Cisco Cisco Identity Services Engine 1.3 전단

114페이지

보안

액세스 방법 가이드

Cisco 모범 사례: 일반적으로, CF 값을 기본 설정으로 유지하는 것이 좋습니다. 특정 프로파일 할당을 우선 적용하기 위해 기본 설정을 수정해야 하는

경우

원하는 기본 설정 프로파일의 규칙 값을 원하는 정책 할당을 적용할 수 있는 최솟값으로 높이십시오.

사용자

지정 프로파일을 생성하는 경우 CF의 초기 값을 다른 프로파일에 비해 상대적으로 낮게 유지하거나 다른 프로파일에 설정된

값과

동일하게 유지하십시오.

예외

및 NMAP 작업

일치 규칙에 대한 다른 2가지 가능한 작업은 Take Network Scan Action(네트워크 검사 작업 수행)과 Take
Exception Action(예외 작업 수행)입니다. Take Network Scan Action(네트워크 검사 작업 수행)을 사용하면
Network Scan (NMAP) Action(네트워크 검사(NMAP) 작업) 필드의 설정에 따라 정책 서비스 노드에서
엔드포인트에 대해 NMAP 검사를 트리거할 수 있습니다. 이 기능은

네트워크

검사(NMAP) 프로브를 사용한

프로파일링

섹션에서 자세히 설명합니다.

Take Exception Action(예외 작업 수행)을 사용하면 ISE에서 Exception Action(예외 작업) 필드의 설정에 따라
엔드포인트를 정책에 정적으로 할당할 수 있습니다. 이 기능은

예외

작업

섹션에서 자세히 설명합니다.

이러한 작업은 모두 엔드포인트가 정책과 일치하고 지정된 조건과도 일치하는 경우에만 트리거될 수
있습니다. 조건은 일치하지만 엔드포인트가 프로파일 정책과 일치하지 않으면 작업이 수행되지 않습니다.

또한 여러 작업이 수행되도록 정책의 여러 규칙과 일치할 수도 있습니다. 예를 들어 정책도 일치하는 경우
CF가 10만큼 증가하는 규칙과 일치하고, Take Exception Action(예외 작업 수행) 또는 Take Network Scan
Action(네트워크 검사 작업 수행)과 같은 다른 규칙과도 일치할 수 있습니다.

사용자

지정(사용자 정의) 프로파일링 정책 구성

Step 63

이 절차에서는 이전에 구성된 조건을 사용하여 실습용 APC UPS 디바이스를 위한 사용자 지정
프로파일링 정책을 생성합니다.

Step 64

Policy(정책)Profiling(프로파일링)으로 이동합니다. RHS 창 메뉴에서 Add(추가)를 클릭합니다.

Step 65

프로파일 이름에 APC-UPS를 입력합니다.

Step 66

설명에 Custom profile for APC UPS Network Management module을 입력합니다. APC 사용자 지정
조건에 대한 설명과 유사하게, Custom 키워드를 사용하면 이 문자열을 기준으로 모든 사용자 정의
정책을 간단하게 필터링할 수 있습니다.

Step 67

최소 확실성 요인에 대한 설정을 기본값인 10으로 유지합니다.

Step 68

기본 설정인 Create Matching Identity Group(일치하는 ID 그룹 생성) 대신 Use Hierarchy(계층 구조
사용) 라디오 버튼을 선택합니다.

Step 69

Rules(규칙) 아래에서 조건 옆의

기호를 클릭하고 Select Existing Condition from

Library(라이브러리에서 기존 조건 선택)를 선택합니다.

Step 70

Condition Name(조건 이름)Select Condition(조건 선택)에서 APC-OUICheck를 선택합니다.

참고: 프로파일링 조건을 먼저 생성한 다음 별도의 작업에서 프로파일링 정책을 생성하는 대신, Create New
Condition(새 조건 생성) 옵션(고급 옵션)을 사용하여 프로파일링 정책 자체에서 새 조건을 생성할 수도
있습니다. 생성된 새 조건은 정책 규칙에서 명명된 조건으로 나타납니다.

Step 71

기본 규칙 작업인 Certainty Value Increases(확실성 값 증가)를 10 값으로 유지합니다(그림 80).