Cisco Secure ACS ログを収集する

以下でサポートされています。

Google SecOpsSIEM

このドキュメントでは、Google Security Operations フォワーダーを使用して Cisco Secure Access Control Server（ACS）のログを収集する方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CISCO_ACS が付加されたパーサーに適用されます。

Cisco Secure ACS を構成する

管理者認証情報を使用して Cisco Secure ACS コンソールにログインします。
Cisco Secure ACS コンソールで、[システム管理] > [構成] > [ログ構成] > [リモートログターゲット] を選択します。
[作成] をクリックします。

[作成] ウィンドウで、次のフィールドの値を指定します。

フィールド	説明
名前	Google Security Operations フォワーダーの名前。
説明	Google Security Operations フォワーダーの説明。
IP アドレス	Google Security Operations フォワーダーの IP アドレス。
高度な Syslog オプションを使用する	高度な syslog オプションを有効にするには、このオプションを選択します。
ターゲットタイプ	TCP syslog または UDP syslog を選択します。
ポート	ハイポート（たとえば 10514）を使用します。
ファシリティコード	LOCAL6（コード = 22、デフォルト）。
最大の長さ	推奨値は 1024 です。

[送信] をクリックします。[リモートログターゲット] ウィンドウが開き、新しいリモートログターゲット構成が表示されます。
Cisco Secure ACS コンソールで、[システム管理] > [構成] > [ログ構成] > [ロギングカテゴリ] > [インスタンスごと] を選択します。
[ACS] を選択し、[構成] をクリックします。
[インスタンスごと] ウィンドウでロギングカテゴリを選択し、[編集] をクリックします。

[全般] タブで、一部のロギングカテゴリについては、ロギング重大度がデフォルトに、またはベンダーから提供されたとおりに設定されている必要があります。

Cisco Secure ACS の場合、重大度を変更できないログカテゴリ（AAA 監査通知、アカウンティング通知、管理および運用監査通知、システム統計情報通知など）を除くすべてのログカテゴリのデフォルトの重大度は [警告] です。
[リモート syslog ターゲット] タブをクリックし、新しく作成したリモートターゲットを [使用可能なターゲット] から [選択したターゲット] に移動します。
[送信] をクリックします。
他のロギングカテゴリのリモートターゲットを構成するには、手順 8 ～ 10 を繰り返します。

Cisco Secure ACS ログを取り込むように Google Security Operations フォワーダーと Syslog を構成する

[SIEM 設定] > [フォワーダー] に移動します。
[新しいフォワーダーの追加] をクリックします。
[フォワーダー名] フィールドに、フォワーダーの一意の名前を入力します。
[送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
[コレクタ名] フィールドに名前を入力します。
[ログタイプ] で [Cisco ACS] を選択します。
[コレクタタイプ] として [Syslog] を選択します。
次の必須入力パラメータを構成します。
- プロトコル: プロトコルを指定します。
- アドレス: コレクタが存在し、Syslog データを待ち受けるターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、Syslog データをリッスンするターゲットポートを指定します。
[送信] をクリックします。

Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。各フォワーダタイプの要件については、タイプ別のフォワーダ構成をご覧ください。フォワーダーの作成時に問題が発生した場合は、Google Security Operations　サポートにお問い合わせください。

フィールドマッピングリファレンス

このパーサーは、認証、アカウンティング、診断、システム統計情報などの Cisco ACS ログを処理します。Grok パターンを使用してさまざまなログ形式（SYSLOG + KV、LEEF）からフィールドを抽出し、タイムスタンプとタイムゾーンを正規化し、キーフィールドを UDM にマッピングします。さまざまなログタイプを扱うことができ、認証の成功/失敗、TACACS+ アカウンティング、RADIUS イベントに固有のロジックを備えています。また、デバイス情報や認証の詳細などの追加フィールドを使用して UDM を拡充します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`Acct-Authentic`	`additional.fields[].value.string_value`	値は `Acct-Authentic` フィールドから取得されます。
`Acct-Delay-Time`	`additional.fields[].value.string_value`	値は `Acct-Delay-Time` フィールドから取得されます。
`Acct-Input-Octets`	`additional.fields[].value.string_value`	値は `Acct-Input-Octets` フィールドから取得されます。
`Acct-Input-Packets`	`additional.fields[].value.string_value`	値は `Acct-Input-Packets` フィールドから取得されます。
`Acct-Output-Octets`	`additional.fields[].value.string_value`	値は `Acct-Output-Octets` フィールドから取得されます。
`Acct-Output-Packets`	`additional.fields[].value.string_value`	値は `Acct-Output-Packets` フィールドから取得されます。
`Acct-Session-Id`	`additional.fields[].value.string_value`	値は `Acct-Session-Id` フィールドから取得されます。
`Acct-Session-Time`	`additional.fields[].value.string_value`	値は `Acct-Session-Time` フィールドから取得されます。
`Acct-Status-Type`	`additional.fields[].value.string_value`	値は `Acct-Status-Type` フィールドから取得されます。
`Acct-Terminate-Cause`	`additional.fields[].value.string_value`	値は `Acct-Terminate-Cause` フィールドから取得されます。
`ACSVersion`	`additional.fields[].value.string_value`	値は `ACSVersion` フィールドから取得されます。
`AD-Domain`	`principal.group.group_display_name`	値は `AD-Domain` フィールドから取得されます。
`AD-IP-Address`	`principal.ip`	値は `AD-IP-Address` フィールドから取得されます。
`Called-Station-ID`	`additional.fields[].value.string_value`	値は `Called-Station-ID` フィールドから取得されます。
`Calling-Station-ID`	`additional.fields[].value.string_value`	値は `Calling-Station-ID` フィールドから取得されます。
`Class`	`additional.fields[].value.string_value`	値は `Class` フィールドから取得されます。
`CmdSet`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`ConfigVersionId`	`additional.fields[].value.number_value`	値は `ConfigVersionId` フィールドから取得され、浮動小数点数に変換されます。
`DestinationIPAddress`	`target.ip`、`intermediary.ip`	値は `DestinationIPAddress` フィールドから取得されます。`intermediary.ip` は `Device IP Address` から導出されます。
`DestinationPort`	`target.port`	値は `DestinationPort` フィールドから取得され、整数に変換されます。
`Device IP Address`	`intermediary.ip`	値は `Device IP Address` フィールドから取得されます。
`Device Port`	`intermediary.port`	値は `Device Port` フィールドから取得され、整数に変換されます。
`DetailedInfo`	`security_result.summary`、`security_result.description`、`security_result.action`	`DetailedInfo` が「Authentication succeed」の場合は `security_result.summary` は「successful login occurred」、`security_result.action` は ALLOW です。`DetailedInfo` に「Invalid username or password specified」が含まれている場合、`security_result.summary` は「failed login occurred」、`security_result.action` は BLOCK です。`security_result.description` は `log_header` から導出されます。
`Framed-IP-Address`	`principal.ip`	値は `Framed-IP-Address` フィールドから取得されます。
`Framed-Protocol`	`additional.fields[].value.string_value`	値は `Framed-Protocol` フィールドから取得されます。
`NAS-IP-Address`	`target.ip`	値は `NAS-IP-Address` フィールドから取得されます。
`NAS-Port`	`additional.fields[].value.string_value`	値は `NAS-Port` フィールドから取得されます。
`NAS-Port-Id`	`target.port`	値は `NAS-Port-Id` フィールドから取得され、整数に変換されます。
`NAS-Port-Type`	`additional.fields[].value.string_value`	値は `NAS-Port-Type` フィールドから取得されます。
`NetworkDeviceName`	`target.hostname`	値は `NetworkDeviceName` フィールドから取得されます。
`Protocol`	`additional.fields[].value.string_value`	値は `Protocol` フィールドから取得されます。
`RadiusPacketType`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`Remote-Address`	`principal.ip`、`target.ip`	値は `Remote-Address` フィールドから取得され、IP アドレスとして解析されます。これは、認証イベントの場合は `principal.ip`、アカウンティングイベントと診断イベントの場合は `target.ip` にマッピングされます。
`RequestLatency`	`additional.fields[].value.string_value`	値は `RequestLatency` フィールドから取得されます。
`Response`	`principal.user.userid`	`Response` に「User-Name」が含まれている場合、ユーザー名が抽出され、`principal.user.userid` にマッピングされます。
`SelectedAccessService`	`additional.fields[].value.string_value`	値は `SelectedAccessService` フィールドから取得されます。
`SelectedAuthenticationIdentityStores`	`security_result.detection_fields[].value`	値は `SelectedAuthenticationIdentityStores` フィールドから取得されます。
`SelectedAuthorizationProfiles`	`security_result.detection_fields[].value`	値は `SelectedAuthorizationProfiles` フィールドから取得されます。
`Service-Type`	`additional.fields[].value.string_value`	値は `Service-Type` フィールドから取得されます。
`Tunnel-Client-Endpoint`	`additional.fields[].value.string_value`	値は `Tunnel-Client-Endpoint` フィールドから取得され、IP アドレスとして解析されます。
`User`	`target.user.userid`	値は `User` フィールドから取得されます。
`UserName`	`target.user.userid`、`principal.mac`	`UserName` が MAC アドレスの場合は、解析されて `principal.mac` にマッピングされます。それ以外の場合は `target.user.userid` にマッピングされます。
`ac-user-agent`	`network.http.user_agent`	値は `ac-user-agent` フィールドから取得されます。
`cat`	`metadata.description`	値は `cat` フィールドから取得されます。
`device-mac`	`principal.mac`	値は `device-mac` フィールドから取得され、コロンが追加され、小文字に変換されます。`device-mac` が「00」の場合、それは「00:00:00:00:00:00」に置き換えられます。
`device-platform`	`principal.asset.platform_software.platform`	`device-platform` が「win」の場合、値「WINDOWS」が `principal.asset.platform_software.platform` に割り当てられます。
`device-platform-version`	`principal.asset.platform_software.platform_version`	値は `device-platform-version` フィールドから取得されます。
`device-public-mac`	`principal.mac`	値は `device-public-mac` フィールドから取得され、ハイフンはコロンに置き換えられ、値は小文字に変換されます。
`device-type`	`principal.asset.hardware.model`	値は `device-type` フィールドから取得されます。
`device-uid`	`principal.asset.asset_id`	値は `device-uid` フィールドから取得され、「ASSET ID:」が先頭に追加されます。
`device-uid-global`	`principal.asset.product_object_id`	値は `device-uid-global` フィールドから取得されます。
`hostname`	`principal.hostname`	値は `hostname` フィールドから取得されます。
`ip:source-ip`	`principal.ip`	値は `ip:source-ip` フィールドから取得されます。
`kv.ADDomain`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.Airespace-Wlan-Id`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.AuthenticationIdentityStore`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.AVPair`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.CVPN3000/ASA/PIX7.x-DAP-Tunnel-Group-Name`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.CVPN3000/ASA/PIX7.x-Group-Based-Address-Pools`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.ExternalGroups`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.FailureReason`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.IdentityAccessRestricted`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.IdentityGroup`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.NAS-Identifier`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.SelectedShellProfile`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.ServiceSelectionMatchedRule`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.State`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.Step`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.Tunnel-Medium-Type`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.Tunnel-Private-Group-ID`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.Tunnel-Type`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.UseCase`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.UserIdentityGroup`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.VendorSpecific`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.attribute-131`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.attribute-89`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.cisco-av-pair`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.cisco-av-pair:CiscoSecure-Group-Id`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`leef_version`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`log_header`	`metadata.description`	値は `log_header` フィールドから取得されます。
`log_id`	`metadata.product_log_id`	値は `log_id` フィールドから取得されます。
`log_type`	`metadata.product_event_type`	値は `log_type` フィールドから取得されます。
`message_severity`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`product`	`metadata.product_name`	値は `product` フィールドから取得されます。
`product_version`	`metadata.product_version`	値は `product_version` フィールドから取得されます。
`server_host`	`target.hostname`	値は `server_host` フィールドから取得されます。
`timestamp`	`metadata.event_timestamp`	値は、`timestamp` フィールドと `timezone` フィールドから取得されます（コロンを削除した後）。結合された値はタイムスタンプとして解析されます。
`url`	`network.dns.questions[].name`	値は `url` フィールドから取得されます。
`vendor`	`metadata.vendor_name`	値は `vendor` フィールドから取得されます。最初は「GENERIC_EVENT」に設定されますが、`log_type` と解析されたフィールドに基づいて上書きされる可能性があります。「USER_LOGIN」、「USER_UNCATEGORIZED」、「NETWORK_DNS」、「NETWORK_CONNECTION」、「STATUS_UPDATE」、「STATUS_UNCATEGORIZED」のいずれかです。最初は「Cisco」に設定されますが、`vendor` フィールドによって上書きされる可能性があります。最初は「ACS」に設定されますが、`product` フィールドによって上書きされる可能性があります。「CISCO_ACS」に設定されます。「USERNAME_PASSWORD」に設定されます。「TACACS」に設定されます。RADIUS アカウンティングイベントと診断イベントの場合は「UDP」に設定されます。DNS イベントの場合は「DNS」に設定されます。ログインが成功したかどうかに基づいて設定される `security_action` フィールドから導出されます。ログインが成功した場合は「successful login occurred」に、ログインが失敗した場合は「failed login occurred」に設定されます。特定の ID ストアの診断イベントでは、「passed」に設定されることもあります。ログイン試行が失敗した場合は「LOW」に設定されます。`device-uid` フィールドに「ASSET ID:」を接頭辞として追加して作成されます。

変更

2023-09-26

機能強化 -
「hostname」を null に初期化するとともに、「metadata.event_type」を「STATUS_UPDATE」に設定する前にホスト名が null でないことを確認するチェックを追加しました。
UDM フィールドにマッピングする前に、「kv.DeviceIPAddress」、「kv.Remote-Address」に有効 IP アドレスチェックを追加しました。

2022-08-19

機能強化 -
「User-Name」を「principal.user.userid」にマッピングしました。
ip:source-ip の名前を「source_ip」に変更し、「principal.ip」にマッピングしました。
「kv.audit-session-id」の名前を「kv.audit_session_id」に変更し、「network.session_id」にマッピングしました。
「kv.AuthenticationMethod」を「additional.fields」にマッピングしました。
「kv.SelectedAccessService」を「additional.fields」にマッピングしました。
「kv.SelectedAuthorizationProfiles」を「security_result.detection_fields」にマッピングしました。
「kv.SelectedAuthenticationIdentityStores」を「security_result.detection_fields」にマッピングしました。
「kv.device-uid-global」を「principal.asset.product_object_id」にマッピングしました。
「kv.device-uid」を「principal.asset.asset_id」にマッピングしました。
kv.DestinationIPAddress および kv.NAS-IP-Address および kv.NAS-IP-Address および kv.UserName および kv.NetworkDeviceName が null の場合、「metadata.event_type」を「USER_UNCATEGORIZED」にマッピングしました。
LEEF 形式のログのサポートを追加しました。

2022-06-14

機能拡張 - 複数のスペースが原因で失敗していた log_type = "CSCOacs_Passed_Authentications" のログを解析するように grok を変更しました。
無効な値（00）の場合に、logtype「CSCOacs_RADIUS_Accounting」の「device-mac」の値をダミー値「00:00:00:00:00:00」に置き換えました。

2022-06-06

機能拡張 - タイプが「CSCOacs_Passed_Authentications」でログ内に「DestinationIPAddress」と「NAS-IP-Address」のいずれも存在しないログを解析しました。
タイプ「CSCOacs_Passed_Authentications」のログの metadata.event_type を「USER_UNCATEGORIZED」から「USER_LOGIN」に変更しました。

2022-05-05

機能拡張 - 新しく取り込まれたログにメッセージコードがない場合は解析されて破棄されます。

2022-04-27

機能拡張 - log_type=CISE_TACACS_Accounting のログを解析しました。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。