Cisco ISE
Integrationsversion: 11.0
Cisco ISE für die Verwendung mit Google Security Operations konfigurieren
Informationen zum Aktivieren von External RESTful Services (ERS) und zum Erstellen eines Cisco ISE-Dienstkontos für die Verbindung zur API finden Sie in der Cisco ISE-Dokumentation. Manchmal müssen Sie sich zuerst mit dem Dienstkonto in der Cisco ISE-Benutzeroberfläche anmelden. Danach funktioniert die API- oder Google SecOps-Integration mit denselben Anmeldedaten, die zuvor nicht funktioniert haben.
Cisco ISE-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Endpunkt für die Anreicherung
Beschreibung
Endpunkt mit Daten aus Cisco ISE anreichern.
Parameter
–
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Endpunkte abrufen
Beschreibung
Abrufen der angeforderten Endpunktdaten von den von Cisco ISE überwachten Endpunkten.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Sitzungen abrufen
Beschreibung
Eine Liste der aktiven Sitzungen abrufen.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Ping
Beschreibung
Verbindung testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| ist Erfolg | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Quarantäneadresse
Beschreibung
Einen Endpunkt anhand der MAC-Adresse unter Quarantäne stellen.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Richtlinienname | String | – | Ja | Der Name der Richtlinie, an die der Endpunkt angehängt werden soll. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Sitzung beenden
Beschreibung
Sitzungstrennung über einen API-Aufruf.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name des Knotenservers | String | – | Ja | ISE-Knotenservername. Beispiel: ciscoISE |
| Anrufende Sender-ID | String | – | Ja | Der ID-Wert der aufrufenden Station. Beispiel: 1 |
| Beendigungstyp | String | – | Nein | Der Wert für „Terminate Type“ ist eine Ganzzahl zwischen 0 und 2. Beispiel: 0 Mögliche Werte:
|
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_succeed | Wahr/falsch | is_succeed:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Adresse aus der Quarantäne entfernen
Beschreibung
Endpunkt anhand der MAC-Adresse aus der Quarantäne entfernen.
Parameter
–
Ausführen am
Diese Aktion wird für die Adressentität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Endpunkt aktualisieren
Beschreibung
Endpunktobjekt aktualisieren.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Beschreibung | String | – | Nein | Beschreibung des Endpunkts |
| Gruppen-ID | String | – | Nein | Das zu aktualisierende Attribut des Endpunkts. |
| Portalnutzer | String | – | Nein | Das zu aktualisierende Attribut des Endpunkts. |
| Identitätsspeicher | String | – | Nein | Das zu aktualisierende Attribut des Endpunkts. |
| ID des Identitätsspeichers | String | – | Nein | Das zu aktualisierende Attribut des Endpunkts. |
| Benutzerdefinierte Attribute | String | – | Nein | Benutzerdefinierte Attribute werden dem Entitätsobjekt hinzugefügt. Beispiel: {'param':'val'} |
| Name des MDM-Servers | String | – | Nein | Das zu aktualisierende Attribut des Endpunkts. |
| Mobilgeräteverwaltung erreichbar | String | – | Nein | Attribut des Endpunkts, das aktualisiert werden soll, z.B. „true“ oder „false“. |
| Für die Mobilgeräteverwaltung registriert | String | – | Nein | Attribut des Endpunkts, das aktualisiert werden soll, z.B. „true“ oder „false“. |
| MDM-Compliancestatus | String | – | Nein | Attribut des Endpunkts, das aktualisiert werden soll, z.B. „true“ oder „false“. |
| MDM OS | String | – | Nein | Das zu aktualisierende Attribut des Endpunkts. |
| MDM-Hersteller | String | – | Nein | Das zu aktualisierende Attribut des Endpunkts. |
| MDM-Modell | String | – | Nein | Das zu aktualisierende Attribut des Endpunkts. |
| Mit MDM verschlüsselt | String | – | Nein | Das zu aktualisierende Attribut des Endpunkts. |
| MDM-Pinlock | String | – | Nein | Attribut des Endpunkts, das aktualisiert werden soll, z.B. „true“ oder „false“. |
| MDM Jailbreak | String | – | Nein | Attribut des Endpunkts, das aktualisiert werden soll, z.B. „true“ oder „false“. |
| MDM-IMEI | String | – | Nein | Das zu aktualisierende Attribut des Endpunkts. |
| Telefonnummer für die Mobilgeräteverwaltung | String | – | Nein | Das zu aktualisierende Attribut des Endpunkts. |
Ausführen am
Diese Aktion wird für die IP-Adressen-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Endpoint Identity Group auflisten
Beschreibung
Verfügbare Endpunkt-Entitätsgruppen in Cisco ISE auflisten
