM и TD. Партнеры SIEM и TD получают видимость сетевого статуса устройств в режиме реального времени, что позволяет своевременно предпринимать меры безопасности.

Интеграция экосистемы с веб-безопасностью.

Позволяет предприятиям, которые используют Cisco Web Security Appliance, повысить политики веб-доступа на основе информации о пользователях и устройствах.

Интеграция экосистемы с Control и SCADA.

Помогает создавать высоко защищенный доступ и управление SCADA-устройствами. Cisco ISE создает SCADA-политики, что приводит к более легкой идентификации недопустимого для подключения к сети оборудования.

Интеграция экосистемы с устранением неполадок и прогнозированием.

Позволяет системе сбора пакетов использовать контекстные данные, собранные Cisco ISE, для нахождения пользователей и устройств, замешанных в процессе захвата пакетов.

Интеграция экосистемы с восстановлением уязвимых конечных точек.

Контекстные данные из Cisco ISE помогают определять уязвимость на конечных точках.

Интеграция экосистемы с аутентификацией на основе рисков.

Включает контекстную аутентификацию пользователей и авторизацию веб-приложений. Эта интеграция позволяет пользователям осуществлять проверку подлинности бизнес-активов без повторных вызовов, предотвращая доступ к облачным активам с высоким уровнем риска.

Интеграция экосистемы с управлением производительностью сети и приложений.

Благодаря этому свойству обеспечивается глубокая контекстная видимость сетевых устройств или программных приложений для мониторинга, диагностики и устранения уязвимости сети.

Интеграция экосистемы с облачными сервисами.

С Cisco ISE клиенты сети могут активно использовать облачные сервисы, не нуждаясь в дополнительных мерах защиты при соединении.

Обширная поддержка доменов Microsoft Active Directory.

Cisco ISE обеспечивает комплексную проверку подлинности и авторизацию доменов Microsoft Active Directory (в частности, версий Microsoft Active Directory 2003, 2008, 2008R2, 2012 и 2012R2).

Как интегрироваться с решениями Cisco по безопасности? Обзор двух десятков API, доступных всем

Сегодня в России очень модной стала тема SOC и SIEM. Все их строят и пишут. Вы знали, что в России уже около десятка собственных систем мониторинга событий безопасности (SIEM)? Эту цифру перевалило и число коммерческих SOCов, предлагающих свои услуги заказчикам, которые попадут под требования 187-ФЗ о безопасности критической информационной инфраструктуры и вынуждены будут оперативно отдавать данные об инцидентах в ГосСОПКУ. Но какую бы цель не преследовали создатели SIEM и SOC, и на каком бы уровне зрелости они не находились, они все равно сталкиваются с базовой задачей — сбора событий безопасности и журналов регистрации от разрозненных средств защиты информации.

Согласно данным компании Canalys (а она единственная кто продолжает оценивать российский рынок решений по ИБ), лидером отечественного рынка продолжает оставаться компания Cisco. Поэтому вполне разумно предположить, что одной из первых задач, которая должна стоять перед разработчиками SIEM/SOC, — это интеграция с решениями нашей компании. Но вокруг такой интеграции бытует множество мифов и заблуждений, которые можно описать диалогом, который у меня недавно случился с одним из отечественных производителей SIEM:

— А почему вы не интегрируетесь с решениями Cisco?
— Так у вас уже все проприетарное?
— Нет, это не так!
— Да? А мне говорили, что у вас закрытые API и доступ к ним стоит денег.
— Нет, и это не так!

image

Поэтому я решил сегодня вкратце описать те API, которые существуют у компании Cisco, и с помощью которых можно подключиться к ее решениям по кибербезопасности. Их можно разделить на несколько типов:

  • API, позволяющие получать доступ к событиям безопасности, логам, контексту, которые собираются решениями Cisco в защищаемой сети предприятия.
  • API, позволяющие получать доступ к облачным сервисам по безопасности Cisco для проверки подозрительных файлов, доменов, IP-адресов и т.п.
  • API, позволяющие управлять решениями Cisco из внешних систем.
  • API, позволяющие обогащать решения Cisco данными об угрозах, полученных из внешних источников.
  • eStreamer API. API, позволяющий отправлять события безопасности с многофункциональной платформы безопасности Firepower в свой SIEM.
  • Host Input API. API, позволяющий собирать информацию об уязвимостях и другую информацию об узлах в сети. Именно его использует тот же MaxPatrol от Positive Technologies для передачи Firepower информации об уязвимостях, операционных системах и приложений на сканируемых узлах, которая затем коррелируется с данными об угрозах, которые собираются подсистемой обнаружения вторжений NGIPS или системой борьбы с вредоносным кодом AMP на платформе Firepower.
  • JDBC Database Access API. API, который позволяет делать запросы к базе данных Firepower из различных приложений.
  • pxGrid. Это целый framework, позволящий обменивать контекстом безопасности (кто, куда, как, откуда, с помощью чего получал доступ) между системой контроля сетевого доступа Cisco ISE и внешними решениями (SIEM, MDM, МСЭ, NAC, IRP, UEBA, CASB, IAM, VM и др.). С помощью этого API можно получать информацию о событиях доступа пользователя и устройств сразу из сетевой инфраструктуры Cisco (коммутаторов, маршрутизаторов, точек доступа и т.п.).
  • MDM API. Позволяет MDM-решениям третьих фирм (например, Airwatch, MaaS360, Meraki, SAP, XenMobile, Symantec, MobileIron, Good, Intune и т.п.) получать информацию о статусе мобильного устройства от ISE.
  • AnyConnect Network Visibility Module Collection. С помощью данного API защитный клиент AnyConnect предоставляет данные IPFIX для их корреляции со средствами сетевого анализа трафика (например, Cisco Stealthwatch).
  • AMP for Endpoints API. API, который позволяет отдавать события безопасности, связанные с вредоносным кодом, обнаруживаемым средством защиты Cisco AMP (Advance Malware Protection), решениям третьих фирм или иным решениям Cisco (например, Cisco Cognitive Threat Analytics). В качестве таких событий, могут выступать уязвимые компьютеры, траектория устройства (сетевая активность), коммуникации с внутренними или внешними узлами, заражения и т.п.
  • ESA REST API. Позволяет собирать статистику событий безопасности и E-mail Security Appliance.
  • Stealthwatch Data Exporter SDK. Позволяет забирать события о сетевых потоках из системы мониторинга сетевого трафика Cisco Stealthwatch и использовать их в своих собственных целях.
GET /v1/events?connector_guid[]=af73d9d5-ddc5-4c93-9c6d-d5e6b5c5eb01&limit=1

Ответ же будет следующим:

