Cisco ISE ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して Cisco Identify Services Engine(ISE)のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CISCO_ISE が付加されたパーサーに適用されます。
Cisco ISE を構成する
- 管理者認証情報を使用して Cisco ISE コンソールにログインします。
- Cisco ISE コンソールで、[管理] > [システム] > [ロギング] > [リモート ロギング ターゲット] を選択します。
- [リモート ロギング ターゲット] ウィンドウで、[追加] をクリックします。[新しいロギング ターゲット] ウィンドウが表示されます。
[Logging target] セクションで、次のフィールドに値を指定します。
フィールド 説明 名前 Google Security Operations フォワーダーの名前。 説明 Google Security Operations フォワーダーの説明。 タイプ リモート ログ ターゲットのタイプ(syslog など)。 IP アドレス Google Security Operations フォワーダーの IP アドレス。 ターゲット タイプ TCP syslog または UDP syslog を選択します。 ポート 10514 などの高ポートを使用します。 施設コード 次のいずれかの値を指定できます。 - LOCAL0(コード = 16)
- LOCAL1(コード = 17)
- LOCAL2(コード = 18)
- LOCAL3(コード = 19)
- LOCAL4(コード = 20)
- LOCAL5(コード = 21)
- LOCAL6(コード = 22、デフォルト)
- LOCAL7(コード = 23)
Maximum length 推奨値は 1,024 です。 [送信] をクリックします。[リモート ログ ターゲット] ウィンドウが開き、新しい Google Security Operations フォワーダーの構成が表示されます。
Cisco ISE コンソールで、[管理] > [システム] > [ロギング] > [ロギング カテゴリ] を選択します。
[ロギング カテゴリ] ウィンドウで、リモート syslog ターゲットを設定するカテゴリを選択し、リモート syslog ターゲットを追加します。
カテゴリの例: AAA 監査、AAA 診断、会計、管理、運用監査、ポスチャとクライアントのプロビジョニングの監査、ポスチャとクライアントのプロビジョニングの診断、プロファイラ、システム診断、システム統計情報。
Cisco Secure ACS ログを取り込むように Google Security Operations フォワーダーと Syslog を構成する
- [SIEM 設定] > [転送元] に移動します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダー名] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに名前を入力します。
- [ログタイプ] として [Cisco ISE] を選択します。
- [Collector type] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- プロトコル: プロトコルを指定します。
- アドレス: コレクタが存在し、Syslog データのアドレスが設定されているターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。各フォワーダ タイプの要件については、タイプ別のフォワーダ構成をご覧ください。フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、syslog メッセージから Cisco ISE ログを抽出し、データを UDM 形式に正規化して、追加のコンテキストでイベントを拡充します。認証の成功と失敗、管理監査、システム統計情報など、さまざまな ISE ログカテゴリを処理し、関連するフィールドを UDM スキーマにマッピングし、詳細な分析のために特定のラベルを追加します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
Acct-Authentic |
sec_result.detection_fields.value |
直接マッピング。 |
Acct-Delay-Time |
sec_result.detection_fields.value |
直接マッピング。 |
Acct-Input-Octets |
sec_result.detection_fields.value |
直接マッピング。 |
Acct-Input-Packets |
sec_result.detection_fields.value |
直接マッピング。 |
Acct-Output-Octets |
sec_result.detection_fields.value |
直接マッピング。 |
Acct-Output-Packets |
sec_result.detection_fields.value |
直接マッピング。 |
Acct-Session-Id |
sec_result.detection_fields.value |
直接マッピング。 |
Acct-Session-Time |
sec_result.detection_fields.value |
直接マッピング。 |
Acct-Status-Type |
sec_result.detection_fields.value |
直接マッピング。 |
Acct-Terminate-Cause |
sec_result.detection_fields.value |
直接マッピング。 |
AcsSessionID |
sec_result.detection_fields.value |
「Acs SessionID」として直接マッピング。 |
AD-Account-Name |
principal.user.userid |
直接マッピング。 |
AD-Domain |
principal.group.group_display_name |
直接マッピング。 |
AD-Domain-Controller |
target.administrative_domain |
直接マッピング。 |
AD-Error-Details |
sec_result.description |
直接マッピング。 |
AD-Host-Candidate-Identities |
sec_result.detection_fields.value |
直接マッピング。 |
AD-IP-Address |
target.ip、target.asset.ip |
直接マッピング。 |
AD-Log-Id |
sec_result.detection_fields.value |
「AD-Log-Id」として直接マッピングされます。 |
AD-Operating-System |
principal.asset.platform_software.platform_version |
ad_operating_system として直接マッピングされます。「Windows」が含まれている場合、principal.platform は「WINDOWS」に設定されます。 |
AD-Site |
target.location.name |
直接マッピング。 |
AD-Srv-Query |
sec_result.detection_fields.value |
「AD-Srv-Query」として直接マッピングされます。 |
AD-Srv-Record |
sec_result.detection_fields.value |
