Foro en Español

Reply
Occasional Contributor II

Integracion CheckPoint SandBlast Mobile con ClearPass

Buenas tardes,

después de experimentar la integración vía syslog con el gateway de CheckPoint y con los appliances de Infoblox, para recibir las cosas malas que hacen los usuarios y lanzar eventos, he añadido SandBlast Mobile.

Es una app de protección día zero para dispositivos móviles, gestionado desde la nube que te permite conocer el estado del dispositivo en base a sus configuraciones, apps instaladas y demás, no voy a "vender CKP en este foro". :)

 

Lo que quiero hacer es sencillo, cuando detecto que un usuario se instala una app con riesgo elevado ClearPass se entera y lo pone en cuarentena. Mi problema es que SandBlast no envía la MAC del dispositivo ni el usuario, con los que podría encontrarlos en el listado de Endpoints.

¿Existe alguna manera de asociar un campo que recibo vía syslog, como podría ser el correo electrónico o el número de móvil, y asociarlo con un atributo del EndPoint?

 

He pensado que quizá podría actualizar la DB de Endpoints cuando el dispositivo acceda a la red WiFi vía 802.1x, crear los atributos que leo del AD para después hacer un match entre lo que llega de SandBlast y lo que previamente tenia registrado.

 

Ideas, comentarios, ...

 

Gracias.

 


Ricardo Luis Cañavate García - ACMP / ACCA / ACCP
Moderator

Re: Integracion CheckPoint SandBlast Mobile con ClearPass

Veo que estás bastante entretenido :)

 

Si SandBlast no envía la MAC address como parte del evento Syslog veo complicado tratarlo con el Ingress Event Engine. Pero quizá haya otra alternativa, ¿sabes si SandBlast puede hacer un post en nuestra API?

 

Como bien dices, si guardas un atributo que identifique al dispositivo en la BBDD de endpoints (tipo Endpoint:Username) deberías poder "buscar" a ese dispositivo para añadirle un atributo tipo "infectado" o algo así.

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: