Mengumpulkan log Cisco Secure ACS
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Cisco Secure Access Control Server (ACS) menggunakan forwarder Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan
label transfer CISCO_ACS.
Mengonfigurasi Cisco Secure ACS
- Login ke konsol Cisco Secure ACS menggunakan kredensial administrator.
- Di konsol Cisco Secure ACS, pilih System administration > Configuration > Log configuration > Remote log targets.
- Klik Create.
Di jendela Create, tentukan nilai untuk kolom berikut:
Kolom Deskripsi Nama Nama penerusan Google Security Operations. Deskripsi Deskripsi penerusan Google Security Operations. Alamat IP Alamat IP penerusan Google Security Operations. Menggunakan opsi syslog lanjutan Pilih opsi ini untuk mengaktifkan opsi syslog lanjutan. Jenis target Pilih syslog TCP atau syslog UDP. Port Gunakan port tinggi, seperti 10514. Kode fasilitas LOCAL6 (kode = 22; default). Panjang maksimum Nilai yang direkomendasikan adalah 1024. Klik Kirim. Jendela Remote log targets akan muncul dengan konfigurasi target log jarak jauh yang baru.
Di konsol Cisco Secure ACS, pilih System administration > Configuration > Log configuration > Logging categories > Per-Instance.
Pilih ACS, lalu klik Konfigurasikan.
Di jendela Per-Instance, pilih kategori logging, lalu klik Edit.
Pada tab General, untuk beberapa kategori logging, tingkat keparahan logging harus ditetapkan ke default atau seperti yang disediakan oleh vendor.
Untuk Cisco Secure ACS, tingkat keparahan default-nya adalah Peringatan untuk semua kategori logging kecuali untuk kategori yang tingkat keparahannya tidak dapat diubah, seperti pemberitahuan audit AAA, pemberitahuan akuntansi, pemberitahuan audit administratif dan operasional, serta pemberitahuan statistik sistem.
Klik tab Remote syslog target, lalu pindahkan target jarak jauh yang baru dibuat dari Available targets ke Selected targets.
Klik Kirim.
Untuk mengonfigurasi target jarak jauh untuk kategori logging lainnya, ulangi langkah 8 hingga 10.
Mengonfigurasi forwarder dan syslog Google Security Operations untuk menyerap log Cisco Secure ACS
- Buka Setelan SIEM > Penerima.
- Klik Tambahkan penerusan baru.
- Di kolom Forwarder Name, masukkan nama unik untuk pengirim.
- Klik Kirim. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
- Di kolom Nama kolektor, ketik nama.
- Pilih Cisco ACS sebagai Jenis log.
- Pilih Syslog sebagai Jenis kolektor.
- Konfigurasikan parameter input wajib berikut:
- Protocol: menentukan protokol.
- Address: menentukan alamat IP atau nama host target tempat kolektor berada dan alamat ke data syslog.
- Port: menentukan port target tempat kolektor berada dan memproses data syslog.
- Klik Kirim.
Untuk informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis forwarder, lihat Konfigurasi forwarder menurut jenis. Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini menangani log Cisco ACS, termasuk autentikasi, pencatatan, diagnostik, dan statistik sistem. Alat ini menggunakan pola grok untuk mengekstrak kolom dari berbagai format log (SYSLOG + KV, LEEF), menormalisasi stempel waktu dan zona waktu, serta memetakan kolom kunci ke UDM, yang menangani berbagai jenis log dengan logika spesifik untuk keberhasilan/kegagalan autentikasi, pencatatan TACACS+, dan peristiwa RADIUS. Fitur ini juga memperkaya UDM dengan kolom tambahan seperti informasi perangkat dan detail autentikasi.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
Acct-Authentic |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Authentic. |
Acct-Delay-Time |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Delay-Time. |
Acct-Input-Octets |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Input-Octets. |
Acct-Input-Packets |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Input-Packets. |
Acct-Output-Octets |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Output-Octets. |
Acct-Output-Packets |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Output-Packets. |
Acct-Session-Id |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Session-Id. |
Acct-Session-Time |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Session-Time. |
Acct-Status-Type |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Status-Type. |
Acct-Terminate-Cause |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Terminate-Cause. |
ACSVersion |
additional.fields[].value.string_value |
Nilai diambil dari kolom ACSVersion. |
AD-Domain |
principal.group.group_display_name |
Nilai diambil dari kolom AD-Domain. |
AD-IP-Address |
principal.ip |
Nilai diambil dari kolom AD-IP-Address. |
Called-Station-ID |
additional.fields[].value.string_value |
Nilai diambil dari kolom Called-Station-ID. |
Calling-Station-ID |
additional.fields[].value.string_value |
Nilai diambil dari kolom Calling-Station-ID. |
Class |
additional.fields[].value.string_value |
Nilai diambil dari kolom Class. |
CmdSet |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
ConfigVersionId |
additional.fields[].value.number_value |
Nilai diambil dari kolom ConfigVersionId dan dikonversi menjadi float. |
DestinationIPAddress |
target.ip, intermediary.ip |
Nilai diambil dari kolom DestinationIPAddress. intermediary.ip berasal dari Device IP Address. |
DestinationPort |
target.port |
Nilai diambil dari kolom DestinationPort dan dikonversi menjadi bilangan bulat. |
Device IP Address |
intermediary.ip |
Nilai diambil dari kolom Device IP Address. |
Device Port |
intermediary.port |
Nilai diambil dari kolom Device Port dan dikonversi menjadi bilangan bulat. |
DetailedInfo |
security_result.summary, security_result.description, security_result.action |
Jika DetailedInfo adalah "Autentikasi berhasil", security_result.summary adalah "login berhasil terjadi", dan security_result.action adalah IZINKAN. Jika DetailedInfo berisi "Nama pengguna atau sandi yang ditentukan tidak valid", security_result.summary adalah "login gagal terjadi" dan security_result.action adalah BLOCK. security_result.description berasal dari log_header. |
Framed-IP-Address |
principal.ip |
Nilai diambil dari kolom Framed-IP-Address. |
Framed-Protocol |
additional.fields[].value.string_value |
Nilai diambil dari kolom Framed-Protocol. |
NAS-IP-Address |
target.ip |
Nilai diambil dari kolom NAS-IP-Address. |
NAS-Port |
additional.fields[].value.string_value |
Nilai diambil dari kolom NAS-Port. |
NAS-Port-Id |
target.port |
Nilai diambil dari kolom NAS-Port-Id dan dikonversi menjadi bilangan bulat. |
NAS-Port-Type |
additional.fields[].value.string_value |
Nilai diambil dari kolom NAS-Port-Type. |
NetworkDeviceName |
target.hostname |
Nilai diambil dari kolom NetworkDeviceName. |
Protocol |
additional.fields[].value.string_value |
Nilai diambil dari kolom Protocol. |
RadiusPacketType |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
Remote-Address |
principal.ip, target.ip |
Nilai diambil dari kolom Remote-Address dan diuraikan sebagai alamat IP. Peristiwa ini dipetakan ke principal.ip untuk peristiwa autentikasi dan target.ip untuk peristiwa pencatatan dan diagnostik. |
RequestLatency |
additional.fields[].value.string_value |
Nilai diambil dari kolom RequestLatency. |
Response |
principal.user.userid |
Jika Response berisi "Nama-Pengguna", nama pengguna akan diekstrak dan dipetakan ke principal.user.userid. |
SelectedAccessService |
additional.fields[].value.string_value |
Nilai diambil dari kolom SelectedAccessService. |
SelectedAuthenticationIdentityStores |
security_result.detection_fields[].value |
Nilai diambil dari kolom SelectedAuthenticationIdentityStores. |
SelectedAuthorizationProfiles |
security_result.detection_fields[].value |
Nilai diambil dari kolom SelectedAuthorizationProfiles. |
Service-Type |
additional.fields[].value.string_value |
Nilai diambil dari kolom Service-Type. |
Tunnel-Client-Endpoint |
additional.fields[].value.string_value |
Nilai diambil dari kolom Tunnel-Client-Endpoint dan diuraikan sebagai alamat IP. |
User |
target.user.userid |
Nilai diambil dari kolom User. |
UserName |
target.user.userid, principal.mac |
Jika UserName adalah alamat MAC, alamat tersebut akan diuraikan dan dipetakan ke principal.mac. Jika tidak, kolom akan dipetakan ke target.user.userid. |
ac-user-agent |
network.http.user_agent |
Nilai diambil dari kolom ac-user-agent. |
cat |
metadata.description |
Nilai diambil dari kolom cat. |
device-mac |
principal.mac |
Nilai diambil dari kolom device-mac, titik dua ditambahkan, dan nilai dikonversi ke huruf kecil. Jika device-mac adalah "00", device-mac akan diganti dengan "00:00:00:00:00:00". |
device-platform |
principal.asset.platform_software.platform |
Jika device-platform adalah "win", nilai "WINDOWS" ditetapkan ke principal.asset.platform_software.platform. |
device-platform-version |
principal.asset.platform_software.platform_version |
Nilai diambil dari kolom device-platform-version. |
device-public-mac |
principal.mac |
Nilai diambil dari kolom device-public-mac, tanda hubung diganti dengan titik dua, dan nilai dikonversi ke huruf kecil. |
device-type |
principal.asset.hardware.model |
Nilai diambil dari kolom device-type. |
device-uid |
principal.asset.asset_id |
Nilai diambil dari kolom device-uid dan diawali dengan "ASSET ID: ". |
device-uid-global |
principal.asset.product_object_id |
Nilai diambil dari kolom device-uid-global. |
hostname |
principal.hostname |
Nilai diambil dari kolom hostname. |
ip:source-ip |
principal.ip |
Nilai diambil dari kolom ip:source-ip. |
kv.ADDomain |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.Airespace-Wlan-Id |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.AuthenticationIdentityStore |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.AVPair |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.CVPN3000/ASA/PIX7.x-DAP-Tunnel-Group-Name |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.CVPN3000/ASA/PIX7.x-Group-Based-Address-Pools |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.ExternalGroups |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.FailureReason |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.IdentityAccessRestricted |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.IdentityGroup |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.NAS-Identifier |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.SelectedShellProfile |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.ServiceSelectionMatchedRule |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.State |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.Step |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.Tunnel-Medium-Type |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.Tunnel-Private-Group-ID |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.Tunnel-Type |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.UseCase |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.UserIdentityGroup |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.VendorSpecific |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.attribute-131 |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.attribute-89 |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.cisco-av-pair |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.cisco-av-pair:CiscoSecure-Group-Id |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
