Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Cisco ISE

Compatible avec:

Google SecOps SIEM

Ce document explique comment collecter les journaux Cisco ISE (Identity Services Engine) à l'aide d'un forwarder Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion CISCO_ISE.

Configurer Cisco ISE

Connectez-vous à la console Cisco ISE à l'aide d'identifiants administrateur.
Dans la console Cisco ISE, sélectionnez Administration > System (Administration > Système) > Logging (Journalisation) > Remote logging targets (Cibles de journalisation à distance).
Dans la fenêtre Cibles de journalisation distante, cliquez sur Ajouter. La fenêtre Nouvelle cible de journalisation s'affiche.

Dans la section Cible de journalisation, spécifiez les valeurs des champs suivants:

Champ	Description
Nom	Nom du transmettant Google Security Operations.
Description	Description du transfert Google Security Operations.
Type	Type de la cible de journalisation distante, par exemple syslog.
Adresse IP	Adresse IP du transfert Google Security Operations.
Type de cible	Sélectionnez le protocole syslog TCP ou UDP.
Port	Utilisez un port élevé, tel que 10514.
Code de l'établissement	Vous pouvez spécifier l'une des valeurs suivantes: LOCAL0 (code = 16) LOCAL1 (code = 17) LOCAL2 (code = 18) LOCAL3 (code = 19) LOCAL4 (code = 20) LOCAL5 (code = 21) LOCAL6 (code = 22, par défaut) LOCAL7 (code = 23)
Longueur maximale	La valeur recommandée est 1 024.

Cliquez sur Envoyer. La fenêtre Cibles de journalisation à distance s'affiche avec la nouvelle configuration du transfert Google Security Operations.
Dans la console Cisco ISE, sélectionnez Administration > System > Logging > Logging categories (Administration > Système > Journalisation > Catégories de journalisation).
Dans la fenêtre Logging categories (Catégories de journalisation), sélectionnez les catégories pour lesquelles vous souhaitez définir la cible syslog distante, puis ajoutez-la.

Voici des exemples de catégories: audits AAA, diagnostics AAA, comptabilité, audit administratif et opérationnel, audit de la posture et du provisionnement client, diagnostics de la posture et du provisionnement client, profileur, diagnostics système et statistiques système.

Configurer le forwarder Google Security Operations et le syslog pour ingérer les journaux Cisco Secure ACS

Accédez à Paramètres du SIEM > Transferts.
Cliquez sur Ajouter un forwarder.
Dans le champ Nom du transmettant, saisissez un nom unique pour le transmettant.
Cliquez sur Envoyer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
Dans le champ Nom du collecteur, saisissez un nom.
Sélectionnez Cisco ISE comme Type de journal.
Sélectionnez Syslog comme type de collecteur.
Configurez les paramètres d'entrée obligatoires suivants :
- Protocole: spécifiez le protocole.
- Adresse: spécifiez l'adresse IP ou le nom d'hôte cible où se trouve le collecteur et les adresses des données syslog.
- Port: spécifiez le port cible sur lequel se trouve le collecteur et qui écoute les données syslog.
Cliquez sur Envoyer.

Pour en savoir plus sur les transferts Google Security Operations, consultez la documentation sur les transferts Google Security Operations. Pour en savoir plus sur les exigences de chaque type de forwarder, consultez la section Configuration des forwarders par type. Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google Security Operations.

Référence de mappage de champ

Cet analyseur extrait les journaux Cisco ISE à partir des messages syslog, normalise les données au format UDM et enrichit l'événement avec un contexte supplémentaire. Il gère diverses catégories de journaux ISE, y compris les succès et les échecs d'authentification, les audits administratifs, les statistiques système, etc., en mappant les champs pertinents sur le schéma UDM et en ajoutant des libellés spécifiques pour une analyse détaillée.