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Filterschlüssel | DDL | Wählen Sie eine Option aus. Mögliche Werte:
|
Nein | Geben Sie den Schlüssel an, der zum Filtern von Endpunkt-Entitätsgruppen verwendet werden muss. |
| Filterlogik | DDL | Nicht angegeben Mögliche Werte:
|
Nein | Geben Sie an, welche Filterlogik angewendet werden soll. Die Filterlogik basiert auf dem Wert, der im Parameter „Filterschlüssel“ angegeben ist. |
| Filterwert | String | – | Nein | Geben Sie den Wert an, der im Filter verwendet werden soll. Wenn „Gleich“ ausgewählt ist, wird in der Aktion versucht, die genaue Übereinstimmung unter den Ergebnissen zu finden. Wenn „Enthält“ ausgewählt ist, wird versucht, Ergebnisse zu finden, die den angegebenen Teilstring enthalten. Wenn für diesen Parameter nichts angegeben wird, wird der Filter nicht angewendet. Die Filterlogik basiert auf dem Wert, der im Parameter „Filterschlüssel“ angegeben ist. |
| Maximale Anzahl zurückzugebender Datensätze | Ganzzahl | 100 | Nein | Geben Sie die Anzahl der zurückzugebenden Datensätze an. Wenn nichts angegeben wird, werden 100 Datensätze zurückgegeben. Maximum: 100 |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"id": "73d1a120-ab0f-11ec-ae96-76398204b317",
"name": "Windows11-Workstation",
"description": "Identity Group for Profile: Windows11-Workstation",
{
"id": "21fa0600-f947-11eb-953e-0050568fa723",
"name": "OS_X_BigSur-Workstation",
"description": "Identity Group for Profile: OS_X_BigSur-Workstation",
},
{
"id": "3b76f840-8c00-11e6-996c-525400b48521",
"name": "Workstation",
"description": "Identity Group for Profile: Workstation",
}
]
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten verfügbar sind (is_success=true): „Successfully found endpoint entity groups for the provided criteria in Cisco ISE.“ (Endpunkt-Entitätsgruppen für die angegebenen Kriterien in Cisco ISE wurden gefunden.) Wenn keine Daten verfügbar sind (is_success=false): „Für die angegebenen Kriterien wurden in Cisco ISE keine Endpunkt-Entitätengruppen gefunden.“ Wenn der Parameter „Filter Value“ leer ist (is_success=true): „Der Filter wurde nicht angewendet, da der Parameter ‚Filterwert‘ einen leeren Wert hat.“
Wenn der Parameter „Filterschlüssel“ auf „Eins auswählen“ und der Parameter „Filterlogik“ auf „Gleich“ oder „Enthält“ festgelegt ist: „Fehler beim Ausführen der Aktion ‚List Endpoint Identity Group‘. Grund: Sie müssen ein Feld aus dem Parameter „Filterschlüssel“ auswählen.“ Wenn ein ungültiger Wert für den Parameter „Max. zurückzugebende Datensätze“ angegeben wird: „Fehler beim Ausführen der Aktion ‚List Endpoint Identity Group‘. Grund: Für „Max. zurückzugebende Datensätze“ wurde ein ungültiger Wert angegeben: . Es muss eine positive Zahl angegeben werden.“ Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚List Endpoint Identity Group‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname:Verfügbare Endpunkt-Entitätsgruppen Tabellenspalten:
|
Allgemein |
Endpunkt zur Endpunktidentitätsgruppe hinzufügen
Beschreibung
Fügen Sie der Endpunkt-Identitätsgruppe in Cisco ISE einen Endpunkt hinzu.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name der Endpunktidentitätsgruppe | String | – | Ja | Geben Sie den Namen der Endpunktidentitätsgruppe an, der Sie den Endpunkt hinzufügen möchten. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- MAC-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"UpdatedFieldsList": {
"updatedField": [
{
"field": "groupId",
"oldValue": "73d1a120-ab0f-11ec-ae96-76398204b317",
"newValue": "3b76f840-8c00-11e6-996c-525400b48521"
}
]
}
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Entität verfügbar sind (is_success=true): „Die folgenden Endpunkte wurden der Endpunktidentitätsgruppe ‚{group name}‘ in Cisco ISE hinzugefügt: {entity.identifier}“. Wenn der Endpunkt nicht gefunden wird (is_success=true): „Die Aktion konnte die folgenden Endpunkte in Cisco ISE nicht finden: {entity.identifier}“ Wenn alle Endpunkte nicht gefunden werden (is_success=false): „None of the provided endpoints were found.“ (Keiner der angegebenen Endpunkte wurde gefunden.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚{action name}‘. Grund: {0}''.format(error.Stacktrace) Wenn die Gruppe nicht gefunden wird: „Fehler beim Ausführen der Aktion ‚{action name}‘. Grund: Die Endpunktidentitätsgruppe „{group name}“ wurde in Cisco ISE nicht gefunden. Bitte überprüfen Sie die Rechtschreibung.“ |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten