Integration von ISE und SecureX OnPremises durch Orchestrierung

Download-Optionen

  • PDF     (802.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (588.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (357.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:17. Oktober 2022
Dokument-ID:CX218327

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Schritte zur Integration von Identity Services Engine und SecureX über die Orchestrierung in einen Workflow vom Cisco Secure GitHub beschrieben.

    Voraussetzungen

    Cisco empfiehlt, dass Sie über Kenntnisse zu folgenden Themen verfügen:

    • Erfahrung mit der Konfiguration der Cisco ISE
    • Kenntnisse der ISE-API
    • Kenntnisse zu SecureX Orchestrierung

    Anforderungen

    Sie müssen die Cisco ISE in Ihrem Netzwerk implementiert haben und über ein aktives SecureX-Konto verfügen. Die Orchestrierungs-Workflows werden über die SecureX-Browsererweiterung ausgelöst.

    In unserem Beispiel wurde der zu verwendende Workflow von der Seite Cisco Secure GitHub importiert. Dieses Verfahren gilt auch für einen benutzerdefinierten Workflow.

    Verwendete Komponenten

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.

    • Identity Services Engine ISE Version 3.1
    • SecureX-Konto
    • SXO Remote-Gerät Version 1.7

    Konfigurieren

    Netzwerkdiagramm

    ncruzzav_0-1665677288778

    In unserem Beispiel werden ISE PAN und Remote-Server im gleichen Subnetz platziert, um eine direkte Verbindung zu haben.

    Da es sich bei der ISE um Geräte vor Ort handelt, muss der Remote-Server mit der Secure-X Cloud in Verbindung stehen und die Informationen an das ISE-PAN weiterleiten.

    Konfigurationen

    ISE PAN-Konfiguration

    1. Navigieren Sie zu Administration > System > Settings > API Settings > API Service Settings, und aktivieren Sie ERS (Read/Write).

    ncruzzav_1-1665677931251

    2. (Optional) Erstellen Sie einen neuen Benutzer für die Secure-X-Verbindung, navigieren Sie zu Administration > System > Admin Access > Administrator > Admin Users, und erstellen Sie einen neuen Benutzer. Dieser neue Benutzer muss über "ERS Admin"-Berechtigungen verfügen, oder es kann sich um einen Super-Admin-Benutzer handeln.

    Remote-Server konfigurieren und bereitstellen

    1. Konfigurieren Sie den Remote-Server. Navigieren Sie in der Secure-X-Konsole zu Orchestrierung > Admin > Remote Configuration, und wählen Sie die Option New Remote. Die IP-Adressinformationen werden beim Erstellen der VM verwendet. Sie müssen sich im gleichen Subnetz befinden, in dem das ISE PAN bereitgestellt wird.

    Anmerkung: Wenn die Verbindung zur Cloud über einen Proxy erfolgt, wird derzeit nur ein SOCKS5-Proxy für diesen Zweck unterstützt.

    ncruzzav_3-1665679929071

    ncruzzav_4-1665680643803

    2. Laden Sie die konfigurierten Einstellungen herunter, die für die VM-Bereitstellung verwendet werden sollen. Sobald die Informationen gespeichert sind, wird die Remote-Verbindung als "Not Connected" (Nicht verbunden) angezeigt, navigieren Sie unter Aktionen, und wählen Sie Verbinden aus.

    ncruzzav_6-1665681349062

    Wählen Sie Paket generieren, um mit dieser Aktion eine ZIP-Datei herunterzuladen, die die Informationen enthält, die gerade für die Verwendung bei der Bereitstellung der VM konfiguriert wurden.

    ncruzzav_1-1665682413689

    3. Laden Sie das virtuelle System herunter und installieren Sie es. Wählen Sie neben "New Remote" die Option "APPLIANCE HERUNTERLADEN". Mit dieser Aktion wird ein OVA-Image heruntergeladen, das Sie zum Bereitstellen des Remote-Servers verwenden müssen.

    Informationen zu den VM-Spezifikationen für Remote-Standorte finden Sie im SecureX Remote Setup-Leitfaden.

    Die heruntergeladenen Informationen in der ZIP-Datei müssen beim Erstellen der VM auf den codierten Benutzerdaten verwendet werden. Dadurch wurden die konfigurierten Remote-Informationen nach dem Start in den Server übernommen.

    4. Sobald die VM aktiv ist, stellt sie automatisch eine Verbindung mit dem SecureX-Konto her, um zu überprüfen, ob die Verbindung aktiv ist. In der Remote-Konfiguration muss der Status auf "Verbunden" geändert werden.

    ncruzzav_2-1665684072870

    Konfigurieren des Ziels auf SecureX

    Damit die Orchestrierung mit einem Gerät funktioniert, ist es wichtig, ein Ziel zu konfigurieren. Secure X verwendet dieses Ziel, um die API-Anrufe zu senden und über die Orchestrierung mit dem Gerät zu interagieren.