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
`Acct-Authentic`	`sec_result.detection_fields.value`	Mappage direct.
`Acct-Delay-Time`	`sec_result.detection_fields.value`	Mappage direct.
`Acct-Input-Octets`	`sec_result.detection_fields.value`	Mappage direct.
`Acct-Input-Packets`	`sec_result.detection_fields.value`	Mappage direct.
`Acct-Output-Octets`	`sec_result.detection_fields.value`	Mappage direct.
`Acct-Output-Packets`	`sec_result.detection_fields.value`	Mappage direct.
`Acct-Session-Id`	`sec_result.detection_fields.value`	Mappage direct.
`Acct-Session-Time`	`sec_result.detection_fields.value`	Mappage direct.
`Acct-Status-Type`	`sec_result.detection_fields.value`	Mappage direct.
`Acct-Terminate-Cause`	`sec_result.detection_fields.value`	Mappage direct.
`AcsSessionID`	`sec_result.detection_fields.value`	Mappé directement en tant que "Acs SessionID".
`AD-Account-Name`	`principal.user.userid`	Mappage direct.
`AD-Domain`	`principal.group.group_display_name`	Mappage direct.
`AD-Domain-Controller`	`target.administrative_domain`	Mappage direct.
`AD-Error-Details`	`sec_result.description`	Mappage direct.
`AD-Host-Candidate-Identities`	`sec_result.detection_fields.value`	Mappage direct.
`AD-IP-Address`	`target.ip`, `target.asset.ip`	Mappage direct.
`AD-Log-Id`	`sec_result.detection_fields.value`	Mappé directement en tant que "AD-Log-Id".
`AD-Operating-System`	`principal.asset.platform_software.platform_version`	Mappé directement en tant que `ad_operating_system`. Si la valeur contient "Windows", `principal.platform` est défini sur "WINDOWS".
`AD-Site`	`target.location.name`	Mappage direct.
`AD-Srv-Query`	`sec_result.detection_fields.value`	Mappé directement en tant que "AD-Srv-Query".
`AD-Srv-Record`	`sec_result.detection_fields.value`	Mappé directement en tant que "AD-Srv-Record".
`AD-User-Resolved-Identities`	`sec_result.detection_fields.value`	Mappage direct.
`AD-User-SamAccount-Name`	`principal.user.attribute.labels.value`	Mappage direct.
`AdminIPAddress`	`principal.ip`, `principal.asset.ip`	Mappage direct.
`AdminInterface`	`principal.user.attribute.labels.value`	Mappé directement en tant qu'"Interface administrateur".
`AdminName`	`principal.user.userid`	Mappage direct. Un `user.attribute.roles` de type "ADMINISTRATOR" est également ajouté.
`AuthenticationIdentityStore`	`sec_result.detection_fields.value`	Mappé directement en tant que "Authentication Identity Store".
`AuthenticationStatus`	`sec_result.action_details`	Mappage direct. Si la valeur correspond à "AuthenticationPassed", `sec_result.action` est définie sur "ALLOW", sinon sur "BLOCK".
`AuthorizationPolicyMatchedRule`	`sec_result.rule_name`	Mappé avec le préfixe "AuthorizationPolicyMatchedRule : ".
`BYODRegistration`	`sec_result.detection_fields.value`	Mappage direct.
`Called-Station-ID`	`sec_result.detection_fields.value`	Mappage direct.
`Calling-Station-ID`	`sec_result.detection_fields.value`, `principal.ip`, `principal.asset.ip`	Mappage direct. S'il s'agit d'une adresse IP, elle est également mappée sur `principal.ip` et `principal.asset.ip`.
`cdpCachePlatform`	`principal.asset.hardware.model`	Mappage direct.
`Class`	`sec_result.detection_fields.value`	Mappage direct.
`ClientLatency`	`sec_result.detection_fields.value`	Mappage direct.
`CmdSet`	`target.process.command_line`	Mappé directement après suppression des crochets et des espaces environnants.
`ConfigVersionId`	`sec_result.detection_fields.value`	Mappé directement en tant qu'ID de version de configuration.
`ConnectionStatus`	`sec_result.detection_fields.value`	Mappé directement en tant qu'"État de la connexion".
`CPMSessionID`	`sec_result.detection_fields.value`	Mappage direct.
`CreateTime`	`principal.asset.attribute.creation_time`	Analysé en tant qu'horodatage UNIX_MS.
`DetailedInfo`	`sec_result.description`	Mappé directement après suppression des barres obliques arrière.
`DestinationIPAddress`	`target.ip`, `target.asset.ip`	Mappage direct. Définit `has_target` sur "true".
`DestinationPort`	`target.port`	Mappé directement s'il s'agit d'un nombre.
`Device IP Address`	`principal.ip`, `principal.asset.ip`, `_intermediary.ip`, `target.ip` et `target.asset.ip`	Mappé en tant que `DeviceIPAddress`. Utilisé dans diverses logiques pour renseigner `principal.ip`, `_intermediary.ip` ou `target.ip` en fonction de la catégorie de journal et d'autres champs.
`Device Port`	`principal.port`, `_intermediary.port`, `target.port`	Mappé en tant que `DevicePort`. Utilisé dans diverses logiques pour renseigner `principal.port`, `_intermediary.port` ou `target.port` en fonction de la catégorie de journal et d'autres champs.
`Device Type`	`principal.asset.hardware.model`	Mappé directement en tant que `device-type`.
`DTLSSupport`	`sec_result.detection_fields.value`	Mappage direct.
`EndPointMACAddress`	`principal.asset.mac`	Mappage direct après conversion en minuscules et remplacement des traits d'union par des deux-points.
`EndPointMatchedProfile`	`sec_result.about.labels.value`	Mappage direct.
`EndpointCertainityMetric`	`sec_result.detection_fields.value`	Mappé directement en tant que "Métrique de certitude du point de terminaison".
`EndpointIdentityGroup`	`principal.group.group_display_name`	Mappage direct.
`EndpointIPAddress`	`principal.asset.ip`	Mappage direct.
`EndpointNADAddress`	`sec_result.detection_fields.value`	Mappée directement en tant qu'"Adresse NAD du point de terminaison".
`EndpointOUI`	`sec_result.detection_fields.value`	Mappé directement en tant que "OUI du point de terminaison".
`EndpointPolicy`	`principal.asset.platform_software.platform_version`	Mappage direct.
`EndpointProperty`	`sec_result.detection_fields.value`	Mappé directement en tant que "Propriété du point de terminaison".
`EndpointSourceEvent`	`sec_result.detection_fields.value`	Mappage direct.
`EndpointUserAgent`	`network.http.user_agent`	Mappage direct.
`EndPointVersion`	`sec_result.detection_fields.value`	Mappage direct.
`FailureReason`	`sec_result.detection_fields.value`, `sec_result.summary`, `sec_result.description`	Mappé en tant que `FailureReason`. Permet de renseigner `sec_result.detection_fields` en tant que "Motif d'échec", `sec_result.summary` ou `sec_result.description`, en fonction du contexte.
`FirstCollection`	`principal.asset.first_discover_time`	Analysé en tant qu'horodatage UNIX_MS.
`Framed-IP-Address`	`sec_result.detection_fields.value`	Mappage direct.
`Framed-IPv6-Address`	`FramedIPAddress`	Mappage direct.
`Framed-Protocol`	`sec_result.detection_fields.value`	Mappage direct.
`IdentityGroup`	`principal.group.group_display_name`	Mappage direct.
`IdentityGroupID`	`principal.group.product_object_id`	Mappage direct.
`IdentityPolicyMatchedRule`	`sec_result.about.labels.value`	Mappage direct.
`IdentitySelectionMatchedRule`	`sec_result.detection_fields.value`	Mappage direct.
`IMEI`	`target.asset.product_object_id`	Mappage direct.
`ISELocalAddress`	`_intermediary.ip`, `principal.ip`, `principal.asset.ip`, `_intermediary.port`, `principal.port`, `sec_result.detection_fields.value`	Si la valeur est `CISE_Administrative_and_Operational_Audit`, l'adresse IP et le port sont extraits et mappés sur `_intermediary` et `principal`. Sinon, il est mappé directement en tant qu'"Adresse locale ISE" sur `sec_result.detection_fields`.
`ISEModuleName`	`sec_result.detection_fields.value`	Mappé directement en tant que "Nom du module ISE".
`ISEServiceName`	`sec_result.detection_fields.value`	Mappé directement en tant que "Nom du service ISE".
`IsThirdPartyDeviceFlow`	`sec_result.detection_fields.value`	Mappage direct.
`Issuer`	`about.labels.value`	Mappage direct.
`LastActivity`	`principal.asset.last_discover_time`	Analysé en tant qu'horodatage UNIX_MS.
`LastNmapScanTime`	`sec_result.detection_fields.value`	Mappage direct.
`lldpChassisId`	`target.mac`	Mappé directement après l'analyse en tant qu'adresse MAC.
`lldpSystemName`	`target.hostname`, `target.asset.hostname`	Mappage direct.
`Location`	`principal.location.country_or_region`, `target.location.country_or_region`	Mappé directement sur l'emplacement `principal` ou `target`, en fonction de la catégorie de journal.
`Manufacturer`	`target.asset.hardware.manufacturer`	Mappage direct.
`MessageCode`	`sec_result.detection_fields.value`, `metadata.event_type`	Mappé directement en tant que `msg_code`. Utilisé dans la logique pour déterminer `metadata.event_type`.
`Model`	`target.asset.hardware.model`	Mappage direct.
`NAS-IP-Address`	`principal.nat_ip`	Mappage direct.
`NAS-Identifier`	`principal.labels.value`	Mappé directement en tant que `nas_identifier`.
`NAS-Port`	`principal.nat_port`, `sec_result.detection_fields.value`, `principal.labels.value`	Mappé en tant que `NASPort`. Si la valeur est numérique et inférieure à 2147483648, elle est mappée sur `principal.nat_port`. Sinon, mappé en tant que chaîne à `sec_result.detection_fields` en tant que "Port NAS" ou `principal.labels` en tant que "Port NAS".
`NAS-Port-Id`	`principal.labels.value`, `sec_result.detection_fields.value`	Mappé en tant que `NASPortId`. Permet de renseigner `principal.labels` en tant que "nas_port_id" ou `sec_result.detection_fields` en tant que "nas_port_id".
`NAS-Port-Type`	`principal.labels.value`, `sec_result.detection_fields.value`	Mappé en tant que `NASPortType`. Permet de renseigner `principal.labels` sous la forme "nas_port_type" ou `sec_result.detection_fields` sous la forme "Nas-Port-Type".
`NetworkDeviceGroups`	`sec_result.detection_fields.value`	Mappage direct.
`NetworkDeviceName`	`_intermediary.hostname`, `principal.hostname`, `principal.asset.hostname`, `target.hostname` et `target.asset.hostname`	Mappé en tant que `NetworkDeviceName`. Utilisé dans diverses logiques pour renseigner `_intermediary.hostname`, `principal.hostname` ou `target.hostname` en fonction de la catégorie de journal et d'autres champs.
`NetworkDeviceProfileId`	`principal.asset.asset_id`	Mappé avec le préfixe "Cisco_ISE:".
`NetworkDeviceProfileName`	`principal.asset.attribute.labels.value`	Mappage direct.
`ObjectName`	`sec_result.about.labels.value`	Mappage direct.
`ObjectType`	`sec_result.about.labels.value`	Mappage direct.
`OperatingSystem`	`target.asset.platform_software.platform_version`, `principal.asset.platform_software.platform_version`, `principal.platform`	Mappé en tant que `OperatingSystem`. Permet de renseigner `target.asset.platform_software.platform_version` ou `principal.asset.platform_software.platform_version`. Si "Win" est présent, `principal.platform` est défini sur "WINDOWS". Si la valeur contient "lin", `principal.platform` est défini sur "LINUX". Si "iOS" est présent, `principal.platform` est défini sur "MAC".
`OperationMessageText`	`sec_result.detection_fields.value`, `about.labels.value`, `sec_result.summary`	Mappé en tant que `OperationMessageText`. Permet de renseigner `sec_result.detection_fields` en tant que "Texte du message d'opération", `about.labels` en tant que "Texte du message d'opération" ou `sec_result.summary` en fonction du contexte. S'il contient des informations de connexion, elles sont extraites et mappées sur `src` et `target`.
`OriginalUserName`	`principal.user.userid`	Mappé directement en tant que `User`.
`PeerAddress`	`target.mac`	Mappage direct après conversion en minuscules et remplacement des traits d'union par des deux-points.
`PeerName`	`target.hostname`, `target.asset.hostname`	L'adresse IP et le nom d'hôte sont extraits et mappés sur `target.ip` et `target.hostname`.
`PhoneID`	`principal.user.phone_numbers`	Mappé directement en tant que `User-Fetch-Telephone`.
`PhoneNumber`	`principal.user.phone_numbers`	Mappage direct.
`PolicyVersion`	`sec_result.detection_fields.value`	Mappage direct.
`Port`	`_intermediary.port`, `principal.port`, `target.port`	Mappé en tant que `Port`. Utilisé dans diverses logiques pour renseigner `_intermediary.port`, `principal.port` ou `target.port` en fonction de la catégorie de journal et d'autres champs.
`PostureAssessmentStatus`	`sec_result.detection_fields.value`	Mappage direct.
`PostureExpiry`	`sec_result.detection_fields.value`	Mappage direct.
`PostureStatus`	`sec_result.detection_fields.value`	Mappé directement en tant qu'"État de la posture".
`ProfilerServer`	`sec_result.detection_fields.value`	Mappage direct.
`Protocol`	`sec_result.detection_fields.value`	Mappage direct.
`r_cat_name`	`metadata.product_event_type`	Mappage direct.
`r_ip_or_host`	`observer.ip`, `observer.hostname`, `principal.ip`, `principal.asset.ip`, `principal.hostname`, `principal.asset.hostname`, `target.ip`, `target.asset.ip`, `target.hostname`, `target.asset.hostname`	Si l'adresse IP est mappée sur `observer.ip`. Si le nom d'hôte est mappé sur `observer.hostname`. Utilisé également dans diverses logiques pour renseigner l'adresse IP/le nom d'hôte `principal` ou `target` en fonction de la catégorie de journal et d'autres champs.
`r_msg_id`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Mappé directement en tant que "r_msg_id". Utilisé également comme `metadata.product_log_id` si `sequence_num` n'est pas disponible.
`r_seg_num`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Mappé directement en tant que "r_seg_num". Utilisé également comme `metadata.product_log_id` si `sequence_num` n'est pas disponible.
`r_total_seg`	`sec_result.detection_fields.value`	Mappage direct.
`RadiusFlowType`	`sec_result.detection_fields.value`	Mappage direct.
`RadiusPacketType`	`sec_result.detection_fields.value`	Mappé directement en tant que "Type de paquet Radius".
`RegisterStatus`	`sec_result.rule_name`	Mappage direct.
`RequestLatency`	`sec_result.detection_fields.value`	Mappé directement en tant que "Latence de la requête".
`SelectedAccessService`	`sec_result.detection_fields.value`	Mappé directement en tant que "Service d'accès sélectionné".
`SelectedAuthorizationProfiles`	`sec_result.detection_fields.value`	Mappage direct.
`Serial Number`	`network.tls.server.certificate.serial`, `about.labels.value`	Mappé en tant que `serial_number`. Permet de renseigner `network.tls.server.certificate.serial` ou `about.labels` en tant que "Numéro de série", selon le contexte.
`Service-Type`	`sec_result.detection_fields.value`	Mappage direct.
`SessionId`	`network.session_id`	Mappage direct.
`ShutdownReason`	`sec_result.detection_fields.value`	Mappé directement en tant que "ShutdownReason".
`SSID`	`sec_result.detection_fields.value`	Mappage direct.
`StaticGroupAssignment`	`sec_result.detection_fields.value`	Mappage direct.
`Subject`	`about.labels.value`	Mappage direct.
`Subject Alternative Name`	`about.labels.value`	Mappé directement en tant que "Subject Alternative Name".
`SysStatsCpuCount`	`target.asset.hardware.cpu_number_cores`	Mappage direct.
`SysStatsProcessMemoryMB`	`target.asset.hardware.ram`	Mappé directement en tant que `__hardware.ram`.
`SysStatsUtilizationNetwork`	`target.resource.name`, `network.sent_bytes`, `network.received_bytes`	Le nom de l'adaptateur réseau, les octets envoyés et les octets reçus sont extraits et mappés. `target.resource.resource_type` est défini sur "UNSPECIFIED".
`TimeToProfile`	`sec_result.detection_fields.value`	Mappage direct.
`Total Certainty Factor`	`sec_result.detection_fields.value`	Mappage direct.
`TotalFailedTime`	`sec_result.detection_fields.value`	Mappage direct.
`Tunnel-Client-Endpoint`	`sec_result.detection_fields.value`	Mappé directement en tant que "Point de terminaison client du tunnel".
`UniqueConnectionIdentifier`	`sec_result.detection_fields.value`	Mappé directement en tant qu'identifiant de connexion unique.
`UpdateTime`	`sec_result.detection_fields.value`	Mappage direct.
`User`	`principal.user.userid`	Mappage direct.
`User-Fetch-Email`	`sec_result.detection_fields.value`	Mappage direct.
`User-Fetch-Last-Name`	`principal.user.last_name`	Mappage direct.
`User-Fetch-LocalityName`	`sec_result.detection_fields.value`	Mappage direct.
`User-Fetch-StateOrProvinceName`	`sec_result.detection_fields.value`	Mappage direct.
`User-Fetch-Telephone`	`principal.user.phone_numbers`	Mappé directement en tant que `PhoneID`.
`UserName`	`principal.user.userid`	Mappage direct. Si elle n'est pas vide, et qu'elle ne correspond pas à "" ou "inconnu", elle est convertie en minuscules, les traits d'union sont remplacés par des deux-points et, si elle correspond à un format d'adresse MAC, elle est également mappée sur `principal.mac`.
`User-Name`	`principal.user.userid`	Mappage direct.
`UserType`	`principal.user.attribute.labels.value`	Mappage direct.
(Logique du parseur) `action`	`sec_result.action`	Définissez cette valeur sur "ALLOW" si `msg_text` contient des mots clés de réussite, sur "BLOCK" si elle contient des mots clés d'échec, et sur "UNKNOWN_ACTION" dans le cas contraire.
(Logique du parseur) `about.hostname`	`about.hostname`	Dérivé de `StepData=4` ou `stepdata`.
(Logique du parseur) `event.idm.read_only_udm.about`	`event.idm.read_only_udm.about`	Renseigné avec divers champs tels que `about.hostname`, `about.application` et `about.process.pid`.
(Logique du parseur) `event.idm.read_only_udm.extensions.auth.mechanism`	`event.idm.read_only_udm.extensions.auth.mechanism`	Dans certains cas, la valeur est définie sur "NETWORK" dans la catégorie `CISE_TACACS_Diagnostics`.
(Logique du parseur) `event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	Définissez cette valeur sur "MACHINE" pour divers événements de connexion/déconnexion, sur "TACACS" pour certains événements TACACS et sur "AUTHTYPE_UNSPECIFIED" pour d'autres événements de connexion.
(Logique du parseur) `event.idm.read_only_udm.metadata.collected_timestamp`	`event.idm.read_only_udm.metadata.collected_timestamp`	Analysé à partir de `logstash.process.timestamp`, le cas échéant.
(Logique du parseur) `event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	Construit à partir de `msg_class` et `msg_text`, ou uniquement de `msg_text` si `msg_class` n'est pas disponible.
(Logique du parseur) `event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Analyse du champ `datetime`, qui est dérivé de `datetime` et `timezone` ou de `r_datetime`.
(Logique du parseur) `event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	Déterminé en fonction de `r_cat_name`, `msg_code` et d'autres champs. Peut être GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED, NETWORK_FLOW.
(Logique du parseur) `event.idm.read_only_udm.metadata.ingested_timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Analysé à partir de `logstash.ingest.timestamp`, le cas échéant.
(Logique du parseur) `event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	Définissez cette valeur sur "CISCO_ISE".
(Logique du parseur) `event.idm.read_only_udm.metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Dérivé de `r_cat_name`.
(Logique du parseur) `event.idm.read_only_udm.metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Dérivé de `sequence_num`, `r_seg_num` ou `r_msg_id`, selon la disponibilité.
(Logique du parseur) `event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	Définissez cette valeur sur "ISE" ou sur `MDMServerName`, si disponible.
(Logique du parseur) `event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Défini sur "Cisco".
(Logique du parseur) `event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Dérivé de `ac-user-agent` ou `EndpointUserAgent`.
(Logique du parseur) `event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	Définissez cette valeur sur "TCP" pour certains types d'événements.
(Logique du parseur) `event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	Dérivé de `SessionId`.
(Logique du parseur) `event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	Dérivé de `TLSCipher`.
(Logique du parseur) `event.idm.read_only_udm.network.tls.server.certificate.serial`	`event.idm.read_only_udm.network.tls.server.certificate.serial`	Dérivé de `Serial Number`.
(Logique du parseur) `event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	Dérivé de `TLSVersion`.
(Logique du parseur) `event.idm.read_only_udm.principal.asset.asset_id`	`event.idm.read_only_udm.principal.asset.asset_id`	Dérivé de `NetworkDeviceProfileId` avec le préfixe "Cisco_ISE:".
(Logique du parseur) `event.idm.read_only_udm.principal.asset.hardware`	`event.idm.read_only_udm.principal.asset.hardware`	Renseigné avec des champs tels que `hardware.manufacturer` et `hardware.model`.
(Logique du parseur) `event.idm.read_only_udm.principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	Dérivé de différents champs d'adresses IP en fonction de la catégorie de journal et d'autres champs.
