Raccogliere i log di Cisco ISE
Supportato in:
Google SecOps
SIEM
Questo documento descrive come raccogliere i log di Cisco Identify Services Engine (ISE) utilizzando un forwarder di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano all'analizzatore con l'etichetta di importazione CISCO_ISE.
Configurare Cisco ISE
- Accedi alla console di Cisco ISE utilizzando le credenziali di amministratore.
- Nella console di Cisco ISE, seleziona Amministrazione > Sistema > Logging > Destinatari di log remoti.
- Nella finestra Destinatari di log remoti, fai clic su Aggiungi. Viene visualizzata la finestra Nuovo target di logging.
Nella sezione Destinazione dei log, specifica i valori per i seguenti campi:
Campo Descrizione Nome Nome del forwarder di Google Security Operations. Descrizione Descrizione del forwarder di Google Security Operations. Tipo Tipo di destinazione dei log remoti, ad esempio syslog. Indirizzo IP Indirizzo IP del forwarder di Google Security Operations. Tipo target Seleziona syslog TCP o syslog UDP. Porta Utilizza una porta alta, ad esempio 10514. Codice struttura Puoi specificare uno dei seguenti valori: - LOCAL0 (codice = 16)
- LOCAL1 (codice = 17)
- LOCAL2 (codice = 18)
- LOCAL3 (codice = 19)
- LOCAL4 (codice = 20)
- LOCAL5 (codice = 21)
- LOCAL6 (codice = 22; predefinito)
- LOCAL7 (codice = 23)
Lunghezza massima Il valore consigliato è 1024. Fai clic su Invia. Viene visualizzata la finestra Destinatari dei log remoti con la nuova configurazione del forwarder di Google Security Operations.
Nella console di Cisco ISE, seleziona Amministrazione > Sistema > Logging > Categorie di log.
Nella finestra Categorie di log, seleziona le categorie per le quali vuoi impostare il target syslog remoto e aggiungilo.
Di seguito sono riportate le categorie di esempio: audit AAA, diagnostica AAA, contabilità, audit amministrativo e operativo, audit della configurazione e del provisioning dei client, diagnostica della configurazione e del provisioning dei client, profiler, diagnostica del sistema e statistiche di sistema.
Configura il forwarder di Google Security Operations e syslog per importare i log di Cisco Secure ACS
- Vai a Impostazioni SIEM > Inoltratori.
- Fai clic su Aggiungi nuovo mittente.
- Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
- Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
- Digita un nome nel campo Nome del raccoglitore.
- Seleziona Cisco ISE come Tipo di log.
- Seleziona Syslog come Tipo di collettore.
- Configura i seguenti parametri di input obbligatori:
- Protocollo: specifica il protocollo.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il collector e gli indirizzi dei dati syslog.
- Porta: specifica la porta di destinazione in cui risiede il raccoglitore e che ascolta i dati syslog.
- Fai clic su Invia.
Per ulteriori informazioni sui forwarder di Google Security Operations, consulta la documentazione sui forwarder di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di inoltro, consulta Configurazione degli inoltratori per tipo. Se riscontri problemi durante la creazione dei reindirizzamenti, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser estrae i log di Cisco ISE dai messaggi syslog, normalizza i dati in formato UDM e arricchisce l'evento con un contesto aggiuntivo. Gestisce varie categorie di log di ISE, tra cui successi e fallimenti di autenticazione, controlli amministrativi, statistiche di sistema e altro ancora, mappando i campi pertinenti allo schema UDM e aggiungendo etichette specifiche per un'analisi dettagliata.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logica |
|---|---|---|
Acct-Authentic |
sec_result.detection_fields.value |
Mappatura diretta. |
Acct-Delay-Time |
sec_result.detection_fields.value |
Mappatura diretta. |
Acct-Input-Octets |
sec_result.detection_fields.value |
Mappatura diretta. |
Acct-Input-Packets |
sec_result.detection_fields.value |
Mappatura diretta. |
Acct-Output-Octets |
sec_result.detection_fields.value |
Mappatura diretta. |
Acct-Output-Packets |
sec_result.detection_fields.value |
Mappatura diretta. |
Acct-Session-Id |
sec_result.detection_fields.value |
Mappatura diretta. |
Acct-Session-Time |
sec_result.detection_fields.value |
Mappatura diretta. |
Acct-Status-Type |
sec_result.detection_fields.value |
Mappatura diretta. |
Acct-Terminate-Cause |
sec_result.detection_fields.value |
Mappatura diretta. |
AcsSessionID |
sec_result.detection_fields.value |
Mappato direttamente come "Acs SessionID". |
AD-Account-Name |
principal.user.userid |
Mappatura diretta. |
AD-Domain |
principal.group.group_display_name |
Mappatura diretta. |
AD-Domain-Controller |
target.administrative_domain |
Mappatura diretta. |
AD-Error-Details |
sec_result.description |
Mappatura diretta. |
AD-Host-Candidate-Identities |
sec_result.detection_fields.value |
Mappatura diretta. |
AD-IP-Address |
target.ip, target.asset.ip |
Mappatura diretta. |
AD-Log-Id |
sec_result.detection_fields.value |
Mappato direttamente come "AD-Log-Id". |
AD-Operating-System |
principal.asset.platform_software.platform_version |
Mappato direttamente come ad_operating_system. Se contiene "Windows", principal.platform viene impostato su "WINDOWS". |
AD-Site |
target.location.name |
Mappatura diretta. |
AD-Srv-Query |
sec_result.detection_fields.value |
Mappato direttamente come "AD-Srv-Query". |
AD-Srv-Record |
sec_result.detection_fields.value |
Mappato direttamente come "AD-Srv-Record". |
AD-User-Resolved-Identities |
sec_result.detection_fields.value |
Mappatura diretta. |
AD-User-SamAccount-Name |
principal.user.attribute.labels.value |
Mappatura diretta. |
AdminIPAddress |
principal.ip, principal.asset.ip |
Mappatura diretta. |
AdminInterface |
principal.user.attribute.labels.value |
Mappato direttamente come "Interfaccia amministratore". |
AdminName |
principal.user.userid |
Mappatura diretta. Viene aggiunto anche un user.attribute.roles di tipo "ADMINISTRATOR". |
AuthenticationIdentityStore |
sec_result.detection_fields.value |
Mappato direttamente come "Authentication Identity Store". |
AuthenticationStatus |
sec_result.action_details |
Mappatura diretta. Se il valore corrisponde a "AuthenticationPassed", sec_result.action viene impostato su "ALLOW", altrimenti su "BLOCK". |
AuthorizationPolicyMatchedRule |
sec_result.rule_name |
Mappato con il prefisso "AuthorizationPolicyMatchedRule : ". |
BYODRegistration |
sec_result.detection_fields.value |
Mappatura diretta. |
Called-Station-ID |
sec_result.detection_fields.value |
Mappatura diretta. |
Calling-Station-ID |
sec_result.detection_fields.value, principal.ip, principal.asset.ip |
Mappatura diretta. Se si tratta di un indirizzo IP, deve essere mappato anche su principal.ip e principal.asset.ip. |
cdpCachePlatform |
principal.asset.hardware.model |
Mappatura diretta. |
Class |
sec_result.detection_fields.value |
Mappatura diretta. |
ClientLatency |
sec_result.detection_fields.value |
Mappatura diretta. |
CmdSet |
target.process.command_line |
Mappato direttamente dopo aver rimosso le parentesi e gli spazi circostanti. |
ConfigVersionId |
sec_result.detection_fields.value |
Mappato direttamente come "ID versione configurazione". |
ConnectionStatus |
sec_result.detection_fields.value |
Mappato direttamente come "Stato connessione". |
CPMSessionID |
sec_result.detection_fields.value |
Mappatura diretta. |
CreateTime |
principal.asset.attribute.creation_time |
Analizzata come timestamp UNIX_MS. |
DetailedInfo |
sec_result.description |
Mappato direttamente dopo la rimozione delle barre. |
DestinationIPAddress |
target.ip, target.asset.ip |
Mappatura diretta. Imposta has_target su "true". |
DestinationPort |
target.port |
Se numerico, mappato direttamente. |
Device IP Address |
principal.ip, principal.asset.ip, _intermediary.ip, target.ip, target.asset.ip |
Mappato come DeviceIPAddress. Utilizzato in varie logiche per compilare principal.ip, _intermediary.ip o target.ip a seconda della categoria di log e di altri campi. |
Device Port |
principal.port, _intermediary.port, target.port |
Mappato come DevicePort. Utilizzato in varie logiche per compilare principal.port, _intermediary.port o target.port a seconda della categoria di log e di altri campi. |
Device Type |
principal.asset.hardware.model |
Mappato direttamente come device-type. |
DTLSSupport |
sec_result.detection_fields.value |
Mappatura diretta. |
EndPointMACAddress |
principal.asset.mac |
Mappatura diretta dopo la conversione in lettere minuscole e la sostituzione dei trattini con i due punti. |
EndPointMatchedProfile |
sec_result.about.labels.value |
Mappatura diretta. |
EndpointCertainityMetric |
sec_result.detection_fields.value |
Mappato direttamente come "Metrica di certezza dell'endpoint". |
EndpointIdentityGroup |
principal.group.group_display_name |
Mappatura diretta. |
EndpointIPAddress |
principal.asset.ip |
Mappatura diretta. |
EndpointNADAddress |
sec_result.detection_fields.value |
Mappato direttamente come "Indirizzo NAD endpoint". |
EndpointOUI |
sec_result.detection_fields.value |
Mappato direttamente come "OUI endpoint". |
EndpointPolicy |
principal.asset.platform_software.platform_version |
Mappatura diretta. |
EndpointProperty |
sec_result.detection_fields.value |
Mappato direttamente come "Proprietà endpoint". |
EndpointSourceEvent |
sec_result.detection_fields.value |
Mappatura diretta. |
EndpointUserAgent |
network.http.user_agent |
Mappatura diretta. |
EndPointVersion |
sec_result.detection_fields.value |
Mappatura diretta. |
FailureReason |
sec_result.detection_fields.value, sec_result.summary, sec_result.description |
Mappato come FailureReason. Utilizzato per compilare sec_result.detection_fields come "Motivo del fallimento", sec_result.summary o sec_result.description a seconda del contesto. |
FirstCollection |
principal.asset.first_discover_time |
Analizzata come timestamp UNIX_MS. |
Framed-IP-Address |
sec_result.detection_fields.value |
Mappatura diretta. |
Framed-IPv6-Address |
FramedIPAddress |
Mappatura diretta. |
Framed-Protocol |
sec_result.detection_fields.value |
Mappatura diretta. |
IdentityGroup |
principal.group.group_display_name |
Mappatura diretta. |
IdentityGroupID |
principal.group.product_object_id |
Mappatura diretta. |
IdentityPolicyMatchedRule |
sec_result.about.labels.value |
Mappatura diretta. |
IdentitySelectionMatchedRule |
sec_result.detection_fields.value |
Mappatura diretta. |
IMEI |
target.asset.product_object_id |
Mappatura diretta. |
ISELocalAddress |
_intermediary.ip, principal.ip, principal.asset.ip, _intermediary.port, principal.port, sec_result.detection_fields.value |
Se in CISE_Administrative_and_Operational_Audit, l'IP e la porta vengono estratti e mappati a _intermediary e principal. In caso contrario, mappato direttamente come "Indirizzo locale ISE" a sec_result.detection_fields. |
ISEModuleName |
sec_result.detection_fields.value |
Mappato direttamente come "Nome modulo ISE". |
ISEServiceName |
sec_result.detection_fields.value |
Mappato direttamente come "Nome servizio ISE". |
IsThirdPartyDeviceFlow |
sec_result.detection_fields.value |
Mappatura diretta. |
Issuer |
about.labels.value |
Mappatura diretta. |
LastActivity |
principal.asset.last_discover_time |
Analizzata come timestamp UNIX_MS. |
LastNmapScanTime |
sec_result.detection_fields.value |
Mappatura diretta. |
lldpChassisId |
target.mac |
Mappato direttamente dopo l'analisi come indirizzo MAC. |
lldpSystemName |
target.hostname, target.asset.hostname |
Mappatura diretta. |
Location |
principal.location.country_or_region, target.location.country_or_region |
Mappato direttamente alla posizione principal o target a seconda della categoria di log. |
Manufacturer |
target.asset.hardware.manufacturer |
Mappatura diretta. |
MessageCode |
sec_result.detection_fields.value, metadata.event_type |
Mappato direttamente come msg_code. Utilizzato nella logica per determinare metadata.event_type. |
Model |
target.asset.hardware.model |
Mappatura diretta. |
NAS-IP-Address |
principal.nat_ip |
Mappatura diretta. |
NAS-Identifier |
principal.labels.value |
Mappato direttamente come nas_identifier. |
NAS-Port |
principal.nat_port, sec_result.detection_fields.value, principal.labels.value |
Mappato come NASPort. Se numerico e inferiore a 2147483648, mappato a principal.nat_port. In caso contrario, mappato come stringa a sec_result.detection_fields come "Porta NAS" o principal.labels come "NAS-Port". |
NAS-Port-Id |
principal.labels.value, sec_result.detection_fields.value |
Mappato come NASPortId. Utilizzato per compilare principal.labels come "nas_port_id" o sec_result.detection_fields come "nas_port_id". |
NAS-Port-Type |
principal.labels.value, sec_result.detection_fields.value |
Mappato come NASPortType. Utilizzato per compilare principal.labels come "nas_port_type" o sec_result.detection_fields come "Nas-Port-Type". |
NetworkDeviceGroups |
sec_result.detection_fields.value |
Mappatura diretta. |
NetworkDeviceName |
_intermediary.hostname, principal.hostname, principal.asset.hostname, target.hostname, target.asset.hostname |
Mappato come NetworkDeviceName. Utilizzato in varie logiche per compilare _intermediary.hostname, principal.hostname o target.hostname a seconda della categoria di log e di altri campi. |
NetworkDeviceProfileId |
principal.asset.asset_id |
Mappato con il prefisso "Cisco_ISE:". |
NetworkDeviceProfileName |
principal.asset.attribute.labels.value |
Mappatura diretta. |
ObjectName |
sec_result.about.labels.value |
Mappatura diretta. |
ObjectType |
sec_result.about.labels.value |
Mappatura diretta. |
OperatingSystem |
target.asset.platform_software.platform_version, principal.asset.platform_software.platform_version, principal.platform |
Mappato come OperatingSystem. Utilizzato per compilare target.asset.platform_software.platform_version o principal.asset.platform_software.platform_version. Se contiene "Win", principal.platform viene impostato su "WINDOWS". Se contiene "lin", principal.platform viene impostato su "LINUX". Se contiene "iOS", principal.platform è impostato su "MAC". |
OperationMessageText |
sec_result.detection_fields.value, about.labels.value, sec_result.summary |
Mappato come OperationMessageText. Utilizzato per compilare sec_result.detection_fields come "Testo messaggio di operazione", about.labels come "Testo messaggio di operazione" o sec_result.summary a seconda del contesto. Se contiene i dettagli di connessione, questi vengono estratti e mappati a src e target. |
OriginalUserName |
principal.user.userid |
Mappato direttamente come User. |
PeerAddress |
target.mac |
Mappatura diretta dopo la conversione in lettere minuscole e la sostituzione dei trattini con i due punti. |
PeerName |
target.hostname, target.asset.hostname |
L'IP e il nome host vengono estratti e mappati a target.ip e target.hostname. |
PhoneID |
principal.user.phone_numbers |
Mappato direttamente come User-Fetch-Telephone. |
PhoneNumber |
principal.user.phone_numbers |
Mappatura diretta. |
PolicyVersion |
sec_result.detection_fields.value |
Mappatura diretta. |
Port |
_intermediary.port, principal.port, target.port |
Mappato come Port. Utilizzato in varie logiche per compilare _intermediary.port, principal.port o target.port a seconda della categoria di log e di altri campi. |
PostureAssessmentStatus |
sec_result.detection_fields.value |
Mappatura diretta. |
PostureExpiry |
sec_result.detection_fields.value |
Mappatura diretta. |
PostureStatus |
sec_result.detection_fields.value |
Mappato direttamente come "Posture Status". |
ProfilerServer |
sec_result.detection_fields.value |
Mappatura diretta. |
Protocol |
sec_result.detection_fields.value |
Mappatura diretta. |
r_cat_name |
metadata.product_event_type |
Mappatura diretta. |
r_ip_or_host |
observer.ip, observer.hostname, principal.ip, principal.asset.ip, principal.hostname, principal.asset.hostname, target.ip, target.asset.ip, target.hostname, target.asset.hostname |
Se è un IP, mappato a observer.ip. Se si tratta di un nome host, mappato a observer.hostname. Utilizzato anche in varie logiche per compilare l'IP/il nome host principal o target a seconda della categoria di log e di altri campi. |
r_msg_id |
sec_result.detection_fields.value, metadata.product_log_id |
Mappato direttamente come "r_msg_id". Utilizzato anche come metadata.product_log_id se sequence_num non è disponibile. |
r_seg_num |
sec_result.detection_fields.value, metadata.product_log_id |
Mappato direttamente come "r_seg_num". Utilizzato anche come metadata.product_log_id se sequence_num non è disponibile. |
r_total_seg |
sec_result.detection_fields.value |
Mappatura diretta. |
RadiusFlowType |
sec_result.detection_fields.value |
Mappatura diretta. |
RadiusPacketType |
sec_result.detection_fields.value |
Mappato direttamente come "Tipo di pacchetto Radius". |
RegisterStatus |
sec_result.rule_name |
Mappatura diretta. |
RequestLatency |
sec_result.detection_fields.value |
Mappato direttamente come "Latenza richiesta". |
SelectedAccessService |
sec_result.detection_fields.value |
Mappato direttamente come "Servizio di accesso selezionato". |
SelectedAuthorizationProfiles |
sec_result.detection_fields.value |
Mappatura diretta. |
Serial Number |
network.tls.server.certificate.serial, about.labels.value |
Mappato come serial_number. Utilizzato per compilare network.tls.server.certificate.serial o about.labels come "Numero di serie" a seconda del contesto. |
Service-Type |
sec_result.detection_fields.value |
Mappatura diretta. |
SessionId |
network.session_id |
Mappatura diretta. |
ShutdownReason |
sec_result.detection_fields.value |
Mappato direttamente come "ShutdownReason". |
SSID |
sec_result.detection_fields.value |
Mappatura diretta. |
StaticGroupAssignment |
sec_result.detection_fields.value |
Mappatura diretta. |
Subject |
about.labels.value |
Mappatura diretta. |
Subject Alternative Name |
about.labels.value |
Mappato direttamente come "Nome alternativo dell'oggetto". |
SysStatsCpuCount |
target.asset.hardware.cpu_number_cores |
Mappatura diretta. |
SysStatsProcessMemoryMB |
target.asset.hardware.ram |
Mappato direttamente come __hardware.ram. |
SysStatsUtilizationNetwork |
target.resource.name, network.sent_bytes, network.received_bytes |
Il nome dell'adattatore di rete, i byte inviati e i byte ricevuti vengono estratti e mappati. target.resource.resource_type è impostato su "UNSPECIFIED". |
TimeToProfile |
sec_result.detection_fields.value |
Mappatura diretta. |
Total Certainty Factor |
sec_result.detection_fields.value |
Mappatura diretta. |
TotalFailedTime |
sec_result.detection_fields.value |
Mappatura diretta. |
Tunnel-Client-Endpoint |
sec_result.detection_fields.value |
Mappato direttamente come "Endpoint client tunnel". |
UniqueConnectionIdentifier |
sec_result.detection_fields.value |
Mappato direttamente come "Identificatore connessione univoco". |
UpdateTime |
sec_result.detection_fields.value |
Mappatura diretta. |
User |
principal.user.userid |
Mappatura diretta. |
User-Fetch-Email |
sec_result.detection_fields.value |
Mappatura diretta. |
User-Fetch-Last-Name |
principal.user.last_name |
Mappatura diretta. |
User-Fetch-LocalityName |
sec_result.detection_fields.value |
Mappatura diretta. |
User-Fetch-StateOrProvinceName |
sec_result.detection_fields.value |
Mappatura diretta. |
User-Fetch-Telephone |
principal.user.phone_numbers |
Mappato direttamente come PhoneID. |
UserName |
principal.user.userid |
Mappatura diretta. Se non è vuoto e non è "" o "sconosciuto", viene convertito in minuscolo, i trattini vengono sostituiti con due punti e, se corrisponde a un pattern di indirizzi MAC, viene mappato anche a principal.mac. |
User-Name |
principal.user.userid |
Mappatura diretta. |
UserType |
principal.user.attribute.labels.value |
Mappatura diretta. |
(Logica del parser) action |
sec_result.action |
Imposta su "ALLOW" se msg_text contiene parole chiave di successo, su "BLOCK" se contiene parole chiave di errore e su "UNKNOWN_ACTION" in caso contrario. |
(Logica del parser) about.hostname |
about.hostname |
Derivato da StepData=4 o stepdata. |
(Logica del parser) event.idm.read_only_udm.about |
event.idm.read_only_udm.about |
Completato con vari campi come about.hostname, about.application e about.process.pid. |
(Logica del parser) event.idm.read_only_udm.extensions.auth.mechanism |
event.idm.read_only_udm.extensions.auth.mechanism |
Impostato su "NETWORK" in alcuni casi all'interno della categoria CISE_TACACS_Diagnostics. |
(Logica del parser) event.idm.read_only_udm.extensions.auth.type |
event.idm.read_only_udm.extensions.auth.type |
Impostato su "MACHINE" per vari eventi di accesso/uscita, "TACACS" per determinati eventi TACACS e "AUTHTYPE_UNSPECIFIED" per altri eventi di accesso. |
(Logica del parser) event.idm.read_only_udm.metadata.collected_timestamp |
event.idm.read_only_udm.metadata.collected_timestamp |
Analizzata da logstash.process.timestamp, se disponibile. |
(Logica del parser) event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Costruito da msg_class e msg_text o solo da msg_text se msg_class non è disponibile. |
(Logica del parser) event.idm.read_only_udm.metadata.event_timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
Analizzata dal campo datetime, che è derivato da datetime e timezone o da r_datetime. |
(Logica del parser) event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Determinato in base a r_cat_name, msg_code e altri campi. Può essere GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED, NETWORK_FLOW. |
(Logica del parser) event.idm.read_only_udm.metadata.ingested_timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
Analizzata da logstash.ingest.timestamp, se disponibile. |
(Logica del parser) event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Impostato su "CISCO_ISE". |
(Logica del parser) event.idm.read_only_udm.metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
Derivata da r_cat_name. |
(Logica del parser) event.idm.read_only_udm.metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
Dedotto da sequence_num, r_seg_num o r_msg_id, a seconda della disponibilità. |
(Logica del parser) event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Imposta su "ISE" o su MDMServerName, se disponibile. |
(Logica del parser) event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Impostato su "Cisco". |
(Logica del parser) event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Derivato da ac-user-agent o EndpointUserAgent. |
(Logica del parser) event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Impostato su "TCP" per determinati tipi di eventi. |
(Logica del parser) event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Derivata da SessionId. |
(Logica del parser) event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Derivata da TLSCipher. |
(Logica del parser) event.idm.read_only_udm.network.tls.server.certificate.serial |
event.idm.read_only_udm.network.tls.server.certificate.serial |
Derivata da Serial Number. |
(Logica del parser) event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Derivata da TLSVersion. |
(Logica del parser) event.idm.read_only_udm.principal.asset.asset_id |
event.idm.read_only_udm.principal.asset.asset_id |
Derivato da NetworkDeviceProfileId con prefisso "Cisco_ISE:". |
(Logica del parser) event.idm.read_only_udm.principal.asset.hardware |
event.idm.read_only_udm.principal.asset.hardware |
Completato con campi come hardware.manufacturer e hardware.model. |
(Logica del parser) event.idm.read_only_udm.principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
Dedotto da vari campi di indirizzi IP a seconda della categoria di log e di altri campi. |
(Logica del parser) event.idm.read_only_udm.principal.asset.mac |
event.idm.read_only_udm.principal.asset.mac |
Derivato da EndpointMacAddress, parsed_endpoint_mac o altri campi dell'indirizzo MAC dopo la formattazione appropriata. |
(Logica del parser) event.idm.read_only_udm.principal.asset.platform_software.platform_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_version |
Derivato da OperatingSystem, EndpointPolicy o ad_operating_system. |
(Logica del parser) event.idm.read_only_udm.principal.group.group_display_name |
event.idm.read_only_udm.principal.group.group_display_name |
Derivato da AD-Domain, IdentityGroup o EndpointIdentityGroup. |
(Logica del parser) event.idm.read_only_udm.principal.group.product_object_id |
event.idm.read_only_udm.principal.group.product_object_id |
Derivata da IdentityGroupID. |
(Logica del parser) event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Dedotto da r_ip_or_host, NetworkDeviceName o altri campi di nome host, a seconda della categoria di log e di altri campi. |
(Logica del parser) event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Dedotto da vari campi di indirizzi IP a seconda della categoria di log e di altri campi. |
(Logica del parser) event.idm.read_only_udm.principal.labels |
event.idm.read_only_udm.principal.labels |
Completati con campi come nas_identifier, nas_port_type e nas_port_id. |
(Logica del parser) event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Derivata da Location. |
(Logica del parser) event.idm.read_only_udm.principal.nat_ip |
event.idm.read_only_udm.principal.nat_ip |
Derivata da NAS-IP-Address. |
(Logica del parser) event.idm.read_only_udm.principal.nat_port |
event.idm.read_only_udm.principal.nat_port |
Derivato da NAS-Port se numerico e inferiore a 2147483648. |
(Logica del parser) event.idm.read_only_udm.principal.platform |
event.idm.read_only_udm.principal.platform |
Derivato da device-platform o OperatingSystem. Può essere WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM. |
(Logica del parser) event.idm.read_only_udm.principal.platform_version |
event.idm.read_only_udm.principal.platform_version |
Derivata da platform-version. |
(Logica del parser) event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Derivato da Device Port o Port se numerico. |
(Logica del parser) event.idm.read_only_udm.principal.user.attribute.labels |
event.idm.read_only_udm.principal.user.attribute.labels |
Viene compilato con campi come "Interfaccia amministratore", "Tipo utente" e "Identità utente addebitabile". |
(Logica del parser) event.idm.read_only_udm.principal.user.phone_numbers |
event.idm.read_only_udm.principal.user.phone_numbers |
Derivato da PhoneID o PhoneNumber. |
(Logica del parser) event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Derivato da User, UserName, User-Name, AdminName, OriginalUserName o altri campi del nome utente, a seconda della categoria di log e di altri campi. |
(Logica del parser) event.idm.read_only_udm.security_result.about.labels |
event.idm.read_only_udm.security_result.about.labels |
Viene compilato con campi come "IdentityPolicyMatchedRule", "EndPointMatchedProfile", "ObjectType" e "ObjectName". |
(Logica del parser) event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Derivato da msg_text o AuthenticationStatus. Può essere ALLOW, BLOCK o UNKNOWN_ACTION. |
(Logica del parser) event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Viene compilato con vari campi a seconda della categoria di log e di altri campi. |
(Logica del parser) event.idm.read_only_udm.security_result.description |
event.idm.read_only_udm.security_result.description |
Derivato da AD-Error-Details o DetailedInfo. |
(Logica del parser) event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Derivato da AuthorizationPolicyMatchedRule o RegisterStatus. |
(Logica del parser) event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Derivata da msg_sev. Può essere CRITICAL, ERROR, HIGH, MEDIUM o INFORMATIONAL. |
(Logica del parser) event.idm.read_only_udm.security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
Derivata da msg_sev. |
(Logica del parser) event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Derivato da msg_text o FailureReason. |
(Logica del parser) event.idm.read_only_udm.src.ip |
event.idm.read_only_udm.src.ip |
Derivato da source_ip estratto da OperationMessageText. |
(Logica del parser) event.idm.read_only_udm.src.port |
event.idm.read_only_udm.src.port |
Dedotto da source_port estratto da OperationMessageText se numerico. |
(Logica del parser) event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Derivata da AD-Domain-Controller. |
(Logica del parser) event.idm.read_only_udm.target.asset.hardware |
event.idm.read_only_udm.target.asset.hardware |
Completato con campi come _hardware.cpu_number_cores. |
(Logica del parser) event.idm.read_only_udm.target.asset.hostname |
` |
Modifiche
2024-05-10
- "ExternalGroups" è stato mappato a "additional.fields".
