Aruba ClearPass 策略管理器
适用于 Aruba ClearPass 策略管理器的 JSA DSM 可以从 Aruba ClearPass Policy Manager 服务器收集事件日志。
下表标识了 Aruba ClearPass Policy Manager DSM 的规格:
规范 |
价值 |
|---|---|
制造商 |
Aruba Networks |
DSM 名称 |
ClearPass |
RPM 文件名 |
DSM-ArubaClearPass-JSA_version-build_number.noarch.rpm |
支持的版本 |
6.5.0.71095 |
事件格式 |
LEEF |
记录的事件类型 |
会话 审计 系统 洞察 力 |
自动发现? |
是的 |
包括身份信息? |
是的 |
包括自定义属性? |
不 |
更多信息 |
Aruba Networks 网站 (https://www.arubanetworks.com/products/security/) |
要将 Aruba ClearPass Policy Manager 与 JSA 集成,请完成以下步骤:
如果未启用自动更新,请从 https://support.juniper.net/support/downloads/ 将以下 RPM 的最新版本下载并安装到 JSA 控制台:
Aruba ClearPass DSM RPM
DSMCommon RPM
配置 Aruba ClearPass Policy Manager 设备,将系统日志事件发送到 JSA。
如果 JSA 未自动检测到日志源,请向 JSA 控制台添加 Aruba ClearPass 日志源。下表介绍了需要 Aruba ClearPass Policy Manager 事件收集特定值的参数:
表 2:Aruba ClearPass Policy Manager 日志源参数 参数
价值
日志源类型
Aruba ClearPass 策略管理器
协议配置
Syslog
配置 Aruba ClearPass Policy Manager 以与 JSA 通信
要从 Aruba ClearPass Policy Manager 收集系统日志事件,您必须为 JSA 主机添加一个外部系统日志服务器,然后为您的系统日志服务器创建一个或多个系统日志过滤器。
对于会话和见解事件,完整事件解析仅适用于 Aruba ClearPass Policy Manager 提供的默认字段。由用户创建并具有不同字段组合的会话和见解事件可能会显示为 “未知会话日志”或 “未知见解日志”。
下表显示了可以使用的字段类别及其默认字段:
| 导出模板 |
预定义字段组 |
默认选择的列 |
|---|---|---|
| 见解日志 |
Radius 身份验证 |
Auth.用户名 Auth.host-MAC-address Auth.协议 Auth.NAS-IP 地址 CppmNode.CPPM-Node Auth.登录状态 Auth.服务 Auth.角色 Auth.Enforcement-配置文件 |
| 见解日志 |
Radius 身份验证失败 |
Auth.用户名 Auth.host-MAC-address Auth.NAS-IP 地址 CppmNode.CPPM-Node Auth.服务 CppmErrorCode.error-Code-details CppmAlert.警报 |
| 见解日志 |
RADIUS 计费 |
Radius.用户名 Radius.呼叫站-ID Radius.帧d-IP 地址 Radius.NAS-IP 地址 Radius.Start-Time Radius.结束时间 Radius.持续时间 Radius。输入字节 Radius.输出字节 |
| 见解日志 |
tacacs 身份验证 |
tacacs。用户 tacacs。远程地址 tacacs。请求类型 tacacs。NAS-IP 地址 tacacs。服务 tacacs。验证源 tacacs。角色 tacacs。实施配置文件 tacacs。权限级别 |
| 见解日志 |
tacacs 身份验证失败 |
tacacs。用户 tacacs。远程地址 tacacs。请求类型 tacacs。NAS-IP 地址 tacacs。服务 CppmErrorCode.error-Code-details CppmAlert.警报 |
| 见解日志 |
WEBAUTH |
Auth.用户名 Auth.host-MAC-address Auth.Host-IP 地址 Auth.协议 Auth.system-Posture-令牌 CppmNode.CPPM-Node Auth.登录状态 Auth.服务 Auth.Source Auth.角色 Auth.Enforcement-配置文件 |
| 见解日志 |
WEBAUTH 身份验证失败 |
Auth.用户名 Auth.host-MAC-address Auth.Host-IP 地址 Auth.协议 Auth.system-Posture-令牌 CppmNode.CPPM-Node Auth.登录状态 Auth.服务 CppmErrorCode.error-Code-details CppmAlert.警报 |
| 见解日志 |
应用程序身份验证 |
Auth.用户名 Auth.Host-IP 地址 Auth.协议 CppmNode.CPPM-Node Auth.登录状态 Auth.服务 Auth.Source Auth.角色 Auth.Enforcement-配置文件 |
| 见解日志 |
应用程序身份验证失败 |
Auth.用户名 Auth.Host-IP 地址 Auth.协议 CppmNode.CPPM-Node Auth.登录状态 Auth.服务 CppmErrorCode.error-Code-details CppmAlert.警报 |
| 见解日志 |
端点 |
端点.MAC 地址 端点。MAC 供应商 端点.IP 地址 端点.用户名 端点.设备类别 端点.设备家族 端点.设备名称 端点.冲突 端点。状态 Endpoint.added-at Endpoint.updated-at |
| 见解日志 |
见解日志 |
访客.用户名 访客.MAC 地址 访客姓名 访客-公司 访客.角色名称 来宾。已启用 Guest.created-at 来宾.开始-at 访客.到期-at |
| 见解日志 |
见解日志 |
