任意のSyslogとなると、ClearPass単体では難しいかと思います。
SyslogをTriggerにCoAを動作させるには、ClearPassのIngress Event Engineを利用します。
その際、どんなSyslogでも対応できるわけではなく、Syslogを送る側、受ける側(ClearPass)双方で、どのような情報を送るかを合わせる必要があります。
ClearPassが対応しているもの(テンプレートで用意しているもの)は以下になります。
ClearPassのDictionaryで新たに追加することも可能ですが、Syslogを送る側の変更が困難かと思われます。
たとえば、Paloaltoのファイアウォールの場合は、Log Forwardingの設定で、ログフォーマットをカスタマイズできるので、
そこでClearPassに合わせたフォーマットとすることができます。
何でもいいから受け取ったら動作する、というわけにはいかず、受け取ったSyslogをParseして、どのようなログが送られてきているのか、理解する必要があるためです。
Juniper SRXの例だと、受信したSyslogをClearPassは以下のように理解しています。(Tech Noteの抜粋なので赤枠は無視してください)
また、受信したSyslogのClient IPの情報を元に、そのClient IPに紐づいたSessionを切断することになるため、
SyslogがClient IPを持っている必要があります。
SplunkなどがSyslogを受信し、特定のキーワードをトリガーに、特定のIPを持った端末をClearPassで切断やRole変更をすることは可能ですが、
その場合、Splunkなど外部のシステムからClearPassのAPIを経由して、端末を切断することになります。
外部のシステムからClearPassのAPIを使って端末を隔離する場合、
端末のIP or MACアドレスを指し、その端末を隔離することはそれほど難しくありません。
あくまで参考程度としてですが、pythonのスクリプトならご案内も可能なので、その際は個別にご連絡下さい。
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------
Original Message:
Sent: Aug 16, 2021 04:51 AM
From: Kota Onohara
Subject: ClearPassで任意のSyslogをトリガーにして、RadiusCoAを実施する方法について
ClearPassでsyslogを受信した場合に、RadiusCoAを実施したいです。
※一旦テストで動作確認したい為、syslogはCisco機器のlink downとしています。
↓通知されるsyslog
213: *Mar 6 01:41:54.350: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan250, changed state to down
◆実施したいこと
・Cisco機器のリンクダウンを検知した場合に、こちらで指定した端末のendpointのThreat Risk属性の値を1に変更
・その後、再認証(Terminate Session)
※最終的には下記のリンクに記載の動画のような動作にさせたいです。
<https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=16675#bm1b1af258-c220-41be-8e77-b660d7836f5a>
◆今できていること
・端末のPEAP認証。
・endpointのThreat Risk属性の値を手動で1に変更 ★
・監視 > ライブ監視 > アクセストラッカーからRADIUS動的認可(Terminate Session)を実施 ★
・再認証後、endpointのThreat Risk属性の値が1の時用のuser roleを割り当て
★の箇所がsyslogを受信後に自動的に実施させたい箇所となります。
------------------------------
Kota Onohara
------------------------------