2024-05-09
- Sono stati aggiunti pattern Grok per analizzare i nuovi formati di "CISE_Profiler".
- Sono stati mappati alcuni campi per "CISE_Administrative_and_Operational_Audit" e "CISE_Alarm".
2024-04-18
- "msg_sev" è stato mappato a "security_result.severity_details".
- Ho mappato "r_total_seg", "r_seg_num", "msg_code" e "r_msg_id" a "security_result.detection_fields".
- "r_cat_name" è stato mappato a "security_result.category_details".
- "msg_text" e "msg_class" sono stati mappati a "metadata.description".
- Mappature "target.ip" e "target.asset.ip" allineate.
- Mappature "target.hostname" e "target.asset.hostname" allineate.
- Mappature "principal.ip" e "principal.asset.ip" allineate.
- Mappature "principal.hostname" e "principal.asset.hostname" allineate.
- È stato aggiunto un pattern Grok per analizzare "msg_attrs".
2024-04-10
- Correzione di bug:
- Sono stati aggiunti pattern Grok per analizzare i nuovi formati di "PeerName".
2023-11-20
- Sono stati aggiunti nuovi pattern Grok per analizzare i syslog con errori.
- È stato aggiunto "msg_code" "5412" per analizzare i log con lo stesso "msg_code".
2023-09-29
- È stato aggiunto il supporto di un nuovo pattern di log JSON.
- "EndpointSourceEvent", "NASIdentifier", "NAS-Port-Type", "NAS-Port-Id" e "ProfilerServer" sono stati mappati a "security_result.detection_fields" per i log 80002 e 80006.
- È stata modificata la mappatura di "Posizione" da "principal.location" a "target.location" per i log 80002 e 80006.
- È stato aggiunto il controllo on_error per sostituire e unire le funzioni.
- Mappatura della data modificata per analizzare la data con i fusi orari "MEST" e "MESZ".
2023-08-02
- Miglioramento:
- È stata aggiunta la mappatura KV per analizzare e mappare "cisco-av-pair=dhcp-option=host-name" a "target.hostname".
- È stata modificata la mappatura di "security_result.action" da "FAIL" a "BLOCK" quando "msg_text" contiene "failed|dropped|stop|rejected|down|abandoned|block|blocking|invalid".
2023-07-18
- Miglioramento:
- "cisco-av-pair=dhcp-option=host-name" è stato mappato a "target.hostname".
- È stata modificata la mappatura di "Nome utente" da "target.user.userid" a "principal.user.userid".
- È stata modificata la mappatura di "UserName" da "target.user.userid" a "principal.user.userid".
- È stata modificata la mappatura di "Utente" da "target.user.userid" a "principal.user.userid".
- È stata modificata la mappatura di "PhoneNumber" da "target.user.phone_numbers" a "principal.user.phone_numbers".
- "FramedIPAddress" è stato mappato a "security_result.detection_fields" per i tipi di eventi Profiler 80002, 80006.
- Mappatura della data modificata per analizzare la data con il fuso orario "EASTERN".
- È stato aggiunto il pattern Grok per la corrispondenza di "PeerAddress".
2023-06-07
- Miglioramento:
- È stato aggiunto il pattern Grok per analizzare un nuovo pattern di log.
2023-05-26
- Miglioramento:
- È stata modificata la mappatura della data per analizzare la data con il fuso orario "BJ".