leef_version |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
log_header |
metadata.description |
Nilai diambil dari kolom log_header. |
log_id |
metadata.product_log_id |
Nilai diambil dari kolom log_id. |
log_type |
metadata.product_event_type |
Nilai diambil dari kolom log_type. |
message_severity |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
product |
metadata.product_name |
Nilai diambil dari kolom product. |
product_version |
metadata.product_version |
Nilai diambil dari kolom product_version. |
server_host |
target.hostname |
Nilai diambil dari kolom server_host. |
timestamp |
metadata.event_timestamp |
Nilai diambil dari kolom timestamp dan kolom timezone (setelah menghapus titik dua). Nilai gabungan diuraikan sebagai stempel waktu. |
url |
network.dns.questions[].name |
Nilai diambil dari kolom url. |
vendor |
metadata.vendor_name |
Nilai diambil dari kolom vendor. Awalnya ditetapkan ke "GENERIC_EVENT", lalu berpotensi ditimpa berdasarkan log_type dan kolom yang diuraikan. Dapat berupa "USER_LOGIN", "USER_UNCATEGORIZED", "NETWORK_DNS", "NETWORK_CONNECTION", "STATUS_UPDATE", atau "STATUS_UNCATEGORIZED". Awalnya ditetapkan ke "Cisco", lalu berpotensi ditimpa oleh kolom vendor. Awalnya ditetapkan ke "ACS", lalu berpotensi ditimpa oleh kolom product. Tetapkan ke "CISCO_ACS". Tetapkan ke "USERNAME_PASSWORD". Tetapkan ke "TACACS". Tetapkan ke "UDP" untuk peristiwa diagnostik dan pencatatan RADIUS. Tetapkan ke "DNS" untuk peristiwa DNS. Berasal dari kolom security_action, yang ditetapkan berdasarkan apakah login berhasil atau tidak. Tetapkan ke "login berhasil terjadi" untuk login yang berhasil dan "login gagal terjadi" untuk login yang gagal. Dapat juga ditetapkan ke "lulus" untuk peristiwa diagnostik penyimpanan identitas tertentu. Tetapkan ke "RENDAH" untuk upaya login yang gagal. Dibuat dengan menambahkan "ASSET ID: " di awal kolom device-uid. |
Perubahan
2023-09-26
- Peningkatan -
- Melakukan inisialisasi "hostname" ke null dan menambahkan pemeriksaan nama host bukan null sebelum menetapkan "metadata.event_type" ke "STATUS_UPDATE".
- Menambahkan pemeriksaan alamat IP yang valid ke "kv.DeviceIPAddress", "kv.Remote-Address" sebelum memetakan ke kolom UDM.
2022-08-19
- Peningkatan -
- Memetakan "User-Name" ke "principal.user.userid".
- Mengganti nama ip:source-ip" menjadi "source_ip" dan memetakan ke "principal.ip".
- Mengganti nama "kv.audit-session-id" menjadi "kv.audit_session_id" dan memetakan ke "network.session_id".
- Memetakan "kv.AuthenticationMethod" ke "additional.fields".
- Memetakan "kv.SelectedAccessService" ke "additional.fields".
- Memetakan "kv.SelectedAuthorizationProfiles" ke "security_result.detection_fields".
- Memetakan "kv.SelectedAuthenticationIdentityStores" ke "security_result.detection_fields".
- Memetakan "kv.device-uid-global" ke "principal.asset.product_object_id".
- Memetakan "kv.device-uid" ke "principal.asset.asset_id".
- Memetakan "metadata.event_type" ke "USER_UNCATEGORIZED" dengan kv.DestinationIPAddress dan kv.NAS-IP-Address dan kv.NAS-IP-Address dan kv.UserName dan kv.NetworkDeviceName bernilai null.
- Menambahkan dukungan untuk log dengan format LEEF.
2022-06-14
- Peningkatan - Mengubah grok untuk mengurai log log_type = "CSCOacs_Passed_Authentications" yang gagal karena beberapa spasi.
- Mengganti nilai 'device-mac' dengan nilai dummy "00:00:00:00:00:00" untuk logtype "CSCOacs_RADIUS_Accounting" jika nilai tidak valid (00).
2022-06-06
- Peningkatan - Log yang diuraikan dari jenis "CSCOacs_Passed_Authentications" yang tidak memiliki "DestinationIPAddress" atau "NAS-IP-Address" dalam log.
- Mengubah metadata.event_type dari "USER_UNCATEGORIZED" menjadi "USER_LOGIN" untuk log jenis "CSCOacs_Passed_Authentications"
2022-05-05
- Peningkatan - Log yang baru ditransfer yang tidak memiliki kode pesan akan diuraikan dan dihapus.
2022-04-27
- Peningkatan - Mengurai log dengan log_type=CISE_TACACS_Accounting.