Next Generation Profiling Cisco ISE 2 7 Cisco

Next Generation Profiling アジェンダ Cisco ISE 2. 7 新機能 Cisco ISE Release Model まとめ

Next Generation Profiling © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public

現在のプロファイリング © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public

現在のプロファイリング収集データ (Probe) の例 RADIUS Probe DHCP Probe RADIUS (ACIDex) Probe SNMP Probe HTTP

現在のプロファイリング RADIUS Probe 認証・認可時に RADIUS client (SW/WLC) から Serverに送信される Attributeを収集 RADIUS probeによって収集される共通アトリビュート

現在のプロファイリング DHCP/DHCP SPAN Probe DHCP Probe： DHCPリレー(ip helper-address)設定をする際、Cisco ISE PSNを追加 DHCP SPAN Probe： SWでSPAN/RSPANでCisco

現在のプロファイリング Active Directory (AD) Probe Cisco ISEを介したActive Directoryでの認証時、各アトリビュートを収集 AD probeによって収集されるアトリビュート • • •

現在のプロファイリング NMAP Probe NMAPスキャンにより、ホストごとの OS, バージョン, アプリを検出 NMAP probeによるオペレーション • • • Operating

DCSによる異常検知 (Anomaly Detection) Anomaly detection features MAC スプーフィング MAC address (移動) (A printer

マシンラーニング – 自動化されたエンドポイント分類ルールとラベル作成デバイスデータレイク Known DBSCAN パラメータ値に基づいて値が密集したエンドポイントをグループ化する密度ベース

Cisco DNAC と Cisco ISE ユーザエクスペリエンス Phase 1 - 2020年 3月予定 • •

Cisco ISE 2. 7 新機能 (一部 2. 6機能も含む） © 2019 Cisco and/or its affiliates.

Cisco ISEの新機能追加と品質改善の取り組み * Only ready on ISE platform Ecosystem Integrations REST support for external

改善されたスケールとパフォーマンス 2. 6 1: 1 redundancy § 物理環境と仮想環境の両方に適用 § ロードバランサーとの互換性あり Lab and Evaluation

Cisco ISE Release Model © 2019 Cisco and/or its affiliates. All rights reserved. Cisco

このセッションで説明した内容: • セッションのまとめ • • © 2019 Cisco and/or its affiliates. All rights reserved.

Slides: 31

Download presentation

現在のプロファイリング RADIUS Probe 認証・認可時に RADIUS client (SW/WLC) から Serverに送信される Attributeを収集 RADIUS probeによって収集される共通アトリビュート • • • User-Name Calling-Station-Id Called-Station-Id Framed-IP-Address NAS-Port-Type NAS-Port-Id NAS-Identifier Device Type (NAD) Location (NAD) Authentication Policy Authorization Policy Calling-Station-id には、MACアドレスが含まれている © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public

現在のプロファイリング DHCP/DHCP SPAN Probe DHCP Probe： DHCPリレー(ip helper-address)設定をする際、Cisco ISE PSNを追加 DHCP SPAN Probe： SWでSPAN/RSPANでCisco ISE PSNへ送信 DHCP/DHCP SPAN probeによって収集されるアトリビュート © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public • DHCPv 4 Options - client-fqdn (Option 81) - dhcp-class-identifier (Option 60) - dhcp-client-identifier (Option 61) - dhcp-message-type (Option 53) - dhcp-parameter-request-list (Option 55) - dhcp-requested-address (Option 50) - dhcp-user-class-id (Option 77) - host-name (Option 12) - mud-url (Option 161) • DHCPv 6 Options - dhcpv 6 -user-class (Option 15) - dhcpv 6 -vendor-class (Option 16) - dhcpv 6 -vendor-opts (Option 17) - dhcpv 6 -mud-url (Option 112)

現在のプロファイリング Active Directory (AD) Probe Cisco ISEを介したActive Directoryでの認証時、各アトリビュートを収集 AD probeによって収集されるアトリビュート • • • AD-Host-Exists AD-Join-Point AD-Operating-System AD-OS-Version AD-Service-Pack 下記の情報は、各々のProbeとAD Probeが連携して取得可能となる • Hostname (DHCP probe) • FQDN (DNS probe) • User-Name (RADIUS probe - Machine Authentication) © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public

現在のプロファイリング NMAP Probe NMAPスキャンにより、ホストごとの OS, バージョン, アプリを検出 NMAP probeによるオペレーション • • • Operating System Scan SNMP Port Scan Common Ports Scan Custom Ports Scan SMB Discovery Operating System (OS) Scan performs an “nmap -O” (OS detection) operation to determine an endpoint’s OS and version. This is an intensive operation. Over 2, 500 TCP ports are used in OS detection scanning as well as ICMP and UDP port 51824. SMB Discovery performs an “nmap --script smbos-discovery” to extract operating system, computer name, domain, workgroup, and Common Platform Enumeration (CPE) info over the SMB protocol (ports 445 or 139). © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public

DCSによる異常検知 (Anomaly Detection) Anomaly detection features MAC スプーフィング MAC address (移動) (A printer in floor-1 today showing up in floor-3) MAC address (異変) (Wired MAC showing up in WL network or vice versa ) デバイス特性の変化 Cisco ISE / Cisco DNAC (today) Next Gen Profiling DCS/ISE ISE DCS デュアルホーミング (Multiple concurrent network connection from same host) NAT / Tethering © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public ISE DCS

マシンラーニング – 自動化されたエンドポイント分類ルールとラベル作成デバイスデータレイク Known DBSCAN パラメータ値に基づいて値が密集したエンドポイントをグループ化する密度ベースクラスタリングアルゴリズム Rule Creation DBSCANの結果に Active Learning Engine カスタマーAは、エンドポイン Crowd Sourcing Engine カスタマーBは、カスタマーAから基づいてエンドポイントをグループ化するルールを作成トが何であるかをラーニングエンジンに教えるエンドポイントラベルを提案され確認・検証する These devices have been classified as “Bosch Tassimo Vivy 2” coffee machines. Do you confirm? i. Phones Customer A Third Party SD-AVC DCS on Cisco DNA ISE Unknown These are “Bosch Tassimo Vivy 2” coffee machines. Netflow ラベルの検証 © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Customer B Confirm these are “Bosch Tassimo Vivy 2” coffee machines.

Cisco DNAC と Cisco ISE ユーザエクスペリエンス Phase 1 - 2020年 3月予定 • • Cisco ISE と C 9 K/Telemetry Sensor は、プローブ情報をDCS へ送信 DCS が、エンドポイントを分類 DCS は、Px. Gridを介して Cisco ISEに対して分類情報を送る Cisco ISE Auth. Z/Policy 機能を使用する Phase 2 – 2020年 6月予定（セグメンテーションの統合) • • Cisco ISE と C 9 K/Telemetry Sensor は、プローブ情報をDCSへ送信 DCS が、エンドポイントを分類セグメンテーションワークフロー用に Cisco DNACで Auth. Z が動作 Cisco ISE は、バックグランドランタイムとして動作し、ユーザはCisco DNAC とだけ対話する © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Profiling Auth. Z Probe Data Classifications Profiling, Auth. Z, Segmentation Runtime Only Probe Data to Runtime

Cisco ISEの新機能追加と品質改善の取り組み * Only ready on ISE platform Ecosystem Integrations REST support for external Admins Multiple Cisco DNAC-ISE integration* User and Device context in Tetration Posture: Grace Period Posture: Custom messages Incident Response via IBM Q-Radar User Private Network (UPN) Simplified Guest Experience Manufacturer Usage Description Unique Device Identifier UI: Guided Walkthroughs 2 million concurrent endpoints Large VMs and SNS 3600 appliances Secure SMTP 次頁以降で詳細説明 Reliable profiling Threat Containment Onboarding Visibility & Context Platform © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Profiling ownership | Stable static classification WAN Survivability Lightweight session DB on PSNs Newer appliances Faster Mn. T performance Suggested Rel. Cisco ISE 2. 6 と 2. 7 の機能 (2. 7にて日本語も正式サポート） Cisco ISE 2. 4 as suggested release 品質フォーカス

改善されたスケールとパフォーマンス 2. 6 1: 1 redundancy § 物理環境と仮想環境の両方に適用 § ロードバランサーとの互換性あり Lab and Evaluation Small HA Deployment Small Multi-node Deployment Large Deployment 2 x (PAN+MNT+PSN) 2 x (PAN+MNT), <= 5 PSN 2 PAN, 2 MNT, <=50 PSN 100 Endpoints 20, 000 Endpoints 500, 000 Endpoints 100 Endpoints 50, 000 Endpoints 2 Million Endpoints © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public 35 xx (EOS) 36 xx

このセッションで説明した内容: • セッションのまとめ • • © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public Next Generation Profiling機能新たにリリースされた Cisco Identity Services Engine 2. 7 の一部機能新たな Cisco ISE のソフトウェアリリースモデル