Aruba ClearPass 정책 관리자
Aruba ClearPass Policy Manager용 JSA DSM은 Aruba ClearPass Policy Manager 서버에서 이벤트 로그를 수집할 수 있습니다.
다음 표는 Aruba ClearPass 정책 관리자 DSM의 사양을 식별합니다.
사양 |
값 |
|---|---|
제조업체 |
Aruba Networks |
DSM 이름 |
ClearPass |
RPM 파일 이름 |
DSM-ArubaClearPass-JSA_version-build_number.noarch.rpm |
지원되는 버전 |
6.5.0.71095 |
이벤트 형식 |
LEEF |
기록된 이벤트 유형 |
세션 감사 시스템 통찰력 |
자동으로 발견되었습니까? |
예 |
ID가 포함되어 있습니까? |
예 |
사용자 지정 속성을 포함합니까? |
아니요 |
자세한 정보 |
Aruba Networks 웹사이트(https://www.arubanetworks.com/products/security/) |
Aruba ClearPass Policy Manager를 JSA와 통합하려면 다음 단계를 완료하십시오.
자동 업데이트가 활성화되지 않은 경우, https://support.juniper.net/support/downloads/ 다음 RPM의 최신 버전을 다운로드하여 JSA 콘솔에 설치합니다.
Aruba ClearPass DSM RPM
DSMCommon RPM
JSA에 syslog 이벤트를 보내도록 Aruba ClearPass Policy Manager 디바이스를 구성합니다.
JSA가 로그 소스를 자동으로 감지하지 않으면 JSA 콘솔에 Aruba ClearPass 로그 소스를 추가합니다. 다음 표에서는 Aruba ClearPass Policy Manager 이벤트 수집에 특정 값이 필요한 매개 변수에 대해 설명합니다.
표 2: Aruba ClearPass 정책 관리자 로그 소스 매개 변수 매개 변수
값
로그 소스 유형
Aruba ClearPass 정책 관리자
프로토콜 구성
Syslog
JSA와 통신할 Aruba ClearPass 정책 관리자 구성
Aruba ClearPass Policy Manager에서 syslog 이벤트를 수집하려면 JSA 호스트에 대한 외부 syslog 서버를 추가한 다음 syslog 서버에 대한 하나 이상의 syslog 필터를 생성해야 합니다.
세션 및 인사이트 이벤트의 경우 전체 이벤트 구문 분석이 Aruba ClearPass Policy Manager에서 제공하는 기본 필드에만 작동합니다. 사용자가 생성하고 다양한 필드 조합을 갖는 세션 및 인사이트 이벤트가 알 수 없는 세션 로그 또는 알 수 없는 인사이트 로그로 나타날 수 있습니다.
다음 표에는 사용할 수 있는 필드 범주와 기본 필드가 표시됩니다.
| 내보내기 템플릿 |
사전 정의된 필드 그룹 |
기본 선택 열 |
|---|---|---|
| 인사이트 로그 |
Radius 인증 |
Auth.Username Auth.Host-MAC-Address Auth.Protocol Auth.NAS-IP-Address CppmNode.CPPM-Node Auth.로그인 상태 Auth.Service Auth.Roles Auth.Enforcement-Profiles |
| 인사이트 로그 |
Radius 실패 인증 |
Auth.Username Auth.Host-MAC-Address Auth.NAS-IP-Address CppmNode.CPPM-Node Auth.Service CppmErrorCode.Error-Code-Details Cppm알러트.알림 |
| 인사이트 로그 |
RADIUS 계정 |
Radius.사용자 이름 Radius.Calling-Station-Id Radius.Framed-IP-Address Radius.NAS-IP-Address Radius.Start-Time Radius.End-Time Radius.기간 Radius.Input-bytes Radius.출력 바이트 |
| 인사이트 로그 |
tacacs 인증 |
Tacacs. 사용자 Tacacs. 원격 주소 Tacacs. 요청 유형 Tacacs. NAS-IP-주소 Tacacs. 서비스 Tacacs. Auth-Source Tacacs. 역할 Tacacs. 정책 적용 프로필 Tacacs. 권한 수준 |
| 인사이트 로그 |
tacacs 실패 인증 |
Tacacs. 사용자 Tacacs. 원격 주소 Tacacs. 요청 유형 Tacacs. NAS-IP-주소 Tacacs. 서비스 CppmErrorCode.Error-Code-Details Cppm알러트.알림 |
| 인사이트 로그 |
웹 소스 |
Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol Auth.System-Posture-Token CppmNode.CPPM-Node Auth.로그인 상태 Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| 인사이트 로그 |
WEBAUTH 실패 인증 |
Auth.Username Auth.Host-MAC-Address Auth.Host-IP-Address Auth.Protocol Auth.System-Posture-Token CppmNode.CPPM-Node Auth.로그인 상태 Auth.Service CppmErrorCode.Error-Code-Details Cppm알러트.알림 |
| 인사이트 로그 |
애플리케이션 인증 |
Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Node Auth.로그인 상태 Auth.Service Auth.Source Auth.Roles Auth.Enforcement-Profiles |
| 인사이트 로그 |
실패한 애플리케이션 인증 |
Auth.Username Auth.Host-IP-Address Auth.Protocol CppmNode.CPPM-Node Auth.로그인 상태 Auth.Service CppmErrorCode.Error-Code-Details Cppm알러트.알림 |
| 인사이트 로그 |
끝점 |
엔드포인트.MAC-주소 Endpoint.MAC-Vendor 엔드포인트.IP-주소 Endpoint.사용자 이름 엔드포인트.디바이스-카테고리 엔드포인트.디바이스-제품군 Endpoint.디바이스 이름 엔드포인트.충돌 엔드포인트.상태 엔드포인트.추가-At 엔드포인트.업데이트-At |
| 인사이트 로그 |
인사이트 로그 |
Guest.Username Guest.MAC-Address Guest.Visitor-Name Guest.Visitor-Company Guest.Role-Name Guest.활성화 Guest.Created-At Guest.Starts-At Guest.Expires-At |
| 인사이트 로그 |
인사이트 로그 |
온보드엔롤먼트.사용자 이름 온보드Enrollment.디바이스 이름 온보드Enrollment.MAC-Address 온보드엔롤먼트.디바이스-제품 온보드엔롤먼트.디바이스 버전 온보드엔롤먼트.추가-At 온보드엔롤먼트.업데이트-At |
| 인사이트 로그 |
온보드 인증서 |
온보드Cert.사용자 이름 온보드Cert.Mac-Address 온보드Cert.subject 온보드Cert.Issuer 온보드Cert.Valid-From 온보드Cert.Valid-To 온보드Cert.취소-At |
| 인사이트 로그 |
온보드 OCSP |
온보드OCSP.Remote-Address 온보드OCSP.Response-Status-Name 온보드OCSP.타임스탬프 |
| 인사이트 로그 |
Clearpass 시스템 이벤트 |
CppmNode.CPPM-Node CppmSystemEvent.출처 CppmSystemEvent.Level CppmSystemEvent.category CppmSystemEvent.Action CppmSystemEvent.Timestamp |
| 인사이트 로그 |
Clearpass 구성 감사 |
CppmConfigAudit.Name CppmConfigAudit.Action CppmConfigAudit.category CppmConfigAudit.업데이트 CppmConfigAudit.업데이트-At |
| 인사이트 로그 |
자세 요약 |
엔드포인트.MAC-주소 엔드포인트.IP-주소 엔드포인트.호스트 이름 Endpoint.Usermame 엔드포인트.시스템 에이전트 유형 엔드포인트.System-Agent-Version 엔드포인트.System-Client-OS Endpoint.System-Posture-Token Endpoint.상태 양수 엔드포인트.상태 비정상 |
| 인사이트 로그 |
자세 방화벽 요약 |
엔드포인트.MAC-주소 엔드포인트.IP-주소 엔드포인트.호스트 이름 Endpoint.Usermame 엔드포인트.시스템 에이전트 유형 엔드포인트.System-Agent-Version 엔드포인트.System-Client-OS Endpoint.System-Posture-Token 엔드포인트.방화벽-APT 엔드포인트.방화벽 입력 엔드포인트.방화벽 출력 |
| 인사이트 로그 |
바이러스 차단 상태 요약 |
엔드포인트.MAC-주소 엔드포인트.IP-주소 엔드포인트.호스트 이름 Endpoint.Usermame 엔드포인트.시스템 에이전트 유형 엔드포인트.System-Agent-Version 엔드포인트.System-Client-OS Endpoint.System-Posture-Token 엔드포인트.바이러스 차단-APT 엔드포인트.바이러스 차단 입력 끝점. 안티바이러스 출력 |