< "version": "v1.2.0", "metadata": < "links": < "self": "https://api.amp.cisco.com/v1/events?connector_guid[]=af73d9d5-ddc5-4c93-9c6d-d5e6b5c5eb01&limit=1", "next": "https://api.amp.cisco.com/v1/events?connector_guid%5B%5D=af73d9d5-ddc5-4c93-9c6d-d5e6b5c5eb01&limit=1&offset=1" >, "results": < "total": 41, "current_item_count": 1, "index": 0, "items_per_page": 1 >>, "data": [ < "id": 6455442249407791000, "timestamp": 1503024774, "timestamp_nanoseconds": 98000000, "date": "2017-08-18T02:52:54+00:00", "event_type": "Threat Detected", "event_type_id": 1090519054, "detection": "benign_qa_testware7", "detection_id": "6455442249407791109", "group_guids": [ "b077d6bc-bbdf-42f7-8838-a06053fbd98a" ], "computer": < "connector_guid": "af73d9d5-ddc5-4c93-9c6d-d5e6b5c5eb01", "hostname": "WIN-S1AC1PI6L5L", "external_ip": "10.200.65.31", "user": "johndoe@WIN-S1AC1PI6L5L", "active": true, "network_addresses": [ < "ip": "10.0.2.15", "mac": "08:00:27:85:28:61" >], "links": < "computer": "https://api.amp.cisco.com/v1/computers/af73d9d5-ddc5-4c93-9c6d-d5e6b5c5eb01", "trajectory": "https://api.amp.cisco.com/v1/computers/af73d9d5-ddc5-4c93-9c6d-d5e6b5c5eb01/trajectory", "group": "https://api.amp.cisco.com/v1/groups/b077d6bc-bbdf-42f7-8838-a06053fbd98a" >>, "file": < "disposition": "Unknown", "file_name": ".zip", "file_path": "\\\\?\\C:\\Users\\johndoe\\Downloads\\.zip", "identity": < "sha256": "f8a6a244138cb1e2f044f63f3dc42beeb555da892bbd7a121274498cbdfc9ad5", "sha1": "20eeee16345e0c1283f7b500126350cb938b8570", "md5": "6853839cde69359049ae6f7bd3ae86d7" >, "archived_file": < "disposition": "Malicious", "identity": < "sha256": "46679a50632d05b99683a14b91a69ce908de1673fbb71e9cd325e5685fcd7e49" >>, "parent": < "process_id": 3416, "disposition": "Clean", "file_name": "explorer.exe", "identity": < "sha256": "80ef843fa78c33b511394a9c7535a9cbace1deb2270e86ee4ad2faffa5b1e7d2", "sha1": "ea97227d34b8526055a543ade7d18587a927f6a3", "md5": "15bc38a7492befe831966adb477cf76f" >> > > ] >

Ко второму типу API относятся:

  • Threat Grid API. Позволяет направлять подозрительные файлы для анализа в песочницу Threat Grid и получать вердикты об их статусе (“чистый” или вредоносный). В условиях, когда антивирусы перестают эффективно распознавать современные угрозы, интеграция с песочницей (а их в мире не так уж и много) становится обязательным элементов современной системы защиты. Кстати, одним из вариантов ответа на полученный на анализ файл является получение автоматически сгенерированной сигнатуры для Snort. Учитывая, что практически все отечественные системы обнаружения атак в основе своей построены на Snort, эта возможность будет очень полезной для многих применений.
  • OpenDNS Investigate API. Позволяет делать запросы к облачному сервису OpenDNS при проведении расследований, в т.ч. для анализа вредоносности доменов.
  • OpenDNS Umbrella API. Позволяет реализовывать пользовательские политики контроля доступа в Интернет, блокируя специфические домены, отсутствующие в базе OpenDNS.
https://panacea.threatgrid.com/api/v2/search/submissions?q=23aea7cf60fca3c6527c2b5255c6036f2dc414f8368196e198df091cf03dd95f&api_key=llgtslnd5cvb14h4p8m6e6s27f&before=2017-02-28&limit=1
< "api_version": 2, "id": 7589645, "data": < "index": 0, "total": 3, "took": 416, "timed_out": false, "items_per_page": 1, "current_item_count": 1, "items": [ < "item": < "properties": < "metadata": null >, "tags": [ "Kovter" ], "vm_runtime": 300, "md5": "f3247e81cc3474559d0e14e2f15837d0", "private": false, "organization_id": 1, "state": "succ", "login": "adminharry", "sha1": "bfafd7f2cd9adff7782f4854bc712bf134ad56f6", "sample": "9b7ad0711262b31219ea1d41119868d8", "filename": "23aea7cf60fca3c6527c2b5255c6036f2dc414f8368196e198df091cf03dd95f", "analysis": < "metadata": < "malware_desc": [ < "sha1": "bfafd7f2cd9adff7782f4854bc712bf134ad56f6", "magic": "PE32 executable (GUI) Intel 80386 (stripped to external PDB), for MS Windows", "filename": "23aea7cf60fca3c6527c2b5255c6036f2dc414f8368196e198df091cf03dd95f.exe", "size": 369566, "sha256": "23aea7cf60fca3c6527c2b5255c6036f2dc414f8368196e198df091cf03dd95f", "type": "exe", "md5": "f3247e81cc3474559d0e14e2f15837d0" >], "sandcastle_env": < "controlsubject": "winxp-x86-intel-2017.01.17", "vm": "winxp-x86", "vm_id": "9b7ad0711262b31219ea1d41119868d8", "sample_executed": 1487231873, "analysis_end": "2017-02-16T08:03:48Z", "analysis_start": "2017-02-16T07:57:01Z", "run_time": 300, "sandcastle": "3.4.36.10823.577ea7a-1", "current_os": "2600.xpsp.080413-2111" >, "general_details": < "report_created": "2017-02-16T08:03:57Z", "sandbox_version": "pilot-d", "sandbox_id": "car-work-074" >>, "behaviors": [ < "name": "excessive-suspicious-activity", "threat": 90 >, < "name": "pe-encrypted-section", "threat": 9 >, < "name": "process-check-virtualbox", "threat": 90 >, < "name": "memory-execute-readwrite", "threat": 25 >, < "name": "registry-autorun-key-bat-file", "threat": 95 >, < "name": "ie-proxy-disabled", "threat": 49 >, < "name": "malware-kovter-registry", "threat": 95 >, < "name": "registry-large-data-entry", "threat": 40 >, < "name": "service-dll-registration", "threat": 25 >, < "name": "files-created-batch", "threat": 25 >, < "name": "file-handler-registration", "threat": 85 >, < "name": "antivirus-service-flagged-artifact", "threat": 95 >, < "name": "registry-detection-productid", "threat": 42 >, < "name": "registry-script-detected", "threat": 25 >, < "name": "registry-ie-zone-settings-modified", "threat": 49 >, < "name": "modified-file-in-user-dir", "threat": 56 >, < "name": "registry-modified-rootcerts", "threat": 36 >, < "name": "registry-detection-bios", "threat": 42 >, < "name": "mshta-in-registry", "threat": 95 >, < "name": "registry-autorun-key-modified", "threat": 48 >], "threat_score": 95 >, "status": "job_done", "submitted_at": "2017-02-16T07:57:00Z", "sha256": "23aea7cf60fca3c6527c2b5255c6036f2dc414f8368196e198df091cf03dd95f" >, "score": 0.7660416, "matches": null > ] > >

Мы видим, что Threat Grid API возвращает нам значение уровня угрозы (threat) по стобалльной шкале для различных типов поведения файла (Threat Grid может оценивать до 800 различных параметров в зависимости от загруженного файла). Итоговое значение (threat_score) равно 95, что означает, что анализируемый файл является вредоносным.

Можно привести пример работы с еще одним API, позволяющим оценивать безопасность доменов, информацию о которых мы можем получать от МСЭ, почтовых шлюзов, прокси, средств контроля доступа в Интернет и т.п. С помощью OpenDNS Investigate API мы можем сформулировать запрос на проверку интересующего нас домена:

curl --include \ --header "Authorization: Bearer %YourToken%" \ https://investigate.api.opendns.com/security/name/.json

А в ответе мы получим значения различных параметров, по которым OpenDNS оценивает безопасность доменов, IP-адресов, автономных систем и т.п.:

К третьему типу API относятся:

image

  • Remediation API. Позволяет решениям третьих фирм управлять многофункциональной защитной платформой Cisco Firepower.
  • FirePOWER 9300 (SSP) REST API. Позволяет выстраивать конфигурационные сервисные цепочки.
  • Read/Write REST API for Firepower. Позволяет выполнять различные операции над объектами, с которыми работает Firepower.
  • Management API for ASA. Обеспечение управления Cisco ASA из решений третьих фирм, аудита политик ИБ и т.п.
  • CloudLock Enterprise API. Позволяет управлять платформой облачного контроля доступа Cisco CloudLock и формирования отчетов на основании полученной из CloudLock информации.
  • CloudLock Development API. Позволяет управлять облачными микро-сервисами.
  • pxGrid. API, который позволяет не только отдавать контекстную информацию, но и управлять сетевым доступом, блокируя через Cisco ISE пользователей и устройства на уровне коммутаторов, маршрутизаторов, точек доступа и т.п.
  • AMP for Endpoints API. Позволяет управлять черными списками приложений на AMP for Endpoints, переносить компьютеры из одной группы в другую и т.п.

К четвертому типу относятся

  • Threat Intelligence Director. Решение, которое позволяет многофункциональной платформе безопасности Cisco Firepower получать и коррелировать данные об угрозах (Threat Intelligence) не только от подразделения Cisco Talos, но и от внешних TI-платформ, поддерживающих протоколы и стандарты STIX и TAXII.
  • AMP Cloud-based API. API, который позволяет не только отдавать события безопасности, связанные с вредоносным кодом, но и получать доступ к внешним сервисам Threat Intelligence. Например, Cisco AMP for Endpoint может не только отправлять подозрительные файлы в облачную или локальную песочницу Cisco AMP Threat Grid, но и, например, в Virus Total.
  • DevNet. Это платформа, состоящая из двух частей. “Песочница” (DevNet Sandbox) обеспечивает доступ к программному и аппаратному обеспечению, физическому и виртуальному, для быстрой разработки и тестирования соответствующих решений. Работа с DevNet бесплатна и обеспечивается с любого устройства, подключенного к Интернет. Вторым компонентом DevNet является обучающая лаборатория (DevNet Learning Labs), которая предоставляет доступ к обучающему контенту, примерам кода, имеющим отношение к интеграции с решениями Cisco. Обучающая лаборатория также бесплатна и доступна для всех желающих. Большинство из упомянутых выше API представлены в DevNet, но есть и отдельные, более детальные разделы на сайте Cisco, погружающие вас с особенности программирования для решений Cisco по безопасности (для доступа к некоторым из них требуется иметь доступ к соответствующим продуктам или сервисам).
    image
  • Cisco Solution Partner Program (SPP). Если DevNet — это платформа, построенная по принципу самообслуживания, с помощью которой вы разрабатываете и тестируете свои интеграционные решения, то SPP — это уже следующий шаг, который подразумевает более формальные отношения с Cisco. Речь идет о независимом тестировании разработанного интеграционного решения, получении статуса технологического партнера и включении его решений в соответствующий каталог на сайте Cisco, к которому имеют доступ миллионы компаний по всему миру.

image

Для того, чтобы интегрировать свои SIEMы и SOCи с решениями Cisco достаточно просто зарегистрироваться на DevNet и, получив примеры кода, доработать свои решения, оснастив их соответствующими компонентами и программными вызовами через API. В принципе, уже этого достаточно для того, чтобы взаимодействовать с решениями Cisco по безопасности. Это полностью бесплатно (исключая оплату труда ваших программистов). Если же ваша задача выйти на международный рынок, продемонстрировать свои продукты широкой аудитории, доказать серьезные намерения по интеграции с Cisco, являющейся мировым лидером на рынке кибербезопасности, то необходимы определенные инвестиции и вступление в программу SPP. Именно по этому пути пошли такие компании как Check Point, ThreatQuotient, Anomali, Symantec и т.п.

image

Надеюсь, после такого краткого экскурса уже ни о кого не останется сомнений в том, что решения Cisco открыты как никто для интеграции с внешними продуктами и сервисами по безопасности. В этом направлении компания движется уже несколько лет, подтверждая ранее выдвинутый лозунг, которому следует подразделение Cisco по кибербезопасности, — «Open. Simple. Automation» (Открытость. Простота. Автоматизация).

  • Блог компании Cisco
  • Информационная безопасность
  • API

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *