このページは Cloud Translation API によって翻訳されました。

Cisco Secure ACS ログを収集する

以下でサポートされています。

Google SecOpsSIEM

このドキュメントでは、Google Security Operations フォワーダーを使用して Cisco Secure Access Control Server（ACS）のログを収集する方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CISCO_ACS が付加されたパーサーに適用されます。

Cisco Secure ACS を構成する

管理者認証情報を使用して Cisco Secure ACS コンソールにログインします。
Cisco Secure ACS コンソールで、[システム管理] > [構成] > [ログ構成] > [リモートログターゲット] を選択します。
[作成] をクリックします。

[作成] ウィンドウで、次のフィールドに値を指定します。

フィールド	説明
名前	Google Security Operations フォワーダーの名前。
説明	Google Security Operations フォワーダーの説明。
IP アドレス	Google Security Operations フォワーダーの IP アドレス。
高度な Syslog オプションを使用する	詳細な syslog オプションを有効にするには、このオプションを選択します。
ターゲットタイプ	TCP syslog または UDP syslog を選択します。
ポート	10514 などの高ポートを使用します。
施設コード	LOCAL6（コード = 22、デフォルト）。
Maximum length	推奨値は 1,024 です。

[送信] をクリックします。[リモートログターゲット] ウィンドウが開き、新しいリモートログターゲット構成が表示されます。
Cisco Secure ACS コンソールで、[システム管理] > [構成] > [ログ構成] > [ロギングカテゴリ] > [インスタンスごと] を選択します。
[ACS] を選択し、[構成] をクリックします。
[インスタンスごと] ウィンドウでロギングカテゴリを選択し、[編集] をクリックします。

[全般] タブで、一部のロギングカテゴリのロギング重大度は、デフォルトまたはベンダーから提供されたものに設定する必要があります。

Cisco Secure ACS の場合、AAA 監査通知、アカウンティング通知、管理および運用監査通知、システム統計情報通知など、重要度を変更できないログカテゴリを除き、すべてのログカテゴリのデフォルトの重要度は [警告] です。
[リモート syslog ターゲット] タブをクリックし、新しく作成したリモートターゲットを [使用可能なターゲット] から [選択したターゲット] に移動します。
[送信] をクリックします。
他のロギングカテゴリのリモートターゲットを構成するには、手順 8 ～ 10 を繰り返します。

Cisco Secure ACS ログを取り込むように Google Security Operations フォワーダーと Syslog を構成する

[SIEM 設定] > [転送元] に移動します。
[新しいフォワーダーの追加] をクリックします。
[フォワーダー名] フィールドに、フォワーダーの一意の名前を入力します。
[送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
[コレクタ名] フィールドに名前を入力します。
[ログタイプ] で [Cisco ACS] を選択します。
[Collector type] として [Syslog] を選択します。
次の必須入力パラメータを構成します。
- プロトコル: プロトコルを指定します。
- アドレス: コレクタが存在し、Syslog データのアドレスが設定されているターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、Syslog データをリッスンするターゲットポートを指定します。
[送信] をクリックします。

Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。各フォワーダタイプの要件については、タイプ別のフォワーダ構成をご覧ください。フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

フィールドマッピングリファレンス

このパーサーは、認証、アカウンティング、診断、システム統計情報などの Cisco ACS ログを処理します。Grok パターンを使用してさまざまなログ形式（SYSLOG + KV、LEEF）からフィールドを抽出し、タイムスタンプとタイムゾーンを正規化し、キーフィールドを UDM にマッピングします。認証の成功/失敗、TACACS+ アカウンティング、RADIUS イベントの特定のロジックを使用して、さまざまなログタイプを処理します。また、デバイス情報や認証の詳細などの追加フィールドを使用して UDM を拡充します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`Acct-Authentic`	`additional.fields[].value.string_value`	Value は `Acct-Authentic` フィールドから取得されます。
`Acct-Delay-Time`	`additional.fields[].value.string_value`	Value は `Acct-Delay-Time` フィールドから取得されます。
`Acct-Input-Octets`	`additional.fields[].value.string_value`	Value は `Acct-Input-Octets` フィールドから取得されます。
`Acct-Input-Packets`	`additional.fields[].value.string_value`	Value は `Acct-Input-Packets` フィールドから取得されます。
`Acct-Output-Octets`	`additional.fields[].value.string_value`	Value は `Acct-Output-Octets` フィールドから取得されます。
`Acct-Output-Packets`	`additional.fields[].value.string_value`	Value は `Acct-Output-Packets` フィールドから取得されます。
`Acct-Session-Id`	`additional.fields[].value.string_value`	Value は `Acct-Session-Id` フィールドから取得されます。
`Acct-Session-Time`	`additional.fields[].value.string_value`	Value は `Acct-Session-Time` フィールドから取得されます。
`Acct-Status-Type`	`additional.fields[].value.string_value`	Value は `Acct-Status-Type` フィールドから取得されます。
`Acct-Terminate-Cause`	`additional.fields[].value.string_value`	Value は `Acct-Terminate-Cause` フィールドから取得されます。
`ACSVersion`	`additional.fields[].value.string_value`	Value は `ACSVersion` フィールドから取得されます。
`AD-Domain`	`principal.group.group_display_name`	Value は `AD-Domain` フィールドから取得されます。
`AD-IP-Address`	`principal.ip`	Value は `AD-IP-Address` フィールドから取得されます。
`Called-Station-ID`	`additional.fields[].value.string_value`	Value は `Called-Station-ID` フィールドから取得されます。
`Calling-Station-ID`	`additional.fields[].value.string_value`	Value は `Calling-Station-ID` フィールドから取得されます。
`Class`	`additional.fields[].value.string_value`	Value は `Class` フィールドから取得されます。
`CmdSet`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`ConfigVersionId`	`additional.fields[].value.number_value`	値は `ConfigVersionId` フィールドから取得され、浮動小数点数に変換されます。
`DestinationIPAddress`	`target.ip`、`intermediary.ip`	Value は `DestinationIPAddress` フィールドから取得されます。`intermediary.ip` は `Device IP Address` から派生しています。
`DestinationPort`	`target.port`	値は `DestinationPort` フィールドから取得され、整数に変換されます。
`Device IP Address`	`intermediary.ip`	Value は `Device IP Address` フィールドから取得されます。
`Device Port`	`intermediary.port`	値は `Device Port` フィールドから取得され、整数に変換されます。
`DetailedInfo`	`security_result.summary`、`security_result.description`、`security_result.action`	`DetailedInfo` が「Authentication succeed」、`security_result.summary` が「successful login occurred」、`security_result.action` が ALLOW の場合。`DetailedInfo` に「Invalid username or password specified」が含まれている場合、`security_result.summary` は「failed login occurred」、`security_result.action` は「BLOCK」です。`security_result.description` は `log_header` から派生しています。
`Framed-IP-Address`	`principal.ip`	Value は `Framed-IP-Address` フィールドから取得されます。
`Framed-Protocol`	`additional.fields[].value.string_value`	Value は `Framed-Protocol` フィールドから取得されます。
`NAS-IP-Address`	`target.ip`	Value は `NAS-IP-Address` フィールドから取得されます。
`NAS-Port`	`additional.fields[].value.string_value`	Value は `NAS-Port` フィールドから取得されます。
`NAS-Port-Id`	`target.port`	値は `NAS-Port-Id` フィールドから取得され、整数に変換されます。
`NAS-Port-Type`	`additional.fields[].value.string_value`	Value は `NAS-Port-Type` フィールドから取得されます。
`NetworkDeviceName`	`target.hostname`	Value は `NetworkDeviceName` フィールドから取得されます。
`Protocol`	`additional.fields[].value.string_value`	Value は `Protocol` フィールドから取得されます。
`RadiusPacketType`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`Remote-Address`	`principal.ip`、`target.ip`	値は `Remote-Address` フィールドから取得され、IP アドレスとして解析されます。これは、認証イベントの場合は `principal.ip`、アカウンティングイベントと診断イベントの場合は `target.ip` にマッピングされます。
`RequestLatency`	`additional.fields[].value.string_value`	Value は `RequestLatency` フィールドから取得されます。
`Response`	`principal.user.userid`	`Response` に「User-Name」が含まれている場合、ユーザー名が抽出され、`principal.user.userid` にマッピングされます。
`SelectedAccessService`	`additional.fields[].value.string_value`	Value は `SelectedAccessService` フィールドから取得されます。
`SelectedAuthenticationIdentityStores`	`security_result.detection_fields[].value`	Value は `SelectedAuthenticationIdentityStores` フィールドから取得されます。
`SelectedAuthorizationProfiles`	`security_result.detection_fields[].value`	Value は `SelectedAuthorizationProfiles` フィールドから取得されます。
`Service-Type`	`additional.fields[].value.string_value`	Value は `Service-Type` フィールドから取得されます。
`Tunnel-Client-Endpoint`	`additional.fields[].value.string_value`	値は `Tunnel-Client-Endpoint` フィールドから取得され、IP アドレスとして解析されます。
`User`	`target.user.userid`	Value は `User` フィールドから取得されます。
`UserName`	`target.user.userid`、`principal.mac`	`UserName` が MAC アドレスの場合は、解析されて `principal.mac` にマッピングされます。それ以外の場合は `target.user.userid` にマッピングされます。
`ac-user-agent`	`network.http.user_agent`	Value は `ac-user-agent` フィールドから取得されます。
`cat`	`metadata.description`	Value は `cat` フィールドから取得されます。
`device-mac`	`principal.mac`	値は `device-mac` フィールドから取得され、コロンが追加され、小文字に変換されます。`device-mac` が「00」の場合、これは「00:00:00:00:00:00」に置き換えられます。
`device-platform`	`principal.asset.platform_software.platform`	`device-platform` が「win」の場合、値「WINDOWS」が `principal.asset.platform_software.platform` に割り当てられます。
`device-platform-version`	`principal.asset.platform_software.platform_version`	Value は `device-platform-version` フィールドから取得されます。
`device-public-mac`	`principal.mac`	値は `device-public-mac` フィールドから取得され、ハイフンはコロンに変換され、値は小文字に変換されます。
`device-type`	`principal.asset.hardware.model`	Value は `device-type` フィールドから取得されます。
`device-uid`	`principal.asset.asset_id`	値は `device-uid` フィールドから取得され、「ASSET ID:」が先頭に追加されます。
`device-uid-global`	`principal.asset.product_object_id`	Value は `device-uid-global` フィールドから取得されます。
`hostname`	`principal.hostname`	Value は `hostname` フィールドから取得されます。
`ip:source-ip`	`principal.ip`	Value は `ip:source-ip` フィールドから取得されます。
`kv.ADDomain`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.Airespace-Wlan-Id`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.AuthenticationIdentityStore`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.AVPair`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.CVPN3000/ASA/PIX7.x-DAP-Tunnel-Group-Name`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.CVPN3000/ASA/PIX7.x-Group-Based-Address-Pools`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.ExternalGroups`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.FailureReason`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.IdentityAccessRestricted`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.IdentityGroup`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.NAS-Identifier`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.SelectedShellProfile`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.ServiceSelectionMatchedRule`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.State`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.Step`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.Tunnel-Medium-Type`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.Tunnel-Private-Group-ID`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.Tunnel-Type`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.UseCase`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.UserIdentityGroup`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.VendorSpecific`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.attribute-131`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.attribute-89`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.cisco-av-pair`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`kv.cisco-av-pair:CiscoSecure-Group-Id`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`leef_version`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`log_header`	`metadata.description`	Value は `log_header` フィールドから取得されます。
`log_id`	`metadata.product_log_id`	Value は `log_id` フィールドから取得されます。
`log_type`	`metadata.product_event_type`	Value は `log_type` フィールドから取得されます。
`message_severity`	（マッピングなし）	IDM オブジェクトにマッピングされていません。
`product`	`metadata.product_name`	Value は `product` フィールドから取得されます。
`product_version`	`metadata.product_version`	Value は `product_version` フィールドから取得されます。
`server_host`	`target.hostname`	Value は `server_host` フィールドから取得されます。
`timestamp`	`metadata.event_timestamp`	値は、`timestamp` フィールドと `timezone` フィールド（コロンを削除した後）から取得されます。結合された値はタイムスタンプとして解析されます。
`url`	`network.dns.questions[].name`	Value は `url` フィールドから取得されます。
`vendor`	`metadata.vendor_name`	Value は `vendor` フィールドから取得されます。最初は「GENERIC_EVENT」に設定され、`log_type` と解析されたフィールドに基づいて上書きされる可能性があります。「USER_LOGIN」、「USER_UNCATEGORIZED」、「NETWORK_DNS」、「NETWORK_CONNECTION」、「STATUS_UPDATE」、「STATUS_UNCATEGORIZED」のいずれかです。最初は「Cisco」に設定され、`vendor` フィールドによって上書きされる可能性があります。最初は「ACS」に設定され、`product` フィールドによって上書きされる可能性があります。「CISCO_ACS」に設定します。「USERNAME_PASSWORD」に設定します。「TACACS」に設定します。RADIUS アカウンティングイベントと診断イベントの場合は「UDP」に設定します。DNS イベントの場合は「DNS」に設定します。ログインが成功したかどうかに基づいて設定される `security_action` フィールドから派生します。ログインが成功した場合は「ログイン成功」に、ログインが失敗した場合は「ログイン失敗」に設定します。特定の ID ストアの診断イベントでは、「合格」に設定することもできます。ログイン試行が失敗した場合は「低」に設定します。`device-uid` フィールドに「ASSET ID:」を接頭辞として追加して作成されます。

変更点

2023-09-26

機能強化 -
「hostname」を null に初期化し、「metadata.event_type」を「STATUS_UPDATE」に設定する前に、ホスト名が null でないことを確認するチェックを追加しました。
UDM フィールドにマッピングする前に、「kv.DeviceIPAddress」、「kv.Remote-Address」に有効な IP アドレスのチェックを追加しました。

2022-08-19

機能強化 -
「User-Name」を「principal.user.userid」にマッピングしました。
ip:source-ip の名前を「source_ip」に変更し、「principal.ip」にマッピングしました。
「kv.audit-session-id」の名前を「kv.audit_session_id」に変更し、「network.session_id」にマッピングしました。
「kv.AuthenticationMethod」を「additional.fields」にマッピングしました。
「kv.SelectedAccessService」を「additional.fields」にマッピングしました。
「kv.SelectedAuthorizationProfiles」を「security_result.detection_fields」にマッピングしました。
「kv.SelectedAuthenticationIdentityStores」を「security_result.detection_fields」にマッピングしました。
「kv.device-uid-global」を「principal.asset.product_object_id」にマッピングしました。
「kv.device-uid」を「principal.asset.asset_id」にマッピングしました。
kv.DestinationIPAddress、kv.NAS-IP-Address、kv.NAS-IP-Address、kv.UserName、kv.NetworkDeviceName が null の場合、「metadata.event_type」を「USER_UNCATEGORIZED」にマッピングしました。
LEEF 形式のログのサポートを追加しました。

2022-06-14

機能拡張 - 複数のスペースが原因で失敗していた log_type = "CSCOacs_Passed_Authentications" のログを解析するように grok を変更しました。
無効な値（00）の場合に、logtype「CSCOacs_RADIUS_Accounting」の「device-mac」の値をダミー値「00:00:00:00:00:00」に置き換えました。

2022-06-06

機能拡張 - ログに「DestinationIPAddress」または「NAS-IP-Address」のいずれも存在しない「CSCOacs_Passed_Authentications」タイプのログを解析しました。
タイプ「CSCOacs_Passed_Authentications」のログの metadata.event_type を「USER_UNCATEGORIZED」から「USER_LOGIN」に変更しました。

2022-05-05

機能拡張 - メッセージコードのない新しく取り込まれたログが解析され、破棄されます。

2022-04-27

機能拡張 - log_type=CISE_TACACS_Accounting のログを解析しました。