| 인사이트 로그 |
자세 안티스피웨어 요약 |
엔드포인트.MAC-주소 엔드포인트.IP-주소 엔드포인트.호스트 이름 Endpoint.Usermame 엔드포인트.시스템 에이전트 유형 엔드포인트.System-Agent-Version 엔드포인트.System-Client-OS Endpoint.System-Posture-Token 엔드포인트.안티스피웨어-APT 엔드포인트.스피웨어 입력 차단 엔드포인트.스피웨어 출력 차단 |
| 인사이트 로그 |
자세 디스크 암호화 요약 |
엔드포인트.MAC-주소 엔드포인트.IP-주소 엔드포인트.호스트 이름 Endpoint.Usermame 엔드포인트.시스템 에이전트 유형 엔드포인트.System-Agent-Version 엔드포인트.System-Client-OS Endpoint.System-Posture-Token 엔드포인트.DiskEncryption-APT 엔드포인트.DiskEncryption-Input 엔드포인트.DiskEncryption-Output |
| 인사이트 로그 |
자세 Windows 핫픽스 요약 |
엔드포인트.MAC-주소 엔드포인트.IP-주소 엔드포인트.호스트 이름 Endpoint.Usermame 엔드포인트.시스템 에이전트 유형 엔드포인트.System-Agent-Version 엔드포인트.System-Client-OS Endpoint.System-Posture-Token 엔드포인트.HotFixes-APT Endpoint.HotFixes-Input Endpoint.HotFixes-출력 |
| 세션 로그 |
로그인한 사용자 |
공통.사용자 이름 Common.Service 공통.역할 Common.host-MAC-Address RADIUS. Acct-Framed-IP-Address Common.NAS-IP-Address Common.Request-Timestamp |
| 세션 로그 |
실패한 인증 |
공통.사용자 이름 Common.Service 공통.역할 RADIUS. Auth-Source RADIUS. Auth 방법 Common.System-Posture-Token 공통.정책 적용 프로필 Common.host-MAC-Address Common.NAS-IP-Address Common.Error-Code 공통.경고 Common.Request-Timestamp |
| 세션 로그 |
RADIUS 계정 |
RADIUS. Acct-Username RADIUS. Acct-NAS-IP-Address RADIUS. Acct-NAS-포트 RADIUS. Acct-NAS-Port-Type RADIUS. Acct-Calling-Station-Id RADIUS. Acct-Framed-IP-Address RADIUS. Acct-Session-Id RADIUS. Acct-Session-Time RADIUS. Acct-출력-Pkts RADIUS. Acct-Input-Pkts RADIUS. Acct-출력-옥텟 RADIUS. Acct-Input.옥텟 RADIUS. Acct-Service-Name RADIUS. Acct-Timestamp |
| 세션 로그 |
tacacs+ 관리 |
공통.사용자 이름 Common.Service Tacacs. 원격 주소 Tacacs. Privilege.Level Common.Request-Timestamp |
| 세션 로그 |
tacacs+ 어카운팅 |
공통.사용자 이름 Common.Service Tacacs. 원격 주소 Tacacs. Acct-Flags Tacacs. Privilege.Level Common.Request-Timestamp |
| 세션 로그 |
웹 인증 |
공통.사용자 이름 Common.host-MAC-Address 웹 소스입니다. Host-IP-Address 공통.역할 Common.System-Posture-Token 공통.정책 적용 프로필 Common.Request-Timestamp |
| 세션 로그 |
게스트 액세스 |
공통.사용자 이름 RADIUS. Auth 방법 Common.host-MAC-Address 공통.역할 Common.System-Posture-Token 공통.정책 적용 프로필 Common.Request-Timestamp |
Aruba ClearPass Policy Manager 서버에 로그인합니다.
관리 콘솔을 시작합니다.
외부 서버 >Syslog Target을 클릭합니다.
추가를 클릭한 다음 JSA 호스트에 대한 세부 정보를 구성합니다.
관리 콘솔에서 외부 서버 >Syslog 내보내기 필터를 클릭합니다.
추가를 클릭합니다.
내보내기 이벤트 형식 유형에 대해 LEEF를 선택한 다음 추가한 Syslog 서버를 선택합니다.
저장을 클릭합니다.