板载注册.用户名 板载注册.device-name 板载注册.MAC 地址 板载Rollment.device-product 板载更新.device-版本 载入注册。添加 载入注册.更新-at |
| 见解日志 |
载入证书 |
板载认证.用户名 板载认证.Mac 地址 板载认证主题 板载证书颁发者 板载认证.valid-from 板载认证.valid-to 板载认证撤销的 At |
| 见解日志 |
板载 OCSP |
板载OCSP.远程地址 板载OCSP.response-status-name 板载OCSP.时间戳 |
| 见解日志 |
Clearpass 系统事件 |
CppmNode.CPPM-Node CppmSystemEvent.Source CppmSystemEvent.Level CppmSystemEvent.Category CppmSystemEvent.Action CppmSystemEvent.时间戳 |
| 见解日志 |
Clearpass 配置审计 |
CppmConfigAudit.Name CppmConfigAudit.Action CppmConfigAudit.Category CppmConfigAudit.updated-by CppmConfigAudit.updated-at |
| 见解日志 |
态势摘要 |
端点.MAC 地址 端点.IP 地址 端点.主机名 Endpoint.Usermame 端点。System-Agent 类型 端点。System-Agent 版本 端点。System-Client-OS 端点。System-Posture-令牌 端点。运行状况良好 端点。运行状况不佳 |
| 见解日志 |
态势防火墙摘要 |
端点.MAC 地址 端点.IP 地址 端点.主机名 Endpoint.Usermame 端点。System-Agent 类型 端点。System-Agent 版本 端点。System-Client-OS 端点。System-Posture-令牌 端点。Firewall-APT 端点.Firewall 输入 端点.防火墙输出 |
| 见解日志 |
态势防病毒摘要 |
端点.MAC 地址 端点.IP 地址 端点.主机名 Endpoint.Usermame 端点。System-Agent 类型 端点。System-Agent 版本 端点。System-Client-OS 端点。System-Posture-令牌 端点。防病毒-APT 端点。防病毒输入 端点。防病毒输出 |
| 见解日志 |
态势反间谍软件摘要 |
端点.MAC 地址 端点.IP 地址 端点.主机名 Endpoint.Usermame 端点。System-Agent 类型 端点。System-Agent 版本 端点。System-Client-OS 端点。System-Posture-令牌 端点。反间谍软件-APT 端点。反间谍软件输入 端点。反间谍软件输出 |
| 见解日志 |
态势盘加密摘要 |
端点.MAC 地址 端点.IP 地址 端点.主机名 Endpoint.Usermame 端点。System-Agent 类型 端点。System-Agent 版本 端点。System-Client-OS 端点。System-Posture-令牌 Endpoint.DiskEncryption-APT 端点.disk加密输入 端点.磁盘加密输出 |
| 见解日志 |
态势 Windows 多文功能区 总结 |
端点.MAC 地址 端点.IP 地址 端点.主机名 Endpoint.Usermame 端点。System-Agent 类型 端点。System-Agent 版本 端点。System-Client-OS 端点。System-Posture-令牌 端点.热修复-APT 端点.热修复-输入 端点.热修复-输出 |
| 会话日志 |
已登录用户 |
通用.用户名 Common.Service 通用.角色 通用.Host-MAC 地址 半径。Acct-Framed-IP 地址 通用.NAS-IP 地址 通用.request-时间戳 |
| 会话日志 |
身份验证失败 |
通用.用户名 Common.Service 通用.角色 半径。验证源 半径。验证方法 Common.system-Posture-令牌 通用.enforcement-配置文件 通用.Host-MAC 地址 通用.NAS-IP 地址 通用.错误码 通用.警报 通用.request-时间戳 |
| 会话日志 |
RADIUS 计费 |
半径。Acct-用户名 半径。Acct-NAS-IP 地址 半径。Acct-NAS 端口 半径。Acct-NAS 端口类型 半径。Acct-呼叫站-ID 半径。Acct-Framed-IP 地址 半径。Acct-Session-ID 半径。Acct-Session-Time 半径。Acct-Output-Pkt 半径。Acct-Input-Pkt 半径。Acct-output-八位位位位组 半径。Acct-input.八位组 半径。Acct-Service-name 半径。Acct 时间戳 |
| 会话日志 |
tacacs+ 管理 |
通用.用户名 Common.Service tacacs。远程地址 tacacs。权限级别 通用.request-时间戳 |
| 会话日志 |
tacacs+ 计费 |
通用.用户名 Common.Service tacacs。远程地址 tacacs。Acct-Flags tacacs。权限级别 通用.request-时间戳 |
| 会话日志 |
Web 身份验证 |
通用.用户名 通用.Host-MAC 地址 WEBAUTH。主机 IP 地址 通用.角色 Common.system-Posture-令牌 通用.enforcement-配置文件 通用.request-时间戳 |
| 会话日志 |
访客访问 |
通用.用户名 半径。验证方法 通用.Host-MAC 地址 通用.角色 Common.system-Posture-令牌 通用.enforcement-配置文件 通用.request-时间戳 |
登录 Aruba ClearPass Policy Manager 服务器。
启动管理控制台。
单击 “外部服务器>系统日志目标”。
单击 Add,然后配置 JSA 主机的详细信息。
在管理控制台上,单击 外部服务器>系统日志导出过滤器
单击 Add。
为导出事件格式类型选择 LEEF,然后选择您添加的 Syslog 服务器。
单击 “保存”。