(Logique du parseur) `event.idm.read_only_udm.principal.asset.mac`	`event.idm.read_only_udm.principal.asset.mac`	Dérivé de `EndpointMacAddress`, `parsed_endpoint_mac` ou d'autres champs d'adresse MAC après formatage approprié.
(Logique du parseur) `event.idm.read_only_udm.principal.asset.platform_software.platform_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_version`	Dérivé de `OperatingSystem`, `EndpointPolicy` ou `ad_operating_system`.
(Logique du parseur) `event.idm.read_only_udm.principal.group.group_display_name`	`event.idm.read_only_udm.principal.group.group_display_name`	Dérivé de `AD-Domain`, `IdentityGroup` ou `EndpointIdentityGroup`.
(Logique du parseur) `event.idm.read_only_udm.principal.group.product_object_id`	`event.idm.read_only_udm.principal.group.product_object_id`	Dérivé de `IdentityGroupID`.
(Logique du parseur) `event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	Dérivé de `r_ip_or_host`, `NetworkDeviceName` ou d'autres champs de nom d'hôte, en fonction de la catégorie de journal et d'autres champs.
(Logique du parseur) `event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	Dérivé de différents champs d'adresses IP en fonction de la catégorie de journal et d'autres champs.
(Logique du parseur) `event.idm.read_only_udm.principal.labels`	`event.idm.read_only_udm.principal.labels`	Renseigné avec des champs tels que `nas_identifier`, `nas_port_type` et `nas_port_id`.
(Logique du parseur) `event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	Dérivé de `Location`.
(Logique du parseur) `event.idm.read_only_udm.principal.nat_ip`	`event.idm.read_only_udm.principal.nat_ip`	Dérivé de `NAS-IP-Address`.
(Logique du parseur) `event.idm.read_only_udm.principal.nat_port`	`event.idm.read_only_udm.principal.nat_port`	Dérivé de `NAS-Port` s'il est numérique et inférieur à 2 147 483 648.
(Logique du parseur) `event.idm.read_only_udm.principal.platform`	`event.idm.read_only_udm.principal.platform`	Dérivé de `device-platform` ou `OperatingSystem`. Peut être WINDOWS, LINUX, MAC ou UNKNOWN_PLATFORM.
(Logique du parseur) `event.idm.read_only_udm.principal.platform_version`	`event.idm.read_only_udm.principal.platform_version`	Dérivé de `platform-version`.
(Logique du parseur) `event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	Dérivé de `Device Port` ou `Port` si numérique.
(Logique du parseur) `event.idm.read_only_udm.principal.user.attribute.labels`	`event.idm.read_only_udm.principal.user.attribute.labels`	Il contient des champs tels que "Admin Interface", "UserType" et "Chargeable-User-Identity".
(Logique du parseur) `event.idm.read_only_udm.principal.user.phone_numbers`	`event.idm.read_only_udm.principal.user.phone_numbers`	Dérivé de `PhoneID` ou `PhoneNumber`.
(Logique du parseur) `event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	Dérivé de `User`, `UserName`, `User-Name`, `AdminName`, `OriginalUserName` ou d'autres champs de nom d'utilisateur, en fonction de la catégorie de journal et d'autres champs.
(Logique du parseur) `event.idm.read_only_udm.security_result.about.labels`	`event.idm.read_only_udm.security_result.about.labels`	Contient des champs tels que "IdentityPolicyMatchedRule", "EndPointMatchedProfile", "ObjectType" et "ObjectName".
(Logique du parseur) `event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	Dérivé de `msg_text` ou `AuthenticationStatus`. Peut être ALLOW, BLOCK ou UNKNOWN_ACTION.
(Logique du parseur) `event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	Renseignez différents champs en fonction de la catégorie de journal et d'autres champs.
(Logique du parseur) `event.idm.read_only_udm.security_result.description`	`event.idm.read_only_udm.security_result.description`	Dérivé de `AD-Error-Details` ou `DetailedInfo`.
(Logique du parseur) `event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Dérivé de `AuthorizationPolicyMatchedRule` ou `RegisterStatus`.
(Logique du parseur) `event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Dérivé de `msg_sev`. Peut être CRITICAL, ERROR, HIGH, MEDIUM ou INFORMATIONAL.
(Logique du parseur) `event.idm.read_only_udm.security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	Dérivé de `msg_sev`.
(Logique du parseur) `event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	Dérivé de `msg_text` ou `FailureReason`.
(Logique du parseur) `event.idm.read_only_udm.src.ip`	`event.idm.read_only_udm.src.ip`	Dérivé de `source_ip` extrait de `OperationMessageText`.
(Logique du parseur) `event.idm.read_only_udm.src.port`	`event.idm.read_only_udm.src.port`	Dérivé de `source_port` extrait de `OperationMessageText` s'il s'agit d'une valeur numérique.
(Logique du parseur) `event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	Dérivé de `AD-Domain-Controller`.
(Logique du parseur) `event.idm.read_only_udm.target.asset.hardware`	`event.idm.read_only_udm.target.asset.hardware`	Renseigné avec des champs tels que `_hardware.cpu_number_cores`.
(Logique du parseur) `event.idm.read_only_udm.target.asset.hostname`	`

Modifications

2024-05-10

Mappage de "ExternalGroups" sur "additional.fields".

2024-05-09

Ajout de modèles Grok pour analyser les nouveaux formats de "CISE_Profiler".
Mise en correspondance de certains champs pour "CISE_Administrative_and_Operational_Audit" et "CISE_Alarm".

2024-04-18

Mappage de "msg_sev" sur "security_result.severity_details".
Mappage de "r_total_seg", "r_seg_num", "msg_code" et "r_msg_id" sur "security_result.detection_fields".
"r_cat_name" a été mappé sur "security_result.category_details".
Mise en correspondance de "msg_text" et "msg_class" avec "metadata.description".
Mise en correspondance des mappages "target.ip" et "target.asset.ip".
Mise en correspondance des mappages "target.hostname" et "target.asset.hostname".
Mise en correspondance des mappages "principal.ip" et "principal.asset.ip".
Mise en correspondance des mappages "principal.hostname" et "principal.asset.hostname".
Ajout d'un modèle Grok pour analyser "msg_attrs".

2024-04-10

Correction de bug:
Ajout de modèles Grok pour analyser les nouveaux formats de "PeerName".

2023-11-20

Ajout de nouveaux modèles Grok pour analyser les journaux système défaillants.
Ajout de "msg_code" "5412" pour analyser les journaux ayant le même "msg_code".

2023-09-29

Prise en charge d'un nouveau format de journaux JSON.
Mappage de "EndpointSourceEvent", "NASIdentifier", "NAS-Port-Type", "NAS-Port-Id" et "ProfilerServer" sur "security_result.detection_fields" pour les journaux 80002 et 80006.
Modification de la mise en correspondance de "Emplacement" de "principal.location" à "target.location" pour les journaux 80002 et 80006.
Ajout d'une vérification on_error pour remplacer et fusionner des fonctions.
Modification de la mise en correspondance des dates pour analyser les dates avec les fuseaux horaires "MEST" et "MESZ".

2023-08-02

Amélioration :
Ajout d'un mappage de clés-valeurs pour analyser et mapper "cisco-av-pair=dhcp-option=host-name" sur "target.hostname".
Modification du mappage de "security_result.action" de "FAIL" à "BLOCK" lorsque "msg_text" contient "failed|dropped|stop|rejected|down|abandoned|block|blocking|invalid".

2023-07-18

Amélioration :
Mappage de "cisco-av-pair=dhcp-option=host-name" sur "target.hostname".
Modification de la mise en correspondance de "User-Name" de "target.user.userid" à "principal.user.userid".
Modification du mappage de "UserName" de "target.user.userid" à "principal.user.userid".
Modification du mappage de "Utilisateur" de "target.user.userid" à "principal.user.userid".
Modification de la mise en correspondance de "PhoneNumber" de "target.user.phone_numbers" à "principal.user.phone_numbers".
Mappage de "FramedIPAddress" sur "security_result.detection_fields" pour les types d'événements du profileur 80002, 80006.
Modification de la mise en correspondance des dates pour analyser la date avec le fuseau horaire "EASTERN".
Ajout d'un modèle Grok correspondant à "PeerAddress".

2023-06-07

Enhancement-
Ajout d'un format Grok pour analyser un nouveau format de journal.

2023-05-26

Enhancement-
Modification du mappage de date pour analyser la date avec le fuseau horaire "BJ".

2023-04-18

Enhancement-
Ajout d'un bloc "json" pour gérer les journaux JSON.
Mappage de "logstash.irm_region" sur "additional.fields".
Mappage de "logstash.irm_environment" sur "additional.fields".
Mappage de "logstash.irm_site" sur "additional.fields".
Mappage de "logstash.ingest.timestamp" sur "metadata.ingested_timestamp".
"logstash.process.timestamp" a été mappé sur "metadata.collected_timestamp".

2023-03-01

Enhancement-
Chaque fois que "Calling-Station-ID" est une adresse IP, mappez-la sur "principal.ip".
Ajout d'une condition d'expression régulière pour valider l'adresse MAC du champ "device-mac" avant de la mapper sur "principal.mac".

2022-12-08

Enhancement-
Mappage de "assetDeviceType" sur "principal.resource.name".
Mappage de "assetIncidentScore" sur "security_result.detection_fields".
Mappage de "PostureAssessmentStatus" sur "security_result.detection_fields".
Mappage de "PolicyVersion" sur "security_result.detection_fields".
Mappage de "EndPointVersion" sur "security_result.detection_fields".
Mappage de "EndPointPolicyID" sur "security_result.detection_fields".

2022-10-13

Amélioration : correction du mappage des dates pour les formats de date SYSLOGTIMESTAMP.

2022-08-10

Amélioration : modification des mappages pour les champs suivants, de "additional.fields" à "security_result.detection_fields".
'CPMSessionID', 'NASPort', 'AD-Log-Id', 'AD-Srv-Query', 'AD-Srv-Record', 'Tunnel-Client-Endpoint', 'IsThirdPartyDeviceFlow', 'PostureStatus', 'OperationMessageText', 'AcsSessionID', 'SelectedAccessService', 'RadiusPacketType', 'ISELocalAddress', 'ISEModuleName', 'ISEServiceName', 'ConnectionStatus', 'UniqueConnectionIdentifier', 'Audit_session_id', 'EndpointCertaintyMetric', 'EndpointNADAddress', 'EndpointOUI', 'EndpointProperty', 'AuthenticationIdentityStore', 'AD-Host-Candidate-Identities', 'PostureExpiry', 'allowEasyWiredSession', 'ConfigVersionId', 'RequestLatency', 'Service-Type', 'Framed-Protocol', 'Class', 'Called-Station-ID', 'Calling-Station-ID', 'Acct-Status-Type', 'Acct-Delay-Time', 'Acct-Input-Octets', 'Acct-Output-Octets', 'Acct-Session-Id', 'Acct-Authentic', 'Acct-Session-Time', 'Acct-Input-Packets', 'Acct-Output-Packets', 'Acct-Terminate-Cause', 'Protocol'.

2022-08-12

Correction de bug :
Modification du mappage du champ "prinicipal.asset.hostname" en "intermediary.hostname".
Modification du type d'événement de GENERIC_EVENT en STATUS_UPDATE ou NETWORK_CONNECTION.

2022-07-11

Correction de bug : mappage de NetworkDeviceName sur "event.idm.read_only_udm.principal.hostname" lorsque Product_event_type est 5440 RADIUS.
Mappée r_ip_or_host à observer.ip ou observer.hostname.
Suppression des journaux mal formés/encodés.

2022-05-02

Correction de bug : mise en correspondance corrigée de "security_result.action" de "ALLOW" à "FAIL" lorsque le type de journal est "CISE_Failed_Attempts".

2022-04-21

Amélioration : analyse des journaux avec log_type='CISE_Profiler'
Pour log_type='CISE_TACACS_Accounting, le type d'événement a été modifié de 'GENERIC_EVENT' à 'USER_UNCATEGORIZED'.
Ajout d'une condition appropriée pour les champs "NASPort" et "Port".

2022-04-18

Mappage de "foreign_ip" sur "intermediary.ip"
Analyse des journaux avec log_type='CISE_TACACS_Accounting' et 'CISE_RADIUS_Accounting'
Pour log_type='CISE_TACACS_Accounting, le type d'événement a été modifié de 'GENERIC_EVENT' à 'USER_UNCATEGORIZED'.
Ajout d'une condition appropriée pour le champ "NASPort".

2022-04-13

ID de port NAS mappé dans l'événement: 5200.
Nom d'hôte mappé dans les événements: 60188, 60125, 60116, 60115, 60081, 60080, 51021, 51020, 51003, 51002, 51001, 51000, 52000, 52001, 52002.
Texte du message d'opération mappé dans about.labels dans l'événement: 52000.
Numéro de série mappé dans additional_fields dans l'événement: 5200.