Cisco ISE
集成版本:11.0
配置 Cisco ISE 以与 Google Security Operations 搭配使用
如需启用外部 RESTful 服务 (ERS) 并创建用于连接到 API 的 Cisco ISE 服务账号,请参阅 Cisco ISE 文档。 有时,您需要先使用服务账号登录 Cisco ISE 界面,然后 API 或 Google SecOps 集成才能使用之前失败的相同凭据正常运行。
在 Google SecOps 中配置 Cisco ISE 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
丰富端点
说明
通过 Cisco ISE 中的数据丰富端点。
参数
不适用
运行于
此操作在 IP 地址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
获取端点
说明
从 Cisco ISE 监控的端点获取所请求的端点数据。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
获取会话
说明
获取活跃会话的列表。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
Ping
说明
测试连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 即为成功 | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
隔离地址
说明
按 MAC 地址隔离端点。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 政策名称 | 字符串 | 不适用 | 是 | 要将端点附加到的政策名称。 |
使用场景
不适用
运行于
此操作在 IP 地址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
终止会话
说明
通过 API 调用断开会话连接。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 节点服务器名称 | 字符串 | 不适用 | 是 | ISE 节点服务器名称。 示例:ciscoISE |
| 呼叫站 ID | 字符串 | 不适用 | 是 | 呼叫站的 ID 值。 示例:1 |
| 终止类型 | 字符串 | 不适用 | 否 | 终止类型值是介于 0 到 2 之间的整数。 示例:0 可能的值:
|
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_succeed | True/False | is_succeed:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
取消隔离地址
说明
按 MAC 地址取消隔离端点。
参数
不适用
运行于
此操作在 Address 实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
更新端点
说明
更新端点对象。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 说明 | 字符串 | 不适用 | 否 | 端点的说明 |
| 群组 ID | 字符串 | 不适用 | 否 | 要更新的端点的属性。 |
| 门户用户 | 字符串 | 不适用 | 否 | 要更新的端点的属性。 |
| 身份信息存储区 | 字符串 | 不适用 | 否 | 要更新的端点的属性。 |
| 身份存储区 ID | 字符串 | 不适用 | 否 | 要更新的端点的属性。 |
| 自定义属性 | 字符串 | 不适用 | 否 | 自定义属性已添加到实体对象。 示例:{'param':'val'} |
| MDM 服务器名称 | 字符串 | 不适用 | 否 | 要更新的端点的属性。 |
| MDM 可访问 | 字符串 | 不适用 | 否 | 要更新的端点属性,例如 true 或 false。 |
| 已注册 MDM | 字符串 | 不适用 | 否 | 要更新的端点属性,例如 true 或 false。 |
| MDM 合规状态 | 字符串 | 不适用 | 否 | 要更新的端点属性,例如 true 或 false。 |
| MDM OS | 字符串 | 不适用 | 否 | 要更新的端点的属性。 |
| MDM 制造商 | 字符串 | 不适用 | 否 | 要更新的端点的属性。 |
| MDM 模型 | 字符串 | 不适用 | 否 | 要更新的端点的属性。 |
| MDM 加密 | 字符串 | 不适用 | 否 | 要更新的端点的属性。 |
| MDM Pinlock | 字符串 | 不适用 | 否 | 要更新的端点属性,例如 true 或 false。 |
| MDM 已越狱 | 字符串 | 不适用 | 否 | 要更新的端点属性,例如 true 或 false。 |
| MDM IMEI | 字符串 | 不适用 | 否 | 要更新的端点的属性。 |
| MDM 电话号码 | 字符串 | 不适用 | 否 | 要更新的端点的属性。 |
运行于
此操作在 IP 地址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
列出端点身份组
说明
列出 Cisco ISE 中可用的端点实体组。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 过滤键 | DDL | 选择一项 可能的值:
|
否 | 指定需要用于过滤端点实体组的键。 |
| 过滤逻辑 | DDL | 未指定 可能的值:
|
否 | 指定应应用哪些过滤条件逻辑。过滤逻辑基于“过滤键”参数中提供的值运行。 |
| 过滤条件值 | 字符串 | 不适用 | 否 | 指定应在过滤条件中使用的值。 如果选择“等于”,操作会尝试在结果中查找完全匹配项。 如果选择“包含”,则操作会尝试查找包含指定子字符串的结果。 如果此参数中未提供任何内容,则不会应用过滤条件。过滤逻辑基于“过滤键”参数中提供的值运行。 |
| 要返回的记录数上限 | 整数 | 100 | 否 | 指定要返回的记录数。如果未提供任何内容,操作将返回 100 条记录。 最大值:100 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"id": "73d1a120-ab0f-11ec-ae96-76398204b317",
"name": "Windows11-Workstation",
"description": "Identity Group for Profile: Windows11-Workstation",
{
"id": "21fa0600-f947-11eb-953e-0050568fa723",
"name": "OS_X_BigSur-Workstation",
"description": "Identity Group for Profile: OS_X_BigSur-Workstation",
},
{
"id": "3b76f840-8c00-11e6-996c-525400b48521",
"name": "Workstation",
"description": "Identity Group for Profile: Workstation",
}
]
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果数据可用 (is_success=true):“Successfully found endpoint entity groups for the provided criteria in Cisco ISE.” 如果数据不可用 (is_success=false):“在 Cisco ISE 中,未找到符合所提供条件的任何端点实体组。” 如果“过滤条件值”参数为空 (is_success=true): “未应用过滤条件,因为参数‘过滤条件值’的值为空。”
如果“过滤键”形参设置为“选择一个”,并且“过滤逻辑”形参设置为“等于”或“包含”: “执行操作‘列出端点身份组’时出错。原因:您需要从“过滤键”参数中选择一个字段。 如果为“要返回的最大记录数”参数提供的值无效: “执行操作‘列出端点身份组’时出错。原因:为“要返回的最大记录数”提供的值无效:。应提供正数。” 如果报告了致命错误(例如凭据错误、未连接到服务器、其他错误): “执行操作‘列出端点身份组’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
| “案例墙”表格 | 表格名称:可用的端点实体组 表格列:
|
常规 |
将端点添加到端点身份组
说明
在 Cisco ISE 中向端点身份群组添加端点。
参数
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 端点身份组名称 | 字符串 | 不适用 | 是 | 指定要向其添加端点的端点身份组的名称。 |
运行于
此操作适用于以下实体:
- IP 地址
- MAC 地址
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"UpdatedFieldsList": {
"updatedField": [
{
"field": "groupId",
"oldValue": "73d1a120-ab0f-11ec-ae96-76398204b317",
"newValue": "3b76f840-8c00-11e6-996c-525400b48521"
}
]
}
}
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果一个实体的相关数据可用 (is_success=true):“已成功将以下端点添加到 Cisco ISE 中的“{group name}”端点身份组:{entity.identifier}”。 如果找不到端点(is_success=true):“操作无法在 Cisco ISE 中找到以下端点:{entity.identifier}” 如果未找到任何端点 (is_success=false):“未找到任何提供的端点。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "{action name}". 原因:{0}''.format(error.Stacktrace) 如果找不到群组:“执行操作‘{action name}’时出错。原因:在 Cisco ISE 中未找到端点身份组“{group name}”。请检查拼写。” |
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。