Cisco ISE-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie ISE-Protokolle (Cisco Identity Services Engine) mit einem Google Security Operations-Weiterleiter erfassen.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel CISCO_ISE.
Cisco ISE konfigurieren
- Melden Sie sich mit Administratoranmeldedaten in der Cisco ISE-Konsole an.
- Wählen Sie in der Cisco ISE-Konsole Verwaltung > System > Logging > Ziele für Remote-Logging aus.
- Klicken Sie im Fenster Ziele für die Remote-Protokollierung auf Hinzufügen. Das Fenster Neues Logging-Ziel wird geöffnet.
Geben Sie im Abschnitt Logging-Ziel Werte für die folgenden Felder an:
Feld Beschreibung Name Name des Google Security Operations-Weiterleiters. Beschreibung Beschreibung des Google Security Operations-Weiterleitungsservers. Typ Typ des Remote-Protokollziels, z. B. syslog. IP-Adresse IP-Adresse des Google Security Operations-Forwarders. Zieltyp Wählen Sie „TCP-Syslog“ oder „UDP-Syslog“ aus. Port Verwenden Sie einen hohen Port, z. B. 10514. Einrichtungscode Sie können einen der folgenden Werte angeben: - LOCAL0 (Code = 16)
- LOCAL1 (Code = 17)
- LOCAL2 (code = 18)
- LOCAL3 (Code = 19)
- LOCAL4 (Code = 20)
- LOCAL5 (Code = 21)
- LOCAL6 (Code = 22; Standard)
- LOCAL7 (Code = 23)
Zulässige Höchstlänge Der empfohlene Wert ist 1.024. Klicken Sie auf Senden. Das Fenster Remote-Protokollziele wird mit der neuen Google Security Operations-Weiterleitungskonfiguration angezeigt.
Wählen Sie in der Cisco ISE-Konsole Verwaltung > System > Logging > Logging-Kategorien aus.
Wählen Sie im Fenster Protokollierungskategorien die Kategorien aus, für die Sie das Remote-Syslog-Ziel festlegen möchten, und fügen Sie das Remote-Syslog-Ziel hinzu.
Beispiele für Kategorien: AAA-Audits, AAA-Diagnose, Ressourcenerfassung, administrative und betriebliche Prüfung, Prüfung der Sicherheit und Bereitstellung von Clients, Diagnose der Sicherheit und Bereitstellung von Clients, Profiler, Systemdiagnose und Systemstatistiken.
Google Security Operations-Weiterleiter und syslog für die Aufnahme von Cisco Secure ACS-Protokollen konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Weiterleitungen.
- Klicken Sie auf Neuen Weiterleiter hinzufügen.
- Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
- Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen Namen ein.
- Wählen Sie Cisco ISE als Logtyp aus.
- Wählen Sie Syslog als Typ des Collectors aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Protokoll an.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter dem sich der Collector befindet, und die Adressen der Syslog-Daten.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und auf syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen. Informationen zu den Anforderungen für die einzelnen Weiterleitungstypen finden Sie unter Weiterleitungskonfiguration nach Typ. Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parser extrahiert Cisco ISE-Protokolle aus Syslog-Nachrichten, normalisiert die Daten in das UDM-Format und ergänzt das Ereignis um zusätzlichen Kontext. Es verarbeitet verschiedene ISE-Logkategorien, darunter erfolgreiche und fehlgeschlagene Authentifizierungen, administrative Prüfungen, Systemstatistiken und mehr. Dabei werden relevante Felder dem UDM-Schema zugeordnet und bestimmte Labels für eine detaillierte Analyse hinzugefügt.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
Acct-Authentic |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Acct-Delay-Time |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Acct-Input-Octets |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Acct-Input-Packets |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Acct-Output-Octets |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Acct-Output-Packets |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Acct-Session-Id |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Acct-Session-Time |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Acct-Status-Type |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Acct-Terminate-Cause |
sec_result.detection_fields.value |
Direkt zugeordnet. |
AcsSessionID |
sec_result.detection_fields.value |
Wird direkt als „Acs SessionID“ zugeordnet. |
AD-Account-Name |
principal.user.userid |
Direkt zugeordnet. |
AD-Domain |
principal.group.group_display_name |
Direkt zugeordnet. |
AD-Domain-Controller |
target.administrative_domain |
Direkt zugeordnet. |
AD-Error-Details |
sec_result.description |
Direkt zugeordnet. |
AD-Host-Candidate-Identities |
sec_result.detection_fields.value |
Direkt zugeordnet. |
AD-IP-Address |
target.ip, target.asset.ip |
Direkt zugeordnet. |
AD-Log-Id |
sec_result.detection_fields.value |
Wird direkt als „AD-Log-Id“ zugeordnet. |
AD-Operating-System |
principal.asset.platform_software.platform_version |
