简介
本文档介绍通过协调将身份服务引擎和SecureX与来自Cisco Secure GitHub的工作流程集成的步骤。
先决条件
思科建议您了解以下主题:
- Cisco ISE配置体验
- ISE API知识
- SecureX协调知识
要求
您必须在网络中部署思科ISE并具有活动的SecureX帐户。协调工作流程通过SecureX浏览器扩展触发。
在我们的示例中,要使用的工作流程是从Cisco Secure GitHub页面导入的,此过程也适用于自定义工作流程。
使用的组件
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
- 身份服务引擎ISE版本3.1
- SecureX帐户
- SXO远程设备版本1.7
配置
网络图
在我们的示例中,ISE PAN和远程服务器位于同一子网中以实现直接连接。
由于ISE是内部设备,远程服务器与Secure-X云联系并将信息转发到ISE PAN
配置
ISE PAN配置
1.导航到管理>系统>设置> API设置> API服务设置并启用ERS(读/写)
2.(可选)为Secure-X连接创建新用户,导航到Administration > System > Admin Access > Administrator > Admin Users并创建新用户,此新用户必须具有“ERS Admin”权限,或者它可以是超级管理员用户。
配置和部署远程服务器
1.配置远程服务器,在Secure-X控制台上,导航到Orchestration > Admin > Remote Configuration并选择选项New Remote,IP地址信息是创建VM时使用的信息,并且它必须位于部署ISE PAN的同一子网中。
注意:如果通过代理连接到云,则目前仅支持SOCKS5代理用于此目的。
2.下载要用于VM部署的已配置设置,保存信息后,远程将显示为“Not Connected”,在“操作”下导航,然后选择“连接”。
选择Generate Package,此操作将下载一个.zip文件,其中包含刚刚配置为在部署虚拟机时使用的信息。
3.下载并安装VM,在New Remote 选择DOWNLOAD APPLIANCE旁,此操作将下载用于部署远程服务器的OVA映像。
有关远程VM规格,请参阅SecureX Remote Setup指南
创建VM时,必须在编码用户数据上使用ZIP文件内的下载信息,这会在服务器启动后将配置的远程信息填充到服务器中。
4.虚拟机启动后,它会自动连接到SecureX帐户,以验证连接是否已启动,在“远程”配置下,您必须看到状态更改为“已连接”(Connected)
在SecureX上配置目标
对于协调与设备配合使用而言,配置Target非常重要,Secure X使用此目标发送API调用,并通过协调与设备交互
1.定位至协调>目标>新目标
2.使用下一条准则填写目标信息
- 显示姓名:目标识别器
- 描述:确定目标用途的小说明
- 帐户密钥:您需要在此配置用户/密码以通过API访问ISE
- 无帐户密钥:错误
- 默认帐户密钥:选择新增
- 帐户密钥类型:HTTP基本身份验证
- 显示姓名:帐户密钥标识符
- username:在ISE PAN上创建为ERS管理员的用户
- 密码:在ISE PAN上创建的用户的密码
- 身份验证选项:基本
- 远程:此处,您需要选择以前配置的远程连接
- 远程密钥:从下拉菜单中选择您的遥控器
- HTTP:此处,您需要配置ISE PAN的API信息
- 协议:HTTPS
- 主机/IP地址:ISE PAN专用IP
- 端口:9060
- 路径:将其留空
- 禁用服务器证书验证:选中此框
- 代理:由于代理配置包含在远程配置中,因此您可以将此部分留空
- 选择提交
从Cisco Secure GitHub导入工作流程
对于此示例,要使用的工作流程是“将终端添加到身份组”,您可以使用Cisco Secure GitHub页面上列出的任何工作流程,也可以创建自定义工作流程。
1.定位至协调>我的工作流>导入工作流
2.要导入工作流,请填写以下信息并选择“导入”;要标识要导入的工作流,可以按名称或按工作流编号进行搜索
- Git存储库:CiscoSecurity_Workflows(工作流程所在位置)
- 文件名:0029-ISE-AddEndpointToIdentityGroup(选择要使用的工作流数量)
- Git版本:SecureX令牌支持的第3批更新(最新版本)
- 作为新工作流程导入(克隆):选中(此操作将导入工作流并创建工作流的克隆)
3.导入后,新模板将显示在My Workflows下,选择新创建的工作流程以编辑参数,使其与ISE配合使用
4.由于这是一个预构建工作流,因此只需修改工作流的3个部分:
- 身份组变量
- 在Variables下,编辑Identity Group Variable,默认情况下为Balcklist,选择变量并配置要通过业务流程修改的身份组名称
验证
完成所有配置后,就到了测试工作流程的时候了
测试的工作流程将执行以下操作:如果您在网页中找到MAC地址,它可能位于ISE本身或其他网页(如威胁响应);通过SecureX浏览器扩展,工作流程通过API在ISE数据库中查找该MAC地址,如果MAC不存在,可观察将添加到终端身份组中,而无需复制值并访问ISE。
要演示这一点,请查看下一个示例:
1.所选工作流程使用可观察类型“MAC地址”
2.在网页上查找MAC地址,然后右键点击。
3.选择SecureX选项
4.选择之前创建的工作流
5.确认任务已成功执行
6.在ISE PAN上,导航到管理>身份管理>组>终端身份组>(在工作流中配置的组)
7.打开工作流程上配置的终端身份组,并确认所选的MAC地址已添加到该MAC地址列表中