Cisco Cisco Identity Services Engine 1.2 产品宣传页

安全访问操作指南

简介

Splunk 是一种强大的工具，用于通过收集、存储、通知、报告和分析计算机数据来分析贵组织中的信息。借
助思科平台交换网

(pxGrid)，Splunk 能够通过发出 pxGrid 自适应网络控制 (ANC) 工作流程操作，主动处理收

到的网络安全系统日志事件并隔离

/取消隔离终端。

Splunk-for-ISE Add-on 2.1 或更高版本采用自动化设置 GUI，通过 Splunk 工作流程操作处理 ISE EPS（终端保
护服务）

RESTful API 和 pxGrid ANC（自适应网络控制）缓解操作。

ISE EPS 工作流程操作适用于 ISE 1.2 和 ISE 1.3。pxGrid ANC 缓解操作适用于 ISE 1.3。

用于

pxGrid 操作的 Splunk-for-ISE Add-on 2.1 的初始版本需要其他思科文件，请咨询您的思科客户团队。

在本文档中，我们将通过使用自签名的

ISE 身份证书并为 pxGrid 客户端（即 Splunk）创建和生成自签名证书

的方式，在独立环境中为

pxGrid 操作配置 ISE。

有关如何使用证书颁发机构

(CA) 签名的证书在生产环境中部署 ISE，请参阅“在 ISE 分布式环境中部署

pxGrid”。

所有

EPS 和 ANC 工作流程操作都可以按照本文档中的说明进行自定义。ISE 日志记录类别已启用，以触发发

送到

Splunk 的系统日志事件。这些事件会在 Splunk 收到的 Framed_IP_Address、IpAddress、MacAddress 字段

内包含实际

IP 或 MAC 地址，并在工作流程操作中进行定义。

本文档包括适用于

Splunk 的自签名 pxGrid 客户端证书生成过程，并提供了一个使用案例。在该使用案例中，

Splunk 作为 pxGrid 客户端注册到 ISE pxGrid 节点并订阅终端保护功能主题，从而对终端执行隔离缓解操作
（可在

ISE 中看到结果）。请注意，ISE 将在独立环境中部署。

本文档还涵盖基于已启用的

ISE 记录类别的工作流程自定义过程，之后是故障排除和参考部分。

第

5 页