Direkt als ad_operating_system zugeordnet. Wenn der Inhalt „Windows“ enthält, wird principal.platform auf „WINDOWS“ festgelegt. |
AD-Site |
target.location.name |
Direkt zugeordnet. |
AD-Srv-Query |
sec_result.detection_fields.value |
Wird direkt als „AD-Srv-Query“ zugeordnet. |
AD-Srv-Record |
sec_result.detection_fields.value |
Wird direkt als „AD-Srv-Record“ zugeordnet. |
AD-User-Resolved-Identities |
sec_result.detection_fields.value |
Direkt zugeordnet. |
AD-User-SamAccount-Name |
principal.user.attribute.labels.value |
Direkt zugeordnet. |
AdminIPAddress |
principal.ip, principal.asset.ip |
Direkt zugeordnet. |
AdminInterface |
principal.user.attribute.labels.value |
Wird direkt als „Admin-Benutzeroberfläche“ zugeordnet. |
AdminName |
principal.user.userid |
Direkt zugeordnet. Außerdem wird eine user.attribute.roles vom Typ „ADMINISTRATOR“ hinzugefügt. |
AuthenticationIdentityStore |
sec_result.detection_fields.value |
Wird direkt als „Authentication Identity Store“ zugeordnet. |
AuthenticationStatus |
sec_result.action_details |
Direkt zugeordnet. Wenn der Wert mit „AuthenticationPassed“ übereinstimmt, wird sec_result.action auf „ALLOW“ (Zulassen) gesetzt, andernfalls auf „BLOCK“ (Blockieren). |
AuthorizationPolicyMatchedRule |
sec_result.rule_name |
Zugewiesen mit dem Präfix „AuthorizationPolicyMatchedRule : ". |
BYODRegistration |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Called-Station-ID |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Calling-Station-ID |
sec_result.detection_fields.value, principal.ip, principal.asset.ip |
Direkt zugeordnet. Bei einer IP-Adresse muss sie auch principal.ip und principal.asset.ip zugeordnet sein. |
cdpCachePlatform |
principal.asset.hardware.model |
Direkt zugeordnet. |
Class |
sec_result.detection_fields.value |
Direkt zugeordnet. |
ClientLatency |
sec_result.detection_fields.value |
Direkt zugeordnet. |
CmdSet |
target.process.command_line |
Werden direkt zugeordnet, nachdem umgebende Klammern und Leerzeichen entfernt wurden. |
ConfigVersionId |
sec_result.detection_fields.value |
Wird direkt als „Konfigurationsversions-ID“ zugeordnet. |
ConnectionStatus |
sec_result.detection_fields.value |
Wird direkt als „Verbindungsstatus“ zugeordnet. |
CPMSessionID |
sec_result.detection_fields.value |
Direkt zugeordnet. |
CreateTime |
principal.asset.attribute.creation_time |
Wird als UNIX_MS-Zeitstempel geparst. |
DetailedInfo |
sec_result.description |
Nach dem Entfernen von umgekehrten Schrägstriche direkt zugeordnet. |
DestinationIPAddress |
target.ip, target.asset.ip |
Direkt zugeordnet. Legt has_target auf „wahr“ fest. |
DestinationPort |
target.port |
Wird direkt zugeordnet, wenn es sich um eine Zahl handelt. |
Device IP Address |
principal.ip: principal.asset.ip, _intermediary.ip, target.ip, target.asset.ip |
Zugewiesen als DeviceIPAddress. Wird in verschiedenen Logikelementen verwendet, um principal.ip, _intermediary.ip oder target.ip je nach Protokollkategorie und anderen Feldern zu füllen. |
Device Port |
principal.port, _intermediary.port, target.port |
Zugewiesen als DevicePort. Wird in verschiedenen Logikelementen verwendet, um principal.port, _intermediary.port oder target.port je nach Protokollkategorie und anderen Feldern auszufüllen. |
Device Type |
principal.asset.hardware.model |
Direkt als device-type zugeordnet. |
DTLSSupport |
sec_result.detection_fields.value |
Direkt zugeordnet. |
EndPointMACAddress |
principal.asset.mac |
Direkt zugeordnet, nachdem sie in Kleinbuchstaben umgewandelt und Bindestriche durch Doppelpunkte ersetzt wurden. |
EndPointMatchedProfile |
sec_result.about.labels.value |
Direkt zugeordnet. |
EndpointCertainityMetric |
sec_result.detection_fields.value |
Wird direkt als „Maß für die Endpunktsicherheit“ zugeordnet. |
EndpointIdentityGroup |
principal.group.group_display_name |
Direkt zugeordnet. |
EndpointIPAddress |
principal.asset.ip |
Direkt zugeordnet. |
EndpointNADAddress |
sec_result.detection_fields.value |
Wird direkt als „Endpunkt-NAD-Adresse“ zugeordnet. |
EndpointOUI |
sec_result.detection_fields.value |
Wird direkt als „Endpunkt-OUI“ zugeordnet. |
EndpointPolicy |
principal.asset.platform_software.platform_version |
Direkt zugeordnet. |
EndpointProperty |
sec_result.detection_fields.value |
Wird direkt als „Endpunkteigenschaft“ zugeordnet. |
EndpointSourceEvent |
sec_result.detection_fields.value |
Direkt zugeordnet. |
EndpointUserAgent |
network.http.user_agent |
Direkt zugeordnet. |
EndPointVersion |
sec_result.detection_fields.value |
Direkt zugeordnet. |
FailureReason |
sec_result.detection_fields.value, sec_result.summary, sec_result.description |
Zugewiesen als FailureReason. Wird verwendet, um sec_result.detection_fields je nach Kontext als „Fehlergrund“, sec_result.summary oder sec_result.description auszufüllen. |
FirstCollection |
principal.asset.first_discover_time |
Wird als UNIX_MS-Zeitstempel geparst. |
Framed-IP-Address |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Framed-IPv6-Address |
FramedIPAddress |
Direkt zugeordnet. |
Framed-Protocol |
sec_result.detection_fields.value |
Direkt zugeordnet. |
IdentityGroup |
principal.group.group_display_name |
Direkt zugeordnet. |
IdentityGroupID |
principal.group.product_object_id |
Direkt zugeordnet. |
IdentityPolicyMatchedRule |
sec_result.about.labels.value |
Direkt zugeordnet. |
IdentitySelectionMatchedRule |
sec_result.detection_fields.value |
Direkt zugeordnet. |
IMEI |
target.asset.product_object_id |
Direkt zugeordnet. |
ISELocalAddress |
_intermediary.ip, principal.ip, principal.asset.ip, _intermediary.port, principal.port, sec_result.detection_fields.value |
In CISE_Administrative_and_Operational_Audit werden IP-Adresse und Port extrahiert und _intermediary und principal zugeordnet. Andernfalls wird sie direkt als „ISE-Lokalabstrahierte Adresse“ zu sec_result.detection_fields zugeordnet. |
ISEModuleName |
sec_result.detection_fields.value |
Wird direkt als „ISE-Modulname“ zugeordnet. |
ISEServiceName |
sec_result.detection_fields.value |
Wird direkt als „ISE-Dienstname“ zugeordnet. |
IsThirdPartyDeviceFlow |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Issuer |
about.labels.value |
Direkt zugeordnet. |
LastActivity |
principal.asset.last_discover_time |
Wird als UNIX_MS-Zeitstempel geparst. |
LastNmapScanTime |
sec_result.detection_fields.value |
Direkt zugeordnet. |
lldpChassisId |
target.mac |
Wird nach dem Parsen direkt als MAC-Adresse zugeordnet. |
lldpSystemName |
target.hostname, target.asset.hostname |
Direkt zugeordnet. |
Location |
principal.location.country_or_region, target.location.country_or_region |
Je nach Protokollkategorie direkt auf principal oder target zugeordnet. |
Manufacturer |
target.asset.hardware.manufacturer |
Direkt zugeordnet. |
MessageCode |
sec_result.detection_fields.value, metadata.event_type |
Direkt als msg_code zugeordnet. Wird in der Logik verwendet, um metadata.event_type zu bestimmen. |
Model |
target.asset.hardware.model |
Direkt zugeordnet. |
NAS-IP-Address |
principal.nat_ip |
Direkt zugeordnet. |
NAS-Identifier |
principal.labels.value |
Direkt als nas_identifier zugeordnet. |
NAS-Port |
principal.nat_port, sec_result.detection_fields.value, principal.labels.value |
Zugewiesen als NASPort. Wenn der Wert numerisch und kleiner als 2147483648 ist, wird er principal.nat_port zugeordnet. Andernfalls wird es als String zu sec_result.detection_fields als „NAS-Port“ oder principal.labels als „NAS-Port“ zugeordnet. |
NAS-Port-Id |
principal.labels.value, sec_result.detection_fields.value |
Zugewiesen als NASPortId. Wird verwendet, um principal.labels als „nas_port_id“ oder sec_result.detection_fields als „nas_port_id“ zu füllen. |
NAS-Port-Type |
principal.labels.value, sec_result.detection_fields.value |
Zugewiesen als NASPortType. Wird verwendet, um principal.labels als „nas_port_type“ oder sec_result.detection_fields als „Nas-Port-Type“ zu füllen. |
NetworkDeviceGroups |
sec_result.detection_fields.value |
Direkt zugeordnet. |
NetworkDeviceName |
_intermediary.hostname: principal.hostname, principal.asset.hostname, target.hostname, target.asset.hostname |
Zugewiesen als NetworkDeviceName. Wird in verschiedenen Logikelementen verwendet, um _intermediary.hostname, principal.hostname oder target.hostname je nach Protokollkategorie und anderen Feldern zu füllen. |
NetworkDeviceProfileId |
principal.asset.asset_id |
Zugewiesen mit dem Präfix „Cisco_ISE:“. |
NetworkDeviceProfileName |
principal.asset.attribute.labels.value |
Direkt zugeordnet. |
ObjectName |
sec_result.about.labels.value |
Direkt zugeordnet. |
ObjectType |
sec_result.about.labels.value |
Direkt zugeordnet. |
OperatingSystem |
target.asset.platform_software.platform_version, principal.asset.platform_software.platform_version, principal.platform |
Zugewiesen als OperatingSystem. Wird verwendet, um target.asset.platform_software.platform_version oder principal.asset.platform_software.platform_version auszufüllen. Wenn der String „Win“ enthält, wird principal.platform auf „WINDOWS“ festgelegt. Wenn „lin“ enthalten ist, wird principal.platform auf „LINUX“ festgelegt. Wenn „iOS“ enthalten ist, wird principal.platform auf „MAC“ festgelegt. |
OperationMessageText |
sec_result.detection_fields.value, about.labels.value, sec_result.summary |
Zugewiesen als OperationMessageText. Wird verwendet, um sec_result.detection_fields als „Text der Betriebsmeldung“, about.labels als „Text der Betriebsmeldung“ oder sec_result.summary je nach Kontext auszufüllen. Wenn sie Verbindungsdetails enthält, werden diese extrahiert und src und target zugeordnet. |