    1. Navigieren Sie zu Orchestrierung > Ziele > Neues Ziel

    ncruzzav_0-1665684336419

    2. Tragen Sie die Zielinformationen in die nächsten Richtlinien ein

    • Anzeigename: Zielkennung
    • Beschreibung: Eine kurze Beschreibung zur Bestimmung des Ziels
    • Kontoschlüssel: Hier müssen Sie den Benutzer/das Kennwort für den Zugriff auf die ISE über die API konfigurieren.
      • Keine Kontoschlüssel: Falsch
      • Standardkontenschlüssel: Neu hinzufügen auswählen
        • Kontoschlüsseltyp: Grundlegende HTTP-Authentifizierung
        • Anzeigename: Kontenschlüssel-ID
        • Benutzername: Benutzer erstellt auf ISE PAN als ERS-Administrator
        • Kennwort: Kennwort für den auf ISE PAN erstellten Benutzer
        • Authentifizierungsoption: Grundlegend

          ncruzzav_1-1665684893528

    • Remote: Hier müssen Sie die zuvor konfigurierte Remote-Verbindung auswählen.
      • Remote-Schlüssel: Wählen Sie Ihre Fernbedienung im Dropdown-Menü aus.

        ncruzzav_2-1665685235304

    • HTTP: Hier müssen Sie die API-Informationen für den ISE PAN konfigurieren.
      • Protokolle: HTTPS
      • Host-/IP-Adresse: ISE PAN, private IP
      • Anschluss: 9060
      • Pfad: Lassen Sie das Feld leer.
      • Serverzertifikatüberprüfung deaktivieren: Aktivieren Sie dieses Kontrollkästchen.

        ncruzzav_3-1665685724561

    • Proxy: Da die Proxy-Konfiguration in der Remote-Konfiguration enthalten war, können Sie diesen Abschnitt leer lassen.
    • Senden auswählen

    Workflow aus Cisco Secure GitHub importieren

    Für dieses Beispiel lautet der zu verwendende Workflow "Endpunkt zur Identitätsgruppe hinzufügen". Sie können alle aufgeführten Workflows auf der Seite "Cisco Secure GitHub" verwenden oder einen benutzerdefinierten Workflow erstellen.

    1. Navigieren Sie zu Orchestrierung > Meine Workflows > Workflow importieren

    ncruzzav_4-1665686136113

    2. Um den Workflow zu importieren, füllen Sie die Informationen wie folgt aus, und wählen Sie Importieren. zum Identifizieren des zu importierenden Workflows können Sie nach Namen oder nach Workflownummer suchen.

    • Git-Repository: CiscoSecurity_Workflows (Speicherort des Workflows)
    • Dateiname: 0029-ISE-AddEndpointToIdentityGroup (Wählen Sie die Anzahl der zu verwendenden Workflows aus.)
    • Git-Version: Batch 3 mit Updates für SecureX Token Support (Neueste Version)
    • Als neuen Workflow importieren (Klon): Aktivieren (Dadurch wird der Workflow importiert und ein Klon erstellt)

    ncruzzav_0-1665688057356

    3. Nach dem Import wird die neue Vorlage unter Meine Workflows angezeigt. Wählen Sie den neu erstellten Workflow aus, um die Parameter zu bearbeiten, damit er mit ISE funktioniert.

    ncruzzav_2-1665688499744

    4. Da es sich um einen vorab erstellten Workflow handelt, müssen Sie nur drei Abschnitte des Workflows ändern:

    • Name: Ändern Sie den Anzeigenamen, um eine bessere Kennzeichnung zu erhalten.

    ncruzzav_4-1665688720680

    • Identitätsgruppenvariable
      • Bearbeiten Sie unter Variablen die Identitätsgruppenvariable standardmäßig Balcklist, wählen Sie die Variable aus, und konfigurieren Sie den Identitätsgruppennamen, den Sie über Orchestration ändern möchten

    ncruzzav_5-1665688873009

    • Speichern auswählen

    ncruzzav_9-1665689108114

    • Ziel: Konfigurieren Sie das zuvor konfigurierte Ziel.
      • Zieltyp: HTTP-Endpunkt
      • Ziel: Name des konfigurierten Ziels

    ncruzzav_0-1665689687653

    Überprüfung

    Ist alles konfiguriert, ist Zeit, den Workflow zu testen

    Der Workflow für den Test führt diese Aktion aus: Wenn Sie eine MAC-Adresse auf einer Webseite finden, kann diese sich auf der ISE selbst oder auf einer anderen Webseite wie Threat Response befinden. über die SecureX-Browsererweiterung sucht der Workflow über eine API in der ISE-Datenbank nach dieser MAC-Adresse. Wenn die MAC-Adresse nicht vorhanden ist, wird die beobachtbare Adresse der Endpoint Identity Group hinzugefügt, ohne dass der Wert und der Zugriff auf die ISE kopiert werden müssen.

    Um dies zu veranschaulichen, sehen Sie sich das folgende Beispiel an:

    1. Der ausgewählte Workflow funktioniert mit dem beobachtbaren Typ "MAC-Adresse"

    2. Suchen Sie eine MAC-Adresse auf einer Webseite, und klicken Sie mit der rechten Maustaste darauf.

    3. Wählen Sie die Option SecureX

    ncruzzav_2-1665690096804

    4. Wählen Sie den zuvor erstellten Workflow

    ncruzzav_3-1665690274984

    5. Bestätigen Sie, dass die Aufgabe erfolgreich ausgeführt wurde.

    ncruzzav_5-1665690361367

    6. Navigieren Sie auf dem ISE-PAN zu Administration > Identity Management > Groups > Endpoint Identity Groups > (Die im Workflow konfigurierte Gruppe).

    7. Öffnen Sie die im Workflow konfigurierte Endpunkt-Identitätsgruppe, und bestätigen Sie, dass die ausgewählte MAC-Adresse dieser MAC-Adressliste hinzugefügt wurde.

    ncruzzav_7-1665690470412

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    17-Oct-2022
    Erstveröffentlichung

    Beigetragen von

    • Neri Cruz Zavaleta
      Customer Success Specialist

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.