Recopila registros de Cisco ISE
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar registros de Cisco Identity Services Engine (ISE) con un reenviador de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia CISCO_ISE.
Configura Cisco ISE
- Accede a la consola de Cisco ISE con las credenciales de administrador.
- En la consola de Cisco ISE, selecciona Administración > Sistema > Registro > Destinos de registro remoto.
- En la ventana Destinos de registro remoto, haz clic en Agregar. Aparecerá la ventana New logging target.
En la sección Objetivo de registro, especifica los valores para los siguientes campos:
Campo Descripción Nombre Es el nombre del reenviador de Google Security Operations. Descripción Descripción del reenviador de Google Security Operations Tipo Es el tipo de destino de registro remoto, como syslog. Dirección IP Dirección IP del reenviador de Google Security Operations Tipo de objetivo Selecciona el registro del sistema TCP o UDP. Puerto Usa un puerto alto, como 10514. Código de la instalación Puedes especificar uno de los siguientes valores: - LOCAL0 (código = 16)
- LOCAL1 (código = 17)
- LOCAL2 (código = 18)
- LOCAL3 (código = 19)
- LOCAL4 (código = 20)
- LOCAL5 (código = 21)
- LOCAL6 (código = 22; predeterminado)
- LOCAL7 (código = 23)
Longitud máxima El valor recomendado es 1,024. Haz clic en Enviar. Aparecerá la ventana Remote log targets con la nueva configuración del reenviador de Google Security Operations.
En la consola de Cisco ISE, selecciona Administración > Sistema > Registros > Categorías de registros.
En la ventana Categorías de registro, selecciona las categorías para las que deseas configurar el destino de syslog remoto y agrégalo.
Las siguientes son categorías de muestra: auditorías de AAA, diagnósticos de AAA, contabilización, auditoría administrativa y operativa, auditoría de postura y aprovisionamiento de clientes, diagnósticos de postura y aprovisionamiento de clientes, generador de perfiles, diagnósticos del sistema y estadísticas del sistema.
Configura el reenviador y el syslog de Google Security Operations para transferir los registros de Cisco Secure ACS
- Ve a Configuración de SIEM > Redireccionamientos.
- Haz clic en Agregar nuevo remitente.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre.
- Selecciona Cisco ISE como el Tipo de registro.
- Selecciona Syslog como el tipo de recopilador.
- Configura los siguientes parámetros de entrada obligatorios:
- Protocolo: Especifica el protocolo.
- Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y las direcciones de los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvío de Google Security Operations, consulta la documentación de reenvío de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de reenviador, consulta Configuración del reenviador por tipo. Si tienes problemas para crear reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador extrae registros de Cisco ISE de los mensajes de syslog, normaliza los datos en formato UDM y enriquece el evento con contexto adicional. Controla varias categorías de registros de ISE, incluidos los éxitos y errores de autenticación, las auditorías administrativas, las estadísticas del sistema y mucho más, asignando campos relevantes al esquema de la AUA y agregando etiquetas específicas para el análisis detallado.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
Acct-Authentic |
sec_result.detection_fields.value |
Se asignan directamente. |
Acct-Delay-Time |
sec_result.detection_fields.value |
Se asignan directamente. |
Acct-Input-Octets |
sec_result.detection_fields.value |
Se asignan directamente. |
Acct-Input-Packets |
sec_result.detection_fields.value |
Se asignan directamente. |
Acct-Output-Octets |
sec_result.detection_fields.value |
Se asignan directamente. |
Acct-Output-Packets |
sec_result.detection_fields.value |
Se asignan directamente. |
Acct-Session-Id |
sec_result.detection_fields.value |
Se asignan directamente. |
Acct-Session-Time |
sec_result.detection_fields.value |
Se asignan directamente. |
Acct-Status-Type |
sec_result.detection_fields.value |
Se asignan directamente. |
Acct-Terminate-Cause |
sec_result.detection_fields.value |
Se asignan directamente. |
AcsSessionID |
sec_result.detection_fields.value |
Se asignó directamente como "Acs SessionID". |
AD-Account-Name |
principal.user.userid |
Se asignan directamente. |
AD-Domain |
principal.group.group_display_name |
Se asignan directamente. |
AD-Domain-Controller |
target.administrative_domain |
Se asignan directamente. |
AD-Error-Details |
sec_result.description |
Se asignan directamente. |
AD-Host-Candidate-Identities |
sec_result.detection_fields.value |
Se asignan directamente. |
AD-IP-Address |
target.ip, target.asset.ip |
Se asignan directamente. |
AD-Log-Id |
sec_result.detection_fields.value |
Se asignó directamente como "AD-Log-Id". |
AD-Operating-System |
principal.asset.platform_software.platform_version |
Se asignan directamente como ad_operating_system. Si contiene "Windows", principal.platform se establece en "WINDOWS". |
AD-Site |
target.location.name |
Se asignan directamente. |
AD-Srv-Query |
sec_result.detection_fields.value |
Se asignó directamente como "AD-Srv-Query". |
AD-Srv-Record |
sec_result.detection_fields.value |
Se asignó directamente como "AD-Srv-Record". |
AD-User-Resolved-Identities |
sec_result.detection_fields.value |
Se asignan directamente. |
AD-User-SamAccount-Name |
principal.user.attribute.labels.value |
Se asignan directamente. |
AdminIPAddress |
principal.ip, principal.asset.ip |
Se asignan directamente. |
AdminInterface |
principal.user.attribute.labels.value |
Se asignó directamente como “Interfaz de administrador”. |
AdminName |
principal.user.userid |
Se asignan directamente. También se agrega un user.attribute.roles con el tipo "ADMINISTRATOR". |
AuthenticationIdentityStore |
sec_result.detection_fields.value |
Se asignó directamente como "Authentication Identity Store". |
AuthenticationStatus |
sec_result.action_details |
Se asignan directamente. Si el valor coincide con "AuthenticationPassed", sec_result.action se establece en "ALLOW", de lo contrario, en "BLOCK". |
AuthorizationPolicyMatchedRule |
sec_result.rule_name |
Se asignan con el prefijo "AuthorizationPolicyMatchedRule : ". |
BYODRegistration |
sec_result.detection_fields.value |
Se asignan directamente. |
Called-Station-ID |
sec_result.detection_fields.value |
Se asignan directamente. |
Calling-Station-ID |
sec_result.detection_fields.value, principal.ip, principal.asset.ip |
Se asignan directamente. Si es una dirección IP, también se asigna a principal.ip y principal.asset.ip. |
cdpCachePlatform |
principal.asset.hardware.model |
Se asignan directamente. |
Class |
sec_result.detection_fields.value |
Se asignan directamente. |
ClientLatency |
sec_result.detection_fields.value |
Se asignan directamente. |
CmdSet |
target.process.command_line |
Se asigna directamente después de quitar los corchetes y los espacios que lo rodean. |
ConfigVersionId |
sec_result.detection_fields.value |
Se asigna directamente como "ID de versión de configuración". |
ConnectionStatus |
sec_result.detection_fields.value |
Se asignó directamente como "Estado de conexión". |
CPMSessionID |
sec_result.detection_fields.value |
Se asignan directamente. |
CreateTime |
principal.asset.attribute.creation_time |
Se analiza como marca de tiempo UNIX_MS. |
DetailedInfo |
sec_result.description |
Se asignan directamente después de quitar las barras diagonales. |
DestinationIPAddress |
target.ip, target.asset.ip |
Se asignan directamente. Establece has_target en "true". |
DestinationPort |
target.port |
Se asigna directamente si es numérico. |
Device IP Address |
principal.ip, principal.asset.ip, _intermediary.ip, target.ip, target.asset.ip |
Se asigna como DeviceIPAddress. Se usa en varias lógicas para propagar principal.ip, _intermediary.ip o target.ip según la categoría de registro y otros campos. |
Device Port |
principal.port, _intermediary.port, target.port |
Se asigna como DevicePort. Se usa en varias lógicas para propagar principal.port, _intermediary.port o target.port según la categoría de registro y otros campos. |
Device Type |
principal.asset.hardware.model |
Se asignan directamente como device-type. |
DTLSSupport |
sec_result.detection_fields.value |
Se asignan directamente. |
EndPointMACAddress |
principal.asset.mac |
Se asigna directamente después de convertirlo a minúsculas y reemplazar los guiones por dos puntos. |
EndPointMatchedProfile |
sec_result.about.labels.value |
Se asignan directamente. |
EndpointCertainityMetric |
sec_result.detection_fields.value |
Se asignó directamente como "Métrica de certeza del extremo". |
EndpointIdentityGroup |
principal.group.group_display_name |
Se asignan directamente. |
EndpointIPAddress |
principal.asset.ip |
Se asignan directamente. |
EndpointNADAddress |
sec_result.detection_fields.value |
Se asignó directamente como "Dirección NAD del extremo". |
EndpointOUI |
sec_result.detection_fields.value |
Se asigna directamente como "OUI de extremo". |
EndpointPolicy |
principal.asset.platform_software.platform_version |
Se asignan directamente. |
EndpointProperty |
sec_result.detection_fields.value |
Se asignó directamente como "Propiedad de extremo". |
EndpointSourceEvent |
sec_result.detection_fields.value |
Se asignan directamente. |
EndpointUserAgent |
network.http.user_agent |
Se asignan directamente. |
EndPointVersion |
sec_result.detection_fields.value |
Se asignan directamente. |
FailureReason |
sec_result.detection_fields.value, sec_result.summary, sec_result.description |
Se asigna como FailureReason. Se usa para propagar sec_result.detection_fields como "Motivo del error", sec_result.summary o sec_result.description, según el contexto. |
FirstCollection |
principal.asset.first_discover_time |
Se analiza como marca de tiempo UNIX_MS. |
Framed-IP-Address |
sec_result.detection_fields.value |
Se asignan directamente. |
Framed-IPv6-Address |
FramedIPAddress |
Se asignan directamente. |
Framed-Protocol |
sec_result.detection_fields.value |
Se asignan directamente. |
IdentityGroup |
principal.group.group_display_name |
Se asignan directamente. |
IdentityGroupID |
principal.group.product_object_id |
Se asignan directamente. |
IdentityPolicyMatchedRule |
sec_result.about.labels.value |
Se asignan directamente. |
IdentitySelectionMatchedRule |
sec_result.detection_fields.value |
Se asignan directamente. |
IMEI |
target.asset.product_object_id |
Se asignan directamente. |
ISELocalAddress |
_intermediary.ip, principal.ip, principal.asset.ip, _intermediary.port, principal.port, sec_result.detection_fields.value |
Si está en CISE_Administrative_and_Operational_Audit, la IP y el puerto se extraen y se asignan a _intermediary y principal. De lo contrario, se asigna directamente como "Dirección local de ISE" a sec_result.detection_fields. |
ISEModuleName |
sec_result.detection_fields.value |
Se asigna directamente como "Nombre del módulo de ISE". |
ISEServiceName |
sec_result.detection_fields.value |
Se asignó directamente como “Nombre del servicio de ISE”. |
IsThirdPartyDeviceFlow |
sec_result.detection_fields.value |
Se asignan directamente. |
Issuer |
about.labels.value |
Se asignan directamente. |
LastActivity |
principal.asset.last_discover_time |
Se analiza como marca de tiempo UNIX_MS. |
LastNmapScanTime |
sec_result.detection_fields.value |
Se asignan directamente. |
lldpChassisId |
target.mac |
Se asigna directamente después de analizarse como dirección MAC. |
lldpSystemName |
target.hostname, target.asset.hostname |
Se asignan directamente. |
Location |
principal.location.country_or_region, target.location.country_or_region |
Se asignan directamente a la ubicación principal o target según la categoría del registro. |
Manufacturer |
target.asset.hardware.manufacturer |
Se asignan directamente. |
MessageCode |
sec_result.detection_fields.value, metadata.event_type |
Se asignan directamente como msg_code. Se usa en la lógica para determinar metadata.event_type. |
Model |
target.asset.hardware.model |
Se asignan directamente. |
NAS-IP-Address |
principal.nat_ip |
Se asignan directamente. |
NAS-Identifier |
principal.labels.value |
Se asignan directamente como nas_identifier. |
NAS-Port |
principal.nat_port, sec_result.detection_fields.value, principal.labels.value |
Se asigna como NASPort. Si es numérico y es menor que 2147483648, se asigna a principal.nat_port. De lo contrario, se asigna como cadena a sec_result.detection_fields como "Puerto NAS" o a principal.labels como "Puerto NAS". |
NAS-Port-Id |
principal.labels.value, sec_result.detection_fields.value |
Se asigna como NASPortId. Se usa para propagar principal.labels como "nas_port_id" o sec_result.detection_fields como "nas_port_id". |
NAS-Port-Type |
principal.labels.value, sec_result.detection_fields.value |
Se asigna como NASPortType. Se usa para propagar principal.labels como "nas_port_type" o sec_result.detection_fields como "Nas-Port-Type". |
NetworkDeviceGroups |
sec_result.detection_fields.value |
Se asignan directamente. |
NetworkDeviceName |
_intermediary.hostname, principal.hostname, principal.asset.hostname, target.hostname, target.asset.hostname |
Se asigna como NetworkDeviceName. Se usa en varias lógicas para propagar _intermediary.hostname, principal.hostname o target.hostname según la categoría de registro y otros campos. |
NetworkDeviceProfileId |
principal.asset.asset_id |
Se asoció con el prefijo "Cisco_ISE:". |
NetworkDeviceProfileName |
principal.asset.attribute.labels.value |
Se asignan directamente. |
ObjectName |
sec_result.about.labels.value |
Se asignan directamente. |
ObjectType |
sec_result.about.labels.value |
Se asignan directamente. |
OperatingSystem |
target.asset.platform_software.platform_version, principal.asset.platform_software.platform_version, principal.platform |
Se asigna como OperatingSystem. Se usa para propagar target.asset.platform_software.platform_version o principal.asset.platform_software.platform_version. Si contiene "Win", principal.platform se establece en "WINDOWS". Si contiene "lin", principal.platform se establece en "LINUX". Si contiene "iOS", principal.platform se establece en "MAC". |
OperationMessageText |
sec_result.detection_fields.value, about.labels.value, sec_result.summary |
Se asigna como OperationMessageText. Se usa para propagar sec_result.detection_fields como "Operation Message Text", about.labels como "Operation Message Text" o sec_result.summary según el contexto. Si contiene detalles de conexión, estos se extraen y se asignan a src y target. |
OriginalUserName |
principal.user.userid |
Se asignan directamente como User. |
PeerAddress |
target.mac |
Se asigna directamente después de convertirlo a minúsculas y reemplazar los guiones por dos puntos. |
PeerName |
target.hostname, target.asset.hostname |
La IP y el nombre de host se extraen y se asignan a target.ip y target.hostname. |
PhoneID |
principal.user.phone_numbers |
Se asignan directamente como User-Fetch-Telephone. |
PhoneNumber |
principal.user.phone_numbers |
Se asignan directamente. |
PolicyVersion |
sec_result.detection_fields.value |
Se asignan directamente. |
Port |
_intermediary.port, principal.port, target.port |
Se asigna como Port. Se usa en varias lógicas para propagar _intermediary.port, principal.port o target.port según la categoría de registro y otros campos. |
PostureAssessmentStatus |
sec_result.detection_fields.value |
Se asignan directamente. |
PostureExpiry |
sec_result.detection_fields.value |
Se asignan directamente. |
PostureStatus |
sec_result.detection_fields.value |
Se asignó directamente como "Estado de postura". |
ProfilerServer |
sec_result.detection_fields.value |
Se asignan directamente. |
Protocol |
sec_result.detection_fields.value |
Se asignan directamente. |
r_cat_name |
metadata.product_event_type |
Se asignan directamente. |
r_ip_or_host |
observer.ip, observer.hostname, principal.ip, principal.asset.ip, principal.hostname, principal.asset.hostname, target.ip, target.asset.ip, target.hostname, target.asset.hostname |
Si es una IP, se asigna a observer.ip. Si es un nombre de host, se asigna a observer.hostname. También se usa en varias lógicas para propagar la IP o el nombre de host de principal o target según la categoría de registro y otros campos. |
r_msg_id |
sec_result.detection_fields.value, metadata.product_log_id |
Se asigna directamente como "r_msg_id". También se usa como metadata.product_log_id si sequence_num no está disponible. |
r_seg_num |
sec_result.detection_fields.value, metadata.product_log_id |
Se asigna directamente como "r_seg_num". También se usa como metadata.product_log_id si sequence_num no está disponible. |
r_total_seg |
sec_result.detection_fields.value |
Se asignan directamente. |
RadiusFlowType |
sec_result.detection_fields.value |
Se asignan directamente. |
RadiusPacketType |
sec_result.detection_fields.value |
Se asigna directamente como "Tipo de paquete de Radius". |
RegisterStatus |
sec_result.rule_name |
Se asignan directamente. |
RequestLatency |
sec_result.detection_fields.value |
Se asignó directamente como "Latencia de la solicitud". |
SelectedAccessService |
sec_result.detection_fields.value |
Se asignan directamente como "Servicio de acceso seleccionado". |
SelectedAuthorizationProfiles |
sec_result.detection_fields.value |
Se asignan directamente. |
Serial Number |
network.tls.server.certificate.serial, about.labels.value |
Se asigna como serial_number. Se usa para propagar network.tls.server.certificate.serial o about.labels como "Número de serie" según el contexto. |
Service-Type |
sec_result.detection_fields.value |
Se asignan directamente. |
SessionId |
network.session_id |
Se asignan directamente. |
ShutdownReason |
sec_result.detection_fields.value |
Se asignó directamente como "ShutdownReason". |
SSID |
sec_result.detection_fields.value |
Se asignan directamente. |
StaticGroupAssignment |
sec_result.detection_fields.value |
Se asignan directamente. |
Subject |
about.labels.value |
Se asignan directamente. |
Subject Alternative Name |
about.labels.value |
Se asigna directamente como "Nombre alternativo del asunto". |
SysStatsCpuCount |
target.asset.hardware.cpu_number_cores |
Se asignan directamente. |
SysStatsProcessMemoryMB |
target.asset.hardware.ram |
Se asignan directamente como __hardware.ram. |
SysStatsUtilizationNetwork |
target.resource.name, network.sent_bytes, network.received_bytes |
Se extraen y asignan el nombre del adaptador de red, los bytes enviados y los bytes recibidos. target.resource.resource_type se establece en "UNSPECIFIED". |
TimeToProfile |
sec_result.detection_fields.value |
Se asignan directamente. |
Total Certainty Factor |
sec_result.detection_fields.value |
Se asignan directamente. |
TotalFailedTime |
sec_result.detection_fields.value |
Se asignan directamente. |
Tunnel-Client-Endpoint |
sec_result.detection_fields.value |
Se asignó directamente como "Extremo del cliente de túnel". |
UniqueConnectionIdentifier |
sec_result.detection_fields.value |
Se asignó directamente como "Identificador de conexión único". |
UpdateTime |
sec_result.detection_fields.value |
Se asignan directamente. |
User |
principal.user.userid |
Se asignan directamente. |
User-Fetch-Email |
sec_result.detection_fields.value |
Se asignan directamente. |
User-Fetch-Last-Name |
principal.user.last_name |
Se asignan directamente. |
User-Fetch-LocalityName |
sec_result.detection_fields.value |
Se asignan directamente. |
User-Fetch-StateOrProvinceName |
sec_result.detection_fields.value |
Se asignan directamente. |
User-Fetch-Telephone |
principal.user.phone_numbers |
Se asignan directamente como PhoneID. |
UserName |
principal.user.userid |
Se asignan directamente. Si no está vacío y no es "" ni "unknown", se convierte a minúsculas, los guiones se reemplazan por dos puntos y, si coincide con un patrón de dirección MAC, también se asigna a principal.mac. |
User-Name |
principal.user.userid |
Se asignan directamente. |
UserType |
principal.user.attribute.labels.value |
Se asignan directamente. |
(lógica del analizador) action |
sec_result.action |
Establece el valor en "ALLOW" si msg_text contiene palabras clave de éxito, en "BLOCK" si contiene palabras clave de error y en "UNKNOWN_ACTION" en caso contrario. |
(lógica del analizador) about.hostname |
about.hostname |
Se deriva de StepData=4 o stepdata. |
(lógica del analizador) event.idm.read_only_udm.about |
event.idm.read_only_udm.about |
Se propaga con varios campos, como about.hostname, about.application y about.process.pid. |
(lógica del analizador) event.idm.read_only_udm.extensions.auth.mechanism |
event.idm.read_only_udm.extensions.auth.mechanism |
Se establece en "NETWORK" en ciertos casos dentro de la categoría CISE_TACACS_Diagnostics. |
(lógica del analizador) event.idm.read_only_udm.extensions.auth.type |
event.idm.read_only_udm.extensions.auth.type |
Configúralo como "MACHINE" para varios eventos de acceso y salida, "TACACS" para ciertos eventos de TACACS y "AUTHTYPE_UNSPECIFIED" para otros eventos de acceso. |
(lógica del analizador) event.idm.read_only_udm.metadata.collected_timestamp |
event.idm.read_only_udm.metadata.collected_timestamp |
Se analiza desde logstash.process.timestamp si está disponible. |
(lógica del analizador) event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Se construye a partir de msg_class y msg_text, o solo de msg_text si msg_class no está disponible. |
(lógica del analizador) event.idm.read_only_udm.metadata.event_timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
Se analiza a partir del campo datetime, que se deriva de datetime y timezone o r_datetime. |
(lógica del analizador) event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Se determina en función de r_cat_name, msg_code y otros campos. Puede ser GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED, NETWORK_FLOW. |
(lógica del analizador) event.idm.read_only_udm.metadata.ingested_timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
Se analiza desde logstash.ingest.timestamp si está disponible. |
(lógica del analizador) event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Establece el valor en “CISCO_ISE”. |
(lógica del analizador) event.idm.read_only_udm.metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
Derivado de r_cat_name. |
(lógica del analizador) event.idm.read_only_udm.metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
Se deriva de sequence_num, r_seg_num o r_msg_id según la disponibilidad. |
(lógica del analizador) event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Se establece en "ISE" o en MDMServerName, si está disponible. |
(lógica del analizador) event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Establece el valor en “Cisco”. |
(lógica del analizador) event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Se deriva de ac-user-agent o EndpointUserAgent. |
(lógica del analizador) event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Se establece en "TCP" para ciertos tipos de eventos. |
(lógica del analizador) event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Derivado de SessionId. |
(lógica del analizador) event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Derivado de TLSCipher. |
(lógica del analizador) event.idm.read_only_udm.network.tls.server.certificate.serial |
event.idm.read_only_udm.network.tls.server.certificate.serial |
Derivado de Serial Number. |
(lógica del analizador) event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Derivado de TLSVersion. |
(lógica del analizador) event.idm.read_only_udm.principal.asset.asset_id |
event.idm.read_only_udm.principal.asset.asset_id |
Se deriva de NetworkDeviceProfileId con el prefijo "Cisco_ISE:". |
(lógica del analizador) event.idm.read_only_udm.principal.asset.hardware |
event.idm.read_only_udm.principal.asset.hardware |
Se propagan con campos como hardware.manufacturer y hardware.model. |
(lógica del analizador) event.idm.read_only_udm.principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
Se deriva de varios campos de dirección IP según la categoría de registro y otros campos. |
(lógica del analizador) event.idm.read_only_udm.principal.asset.mac |
event.idm.read_only_udm.principal.asset.mac |
Se deriva de EndpointMacAddress, parsed_endpoint_mac o de otros campos de dirección MAC después de aplicar el formato adecuado. |
(lógica del analizador) event.idm.read_only_udm.principal.asset.platform_software.platform_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_version |
Se deriva de OperatingSystem, EndpointPolicy o ad_operating_system. |
(lógica del analizador) event.idm.read_only_udm.principal.group.group_display_name |
event.idm.read_only_udm.principal.group.group_display_name |
Se deriva de AD-Domain, IdentityGroup o EndpointIdentityGroup. |
(lógica del analizador) event.idm.read_only_udm.principal.group.product_object_id |
event.idm.read_only_udm.principal.group.product_object_id |
Derivado de IdentityGroupID. |
(lógica del analizador) event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Se deriva de r_ip_or_host, NetworkDeviceName o de otros campos de nombre de host según la categoría de registro y otros campos. |
(lógica del analizador) event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Se deriva de varios campos de dirección IP según la categoría de registro y otros campos. |
(lógica del analizador) event.idm.read_only_udm.principal.labels |
event.idm.read_only_udm.principal.labels |
Se completa con campos como nas_identifier, nas_port_type y nas_port_id. |
(lógica del analizador) event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Derivado de Location. |
(lógica del analizador) event.idm.read_only_udm.principal.nat_ip |
event.idm.read_only_udm.principal.nat_ip |
Derivado de NAS-IP-Address. |
(lógica del analizador) event.idm.read_only_udm.principal.nat_port |
event.idm.read_only_udm.principal.nat_port |
Se deriva de NAS-Port si es numérico y es menor que 2147483648. |
(lógica del analizador) event.idm.read_only_udm.principal.platform |
event.idm.read_only_udm.principal.platform |
Se deriva de device-platform o OperatingSystem. Puede ser WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM. |
(lógica del analizador) event.idm.read_only_udm.principal.platform_version |
event.idm.read_only_udm.principal.platform_version |
Derivado de platform-version. |
(lógica del analizador) event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Se deriva de Device Port o Port si es numérico. |
(lógica del analizador) event.idm.read_only_udm.principal.user.attribute.labels |
event.idm.read_only_udm.principal.user.attribute.labels |
Se completa con campos como "Admin Interface", "UserType" y "Chargeable-User-Identity". |
(lógica del analizador) event.idm.read_only_udm.principal.user.phone_numbers |
event.idm.read_only_udm.principal.user.phone_numbers |
Se deriva de PhoneID o PhoneNumber. |
(lógica del analizador) event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Se deriva de User, UserName, User-Name, AdminName, OriginalUserName o de otros campos de nombre de usuario, según la categoría de registro y otros campos. |
(lógica del analizador) event.idm.read_only_udm.security_result.about.labels |
event.idm.read_only_udm.security_result.about.labels |
Se completa con campos como "IdentityPolicyMatchedRule", "EndPointMatchedProfile", "ObjectType" y "ObjectName". |
(lógica del analizador) event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Se deriva de msg_text o AuthenticationStatus. Puede ser ALLOW, BLOCK o UNKNOWN_ACTION. |
(lógica del analizador) event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Se completa con varios campos según la categoría del registro y otros campos. |
(lógica del analizador) event.idm.read_only_udm.security_result.description |
event.idm.read_only_udm.security_result.description |
Se deriva de AD-Error-Details o DetailedInfo. |
(lógica del analizador) event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Se deriva de AuthorizationPolicyMatchedRule o RegisterStatus. |
(lógica del analizador) event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Derivado de msg_sev. Puede ser CRITICAL, ERROR, HIGH, MEDIUM o INFORMATIONAL. |
(lógica del analizador) event.idm.read_only_udm.security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
Derivado de msg_sev. |
(lógica del analizador) event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Se deriva de msg_text o FailureReason. |
(lógica del analizador) event.idm.read_only_udm.src.ip |
event.idm.read_only_udm.src.ip |
Derivado de source_ip extraído de OperationMessageText. |
(lógica del analizador) event.idm.read_only_udm.src.port |
event.idm.read_only_udm.src.port |
Se deriva de source_port extraído de OperationMessageText si es numérico. |
(lógica del analizador) event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Derivado de AD-Domain-Controller. |
(lógica del analizador) event.idm.read_only_udm.target.asset.hardware |
event.idm.read_only_udm.target.asset.hardware |
Se completa con campos como _hardware.cpu_number_cores. |
(lógica del analizador) event.idm.read_only_udm.target.asset.hostname |
` |
Cambios
2024-05-10
- Se asignó "ExternalGroups" a "additional.fields".
2024-05-09
- Se agregaron patrones de Grok para analizar nuevos formatos de "CISE_Profiler".
- Se asignaron algunos campos para "CISE_Administrative_and_Operational_Audit" y "CISE_Alarm".
2024-04-18
- Se asignó "msg_sev" a "security_result.severity_details".
- Se asignaron "r_total_seg", "r_seg_num", "msg_code" y "r_msg_id" a "security_result.detection_fields".
- Se asignó "r_cat_name" a "security_result.category_details".
- Se asignaron "msg_text" y "msg_class" a "metadata.description".
- Se alinearon las asignaciones "target.ip" y "target.asset.ip".
- Se alinearon las asignaciones "target.hostname" y "target.asset.hostname".
- Se alinearon las asignaciones de "principal.ip" y "principal.asset.ip".
- Se alinearon las asignaciones de "principal.hostname" y "principal.asset.hostname".
- Se agregó un patrón Grok para analizar "msg_attrs".
2024-04-10
- Corrección de errores:
- Se agregaron patrones de Grok para analizar nuevos formatos de "PeerName".
2023-11-20
- Se agregaron nuevos patrones de Grok para analizar los registros del sistema con errores.
- Se agregó "msg_code" "5412" para analizar registros que tienen el mismo "msg_code".
2023-09-29
- Se agregó compatibilidad con un nuevo patrón de registros JSON.
- Se asignaron "EndpointSourceEvent", "NASIdentifier", "NAS-Port-Type", "NAS-Port-Id" y "ProfilerServer" a "security_result.detection_fields" para los registros 80002 y 80006.
- Se cambió la asignación de "Ubicación" de "principal.location" a "target.location" para los registros 80002 y 80006.
- Se agregó la verificación on_error para reemplazar y combinar funciones.
- Se modificó la asignación de fecha para analizar la fecha con las zonas horarias "MEST" y "MESZ".
2023-08-02
- Mejora:
- Se agregó la asignación de KV para analizar y asignar "cisco-av-pair=dhcp-option=host-name" a "target.hostname".
- Se cambió la asignación de "security_result.action" de "FAIL" a "BLOCK" cuando "msg_text" contiene "failed|dropped|stop|rejected|down|abandoned|block|blocking|invalid".
2023-07-18
- Mejora:
- Se asignó "cisco-av-pair=dhcp-option=host-name" a "target.hostname".
- Se cambió la asignación de "Nombre de usuario" de "target.user.userid" a "principal.user.userid".
- Se cambió la asignación de "UserName" de "target.user.userid" a "principal.user.userid".
- Se cambió la asignación de "Usuario" de "target.user.userid" a "principal.user.userid".
- Se cambió la asignación de "PhoneNumber" de "target.user.phone_numbers" a "principal.user.phone_numbers".
- Se asignó "FramedIPAddress" a "security_result.detection_fields" para los tipos de eventos de Profiler 80002 y 80006.
- Se modificó la asignación de fechas para analizar la fecha con la zona horaria "EASTERN".
- Se agregó el patrón Grok para que coincida con "PeerAddress".
2023-06-07
- Enhancement-
- Se agregó el patrón Grok para analizar un nuevo patrón de registro.
2023-05-26
- Enhancement-
- Se modificó la asignación de fecha para analizar la fecha con la zona horaria "BJ".