2023-04-18
- Miglioramento:
- È stato aggiunto un blocco "json" per gestire i log JSON.
- "logstash.irm_region" è stato mappato a "additional.fields".
- "logstash.irm_environment" è stato mappato a "additional.fields".
- "logstash.irm_site" è stato mappato a "additional.fields".
- "logstash.ingest.timestamp" è stato mappato a "metadata.ingested_timestamp".
- "logstash.process.timestamp" è stato mappato a "metadata.collected_timestamp".
2023-03-01
- Miglioramento:
- Ogni volta che "Calling-Station-ID" è un indirizzo IP, mappalo a "principal.ip".
- È stata aggiunta una condizione di espressione regolare per convalidare l'indirizzo MAC per il campo "device-mac" prima della mappatura a "principal.mac".
2022-12-08
- Miglioramento:
- È stato mappato "assetDeviceType" a "principal.resource.name".
- Ho mappato "assetIncidentScore" a "security_result.detection_fields".
- "PostureAssessmentStatus" è stato mappato a "security_result.detection_fields".
- "PolicyVersion" è stato mappato a "security_result.detection_fields".
- È stata mappata "EndPointVersion" a "security_result.detection_fields".
- È stato mappato "EndPointPolicyID" a "security_result.detection_fields".
2022-10-13
- Miglioramento: è stata corretta la mappatura della data per i formati della data SYSLOGTIMESTAMP.
2022-08-10
- Miglioramento: mappature modificate per i seguenti campi da "additional.fields" a "security_result.detection_fields".
- 'CPMSessionID', 'NASPort', 'AD-Log-Id', 'AD-Srv-Query', 'AD-Srv-Record', 'Tunnel-Client-Endpoint', 'IsThirdPartyDeviceFlow', 'PostureStatus', 'OperationMessageText', 'AcsSessionID', 'SelectedAccessService', 'RadiusPacketType', 'ISELocalAddress', 'ISEModuleName', 'ISEServiceName', 'ConnectionStatus', 'UniqueConnectionIdentifier', 'Audit_session_id', 'EndpointCertaintyMetric', 'EndpointNADAddress', 'EndpointOUI', 'EndpointProperty', 'AuthenticationIdentityStore', 'AD-Host-Candidate-Identities', 'PostureExpiry', 'allowEasyWiredSession', 'ConfigVersionId', 'RequestLatency', 'Service-Type', 'Framed-Protocol', 'Class', 'Called-Station-ID', 'Calling-Station-ID', 'Acct-Status-Type', 'Acct-Delay-Time', 'Acct-Input-Octets', 'Acct-Output-Octets', 'Acct-Session-Id', 'Acct-Authentic', 'Acct-Session-Time', 'Acct-Input-Packets', 'Acct-Output-Packets', 'Acct-Terminate-Cause', 'Protocol'.
2022-08-12
- Correzione di bug:
- Mappatura modificata per il campo "prinicipal.asset.hostname" in "intermediary.hostname".
- Modificato event_type da GENERIC_EVENT a STATUS_UPDATE o NETWORK_CONNECTION.
2022-07-11
- Correzione di bug: NetworkDeviceName è stato mappato a "event.idm.read_only_udm.principal.hostname" se Product_event_type è 5440 RADIUS.
- È stato mappato r_ip_or_host ad observer.ip o observer.hostname.
- Log con formato non corretto/codificati eliminati.
2022-05-02
- Correzione di bug: mappatura corretta per "security_result.action" da "ALLOW" a "FAIL" se il log_type è "CISE_Failed_Attempts".
2022-04-21
- Miglioramento: analisi dei log con log_type='CISE_Profiler'
- Per log_type='CISE_TACACS_Accounting è stato modificato event_type da 'GENERIC_EVENT' a 'USER_UNCATEGORIZED'
- È stata aggiunta la condizione corretta per i campi "NASPort" e "Port".
2022-04-18
- "foreign_ip" è stato mappato a "intermediary.ip"
- Sono stati analizzati i log con log_type='CISE_TACACS_Accounting' e 'CISE_RADIUS_Accounting'
- Per log_type='CISE_TACACS_Accounting è stato modificato event_type da 'GENERIC_EVENT' a 'USER_UNCATEGORIZED'
- È stata aggiunta la condizione corretta per il campo "NASPort".
2022-04-13
- NAS-Port-Id mappato nell'evento: 5200.
- Nome host mappato negli eventi: 60188, 60125, 60116, 60115, 60081, 60080, 51021, 51020, 51003, 51002, 51001, 51000, 52000, 52001, 52002.
- Testo del messaggio dell'operazione mappato in about.labels nell'evento: 52000.
- Numero di serie mappato in additional_fields nell'evento: 5200.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.