Cisco ISE
Versione integrazione: 11.0
Configurare Cisco ISE per l'utilizzo con Google Security Operations
Per abilitare i servizi RESTful esterni (ERS) e creare un account di servizio Cisco ISE da utilizzare per la connessione all'API, consulta la documentazione di Cisco ISE. A volte devi prima accedere alla UI di Cisco ISE con l'account di servizio, poi l'integrazione dell'API o di Google SecOps inizia a funzionare correttamente utilizzando le stesse credenziali che non funzionavano in precedenza.
Configura l'integrazione di Cisco ISE in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Endpoint Enrich
Descrizione
Arricchisci l'endpoint con i dati di Cisco ISE.
Parametri
N/D
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Recupero endpoint
Descrizione
Recupera i dati degli endpoint richiesti dagli endpoint monitorati da Cisco ISE.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Recupera sessioni
Descrizione
Visualizza un elenco delle sessioni attive.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Dindin
Descrizione
Testa la connettività.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| è la riuscita | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Indirizzo quarantena
Descrizione
Mettere in quarantena un endpoint in base all'indirizzo MAC.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome del criterio | Stringa | N/D | Sì | Il nome del criterio a cui collegare l'endpoint. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Termina sessione
Descrizione
Disconnessione della sessione tramite una chiamata API.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome server nodo | Stringa | N/D | Sì | Nome del server nodo ISE. Esempio: ciscoISE |
| ID stazione chiamante | Stringa | N/D | Sì | Il valore ID della stazione chiamante. Esempio: 1 |
| Tipo di interruzione | Stringa | N/D | No | Il valore di Terminate Type è un numero intero compreso tra 0 e 2. Esempio: 0 Valori possibili:
|
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_succeed | Vero/Falso | is_succeed:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Rimuovi dalla quarantena l'indirizzo
Descrizione
Rimuovi dalla quarantena l'endpoint in base all'indirizzo MAC.
Parametri
N/D
Run On
Questa azione viene eseguita sull'entità Indirizzo.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Aggiornamento endpoint
Descrizione
Aggiorna un oggetto endpoint.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Descrizione | Stringa | N/D | No | Descrizione dell'endpoint |
| ID gruppo | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare. |
| Utente del portale | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare. |
| Identity Store | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare. |
| ID Identity Store | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare. |
| Attributi personalizzati | Stringa | N/D | No | Gli attributi personalizzati vengono aggiunti all'oggetto entità. Esempio: {'param':'val'} |
| Nome server MDM | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare. |
| MDM raggiungibile | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare, ad esempio true o false. |
| Registrazione MDM effettuata | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare, ad esempio true o false. |
| Stato conformità MDM | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare, ad esempio true o false. |
| MDM OS | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare. |
| Produttore MDM | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare. |
| Modello MDM | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare. |
| MDM criptato | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare. |
| MDM Pinlock | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare, ad esempio true o false. |
| MDM Jail Broken | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare, ad esempio true o false. |
| IMEI MDM | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare. |
| Numero di telefono MDM | Stringa | N/D | No | Proprietà dell'endpoint da aggiornare. |
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Elenco gruppi di identità endpoint
Descrizione
Elenca i gruppi di entità endpoint disponibili in Cisco ISE.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Chiave di filtro | DDL | Selezionane uno Valori possibili:
|
No | Specifica la chiave da utilizzare per filtrare i gruppi di entità endpoint. |
| Logica di filtro | DDL | Non specificato Valori possibili:
|
No | Specifica la logica di filtro da applicare. La logica di filtraggio funziona in base al valore fornito nel parametro "Chiave filtro". |
| Valore filtro | Stringa | N/D | No | Specifica il valore da utilizzare nel filtro. Se è selezionato "Uguale", l'azione tenta di trovare la corrispondenza esatta tra i risultati. Se è selezionata l'opzione "Contiene", l'azione tenta di trovare risultati che contengano la sottostringa specificata. Se non viene fornito alcun valore in questo parametro, il filtro non viene applicato. La logica di filtraggio funziona in base al valore fornito nel parametro "Chiave filtro". |
| Numero massimo di record da restituire | Numero intero | 100 | No | Specifica il numero di record da restituire. Se non viene fornito alcun valore, l'azione restituirà 100 record. Massimo: 100 |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"id": "73d1a120-ab0f-11ec-ae96-76398204b317",
"name": "Windows11-Workstation",
"description": "Identity Group for Profile: Windows11-Workstation",
{
"id": "21fa0600-f947-11eb-953e-0050568fa723",
"name": "OS_X_BigSur-Workstation",
"description": "Identity Group for Profile: OS_X_BigSur-Workstation",
},
{
"id": "3b76f840-8c00-11e6-996c-525400b48521",
"name": "Workstation",
"description": "Identity Group for Profile: Workstation",
}
]
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili (is_success=true): "Successfully found endpoint entity groups for the provided criteria in Cisco ISE." (Gruppi di entità endpoint trovati correttamente per i criteri forniti in Cisco ISE). Se i dati non sono disponibili (is_success=false): "Nessun gruppo di entità endpoint trovato per i criteri forniti in Cisco ISE". Se il parametro "Filter Value" è vuoto (is_success=true): "Il filtro non è stato applicato perché il parametro "Valore filtro" ha un valore vuoto."
Se il parametro "Chiave filtro" è impostato su "Seleziona uno" e il parametro "Logica di filtro" è impostato su "Uguale a" o "Contiene": "Errore durante l'esecuzione dell'azione "Elenca gruppo di identità endpoint". Motivo: devi selezionare un campo dal parametro "Chiave filtro". Se viene fornito un valore non valido per il parametro "Numero massimo di record da restituire": "Errore durante l'esecuzione dell'azione "Elenca gruppo di identità endpoint". Motivo: "È stato fornito un valore non valido per "Numero massimo di record da restituire": . Deve essere fornito un numero positivo." Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elenca gruppo di identità endpoint". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Nome tabella: Available Endpoint Entity Groups Colonne della tabella:
|
Generale |
Aggiungere un endpoint al gruppo di identità dell'endpoint
Descrizione
Aggiungi un endpoint al gruppo di identità dell'endpoint in Cisco ISE.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome del gruppo di identità endpoint | Stringa | N/D | Sì | Specifica il nome del gruppo di identità dell'endpoint a cui vuoi aggiungere l'endpoint. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Indirizzo MAC
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"UpdatedFieldsList": {
"updatedField": [
{
"field": "groupId",
"oldValue": "73d1a120-ab0f-11ec-ae96-76398204b317",
"newValue": "3b76f840-8c00-11e6-996c-525400b48521"
}
]
}
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un'entità (is_success=true): "Successfully added the following endpoints to the "{group name}" Endpoint Identity Group in Cisco ISE: {entity.identifier}". Se l'endpoint non viene trovato (is_success=true): "L'azione non è riuscita a trovare i seguenti endpoint in Cisco ISE: {entity.identifier}" Se non vengono trovati tutti gli endpoint (is_success=false): "Nessuno degli endpoint forniti è stato trovato." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "{nome azione}". Motivo: {0}''.format(error.Stacktrace) Se il gruppo non viene trovato: "Errore durante l'esecuzione dell'azione "{action name}". Motivo: il gruppo di identità dell'endpoint "{group name}" non è stato trovato in Cisco ISE. Controlla l'ortografia." |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.