2023-04-18
- Enhancement-
- Se agregó un bloque "json" para controlar los registros JSON.
- Se asignó "logstash.irm_region" a "additional.fields".
- Se asignó "logstash.irm_environment" a "additional.fields".
- Se asignó "logstash.irm_site" a "additional.fields".
- Se asignó "logstash.ingest.timestamp" a "metadata.ingested_timestamp".
- Se asignó "logstash.process.timestamp" a "metadata.collected_timestamp".
2023-03-01
- Enhancement-
- Cada vez que "Calling-Station-ID" sea una dirección IP, asóciala a "principal.ip".
- Se agregó una condición de expresión regular para validar la dirección MAC del campo "device-mac" antes de asignarla a "principal.mac".
2022-12-08
- Enhancement-
- Se asignó "assetDeviceType" a "principal.resource.name".
- Se asignó "assetIncidentScore" a "security_result.detection_fields".
- Se asignó "PostureAssessmentStatus" a "security_result.detection_fields".
- Se asignó "PolicyVersion" a "security_result.detection_fields".
- Se asignó "EndPointVersion" a "security_result.detection_fields".
- Se asignó "EndPointPolicyID" a "security_result.detection_fields".
2022-10-13
- Mejora: Se corrigió la asignación de fechas para los formatos de fecha SYSLOGTIMESTAMP.
2022-08-10
- Mejora: Se modificaron las asignaciones de los siguientes campos de "additional.fields" a "security_result.detection_fields".
- 'CPMSessionID', 'NASPort', 'AD-Log-Id', 'AD-Srv-Query', 'AD-Srv-Record', 'Tunnel-Client-Endpoint', 'IsThirdPartyDeviceFlow', 'PostureStatus', 'OperationMessageText', 'AcsSessionID', 'SelectedAccessService', 'RadiusPacketType', 'ISELocalAddress', 'ISEModuleName', 'ISEServiceName', 'ConnectionStatus', 'UniqueConnectionIdentifier', 'Audit_session_id', 'EndpointCertainityMetric', 'EndpointNADAddress', 'EndpointOUI', 'EndpointProperty', 'AuthenticationIdentityStore', 'AD-Host-Candidate-Identities', 'PostureExpiry', 'allowEasyWiredSession', 'ConfigVersionId', 'RequestLatency', 'Service-Type', 'Framed-Protocol', 'Class', 'Called-Station-ID', 'Calling-Station-ID', 'Acct-Status-Type', 'Acct-Delay-Time', 'Acct-Input-Octets', 'Acct-Output-Octets', 'Acct-Session-Id', 'Acct-Authentic', 'Acct-Session-Time', 'Acct-Input-Packets', 'Acct-Output-Packets', 'Acct-Terminate-Cause', 'Protocol'.
2022-08-12
- Corrección de errores:
- Se modificó la asignación del campo "prinicipal.asset.hostname" a "intermediary.hostname".
- Se modificó event_type de GENERIC_EVENT a STATUS_UPDATE o NETWORK_CONNECTION.
2022-07-11
- Se corrigió un error: Se asignó NetworkDeviceName a "event.idm.read_only_udm.principal.hostname", donde Product_event_type es 5440 RADIUS.
- Se asignó r_ip_or_host a observer.ip o observer.hostname.
- Se descartaron los registros con formato incorrecto o codificados.
2022-05-02
- Se corrigió el error: Se corrigió el mapeo de "security_result.action" de "ALLOW" a "FAIL" cuando el log_type es "CISE_Failed_Attempts".
2022-04-21
- Mejora: Se analizaron los registros con log_type='CISE_Profiler'.
- Para log_type='CISE_TACACS_Accounting changed event_type from 'GENERIC_EVENT' to 'USER_UNCATEGORIZED'
- Se agregó la condición adecuada para los campos "NASPort" y "Port".
2022-04-18
- Se asignó "foreign_ip" a "intermediary.ip"
- Se analizaron los registros con log_type='CISE_TACACS_Accounting' y 'CISE_RADIUS_Accounting'.
- Para log_type='CISE_TACACS_Accounting changed event_type from 'GENERIC_EVENT' to 'USER_UNCATEGORIZED'
- Se agregó la condición adecuada para el campo "NASPort".
2022-04-13
- Se asignó NAS-Port-Id en el evento: 5200.
- Nombre de host asignado en los eventos: 60188, 60125, 60116, 60115, 60081, 60080, 51021, 51020, 51003, 51002, 51001, 51000, 52000, 52001 y 52002.
- Texto del mensaje de operación asignado en about.labels en el evento: 52000.
- Número de serie asignado en additional_fields en el evento: 5200.