Gestionnaire de stratégies Aruba ClearPass
JSA DSM pour Aruba ClearPass Policy Manager peut collecter les journaux d’événements à partir de vos serveurs Aruba ClearPass Policy Manager.
Le tableau suivant identifie les spécifications d’Aruba ClearPass Policy Manager DSM :
Spécification |
Valeur |
|---|---|
Fabricant |
Aruba Networks |
Nom DSM |
Passe-clair |
Nom de fichier RPM |
DSM-ArubaClearPass-JSA_version-build_number.noarch.rpm |
Versions prises en charge |
6.5.0.71095 |
Format de l’événement |
LEEF (en anglais seulement) |
Types d’événements enregistrés |
Session Audit Système Perspicacité |
Détecté automatiquement ? |
Oui |
Inclut l’identité ? |
Oui |
Inclut des propriétés personnalisées ? |
Non |
Plus d’informations |
Site Web d’Aruba Networks (https://www.arubanetworks.com/products/security/) |
Pour intégrer Aruba ClearPass Policy Manager à JSA, procédez comme suit :
Si les mises à jour automatiques ne sont pas activées, téléchargez et installez la version la plus récente des RPM suivants à partir du https://support.juniper.net/support/downloads/ sur votre console JSA :
Aruba ClearPass DSM RPM
DSMCommon RPM
Configurez votre équipement Aruba ClearPass Policy Manager pour qu’il envoie des événements syslog à JSA.
Si JSA ne détecte pas automatiquement la source du journal, ajoutez une source de journal Aruba ClearPass sur la console JSA . Le tableau suivant décrit les paramètres qui nécessitent des valeurs spécifiques pour la collecte d’événements Aruba ClearPass Policy Manager :
Tableau 2 : paramètres de source du journal Aruba ClearPass Policy Manager Paramètre
Valeur
Type de source du journal
Gestionnaire de stratégies Aruba ClearPass
Configuration du protocole
Syslog
Configuration d’Aruba ClearPass Policy Manager pour communiquer avec JSA
Pour collecter les événements syslog à partir d’Aruba ClearPass Policy Manager, vous devez ajouter un serveur syslog externe pour l’hôte JSA , puis créer un ou plusieurs filtres syslog pour votre serveur syslog.
Pour les événements Session et Insight, l’analyse complète des événements ne fonctionne que pour les champs par défaut fournis par Aruba ClearPass Policy Manager. Les événements de session et d’analyse créés par un utilisateur et comportant différentes combinaisons de champs peuvent s’afficher sous la forme Journal de session inconnu ou Journal d’aperçu inconnu.
Le tableau suivant présente les catégories de champs et leurs champs par défaut que vous pouvez utiliser :
| Modèle d’exportation |
Groupes de champs prédéfinis |
Colonnes sélectionnées par défaut |
|---|---|---|
| Journaux d’analyse |
Authentifications Radius |
Auth.Username Auth.Host-MAC-Address Auth.Protocol Auth.NAS-IP-Address CppmNode.CPPM-Noeud Auth.Login-Status Service d’authentification Auth.Roles Auth.Enforcement-Profiles |
| Journaux d’analyse |
Échec des authentifications Radius |
Auth.Username Auth.Host-MAC-Address Auth.NAS-IP-Address CppmNode.CPPM-Noeud Service d’authentification CppmErrorCode.Error-Code-Details CppmAlert.Alertes |
| Journaux d’analyse |
Comptabilité RADIUS |
Radius.Username Radius.Calling-Station-Id Radius.Framed-IP-Address Radius.NAS-IP-Address Heure de début de rayon Heure de fin de rayon Durée.Rayon Radius.Octets d’entrée Radius.Octets de sortie |
| Journaux d’analyse |
Authentification tacacs |
tacacs. Nom d’utilisateur tacacs. Adresse distante tacacs. Type de requête tacacs. Adresse IP NAS tacacs. Service tacacs. Source d’authentification tacacs. Rôles tacacs. Profils d’application tacacs. Niveau de privilège |
| Journaux d’analyse |
tacacs Échec de l’authentification |
tacacs. Nom d’utilisateur tacacs. Adresse distante tacacs. Type de requête tacacs. Adresse IP NAS tacacs. Service CppmErrorCode.Error-Code-Details CppmAlert.Alertes |
| Journaux d’analyse |
AUTHENTIFICATION WEB |
Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol auth.system-posture-token CppmNode.CPPM-Noeud Auth.Login-Status Service d’authentification Source d’authentification Auth.Roles Auth.Enforcement-Profiles |
| Journaux d’analyse |
Échecs d’authentification WEBAUTH |
Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol auth.system-posture-token CppmNode.CPPM-Noeud Auth.Login-Status Service d’authentification CppmErrorCode.Error-Code-Details CppmAlert.Alertes |
| Journaux d’analyse |
Authentification des applications |
Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Noeud Auth.Login-Status Service d’authentification Source d’authentification Auth.Roles Auth.Enforcement-Profiles |
| Journaux d’analyse |
Échec de l’authentification des applications |
Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Noeud Auth.Login-Status Service d’authentification CppmErrorCode.Error-Code-Details CppmAlert.Alertes |
| Journaux d’analyse |
Terminaison |
Adresse Endpoint.MAC Fournisseur Endpoint.MAC Adresse IP-point de terminaison Endpoint.Username Catégorie d’équipementsEndpoint.Device-Category Endpoint.Device-Family Nom_de_l’appareil Conflit.Point de terminaison Statut.Point de terminaison Endpoint.Added-At Endpoint.Updated-at |
| Journaux d’analyse |
Journaux d’analyse |
Nom d’utilisateur.Invité Adresse Guest.MAC Nom_Visiteur_Invité Entreprise-Invité.Visiteur Guest.Role-Name Invité.Activé Invité.Créé-À Guest.Starts-À Guest.Expires-At (Invité.Expire-à) |
| Journaux d’analyse |
Journaux d’analyse |
OnboardEnrollment.Username OnboardEnrollment.Device-Name OnboardEnrollment.MAC-Address OnboardEnrollment.Device-Product OnboardEnrollment.Device-Version OnboardEnrollment.Added-At OnboardEnrollment.Updated-at |
| Journaux d’analyse |
Certificat embarqué |
OnboardCert.Username Adresse OnboardCert.Mac OnboardCert.Subject OnboardCert.Issuer OnboardCert.Valid-From OnboardCert.Valid-To OnboardCert.Revoked-At |
| Journaux d’analyse |
OCSP intégré |
Adresse distantOCSP.intégrée IntégrerOCSP.Response-Status-Name IntégrationOCSP.Timestamp |
| Journaux d’analyse |
Événements du système Clearpass |
CppmNode.CPPM-Noeud CppmSystemEvent.Source (en anglais) CppmSystemEvent.Level CppmSystemEvent.Category CppmSystemEvent.Action CppmSystemEvent.Timestamp |
| Journaux d’analyse |
Clearpass Configuration Audit |
CppmConfigAudit.Name CppmConfigAudit.Action CppmConfigAudit.Category CppmConfigAudit.Updated-By CppmConfigAudit.Updated-at |
| Journaux d’analyse |
Résumé de la posture |
Adresse Endpoint.MAC Adresse IP-point de terminaison Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Posture-Healthy Endpoint.Posture-Unhealthy |
| Journaux d’analyse |
Résumé du pare-feu Posture |
Adresse Endpoint.MAC Adresse IP-point de terminaison Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Firewall-APT Endpoint.Firewall-Input Endpoint.Firewall-Output |
| Journaux d’analyse |
Résumé de Posture Antivirus |
Adresse Endpoint.MAC Adresse IP-point de terminaison Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Antivirus-APT Endpoint.Antivirus-Input Extrémité. Sortie antivirus |
| Journaux d’analyse |
Résumé de Posture Antispyware |
Adresse Endpoint.MAC Adresse IP-point de terminaison Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.Antispyware-APT Endpoint.Antispyware-Input Endpoint.Antispyware-Output |
| Journaux d’analyse |
Récapitulatif de Posture DiskEncryption |
Adresse Endpoint.MAC Adresse IP-point de terminaison Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.DiskEncryption-APT Endpoint.DiskEncryption-Input Endpoint.DiskEncryption-Output |
| Journaux d’analyse |
Correctifs Windows de posturePosture correctifs Windows Résumé |
Adresse Endpoint.MAC Adresse IP-point de terminaison Endpoint.Hostname Endpoint.Usermame Endpoint.System-Agent-Type Endpoint.System-Agent-Version Endpoint.System-Client-OS Endpoint.System-Posture-Token Endpoint.HotFixes-APT Endpoint.HotFixes-Input Endpoint.HotFixes-Output |
| Journaux de session |
Utilisateurs connectés |
Common.Username Service.Commun Rôles*Communs Adresse_MAC-Common.Host RAYON. adresse IP tramée sur acct Adresse IP.NAS commune Common.Request-Timestamp |
| Journaux de session |
Échecs d’authentification |
Common.Username Service.Commun Rôles*Communs RAYON. Source d’authentification RAYON. Méthode d’authentification Common.System-Posture-Token Common.Enforcement-Profiles Adresse_MAC-Common.Host Adresse IP.NAS commune Code d’erreur commun Alertes.Common.Alerts Common.Request-Timestamp |
| Journaux de session |
Comptabilité RADIUS |
RAYON. nom d’utilisateur acct RAYON. Adresse IP Acct-NAS RAYON. port acct-NAS RAYON. TYPE DE PORT ACCT-NAS RAYON. ID de la station d’appel de compte RAYON. adresse IP tramée sur acct RAYON. Acct-session-id RAYON. Acct-session-time RAYON. acct-output-pkts RAYON. acct-input-pkts RAYON. Octets-de-sortie-acct RAYON. Acct-Input.Octets RAYON. Acct-Service-Name RAYON. Horodatage de compte |
| Journaux de session |
administration de tacacs+ |
Common.Username Service.Commun tacacs. Adresse distante tacacs. Niveau*Privilège Common.Request-Timestamp |
| Journaux de session |
tacacs+ Comptabilité |
Common.Username Service.Commun tacacs. Adresse distante tacacs. Indicateurs de compte tacacs. Niveau*Privilège Common.Request-Timestamp |
| Journaux de session |
Authentification Web |
Common.Username Adresse_MAC-Common.Host WEBAUTH. Adresse_IP de l’hôte Rôles*Communs Common.System-Posture-Token Common.Enforcement-Profiles Common.Request-Timestamp |
| Journaux de session |
Accès invité |
Common.Username RAYON. Méthode d’authentification Adresse_MAC-Common.Host Rôles*Communs Common.System-Posture-Token Common.Enforcement-Profiles Common.Request-Timestamp |
Connectez-vous à votre serveur Aruba ClearPass Policy Manager.
Démarrez la console d’administration.
Cliquez sur Serveurs externes >Cibles Syslog.
Cliquez sur Ajouter, puis configurez les détails de l’hôte JSA .
Dans la console d’administration, cliquez sur Serveurs externes >Filtres d’exportation Syslog
Cliquez sur Ajouter.
Sélectionnez LEEF pour le type de format d’événement d’exportation, puis sélectionnez le serveur Syslog que vous avez ajouté.
Cliquez sur Save (Enregistrer).