Cisco ISE
통합 버전: 11.0
Google Security Operations와 함께 작동하도록 Cisco ISE 구성
외부 RESTful 서비스 (ERS)를 사용 설정하고 API에 연결하는 데 사용할 Cisco ISE 서비스 계정을 만들려면 Cisco ISE 문서를 참고하세요. 서비스 계정으로 Cisco ISE UI에 먼저 로그인해야 하는 경우가 있습니다. 그러면 이전에 실패했던 동일한 사용자 인증 정보를 사용하여 API 또는 Google SecOps 통합이 제대로 작동하기 시작합니다.
Google SecOps에서 Cisco ISE 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
작업
엔드포인트 보강
설명
Cisco ISE의 데이터로 엔드포인트를 보강합니다.
매개변수
해당 사항 없음
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
엔드포인트 가져오기
설명
Cisco ISE에서 모니터링하는 엔드포인트에서 요청된 엔드포인트 데이터를 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
세션 가져오기
설명
활성 세션 목록을 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
핑
설명
연결을 테스트합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| 성공 | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
격리 주소
설명
MAC 주소로 엔드포인트를 격리합니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 정책 이름 | 문자열 | 해당 사항 없음 | 예 | 엔드포인트를 연결할 정책 이름입니다. |
사용 사례
해당 사항 없음
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
세션 종료
설명
API 호출을 통한 세션 연결 해제
매개변수
| 파라미터 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 노드 서버 이름 | 문자열 | 해당 사항 없음 | 예 | ISE 노드 서버 이름입니다. 예: ciscoISE |
| 호출 스테이션 ID | 문자열 | 해당 사항 없음 | 예 | 호출 스테이션의 ID 값입니다. 예: 1 |
| 종료 유형 | 문자열 | 해당 사항 없음 | 아니요 | 종료 유형 값은 0~2 사이의 정수입니다. 예: 0 가능한 값은 다음과 같습니다.
|
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
주소 격리 해제
설명
MAC 주소로 엔드포인트를 격리 해제합니다.
매개변수
해당 사항 없음
실행
이 작업은 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
엔드포인트 업데이트
설명
엔드포인트 객체를 업데이트합니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 설명 | 문자열 | 해당 사항 없음 | 아니요 | 엔드포인트 설명 |
| 그룹 ID | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다. |
| 포털 사용자 | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다. |
| ID 저장소 | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다. |
| ID 스토어 ID | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다. |
| 맞춤 속성 | 문자열 | 해당 사항 없음 | 아니요 | 맞춤 속성이 항목 객체에 추가됩니다. 예: {'param':'val'} |
| MDM 서버 이름 | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다. |
| MDM 연결 가능 | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다(예: true 또는 false). |
| MDM 등록됨 | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다(예: true 또는 false). |
| MDM 규정 준수 상태 | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다(예: true 또는 false). |
| MDM OS | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다. |
| MDM 제조업체 | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다. |
| MDM 모델 | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다. |
| MDM 암호화됨 | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다. |
| MDM Pinlock | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다(예: true 또는 false). |
| MDM 탈옥 | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다(예: true 또는 false). |
| MDM IMEI | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다. |
| MDM 전화번호 | 문자열 | 해당 사항 없음 | 아니요 | 업데이트할 엔드포인트의 속성입니다. |
실행
이 작업은 IP 주소 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
엔드포인트 ID 그룹 나열
설명
Cisco ISE에서 사용 가능한 엔드포인트 엔티티 그룹을 나열합니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 필터 키 | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다.
|
아니요 | 엔드포인트 엔티티 그룹을 필터링하는 데 사용해야 하는 키를 지정합니다. |
| 필터 로직 | DDL | 지정되지 않음 가능한 값은 다음과 같습니다.
|
아니요 | 적용할 필터 로직을 지정합니다. 필터링 로직은 '필터 키' 매개변수에 제공된 값을 기반으로 작동합니다. |
| 필터 값 | 문자열 | 해당 사항 없음 | 아니요 | 필터에 사용해야 하는 값을 지정합니다. '같음'을 선택하면 작업에서 결과 중 정확한 일치 항목을 찾으려고 시도합니다. '포함'을 선택하면 지정된 하위 문자열을 포함하는 결과를 찾으려고 시도합니다. 이 매개변수에 아무것도 제공되지 않으면 필터가 적용되지 않습니다. 필터링 로직은 '필터 키' 매개변수에 제공된 값을 기반으로 작동합니다. |
| 반환할 최대 레코드 수 | 정수 | 100 | 아니요 | 반환할 레코드 수를 지정합니다. 아무것도 제공되지 않으면 작업에서 100개의 레코드를 반환합니다. 최대: 100 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"id": "73d1a120-ab0f-11ec-ae96-76398204b317",
"name": "Windows11-Workstation",
"description": "Identity Group for Profile: Windows11-Workstation",
{
"id": "21fa0600-f947-11eb-953e-0050568fa723",
"name": "OS_X_BigSur-Workstation",
"description": "Identity Group for Profile: OS_X_BigSur-Workstation",
},
{
"id": "3b76f840-8c00-11e6-996c-525400b48521",
"name": "Workstation",
"description": "Identity Group for Profile: Workstation",
}
]
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 데이터를 사용할 수 있는 경우 (is_success=true): 'Cisco ISE에서 제공된 기준에 맞는 엔드포인트 항목 그룹을 찾았습니다.' 데이터를 사용할 수 없는 경우 (is_success=false): 'Cisco ISE에서 제공된 기준에 대한 엔드포인트 항목 그룹을 찾을 수 없습니다.' '필터 값' 매개변수가 비어 있는 경우 (is_success=true): '매개변수 '필터 값'이 비어 있어 필터가 적용되지 않았습니다.'
'필터 키' 매개변수가 '하나 선택'으로 설정되고 '필터 논리' 매개변수가 '같음' 또는 '포함'으로 설정된 경우: ''엔드포인트 ID 그룹 나열' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '필터 키' 매개변수에서 필드를 선택해야 합니다.' '반환할 최대 레코드 수' 매개변수에 잘못된 값이 제공된 경우: ''엔드포인트 ID 그룹 나열' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '반환할 최대 레코드'에 잘못된 값이 제공되었습니다. 양수를 입력해야 합니다.' 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''엔드포인트 ID 그룹 나열' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 표 이름: 사용 가능한 엔드포인트 엔티티 그룹 테이블 열:
|
일반 |
엔드포인트를 엔드포인트 ID 그룹에 추가
설명
Cisco ISE의 엔드포인트 ID 그룹에 엔드포인트를 추가합니다.
매개변수
| 파라미터 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 엔드포인트 ID 그룹 이름 | 문자열 | 해당 사항 없음 | 예 | 엔드포인트를 추가할 엔드포인트 ID 그룹의 이름을 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- MAC 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"UpdatedFieldsList": {
"updatedField": [
{
"field": "groupId",
"oldValue": "73d1a120-ab0f-11ec-ae96-76398204b317",
"newValue": "3b76f840-8c00-11e6-996c-525400b48521"
}
]
}
}
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'Cisco ISE의 '{group name}' 엔드포인트 ID 그룹에 다음 엔드포인트를 추가했습니다: {entity.identifier}' 엔드포인트를 찾을 수 없는 경우 (is_success=true): '작업이 Cisco ISE: {entity.identifier}에서 다음 엔드포인트를 찾을 수 없습니다.' 모든 엔드포인트를 찾을 수 없는 경우 (is_success=false): '제공된 엔드포인트를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''{작업 이름}' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) 그룹을 찾을 수 없는 경우: "Error executing action "{action name}". 이유: Cisco ISE에 엔드포인트 ID 그룹 '{그룹 이름}'이 없습니다. 철자를 확인하세요." |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.