Cisco ISE
Versão da integração: 11.0
Configurar o Cisco ISE para trabalhar com o Google Security Operations
Para ativar os serviços RESTful externos (ERS) e criar uma conta de serviço do Cisco ISE para usar na conexão com a API, consulte a documentação do Cisco ISE. Às vezes, é necessário fazer login na interface do usuário do Cisco ISE com a conta de serviço primeiro. Depois, a API ou a integração do Google SecOps começa a funcionar corretamente usando as mesmas credenciais que estavam falhando antes.
Configurar a integração do Cisco ISE no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Endpoint de enriquecimento
Descrição
Enriqueça o endpoint com dados do Cisco ISE.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Acessar endpoints
Descrição
Receba os dados de endpoint solicitados dos endpoints monitorados pelo Cisco ISE.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Acessar sessões
Descrição
Receba uma lista de sessões ativas.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Ping
Descrição
Teste a conectividade.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| é o sucesso | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Endereço de quarentena
Descrição
Colocar um endpoint em quarentena por endereço MAC.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da política | String | N/A | Sim | Nome da política a que o endpoint será anexado. |
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Encerrar sessão
Descrição
Desconexão da sessão por uma chamada de API.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do servidor de nó | String | N/A | Sim | Nome do servidor de nó do ISE. Exemplo: ciscoISE |
| ID da estação de chamada | String | N/A | Sim | O valor do ID da estação de chamada. Exemplo: 1 |
| Tipo de encerramento | String | N/A | Não | O valor "Terminate Type" é um número inteiro entre 0 e 2. Exemplo: 0 Valores possíveis:
|
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Remover endereço da quarentena
Descrição
Remova o endpoint da quarentena por endereço MAC.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade "Endereço".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Atualizar endpoint
Descrição
Atualiza um objeto de endpoint.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Descrição | String | N/A | Não | Descrição do endpoint |
| ID do grupo | String | N/A | Não | Propriedade do endpoint a ser atualizada. |
| Usuário do portal | String | N/A | Não | Propriedade do endpoint a ser atualizada. |
| Identity Store | String | N/A | Não | Propriedade do endpoint a ser atualizada. |
| ID do Identity Store | String | N/A | Não | Propriedade do endpoint a ser atualizada. |
| Atributos personalizados | String | N/A | Não | Os atributos personalizados são adicionados ao objeto da entidade. Exemplo: {'param':'val'} |
| Nome do servidor MDM | String | N/A | Não | Propriedade do endpoint a ser atualizada. |
| MDM Reachable | String | N/A | Não | Propriedade do endpoint a ser atualizada, por exemplo, "true" ou "false". |
| MDM inscrito | String | N/A | Não | Propriedade do endpoint a ser atualizada, por exemplo, "true" ou "false". |
| Status de compliance do MDM | String | N/A | Não | Propriedade do endpoint a ser atualizada, por exemplo, "true" ou "false". |
| MDM OS | String | N/A | Não | Propriedade do endpoint a ser atualizada. |
| Fabricante de MDM | String | N/A | Não | Propriedade do endpoint a ser atualizada. |
| Modelo de MDM | String | N/A | Não | Propriedade do endpoint a ser atualizada. |
| MDM criptografado | String | N/A | Não | Propriedade do endpoint a ser atualizada. |
| Pino de bloqueio de MDM | String | N/A | Não | Propriedade do endpoint a ser atualizada, por exemplo, "true" ou "false". |
| MDM com jailbreak | String | N/A | Não | Propriedade do endpoint a ser atualizada, por exemplo, "true" ou "false". |
| IMEI da MDM | String | N/A | Não | Propriedade do endpoint a ser atualizada. |
| Número de telefone do MDM | String | N/A | Não | Propriedade do endpoint a ser atualizada. |
Executar em
Essa ação é executada na entidade "Endereço IP".
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Listar grupo de identidades de endpoints
Descrição
Liste os grupos de entidades de endpoint disponíveis no Cisco ISE.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Chave de filtro | DDL | Selecione uma opção. Valores possíveis:
|
Não | Especifique a chave que precisa ser usada para filtrar grupos de entidades de endpoint. |
| Lógica de filtro | DDL | Não especificado Valores possíveis:
|
Não | Especifique qual lógica de filtro deve ser aplicada. A lógica de filtragem está funcionando com base no valor fornecido no parâmetro "Chave de filtro". |
| Valor do filtro | String | N/A | Não | Especifique o valor que deve ser usado no filtro. Se "Igual" estiver selecionado, a ação vai tentar encontrar a correspondência exata entre os resultados. Se "Contém" estiver selecionado, a ação tentará encontrar resultados que contenham a substring especificada. Se nada for fornecido nesse parâmetro, o filtro não será aplicado. A lógica de filtragem está funcionando com base no valor fornecido no parâmetro "Chave de filtro". |
| Número máximo de registros a serem retornados | Número inteiro | 100 | Não | Especifique o número de registros a serem retornados. Se nada for fornecido, a ação vai retornar 100 registros. Máximo: 100 |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"id": "73d1a120-ab0f-11ec-ae96-76398204b317",
"name": "Windows11-Workstation",
"description": "Identity Group for Profile: Windows11-Workstation",
{
"id": "21fa0600-f947-11eb-953e-0050568fa723",
"name": "OS_X_BigSur-Workstation",
"description": "Identity Group for Profile: OS_X_BigSur-Workstation",
},
{
"id": "3b76f840-8c00-11e6-996c-525400b48521",
"name": "Workstation",
"description": "Identity Group for Profile: Workstation",
}
]
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis (is_success=true): "Os grupos de entidades de endpoint foram encontrados com sucesso para os critérios fornecidos no Cisco ISE." Se os dados não estiverem disponíveis (is_success=false): "Nenhum grupo de entidades de endpoint foi encontrado para os critérios fornecidos no Cisco ISE". Se o parâmetro "Valor do filtro" estiver vazio (is_success=true): "O filtro não foi aplicado porque o parâmetro "Valor do filtro" está vazio."
Se o parâmetro "Chave de filtro" estiver definido como "Selecionar um" e o parâmetro "Lógica de filtro" estiver definido como "Igual a" ou "Contém": "Erro ao executar a ação "List Endpoint Identity Group". Motivo: é necessário selecionar um campo no parâmetro "Chave de filtro". Se um valor inválido for fornecido para o parâmetro "Número máximo de registros a serem retornados": "Erro ao executar a ação "List Endpoint Identity Group". Motivo: "Um valor inválido foi fornecido para "Número máximo de registros a serem retornados": . É necessário informar um número positivo." Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Endpoint Identity Group". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Nome da tabela:grupos de entidades de endpoints disponíveis Colunas da tabela:
|
Geral |
Adicionar endpoint ao grupo de identidades de endpoint
Descrição
Adicione um endpoint ao grupo de identidade de endpoint no Cisco ISE.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do grupo de identidade do endpoint | String | N/A | Sim | Especifique o nome do grupo de identidades de endpoint a que você quer adicionar o endpoint. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Endereço MAC
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"UpdatedFieldsList": {
"updatedField": [
{
"field": "groupId",
"oldValue": "73d1a120-ab0f-11ec-ae96-76398204b317",
"newValue": "3b76f840-8c00-11e6-996c-525400b48521"
}
]
}
}
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para uma entidade (is_success=true): "Os seguintes endpoints foram adicionados ao grupo de identidade de endpoint "{group name}" no Cisco ISE: {entity.identifier}". Se o endpoint não for encontrado (is_success=true): "A ação não conseguiu encontrar os seguintes endpoints no Cisco ISE: {entity.identifier}" Se nenhum endpoint for encontrado (is_success=false): "Nenhum dos endpoints fornecidos foi encontrado." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "{nome da ação}". Motivo: {0}''.format(error.Stacktrace) Se o grupo não for encontrado: "Erro ao executar a ação "{nome da ação}". Motivo: o grupo de identidade de endpoint "{group name}" não foi encontrado no Cisco ISE. Verifique a ortografia." |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.