OriginalUserName |
principal.user.userid |
Direkt als User zugeordnet. |
PeerAddress |
target.mac |
Direkt zugeordnet, nachdem sie in Kleinbuchstaben umgewandelt und Bindestriche durch Doppelpunkte ersetzt wurden. |
PeerName |
target.hostname, target.asset.hostname |
IP-Adresse und Hostname werden extrahiert und target.ip und target.hostname zugeordnet. |
PhoneID |
principal.user.phone_numbers |
Direkt als User-Fetch-Telephone zugeordnet. |
PhoneNumber |
principal.user.phone_numbers |
Direkt zugeordnet. |
PolicyVersion |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Port |
_intermediary.port, principal.port, target.port |
Zugewiesen als Port. Wird in verschiedenen Logikelementen verwendet, um _intermediary.port, principal.port oder target.port je nach Protokollkategorie und anderen Feldern zu füllen. |
PostureAssessmentStatus |
sec_result.detection_fields.value |
Direkt zugeordnet. |
PostureExpiry |
sec_result.detection_fields.value |
Direkt zugeordnet. |
PostureStatus |
sec_result.detection_fields.value |
Wird direkt als „Körperhaltungsstatus“ zugeordnet. |
ProfilerServer |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Protocol |
sec_result.detection_fields.value |
Direkt zugeordnet. |
r_cat_name |
metadata.product_event_type |
Direkt zugeordnet. |
r_ip_or_host |
observer.ip, observer.hostname, principal.ip, principal.asset.ip, principal.hostname, principal.asset.hostname, target.ip, target.asset.ip, target.hostname, target.asset.hostname |
Wenn eine IP-Adresse, wird sie observer.ip zugeordnet. Wenn ein Hostname, wird observer.hostname zugeordnet. Wird auch in verschiedenen Logikelementen verwendet, um je nach Protokollkategorie und anderen Feldern die IP-Adresse oder den Hostnamen von principal oder target auszufüllen. |
r_msg_id |
sec_result.detection_fields.value, metadata.product_log_id |
Wird direkt als „r_msg_id“ zugeordnet. Wird auch als metadata.product_log_id verwendet, wenn sequence_num nicht verfügbar ist. |
r_seg_num |
sec_result.detection_fields.value, metadata.product_log_id |
Wird direkt als „r_seg_num“ zugeordnet. Wird auch als metadata.product_log_id verwendet, wenn sequence_num nicht verfügbar ist. |
r_total_seg |
sec_result.detection_fields.value |
Direkt zugeordnet. |
RadiusFlowType |
sec_result.detection_fields.value |
Direkt zugeordnet. |
RadiusPacketType |
sec_result.detection_fields.value |
Wird direkt als „Radius-Pakettyp“ zugeordnet. |
RegisterStatus |
sec_result.rule_name |
Direkt zugeordnet. |
RequestLatency |
sec_result.detection_fields.value |
Wird direkt als „Anfragelatenz“ zugeordnet. |
SelectedAccessService |
sec_result.detection_fields.value |
Direkt als „Ausgewählter Zugriffsdienst“ zugeordnet. |
SelectedAuthorizationProfiles |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Serial Number |
network.tls.server.certificate.serial, about.labels.value |
Zugewiesen als serial_number. Wird verwendet, um network.tls.server.certificate.serial oder about.labels je nach Kontext als „Seriennummer“ auszufüllen. |
Service-Type |
sec_result.detection_fields.value |
Direkt zugeordnet. |
SessionId |
network.session_id |
Direkt zugeordnet. |
ShutdownReason |
sec_result.detection_fields.value |
Wird direkt als „ShutdownReason“ zugeordnet. |
SSID |
sec_result.detection_fields.value |
Direkt zugeordnet. |
StaticGroupAssignment |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Subject |
about.labels.value |
Direkt zugeordnet. |
Subject Alternative Name |
about.labels.value |
Wird direkt als „Subject Alternative Name“ zugeordnet. |
SysStatsCpuCount |
target.asset.hardware.cpu_number_cores |
Direkt zugeordnet. |
SysStatsProcessMemoryMB |
target.asset.hardware.ram |
Direkt als __hardware.ram zugeordnet. |
SysStatsUtilizationNetwork |
target.resource.name, network.sent_bytes, network.received_bytes |
Name des Netzwerkadapters, gesendete und empfangene Byte werden extrahiert und zugeordnet. target.resource.resource_type ist auf „UNBESCHRIEBEN“ festgelegt. |
TimeToProfile |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Total Certainty Factor |
sec_result.detection_fields.value |
Direkt zugeordnet. |
TotalFailedTime |
sec_result.detection_fields.value |
Direkt zugeordnet. |
Tunnel-Client-Endpoint |
sec_result.detection_fields.value |
Wird direkt als „Tunnel-Clientendpunkt“ zugeordnet. |
UniqueConnectionIdentifier |
sec_result.detection_fields.value |
Wird direkt als „Unique Connection Identifier“ zugeordnet. |
UpdateTime |
sec_result.detection_fields.value |
Direkt zugeordnet. |
User |
principal.user.userid |
Direkt zugeordnet. |
User-Fetch-Email |
sec_result.detection_fields.value |
Direkt zugeordnet. |
User-Fetch-Last-Name |
principal.user.last_name |
Direkt zugeordnet. |
User-Fetch-LocalityName |
sec_result.detection_fields.value |
Direkt zugeordnet. |
User-Fetch-StateOrProvinceName |
sec_result.detection_fields.value |
Direkt zugeordnet. |
User-Fetch-Telephone |
principal.user.phone_numbers |
Direkt als PhoneID zugeordnet. |
UserName |
principal.user.userid |
Direkt zugeordnet. Wenn das Feld nicht leer ist und nicht „“ oder „unbekannt“ enthält, wird es in Kleinbuchstaben umgewandelt. Bindestriche werden durch Doppelpunkte ersetzt. Wenn der Wert mit einem MAC-Adressmuster übereinstimmt, wird er auch principal.mac zugeordnet. |
User-Name |
principal.user.userid |
Direkt zugeordnet. |
UserType |
principal.user.attribute.labels.value |
Direkt zugeordnet. |
(Parser Logic) action |
sec_result.action |
Legen Sie „ALLOW“ fest, wenn msg_text Erfolgs-Keywords enthält, „BLOCK“, wenn sie Fehler-Keywords enthält, und andernfalls „UNKNOWN_ACTION“. |
(Parser Logic) about.hostname |
about.hostname |
Abgeleitet von StepData=4 oder stepdata. |
(Parser Logic) event.idm.read_only_udm.about |
event.idm.read_only_udm.about |
Sie enthalten verschiedene Felder wie about.hostname, about.application und about.process.pid. |
(Parser Logic) event.idm.read_only_udm.extensions.auth.mechanism |
event.idm.read_only_udm.extensions.auth.mechanism |
In bestimmten Fällen in der Kategorie CISE_TACACS_Diagnostics auf „Netzwerk“ setzen. |
(Parser Logic) event.idm.read_only_udm.extensions.auth.type |
event.idm.read_only_udm.extensions.auth.type |
Legen Sie „MACHINE“ für verschiedene Anmelde-/Abmeldeereignisse, „TACACS“ für bestimmte TACACS-Ereignisse und „AUTHTYPE_UNSPECIFIED“ für andere Anmelde-Ereignisse fest. |
(Parser Logic) event.idm.read_only_udm.metadata.collected_timestamp |
event.idm.read_only_udm.metadata.collected_timestamp |
Wird aus logstash.process.timestamp geparst, sofern verfügbar. |
(Parser Logic) event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
Wird aus msg_class und msg_text oder nur aus msg_text gebildet, wenn msg_class nicht verfügbar ist. |
(Parser Logic) event.idm.read_only_udm.metadata.event_timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
Wird aus dem Feld datetime geparst, das entweder aus datetime und timezone oder aus r_datetime abgeleitet wird. |
(Parser Logic) event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
Wird anhand von r_cat_name, msg_code und anderen Feldern ermittelt. Kann GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED oder NETWORK_FLOW sein. |
(Parser Logic) event.idm.read_only_udm.metadata.ingested_timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
Wird aus logstash.ingest.timestamp geparst, sofern verfügbar. |
(Parser Logic) event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
Legen Sie diesen Wert auf „CISCO_ISE“ fest. |
(Parser Logic) event.idm.read_only_udm.metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
Abgeleitet von r_cat_name. |
(Parser Logic) event.idm.read_only_udm.metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
Abgeleitet von sequence_num, r_seg_num oder r_msg_id, je nach Verfügbarkeit. |
(Parser Logic) event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
Legen Sie „ISE“ oder MDMServerName fest, falls verfügbar. |
(Parser Logic) event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
Legen Sie diesen Wert auf „Cisco“ fest. |
(Parser Logic) event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
Abgeleitet von ac-user-agent oder EndpointUserAgent. |
(Parser Logic) event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
Für bestimmte Ereignistypen auf „TCP“ festlegen. |
(Parser Logic) event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
Abgeleitet von SessionId. |
(Parser Logic) event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
Abgeleitet von TLSCipher. |
(Parser Logic) event.idm.read_only_udm.network.tls.server.certificate.serial |
event.idm.read_only_udm.network.tls.server.certificate.serial |
Abgeleitet von Serial Number. |
(Parser Logic) event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
Abgeleitet von TLSVersion. |
(Parser Logic) event.idm.read_only_udm.principal.asset.asset_id |
event.idm.read_only_udm.principal.asset.asset_id |
Abgeleitet von NetworkDeviceProfileId mit dem Präfix „Cisco_ISE:“. |
(Parser Logic) event.idm.read_only_udm.principal.asset.hardware |
event.idm.read_only_udm.principal.asset.hardware |
Sie enthalten Felder wie hardware.manufacturer und hardware.model. |
(Parser Logic) event.idm.read_only_udm.principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
Abgeleitet aus verschiedenen IP-Adressfeldern, je nach Protokollkategorie und anderen Feldern. |
(Parser Logic) event.idm.read_only_udm.principal.asset.mac |
event.idm.read_only_udm.principal.asset.mac |
Abgeleitet aus EndpointMacAddress, parsed_endpoint_mac oder anderen MAC-Adressenfeldern nach entsprechender Formatierung. |
(Parser Logic) event.idm.read_only_udm.principal.asset.platform_software.platform_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_version |
Abgeleitet von OperatingSystem, EndpointPolicy oder ad_operating_system. |
(Parser Logic) event.idm.read_only_udm.principal.group.group_display_name |
event.idm.read_only_udm.principal.group.group_display_name |
Abgeleitet von AD-Domain, IdentityGroup oder EndpointIdentityGroup. |
(Parser Logic) event.idm.read_only_udm.principal.group.product_object_id |
event.idm.read_only_udm.principal.group.product_object_id |
Abgeleitet von IdentityGroupID. |
(Parser Logic) event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
Abgeleitet von r_ip_or_host, NetworkDeviceName oder anderen Hostnamenfeldern, je nach Protokollkategorie und anderen Feldern. |
(Parser Logic) event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
Abgeleitet aus verschiedenen IP-Adressfeldern, je nach Protokollkategorie und anderen Feldern. |
(Parser Logic) event.idm.read_only_udm.principal.labels |
event.idm.read_only_udm.principal.labels |
Sie enthalten Felder wie nas_identifier, nas_port_type und nas_port_id. |
(Parser Logic) event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Abgeleitet von Location. |
(Parser Logic) event.idm.read_only_udm.principal.nat_ip |
event.idm.read_only_udm.principal.nat_ip |
Abgeleitet von NAS-IP-Address. |
(Parser Logic) event.idm.read_only_udm.principal.nat_port |
event.idm.read_only_udm.principal.nat_port |
Wird von NAS-Port abgeleitet, wenn es sich um eine Zahl handelt, die kleiner als 2147483648 ist. |
(Parser Logic) event.idm.read_only_udm.principal.platform |
event.idm.read_only_udm.principal.platform |
Abgeleitet von device-platform oder OperatingSystem. Kann WINDOWS, LINUX, MAC oder UNKNOWN_PLATFORM sein. |
(Parser Logic) event.idm.read_only_udm.principal.platform_version |
event.idm.read_only_udm.principal.platform_version |
Abgeleitet von platform-version. |
(Parser Logic) event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
Wird von Device Port oder Port abgeleitet, wenn der Wert numerisch ist. |
(Parser Logic) event.idm.read_only_udm.principal.user.attribute.labels |
event.idm.read_only_udm.principal.user.attribute.labels |
Enthält Felder wie „Admin-Benutzeroberfläche“, „UserType“ und „Chargeable-User-Identity“. |
(Parser Logic) event.idm.read_only_udm.principal.user.phone_numbers |
event.idm.read_only_udm.principal.user.phone_numbers |
Abgeleitet von PhoneID oder PhoneNumber. |
(Parser Logic) event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
Abgeleitet von User, UserName, User-Name, AdminName, OriginalUserName oder anderen Nutzernamenfeldern, je nach Protokollkategorie und anderen Feldern. |
(Parser Logic) event.idm.read_only_udm.security_result.about.labels |
event.idm.read_only_udm.security_result.about.labels |
Enthält Felder wie „IdentityPolicyMatchedRule“, „EndPointMatchedProfile“, „ObjectType“ und „ObjectName“. |
(Parser Logic) event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
Abgeleitet von msg_text oder AuthenticationStatus. Kann ALLOW, BLOCK oder UNKNOWN_ACTION sein. |
(Parser Logic) event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
Je nach Protokollkategorie und anderen Feldern werden verschiedene Felder ausgefüllt. |
(Parser Logic) event.idm.read_only_udm.security_result.description |
event.idm.read_only_udm.security_result.description |
Abgeleitet von AD-Error-Details oder DetailedInfo. |
(Parser Logic) event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
Abgeleitet von AuthorizationPolicyMatchedRule oder RegisterStatus. |
(Parser Logic) event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
Abgeleitet von msg_sev. Kann KRITISCH, FEHLER, HOCH, MITTEL oder INFORMATIONSMELDUNG sein. |
(Parser Logic) event.idm.read_only_udm.security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
Abgeleitet von msg_sev. |
(Parser Logic) event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
Abgeleitet von msg_text oder FailureReason. |
(Parser Logic) event.idm.read_only_udm.src.ip |
event.idm.read_only_udm.src.ip |
Abgeleitet von source_ip, extrahiert aus OperationMessageText. |
(Parser Logic) event.idm.read_only_udm.src.port |
event.idm.read_only_udm.src.port |
Wird aus source_port abgeleitet, das aus OperationMessageText extrahiert wurde, sofern numerisch. |
(Parser Logic) event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
Abgeleitet von AD-Domain-Controller. |
(Parser Logic) event.idm.read_only_udm.target.asset.hardware |
event.idm.read_only_udm.target.asset.hardware |
Sie sind mit Feldern wie _hardware.cpu_number_cores ausgefüllt. |
(Parser Logic) event.idm.read_only_udm.target.asset.hostname |
` |
Änderungen
2024-05-10
- „ExternalGroups“ wurde „additional.fields“ zugeordnet.
2024-05-09
- Grok-Muster zum Parsen neuer Formate von „CISE_Profiler“ hinzugefügt
- Einige Felder für „CISE_Administrative_and_Operational_Audit“ und „CISE_Alarm“ wurden zugeordnet.
2024-04-18
- „msg_sev“ wurde „security_result.severity_details“ zugeordnet.
- „r_total_seg“, „r_seg_num“, „msg_code“ und „r_msg_id“ wurden in „security_result.detection_fields“ zugeordnet.
- „r_cat_name“ wurde „security_result.category_details“ zugeordnet.
- „msg_text“ und „msg_class“ wurden auf „metadata.description“ zugeordnet.
- Die Zuordnungen „target.ip“ und „target.asset.ip“ wurden angeglichen.
- Die Zuordnungen „target.hostname“ und „target.asset.hostname“ wurden angeglichen.
- Die Zuordnungen „principal.ip“ und „principal.asset.ip“ wurden angeglichen.
- Die Zuordnungen „principal.hostname“ und „principal.asset.hostname“ wurden angeglichen.
- Grok-Muster zum Parsen von „msg_attrs“ hinzugefügt.
2024-04-10
- Fehlerkorrektur:
- Es wurden Grok-Muster hinzugefügt, um neue Formate von „PeerName“ zu analysieren.
2023-11-20
- Es wurden neue Grok-Muster zum Parsen fehlgeschlagener Syslogs hinzugefügt.
- „msg_code“ „5412“ hinzugefügt, um Protokolle mit demselben „msg_code“ zu parsen.
2023-09-29
- Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.
- „EndpointSourceEvent“, „NASIdentifier“, „NAS-Port-Type“, „NAS-Port-Id“ und „ProfilerServer“ wurden für 80002- und 80006-Protokolle auf „security_result.detection_fields“ umgestellt.
- Die Zuordnung von „Standort“ von „principal.location“ zu „target.location“ für 80002- und 80006-Protokolle geändert.
- Die Funktion „on_error“ wurde hinzugefügt, um Funktionen zu ersetzen und zusammenzuführen.
- Die Datumszuordnung wurde geändert, um Datumsangaben in den Zeitzonen „MEST“ und „MESZ“ zu parsen.
2023-08-02
- Verbesserung –
- Es wurde eine KV-Zuordnung hinzugefügt, um „cisco-av-pair=dhcp-option=host-name“ zu „target.hostname“ zu parsen und zuzuordnen.
- Die Zuordnung von „security_result.action“ wurde von „FAIL“ zu „BLOCK“ geändert, wenn „msg_text“ „failed|dropped|stop|rejected|down|abandoned|block|blocking|invalid“ enthält.
2023-07-18
- Verbesserung –
- „cisco-av-pair=dhcp-option=host-name“ wurde auf „target.hostname“ zugeordnet.
- Die Zuordnung von „Nutzername“ wurde von „target.user.userid“ zu „principal.user.userid“ geändert.
- Die Zuordnung von „Nutzername“ wurde von „target.user.userid“ zu „principal.user.userid“ geändert.
- Die Zuordnung von „Nutzer“ wurde von „target.user.userid“ zu „principal.user.userid“ geändert.
- Die Zuordnung von „PhoneNumber“ wurde von „target.user.phone_numbers“ zu „principal.user.phone_numbers“ geändert.
- „FramedIPAddress“ wurde für die Profiler-Ereignistypen 80002 und 80006 auf „security_result.detection_fields“ umgestellt.
- Die Datumszuordnung wurde geändert, um das Datum mit der Zeitzone „EASTERN“ zu parsen.
- Grok-Muster zum Abgleichen mit „PeerAddress“ hinzugefügt.
2023-06-07
- Enhancement-
- Grok-Muster zum Parsen eines neuen Protokollmusters hinzugefügt.
2023-05-26
- Enhancement-
- Die Datumszuordnung wurde geändert, um Datumsangaben in der Zeitzone „BJ“ zu analysieren.
2023-04-18
- Enhancement-
- Der Block „json“ wurde hinzugefügt, um JSON-Protokolle zu verarbeiten.
- „logstash.irm_region“ wurde „additional.fields“ zugeordnet.
- „logstash.irm_environment“ wurde „additional.fields“ zugeordnet.
- „logstash.irm_site“ wurde „additional.fields“ zugeordnet.
- „logstash.ingest.timestamp“ wurde „metadata.ingested_timestamp“ zugeordnet.
- „logstash.process.timestamp“ wurde in „metadata.collected_timestamp“ umgewandelt.
2023-03-01
- Enhancement-
- Wenn „Calling-Station-ID“ eine IP-Adresse ist, ordnen Sie sie „principal.ip“ zu.
- Es wurde eine reguläre Ausdrucksbedingung hinzugefügt, um die MAC-Adresse für das Feld „device-mac“ zu validieren, bevor sie auf „principal.mac“ zugeordnet wird.
8. Dezember 2022
- Enhancement-
- „assetDeviceType“ wurde „principal.resource.name“ zugeordnet.
- „assetIncidentScore“ wurde „security_result.detection_fields“ zugeordnet.
- „PostureAssessmentStatus“ wurde in „security_result.detection_fields“ geändert.
- „PolicyVersion“ wurde in „security_result.detection_fields“ umgewandelt.
- „EndPointVersion“ wurde in „security_result.detection_fields“ umgewandelt.
- „EndPointPolicyID“ wurde in „security_result.detection_fields“ geändert.
2022-10-13
- Verbesserung: Die Datumszuordnung für SYSLOGTIMESTAMP-Datumsformate wurde korrigiert.
2022-08-10
- Verbesserung: Die Zuordnungen für die folgenden Felder wurden von „additional.fields“ zu „security_result.detection_fields“ geändert.
- 'CPMSessionID', 'NASPort', 'AD-Log-Id', 'AD-Srv-Query', 'AD-Srv-Record', 'Tunnel-Client-Endpoint', 'IsThirdPartyDeviceFlow', 'PostureStatus', 'OperationMessageText', 'AcsSessionID', 'SelectedAccessService', 'RadiusPacketType', 'ISELocalAddress', 'ISEModuleName', 'ISEServiceName', 'ConnectionStatus', 'UniqueConnectionIdentifier', 'Audit_session_id', 'EndpointCertaintyMetric', 'EndpointNADAddress', 'EndpointOUI', 'EndpointProperty', 'AuthenticationIdentityStore', 'AD-Host-Candidate-Identities', 'PostureExpiry', 'allowEasyWiredSession', 'ConfigVersionId', 'RequestLatency', 'Service-Type', 'Framed-Protocol', 'Class', 'Called-Station-ID', 'Calling-Station-ID', 'Acct-Status-Type', 'Acct-Delay-Time', 'Acct-Input-Octets', 'Acct-Output-Octets', 'Acct-Session-Id', 'Acct-Authentic', 'Acct-Session-Time', 'Acct-Input-Packets', 'Acct-Output-Packets', 'Acct-Terminate-Cause', 'Protocol'.
2022-08-12
- Fehlerkorrektur –
- Die Zuordnung für das Feld „principal.asset.hostname“ wurde in „intermediary.hostname“ geändert.
- „event_type“ von „GENERIC_EVENT“ in „STATUS_UPDATE“ oder „NETWORK_CONNECTION“ geändert.
2022-07-11
- Fehlerkorrektur: „NetworkDeviceName“ wurde „event.idm.read_only_udm.principal.hostname“ zugeordnet, wenn „Product_event_type“ den Wert „5440 RADIUS“ hat.
- „r_ip_or_host“ wurde „observer.ip“ oder „observer.hostname“ zugeordnet.
- Fehlerhafte/codierte Protokolle wurden verworfen.
2022-05-02
- Fehlerkorrektur: Die Zuordnung für „security_result.action“ wurde von „ALLOW“ (Zulassen) zu „FAIL“ (Fehlgeschlagen) korrigiert, wenn der Log-Typ „CISE_Failed_Attempts“ ist.
2022-04-21
- Verbesserung: Protokolle mit „log_type='CISE_Profiler'“ geparst
- Für log_type='CISE_TACACS_Accounting wurde der Ereignistyp von 'GENERIC_EVENT' in 'USER_UNCATEGORIZED' geändert.
- Es wurde eine korrekte Bedingung für das Feld „NASPort“ und das Feld „Port“ hinzugefügt.
2022-04-18
- „foreign_ip“ wurde „intermediary.ip“ zugeordnet
- Protokolle mit log_type='CISE_TACACS_Accounting' und 'CISE_RADIUS_Accounting' geparst
- Für log_type='CISE_TACACS_Accounting wurde der Ereignistyp von 'GENERIC_EVENT' in 'USER_UNCATEGORIZED' geändert.
- Es wurde eine korrekte Bedingung für das Feld „NASPort“ hinzugefügt.
2022-04-13
- Zugewiesene NAS-Port-ID im Ereignis: 5200.
- Zugeordneter Hostname in Ereignissen: 60188, 60125, 60116, 60115, 60081, 60080, 51021, 51020, 51003, 51002, 51001, 51000, 52000, 52001, 52002.
- Zugewiesener Text der Vorgangsmeldung in about.labels im Ereignis: 52000.
- Zugewiesene Seriennummer in den zusätzlichen Feldern im Ereignis: 5200.