「AD-Srv-Record」として直接マッピングされます。 |
AD-User-Resolved-Identities |
sec_result.detection_fields.value |
直接マッピング。 |
AD-User-SamAccount-Name |
principal.user.attribute.labels.value |
直接マッピング。 |
AdminIPAddress |
principal.ip、principal.asset.ip |
直接マッピング。 |
AdminInterface |
principal.user.attribute.labels.value |
「管理者インターフェース」として直接マッピングされます。 |
AdminName |
principal.user.userid |
直接マッピング。タイプが「ADMINISTRATOR」の user.attribute.roles も追加されます。 |
AuthenticationIdentityStore |
sec_result.detection_fields.value |
「Authentication Identity Store」として直接マッピングされます。 |
AuthenticationStatus |
sec_result.action_details |
直接マッピング。値が「AuthenticationPassed」と一致する場合は、sec_result.action は「ALLOW」に設定され、一致しない場合は「BLOCK」に設定されます。 |
AuthorizationPolicyMatchedRule |
sec_result.rule_name |
接頭辞「AuthorizationPolicyMatchedRule : " でマッピングされます。 |
BYODRegistration |
sec_result.detection_fields.value |
直接マッピング。 |
Called-Station-ID |
sec_result.detection_fields.value |
直接マッピング。 |
Calling-Station-ID |
sec_result.detection_fields.value、principal.ip、principal.asset.ip |
直接マッピング。IP アドレスの場合は、principal.ip と principal.asset.ip にもマッピングされます。 |
cdpCachePlatform |
principal.asset.hardware.model |
直接マッピング。 |
Class |
sec_result.detection_fields.value |
直接マッピング。 |
ClientLatency |
sec_result.detection_fields.value |
直接マッピング。 |
CmdSet |
target.process.command_line |
囲んでいるかっことスペースを削除した後、直接マッピングされます。 |
ConfigVersionId |
sec_result.detection_fields.value |
「Config Version Id」として直接マッピングされます。 |
ConnectionStatus |
sec_result.detection_fields.value |
「接続ステータス」として直接マッピングされます。 |
CPMSessionID |
sec_result.detection_fields.value |
直接マッピング。 |
CreateTime |
principal.asset.attribute.creation_time |
UNIX_MS タイムスタンプとして解析されます。 |
DetailedInfo |
sec_result.description |
バックスラッシュを削除した後に直接マッピングされます。 |
DestinationIPAddress |
target.ip、target.asset.ip |
直接マッピング。has_target を「true」に設定します。 |
DestinationPort |
target.port |
数値の場合は直接マッピングされます。 |
Device IP Address |
principal.ip、principal.asset.ip、_intermediary.ip、target.ip、target.asset.ip |
DeviceIPAddress としてマッピングされます。さまざまなロジックで使用され、ログカテゴリや他のフィールドに応じて principal.ip、_intermediary.ip、target.ip に値を入力します。 |
Device Port |
principal.port、_intermediary.port、target.port |
DevicePort としてマッピングされます。さまざまなロジックで使用され、ログカテゴリや他のフィールドに応じて principal.port、_intermediary.port、target.port に値を入力します。 |
Device Type |
principal.asset.hardware.model |
device-type として直接マッピングされます。 |
DTLSSupport |
sec_result.detection_fields.value |
直接マッピング。 |
EndPointMACAddress |
principal.asset.mac |
小文字に変換し、ハイフンをコロンに変換した後に直接マッピングされます。 |
EndPointMatchedProfile |
sec_result.about.labels.value |
直接マッピング。 |
EndpointCertainityMetric |
sec_result.detection_fields.value |
「エンドポイントの確実性指標」として直接マッピングされます。 |
EndpointIdentityGroup |
principal.group.group_display_name |
直接マッピング。 |
EndpointIPAddress |
principal.asset.ip |
直接マッピング。 |
EndpointNADAddress |
sec_result.detection_fields.value |
「エンドポイント NAD アドレス」として直接マッピングされます。 |
EndpointOUI |
sec_result.detection_fields.value |
「エンドポイント OUI」として直接マッピングされます。 |
EndpointPolicy |
principal.asset.platform_software.platform_version |
直接マッピング。 |
EndpointProperty |
sec_result.detection_fields.value |
「エンドポイント プロパティ」として直接マッピングされます。 |
EndpointSourceEvent |
sec_result.detection_fields.value |
直接マッピング。 |
EndpointUserAgent |
network.http.user_agent |
直接マッピング。 |
EndPointVersion |
sec_result.detection_fields.value |
直接マッピング。 |
FailureReason |
sec_result.detection_fields.value、sec_result.summary、sec_result.description |
FailureReason としてマッピングされます。コンテキストに応じて、sec_result.detection_fields に「Failure Reason」(障害の理由)として sec_result.summary または sec_result.description を入力するために使用されます。 |
FirstCollection |
principal.asset.first_discover_time |
UNIX_MS タイムスタンプとして解析されます。 |
Framed-IP-Address |
sec_result.detection_fields.value |
直接マッピング。 |
Framed-IPv6-Address |
FramedIPAddress |
直接マッピング。 |
Framed-Protocol |
sec_result.detection_fields.value |
直接マッピング。 |
IdentityGroup |
principal.group.group_display_name |
直接マッピング。 |
IdentityGroupID |
principal.group.product_object_id |
直接マッピング。 |
IdentityPolicyMatchedRule |
sec_result.about.labels.value |
直接マッピング。 |
IdentitySelectionMatchedRule |
sec_result.detection_fields.value |
直接マッピング。 |
IMEI |
target.asset.product_object_id |
直接マッピング。 |
ISELocalAddress |
_intermediary.ip、principal.ip、principal.asset.ip、_intermediary.port、principal.port、sec_result.detection_fields.value |
CISE_Administrative_and_Operational_Audit の場合、IP とポートが抽出され、_intermediary と principal にマッピングされます。それ以外の場合は、「ISE ローカル アドレス」として直接 sec_result.detection_fields にマッピングされます。 |
ISEModuleName |
sec_result.detection_fields.value |
「ISE モジュール名」として直接マッピングされます。 |
ISEServiceName |
sec_result.detection_fields.value |
「ISE サービス名」として直接マッピングされます。 |
IsThirdPartyDeviceFlow |
sec_result.detection_fields.value |
直接マッピング。 |
Issuer |
about.labels.value |
直接マッピング。 |
LastActivity |
principal.asset.last_discover_time |
UNIX_MS タイムスタンプとして解析されます。 |
LastNmapScanTime |
sec_result.detection_fields.value |
直接マッピング。 |
lldpChassisId |
target.mac |
解析後に MAC アドレスとして直接マッピングされます。 |
lldpSystemName |
target.hostname、target.asset.hostname |
直接マッピング。 |
Location |
principal.location.country_or_region、target.location.country_or_region |
ログカテゴリに応じて、principal または target のいずれかのロケーションに直接マッピングされます。 |
Manufacturer |
target.asset.hardware.manufacturer |
直接マッピング。 |
MessageCode |
sec_result.detection_fields.value、metadata.event_type |
msg_code として直接マッピングされます。metadata.event_type を決定するロジックで使用されます。 |
Model |
target.asset.hardware.model |
直接マッピング。 |
NAS-IP-Address |
principal.nat_ip |
直接マッピング。 |
NAS-Identifier |
principal.labels.value |
nas_identifier として直接マッピングされます。 |
NAS-Port |
principal.nat_port、sec_result.detection_fields.value、principal.labels.value |
NASPort としてマッピングされます。数値で 2147483648 未満の場合は、principal.nat_port にマッピングされます。それ以外の場合は、文字列として sec_result.detection_fields(「NAS Port」)または principal.labels(「NAS-Port」)にマッピングされます。 |
NAS-Port-Id |
principal.labels.value、sec_result.detection_fields.value |
NASPortId としてマッピングされます。principal.labels を「nas_port_id」として、または sec_result.detection_fields を「nas_port_id」として入力するために使用されます。 |
NAS-Port-Type |
principal.labels.value、sec_result.detection_fields.value |
NASPortType としてマッピングされます。principal.labels を「nas_port_type」として、または sec_result.detection_fields を「Nas-Port-Type」として入力するために使用されます。 |
NetworkDeviceGroups |
sec_result.detection_fields.value |
直接マッピング。 |
NetworkDeviceName |
_intermediary.hostname、principal.hostname、principal.asset.hostname、target.hostname、target.asset.hostname |
NetworkDeviceName としてマッピングされます。さまざまなロジックで使用され、ログカテゴリや他のフィールドに応じて _intermediary.hostname、principal.hostname、target.hostname に値を入力します。 |
NetworkDeviceProfileId |
principal.asset.asset_id |
接頭辞「Cisco_ISE:」でマッピングされます。 |
NetworkDeviceProfileName |
principal.asset.attribute.labels.value |
直接マッピング。 |
ObjectName |
sec_result.about.labels.value |
直接マッピング。 |
ObjectType |
sec_result.about.labels.value |
直接マッピング。 |
OperatingSystem |
target.asset.platform_software.platform_version、principal.asset.platform_software.platform_version、principal.platform |
OperatingSystem としてマッピングされます。target.asset.platform_software.platform_version または principal.asset.platform_software.platform_version の入力に使用します。「Win」が含まれている場合、principal.platform は「WINDOWS」に設定されます。「lin」が含まれている場合、principal.platform は「LINUX」に設定されます。「iOS」が含まれている場合、principal.platform は「MAC」に設定されます。 |
OperationMessageText |
sec_result.detection_fields.value、about.labels.value、sec_result.summary |
OperationMessageText としてマッピングされます。コンテキストに応じて、sec_result.detection_fields を「オペレーション メッセージ テキスト」として、about.labels を「オペレーション メッセージ テキスト」として、または sec_result.summary として入力するために使用されます。接続の詳細が含まれている場合、それらは抽出され、src と target にマッピングされます。 |
OriginalUserName |
principal.user.userid |
User として直接マッピングされます。 |
PeerAddress |
target.mac |
小文字に変換し、ハイフンをコロンに変換した後に直接マッピングされます。 |
PeerName |
target.hostname、target.asset.hostname |
IP とホスト名が抽出され、target.ip と target.hostname にマッピングされます。 |
PhoneID |
principal.user.phone_numbers |
User-Fetch-Telephone として直接マッピングされます。 |
PhoneNumber |
principal.user.phone_numbers |
直接マッピング。 |
PolicyVersion |
sec_result.detection_fields.value |
直接マッピング。 |
Port |
_intermediary.port、principal.port、target.port |
Port としてマッピングされます。さまざまなロジックで使用され、ログカテゴリや他のフィールドに応じて _intermediary.port、principal.port、target.port に値を入力します。 |
PostureAssessmentStatus |
sec_result.detection_fields.value |
直接マッピング。 |
PostureExpiry |
sec_result.detection_fields.value |
直接マッピング。 |
PostureStatus |
sec_result.detection_fields.value |
「Posture Status」として直接マッピングされます。 |
ProfilerServer |
sec_result.detection_fields.value |
直接マッピング。 |
Protocol |
sec_result.detection_fields.value |
直接マッピング。 |
r_cat_name |
metadata.product_event_type |
直接マッピング。 |
r_ip_or_host |
observer.ip、observer.hostname、principal.ip、principal.asset.ip、principal.hostname、principal.asset.hostname、target.ip、target.asset.ip、target.hostname、target.asset.hostname |
IP の場合は、observer.ip にマッピングされます。ホスト名の場合は observer.hostname にマッピングされます。また、ログカテゴリやその他のフィールドに応じて、principal または target の IP/ホスト名を入力するさまざまなロジックでも使用されます。 |
r_msg_id |
sec_result.detection_fields.value、metadata.product_log_id |
「r_msg_id」として直接マッピングされます。sequence_num を使用できない場合は metadata.product_log_id としても使用されます。 |
r_seg_num |
sec_result.detection_fields.value、metadata.product_log_id |
「r_seg_num」として直接マッピングされます。sequence_num を使用できない場合は metadata.product_log_id としても使用されます。 |
r_total_seg |
sec_result.detection_fields.value |
直接マッピング。 |
RadiusFlowType |
sec_result.detection_fields.value |
直接マッピング。 |
RadiusPacketType |
sec_result.detection_fields.value |
「Radius パケットタイプ」として直接マッピングされます。 |
RegisterStatus |
sec_result.rule_name |
直接マッピング。 |
RequestLatency |
sec_result.detection_fields.value |
「リクエスト レイテンシ」として直接マッピングされます。 |
SelectedAccessService |
sec_result.detection_fields.value |
「選択したアクセス サービス」として直接マッピングされます。 |
SelectedAuthorizationProfiles |
sec_result.detection_fields.value |
直接マッピング。 |
Serial Number |
network.tls.server.certificate.serial、about.labels.value |
serial_number としてマッピングされます。コンテキストに応じて、network.tls.server.certificate.serial または about.labels に「シリアル番号」として入力するために使用されます。 |
Service-Type |
sec_result.detection_fields.value |
直接マッピング。 |
SessionId |
network.session_id |
直接マッピング。 |
ShutdownReason |
sec_result.detection_fields.value |
「ShutdownReason」として直接マッピングされます。 |
SSID |
sec_result.detection_fields.value |
直接マッピング。 |
StaticGroupAssignment |
sec_result.detection_fields.value |
直接マッピング。 |
Subject |
about.labels.value |
直接マッピング。 |
Subject Alternative Name |
about.labels.value |
「サブジェクトの別名」として直接マッピングされます。 |
SysStatsCpuCount |
target.asset.hardware.cpu_number_cores |
直接マッピング。 |
SysStatsProcessMemoryMB |
target.asset.hardware.ram |
__hardware.ram として直接マッピングされます。 |
SysStatsUtilizationNetwork |
target.resource.name、network.sent_bytes、network.received_bytes |
ネットワーク アダプタ名、送信バイト数、受信バイト数が抽出され、マッピングされます。target.resource.resource_type は「UNSPECIFIED」に設定されています。 |
TimeToProfile |
sec_result.detection_fields.value |
直接マッピング。 |
Total Certainty Factor |
sec_result.detection_fields.value |
直接マッピング。 |
TotalFailedTime |
sec_result.detection_fields.value |
直接マッピング。 |
Tunnel-Client-Endpoint |
sec_result.detection_fields.value |
「Tunnel Client Endpoint」として直接マッピングされます。 |
UniqueConnectionIdentifier |
sec_result.detection_fields.value |
「一意の接続識別子」として直接マッピングされます。 |
UpdateTime |
sec_result.detection_fields.value |
直接マッピング。 |
User |
principal.user.userid |
直接マッピング。 |
User-Fetch-Email |
sec_result.detection_fields.value |
直接マッピング。 |
User-Fetch-Last-Name |
principal.user.last_name |
直接マッピング。 |
User-Fetch-LocalityName |
sec_result.detection_fields.value |
直接マッピング。 |
User-Fetch-StateOrProvinceName |
sec_result.detection_fields.value |
直接マッピング。 |
User-Fetch-Telephone |
principal.user.phone_numbers |
PhoneID として直接マッピングされます。 |
UserName |
principal.user.userid |
直接マッピング。空でない場合、また「""」または「unknown」でない場合、小文字に変換され、ハイフンはコロンに変換されます。また、MAC アドレス パターンと一致する場合は、principal.mac にマッピングされます。 |
User-Name |
principal.user.userid |
直接マッピング。 |
UserType |
principal.user.attribute.labels.value |
直接マッピング。 |
(パーサー ロジック)action |
sec_result.action |
msg_text に成功キーワードが含まれている場合は「ALLOW」、失敗キーワードが含まれている場合は「BLOCK」、それ以外の場合は「UNKNOWN_ACTION」に設定します。 |
(パーサー ロジック)about.hostname |
about.hostname |
StepData=4 または stepdata から派生した値。 |
(パーサー ロジック)event.idm.read_only_udm.about |
event.idm.read_only_udm.about |
about.hostname、about.application、about.process.pid などのさまざまなフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.extensions.auth.mechanism |
event.idm.read_only_udm.extensions.auth.mechanism |
CISE_TACACS_Diagnostics カテゴリ内の特定のケースでは、「NETWORK」に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.extensions.auth.type |
event.idm.read_only_udm.extensions.auth.type |
さまざまなログイン/ログアウト イベントの場合は「MACHINE」、特定の TACACS イベントの場合は「TACACS」、その他のログイン イベントの場合は「AUTHTYPE_UNSPECIFIED」に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.collected_timestamp |
event.idm.read_only_udm.metadata.collected_timestamp |
logstash.process.timestamp から解析されます(利用可能な場合)。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
msg_class と msg_text から構成されます。msg_class を使用できない場合は msg_text のみを使用します。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.event_timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
datetime フィールドから解析されます。datetime フィールドは、datetime と timezone または r_datetime から派生します。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
r_cat_name、msg_code などのフィールドに基づいて決定されます。GENERIC_EVENT、STATUS_UPDATE、NETWORK_CONNECTION、STATUS_HEARTBEAT、STATUS_STARTUP、STATUS_SHUTDOWN、USER_LOGIN、USER_LOGOUT、USER_RESOURCE_ACCESS、USER_UNCATEGORIZED、RESOURCE_READ、SCAN_NETWORK、STATUS_UNCATEGORIZED、NETWORK_FLOW のいずれかです。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.ingested_timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
logstash.ingest.timestamp から解析されます(利用可能な場合)。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
「CISCO_ISE」に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
r_cat_name から派生しました。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
可用性に応じて、sequence_num、r_seg_num、r_msg_id から派生します。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
「ISE」に設定するか、利用可能な場合は MDMServerName に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
「Cisco」に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
ac-user-agent または EndpointUserAgent から派生した値。 |
(パーサー ロジック)event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
特定のイベントタイプの場合は「TCP」に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
SessionId から派生しました。 |
(パーサー ロジック)event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
TLSCipher から派生しました。 |
(パーサー ロジック)event.idm.read_only_udm.network.tls.server.certificate.serial |
event.idm.read_only_udm.network.tls.server.certificate.serial |
Serial Number から派生しました。 |
(パーサー ロジック)event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
TLSVersion から派生しました。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.asset_id |
event.idm.read_only_udm.principal.asset.asset_id |
NetworkDeviceProfileId から派生し、接頭辞は「Cisco_ISE:」です。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.hardware |
event.idm.read_only_udm.principal.asset.hardware |
hardware.manufacturer や hardware.model などのフィールドが設定されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
ログカテゴリやその他のフィールドに応じて、さまざまな IP アドレス フィールドから派生します。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.mac |
event.idm.read_only_udm.principal.asset.mac |
EndpointMacAddress、parsed_endpoint_mac、または他の MAC アドレス フィールドから適切にフォーマットされた後で取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.platform_software.platform_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_version |
OperatingSystem、EndpointPolicy、ad_operating_system から派生。 |
(パーサー ロジック)event.idm.read_only_udm.principal.group.group_display_name |
event.idm.read_only_udm.principal.group.group_display_name |
AD-Domain、IdentityGroup、EndpointIdentityGroup から派生。 |
(パーサー ロジック)event.idm.read_only_udm.principal.group.product_object_id |
event.idm.read_only_udm.principal.group.product_object_id |
IdentityGroupID から派生しました。 |
(パーサー ロジック)event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
ログカテゴリと他のフィールドに応じて、r_ip_or_host、NetworkDeviceName、または他のホスト名フィールドから派生します。 |
(パーサー ロジック)event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
ログカテゴリやその他のフィールドに応じて、さまざまな IP アドレス フィールドから派生します。 |
(パーサー ロジック)event.idm.read_only_udm.principal.labels |
event.idm.read_only_udm.principal.labels |
nas_identifier、nas_port_type、nas_port_id などのフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Location から派生しました。 |
(パーサー ロジック)event.idm.read_only_udm.principal.nat_ip |
event.idm.read_only_udm.principal.nat_ip |
NAS-IP-Address から派生しました。 |
(パーサー ロジック)event.idm.read_only_udm.principal.nat_port |
event.idm.read_only_udm.principal.nat_port |
数値で 2147483648 未満の場合、NAS-Port から派生します。 |
(パーサー ロジック)event.idm.read_only_udm.principal.platform |
event.idm.read_only_udm.principal.platform |
device-platform または OperatingSystem から派生した値。WINDOWS、LINUX、MAC、UNKNOWN_PLATFORM のいずれかです。 |
(パーサー ロジック)event.idm.read_only_udm.principal.platform_version |
event.idm.read_only_udm.principal.platform_version |
platform-version から派生しました。 |
(パーサー ロジック)event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
数値の場合は Device Port または Port から派生します。 |
(パーサー ロジック)event.idm.read_only_udm.principal.user.attribute.labels |
event.idm.read_only_udm.principal.user.attribute.labels |
「Admin Interface」、「UserType」、「Chargeable-User-Identity」などのフィールドが入力されています。 |
(パーサー ロジック)event.idm.read_only_udm.principal.user.phone_numbers |
event.idm.read_only_udm.principal.user.phone_numbers |
PhoneID または PhoneNumber から派生した値。 |
(パーサー ロジック)event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
ログのカテゴリと他のフィールドに応じて、User、UserName、User-Name、AdminName、OriginalUserName、または他のユーザー名フィールドから派生します。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.about.labels |
event.idm.read_only_udm.security_result.about.labels |
「IdentityPolicyMatchedRule」、「EndPointMatchedProfile」、「ObjectType」、「ObjectName」などのフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
msg_text または AuthenticationStatus から派生した値。ALLOW、BLOCK、UNKNOWN_ACTION のいずれかです。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
ログのカテゴリや他のフィールドに応じて、さまざまなフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.description |
event.idm.read_only_udm.security_result.description |
AD-Error-Details または DetailedInfo から派生した値。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
AuthorizationPolicyMatchedRule または RegisterStatus から派生した値。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
msg_sev から派生しました。CRITICAL、ERROR、HIGH、MEDIUM、INFORMATIONAL のいずれかです。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
msg_sev から派生しました。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
msg_text または FailureReason から派生した値。 |
(パーサー ロジック)event.idm.read_only_udm.src.ip |
event.idm.read_only_udm.src.ip |
OperationMessageText から抽出された source_ip から派生。 |
(パーサー ロジック)event.idm.read_only_udm.src.port |
event.idm.read_only_udm.src.port |
数値の場合は、OperationMessageText から抽出された source_port から派生します。 |
(パーサー ロジック)event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
AD-Domain-Controller から派生しました。 |
(パーサー ロジック)event.idm.read_only_udm.target.asset.hardware |
event.idm.read_only_udm.target.asset.hardware |
_hardware.cpu_number_cores などのフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.target.asset.hostname |
` |
変更点
2024-05-10
- 「ExternalGroups」を「additional.fields」にマッピングしました。
2024-05-09
- 「CISE_Profiler」の新しい形式を解析するための Grok パターンを追加しました。
- 「CISE_Administrative_and_Operational_Audit」と「CISE_Alarm」の一部フィールドをマッピングしました。
2024-04-18
- 「msg_sev」を「security_result.severity_details」にマッピングしました。
- 「r_total_seg」、「r_seg_num」、「msg_code」、「r_msg_id」を「security_result.detection_fields」にマッピングしました。
- 「r_cat_name」を「security_result.category_details」にマッピングしました。
- 「msg_text」と「msg_class」を「metadata.description」にマッピングしました。
- 「target.ip」と「target.asset.ip」のマッピングを調整しました。
- 「target.hostname」と「target.asset.hostname」のマッピングを調整しました。
- 「principal.ip」と「principal.asset.ip」のマッピングを調整しました。
- 「principal.hostname」と「principal.asset.hostname」のマッピングを調整しました。
- 「msg_attrs」を解析するための Grok パターンを追加しました。
2024-04-10
- バグの修正:
- 「PeerName」の新しい形式を解析するための Grok パターンを追加しました。
2023-11-20
- 失敗した Syslog を解析するための新しい Grok パターンを追加しました。
- 「msg_code」が同じログを解析するために、「msg_code」5412 を追加しました。
2023-09-29
- JSON ログの新しいパターンのサポートを追加しました。
- 80002 ログと 80006 ログの「EndpointSourceEvent」、「NASIdentifier」、「NAS-Port-Type」、「NAS-Port-Id」、「ProfilerServer」を「security_result.detection_fields」にマッピングしました。
- 80002 ログと 80006 ログの「Location」のマッピングを「principal.location」から「target.location」に変更しました。
- 関数の置換と統合に on_error チェックを追加しました。
- 「MEST」と「MESZ」のタイムゾーンで日付を解析するように日付マッピングを変更しました。
2023-08-02
- 機能強化 -
- KV マッピングを追加して、「cisco-av-pair=dhcp-option=host-name」を解析し、「target.hostname」にマッピングしました。
- 「msg_text」に「failed|dropped|stop|rejected|down|abandoned|block|blocking|invalid」が含まれている場合の「security_result.action」のマッピングを「FAIL」から「BLOCK」に変更しました。
2023-07-18
- 機能強化 -
- 「cisco-av-pair=dhcp-option=host-name」を「target.hostname」にマッピングしました。
- 「User-Name」のマッピングを「target.user.userid」から「principal.user.userid」に変更しました。
- 「UserName」のマッピングを「target.user.userid」から「principal.user.userid」に変更しました。
- 「User」のマッピングを「target.user.userid」から「principal.user.userid」に変更しました。
- 「PhoneNumber」のマッピングを「target.user.phone_numbers」から「principal.user.phone_numbers」に変更しました。
- プロファイラのイベントタイプ 80002、80006 の「FramedIPAddress」を「security_result.detection_fields」にマッピングしました。
- 日付マッピングを変更し、「EASTERN」タイムゾーンで日付を解析するようにしました。
- 「PeerAddress」に一致する Grok パターンを追加しました。
2023-06-07
- Enhancement-
- 新しいログパターンを解析するための Grok パターンを追加しました。
2023-05-26
- Enhancement-
- 日付マッピングを変更し、「BJ」タイムゾーンで日付を解析するようにしました。
2023-04-18
- Enhancement-
- JSON ログを処理する「json」ブロックを追加しました。
- 「logstash.irm_region」を「additional.fields」にマッピングしました。
- 「logstash.irm_environment」を「additional.fields」にマッピングしました。
- 「logstash.irm_site」を「additional.fields」にマッピングしました。
- 「logstash.ingest.timestamp」を「metadata.ingested_timestamp」にマッピングしました。
- 「logstash.process.timestamp」を「metadata.collected_timestamp」にマッピングしました。
2023-03-01
- Enhancement-
- 「Calling-Station-ID」が IP アドレスの場合は、それを「principal.ip」にマッピングします。
- 正規表現条件を追加し、フィールド「device-mac」の MAC アドレスを検証してから「principal.mac」にマッピングするようにしました。
2022-12-08
- Enhancement-
- 「assetDeviceType」を「principal.resource.name」にマッピングしました。
- 「assetIncidentScore」を「security_result.detection_fields」にマッピングしました。
- 「PostureAssessmentStatus」を「security_result.detection_fields」にマッピングしました。
- 「PolicyVersion」を「security_result.detection_fields」にマッピングしました。
- 「EndPointVersion」を「security_result.detection_fields」にマッピングしました。
- 「EndPointPolicyID」を「security_result.detection_fields」にマッピングしました。
2022-10-13
- 機能強化 - SYSLOGTIMESTAMP の日付形式の日付マッピングを修正しました。
2022-08-10
- 機能強化 - 次のフィールドのマッピングを「additional.fields」から「security_result.detection_fields」に変更しました。
- 'CPMSessionID', 'NASPort', 'AD-Log-Id', 'AD-Srv-Query', 'AD-Srv-Record', 'Tunnel-Client-Endpoint', 'IsThirdPartyDeviceFlow', 'PostureStatus', 'OperationMessageText', 'AcsSessionID', 'SelectedAccessService', 'RadiusPacketType', 'ISELocalAddress', 'ISEModuleName', 'ISEServiceName', 'ConnectionStatus', 'UniqueConnectionIdentifier', 'Audit_session_id', 'EndpointCertainityMetric', 'EndpointNADAddress', 'EndpointOUI', 'EndpointProperty', 'AuthenticationIdentityStore', 'AD-Host-Candidate-Identities', 'PostureExpiry', 'allowEasyWiredSession', 'ConfigVersionId', 'RequestLatency', 'Service-Type', 'Framed-Protocol', 'Class', 'Called-Station-ID', 'Calling-Station-ID', 'Acct-Status-Type', 'Acct-Delay-Time', 'Acct-Input-Octets', 'Acct-Output-Octets', 'Acct-Session-Id', 'Acct-Authentic', 'Acct-Session-Time', 'Acct-Input-Packets', 'Acct-Output-Packets', 'Acct-Terminate-Cause', 'Protocol'.
2022-08-12
- バグの修正 -
- フィールド「prinicipal.asset.hostname」のマッピングを「intermediary.hostname」に変更しました。
- event_type を GENERIC_EVENT から STATUS_UPDATE または NETWORK_CONNECTION に変更しました。
2022-07-11
- バグの修正 - Product_event_type が 5440 RADIUS の場合に、NetworkDeviceName を「event.idm.read_only_udm.principal.hostname」にマッピングしました。
- r_ip_or_host を observer.ip または observer.hostname にマッピングしました。
- 不正な形式またはエンコードされたログを破棄しました。
2022-05-02
- バグの修正 - log_type が「CISE_Failed_Attempts」の場合の「security_result.action」のマッピングを「ALLOW」から「FAIL」に修正しました。
2022-04-21
- 機能拡張 - log_type='CISE_Profiler' のログを解析しました
- log_type='CISE_TACACS_Accounting で event_type を「GENERIC_EVENT」から「USER_UNCATEGORIZED」に変更
- 「NASPort」フィールドと「Port」フィールドに適切な条件を追加しました。
2022-04-18
- 「foreign_ip」を「intermediary.ip」にマッピングしました
- log_type='CISE_TACACS_Accounting' と 'CISE_RADIUS_Accounting' のログを解析しました。
- log_type='CISE_TACACS_Accounting で event_type を「GENERIC_EVENT」から「USER_UNCATEGORIZED」に変更
- 「NASPort」フィールドに適切な条件を追加しました。
2022-04-13
- イベントの NAS-Port-Id がマッピングされています: 5200。
- イベント 60188、60125、60116、60115、60081、60080、51021、51020、51003、51002、51001、51000、52000、52001、52002 のホスト名をマッピング。
- イベントの about.labels にオペレーション メッセージのテキストをマッピングしました: 52000。
- イベントの additional_fields にシリアル番号をマッピングしました: 5200。