Cisco ISE 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Google Security Operations 전달자를 사용하여 Cisco Identify Services Engine (ISE) 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 CISCO_ISE 수집 라벨이 있는 파서에 적용됩니다.
Cisco ISE 구성
- 관리자 사용자 인증 정보를 사용하여 Cisco ISE 콘솔에 로그인합니다.
- Cisco ISE 콘솔에서 Administration > System > Logging > Remote logging targets를 선택합니다.
- 원격 로깅 대상 창에서 추가를 클릭합니다. 새 로깅 타겟 창이 나타납니다.
로깅 타겟 섹션에서 다음 필드의 값을 지정합니다.
필드 설명 이름 Google Security Operations 전달자의 이름입니다. 설명 Google Security Operations 전달자 설명 유형 원격 로그 대상 유형(예: syslog)입니다. IP 주소 Google Security Operations 전달자의 IP 주소입니다. 대상 유형 TCP syslog 또는 UDP syslog를 선택합니다. 포트 10514와 같은 높은 포트를 사용합니다. 시설 코드 다음 값 중 하나를 지정할 수 있습니다. - LOCAL0 (코드 = 16)
- LOCAL1 (코드 = 17)
- LOCAL2 (코드 = 18)
- LOCAL3 (코드 = 19)
- LOCAL4 (코드 = 20)
- LOCAL5 (코드 = 21)
- LOCAL6 (코드 = 22, 기본값)
- LOCAL7 (코드 = 23)
최대 길이 권장 값은 1024입니다. 제출을 클릭합니다. 새 Google Security Operations 전달자 구성이 포함된 원격 로그 타겟 창이 표시됩니다.
Cisco ISE 콘솔에서 Administration > System > Logging > Logging categories를 선택합니다.
로깅 카테고리 창에서 원격 syslog 타겟을 설정할 카테고리를 선택하고 원격 syslog 타겟을 추가합니다.
다음은 샘플 카테고리입니다. AAA 감사, AAA 진단, 회계, 관리 및 운영 감사, 상태 및 클라이언트 프로비저닝 감사, 상태 및 클라이언트 프로비저닝 진단, 프로파일러, 시스템 진단, 시스템 통계
Cisco Secure ACS 로그를 수집하도록 Google Security Operations 전달자 및 syslog 구성
- SIEM 설정 > 전달자로 이동합니다.
- 새 전달자 추가를 클릭합니다.
- Forwarder Name(운송업체 이름) 입력란에 운송업체의 고유한 이름을 입력합니다.
- 제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
- 수집기 이름 입력란에 이름을 입력합니다.
- 로그 유형으로 Cisco ISE를 선택합니다.
- 수집기 유형으로 Syslog를 선택합니다.
- 다음 필수 입력 매개변수를 구성합니다.
- 프로토콜: 프로토콜을 지정합니다.
- 주소: 수집기가 상주하고 syslog 데이터의 주소를 지정하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
- 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
- 제출을 클릭합니다.
Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations 전달자 문서를 참고하세요. 각 전달자 유형의 요구사항은 유형별 전달자 구성을 참고하세요. 전달자를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.
필드 매핑 참조
이 파서는 syslog 메시지에서 Cisco ISE 로그를 추출하고 데이터를 UDM 형식으로 정규화하며 추가 컨텍스트로 이벤트를 보강합니다. 인증 성공 및 실패, 관리 감사, 시스템 통계 등 다양한 ISE 로그 카테고리를 처리하여 관련 필드를 UDM 스키마에 매핑하고 자세한 분석을 위해 특정 라벨을 추가합니다.
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
Acct-Authentic |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Acct-Delay-Time |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Acct-Input-Octets |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Acct-Input-Packets |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Acct-Output-Octets |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Acct-Output-Packets |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Acct-Session-Id |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Acct-Session-Time |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Acct-Status-Type |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Acct-Terminate-Cause |
sec_result.detection_fields.value |
직접 매핑됩니다. |
AcsSessionID |
sec_result.detection_fields.value |
'Acs SessionID'로 직접 매핑됩니다. |
AD-Account-Name |
principal.user.userid |
직접 매핑됩니다. |
AD-Domain |
principal.group.group_display_name |
직접 매핑됩니다. |
AD-Domain-Controller |
target.administrative_domain |
직접 매핑됩니다. |
AD-Error-Details |
sec_result.description |
직접 매핑됩니다. |
AD-Host-Candidate-Identities |
sec_result.detection_fields.value |
직접 매핑됩니다. |
AD-IP-Address |
target.ip, target.asset.ip |
직접 매핑됩니다. |
AD-Log-Id |
sec_result.detection_fields.value |
'AD-Log-Id'로 직접 매핑됩니다. |
AD-Operating-System |
principal.asset.platform_software.platform_version |
ad_operating_system로 직접 매핑됩니다. 'Windows'가 포함된 경우 principal.platform가 'WINDOWS'로 설정됩니다. |
AD-Site |
target.location.name |
직접 매핑됩니다. |
AD-Srv-Query |
sec_result.detection_fields.value |
'AD-Srv-Query'로 직접 매핑됩니다. |
AD-Srv-Record |
sec_result.detection_fields.value |
'AD-Srv-Record'로 직접 매핑되었습니다. |
AD-User-Resolved-Identities |
sec_result.detection_fields.value |
직접 매핑됩니다. |
AD-User-SamAccount-Name |
principal.user.attribute.labels.value |
직접 매핑됩니다. |
AdminIPAddress |
principal.ip, principal.asset.ip |
직접 매핑됩니다. |
AdminInterface |
principal.user.attribute.labels.value |
'관리자 인터페이스'로 직접 매핑됩니다. |
AdminName |
principal.user.userid |
직접 매핑됩니다. 'ADMINISTRATOR' 유형의 user.attribute.roles도 추가됩니다. |
AuthenticationIdentityStore |
sec_result.detection_fields.value |
'Authentication Identity Store'(인증 ID 저장소)로 직접 매핑됩니다. |
AuthenticationStatus |
sec_result.action_details |
직접 매핑됩니다. 값이 'AuthenticationPassed'와 일치하면 sec_result.action가 'ALLOW'로 설정되고 그렇지 않으면 'BLOCK'로 설정됩니다. |
AuthorizationPolicyMatchedRule |
sec_result.rule_name |
'AuthorizationPolicyMatchedRule : ' 접두사로 매핑됩니다. |
BYODRegistration |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Called-Station-ID |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Calling-Station-ID |
sec_result.detection_fields.value, principal.ip, principal.asset.ip |
직접 매핑됩니다. IP 주소인 경우 principal.ip 및 principal.asset.ip에 매핑됩니다. |
cdpCachePlatform |
principal.asset.hardware.model |
직접 매핑됩니다. |
Class |
sec_result.detection_fields.value |
직접 매핑됩니다. |
ClientLatency |
sec_result.detection_fields.value |
직접 매핑됩니다. |
CmdSet |
target.process.command_line |
주변의 대괄호와 공백을 삭제한 후 직접 매핑되었습니다. |
ConfigVersionId |
sec_result.detection_fields.value |
'Config Version Id'로 직접 매핑됩니다. |
ConnectionStatus |
sec_result.detection_fields.value |
'연결 상태'로 직접 매핑됩니다. |
CPMSessionID |
sec_result.detection_fields.value |
직접 매핑됩니다. |
CreateTime |
principal.asset.attribute.creation_time |
UNIX_MS 타임스탬프로 파싱됩니다. |
DetailedInfo |
sec_result.description |
백슬래시를 삭제한 후 직접 매핑됩니다. |
DestinationIPAddress |
target.ip, target.asset.ip |
직접 매핑됩니다. has_target를 'true'로 설정합니다. |
DestinationPort |
target.port |
숫자인 경우 직접 매핑됩니다. |
Device IP Address |
principal.ip, principal.asset.ip, _intermediary.ip, target.ip, target.asset.ip |
DeviceIPAddress로 매핑됩니다. 로그 카테고리 및 기타 필드에 따라 principal.ip, _intermediary.ip 또는 target.ip를 채우는 다양한 로직에 사용됩니다. |
Device Port |
principal.port, _intermediary.port, target.port |
DevicePort로 매핑됩니다. 로그 카테고리 및 기타 필드에 따라 principal.port, _intermediary.port 또는 target.port를 채우는 다양한 로직에 사용됩니다. |
Device Type |
principal.asset.hardware.model |
device-type로 직접 매핑됩니다. |
DTLSSupport |
sec_result.detection_fields.value |
직접 매핑됩니다. |
EndPointMACAddress |
principal.asset.mac |
소문자로 변환하고 하이픈을 콜론으로 대체한 후 직접 매핑되었습니다. |
EndPointMatchedProfile |
sec_result.about.labels.value |
직접 매핑됩니다. |
EndpointCertainityMetric |
sec_result.detection_fields.value |
'Endpoint Certainity Metric'(엔드포인트 확실성 측정항목)으로 직접 매핑됩니다. |
EndpointIdentityGroup |
principal.group.group_display_name |
직접 매핑됩니다. |
EndpointIPAddress |
principal.asset.ip |
직접 매핑됩니다. |
EndpointNADAddress |
sec_result.detection_fields.value |
'엔드포인트 NAD 주소'로 직접 매핑됩니다. |
EndpointOUI |
sec_result.detection_fields.value |
'Endpoint OUI'로 직접 매핑됩니다. |
EndpointPolicy |
principal.asset.platform_software.platform_version |
직접 매핑됩니다. |
EndpointProperty |
sec_result.detection_fields.value |
'Endpoint Property'(엔드포인트 속성)로 직접 매핑됩니다. |
EndpointSourceEvent |
sec_result.detection_fields.value |
직접 매핑됩니다. |
EndpointUserAgent |
network.http.user_agent |
직접 매핑됩니다. |
EndPointVersion |
sec_result.detection_fields.value |
직접 매핑됩니다. |
FailureReason |
sec_result.detection_fields.value, sec_result.summary, sec_result.description |
FailureReason로 매핑됩니다. 컨텍스트에 따라 sec_result.detection_fields를 'Failure Reason', sec_result.summary 또는 sec_result.description로 채우는 데 사용됩니다. |
FirstCollection |
principal.asset.first_discover_time |
UNIX_MS 타임스탬프로 파싱됩니다. |
Framed-IP-Address |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Framed-IPv6-Address |
FramedIPAddress |
직접 매핑됩니다. |
Framed-Protocol |
sec_result.detection_fields.value |
직접 매핑됩니다. |
IdentityGroup |
principal.group.group_display_name |
직접 매핑됩니다. |
IdentityGroupID |
principal.group.product_object_id |
직접 매핑됩니다. |
IdentityPolicyMatchedRule |
sec_result.about.labels.value |
직접 매핑됩니다. |
IdentitySelectionMatchedRule |
sec_result.detection_fields.value |
직접 매핑됩니다. |
IMEI |
target.asset.product_object_id |
직접 매핑됩니다. |
ISELocalAddress |
_intermediary.ip, principal.ip, principal.asset.ip, _intermediary.port, principal.port, sec_result.detection_fields.value |
CISE_Administrative_and_Operational_Audit인 경우 IP 및 포트가 추출되어 _intermediary 및 principal에 매핑됩니다. 그렇지 않으면 'ISE 로컬 주소'로 직접 sec_result.detection_fields에 매핑되었습니다. |
ISEModuleName |
sec_result.detection_fields.value |
'ISE 모듈 이름'으로 직접 매핑됩니다. |
ISEServiceName |
sec_result.detection_fields.value |
'ISE 서비스 이름'으로 직접 매핑됩니다. |
IsThirdPartyDeviceFlow |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Issuer |
about.labels.value |
직접 매핑됩니다. |
LastActivity |
principal.asset.last_discover_time |
UNIX_MS 타임스탬프로 파싱됩니다. |
LastNmapScanTime |
sec_result.detection_fields.value |
직접 매핑됩니다. |
lldpChassisId |
target.mac |
파싱 후 MAC 주소로 직접 매핑됩니다. |
lldpSystemName |
target.hostname, target.asset.hostname |
직접 매핑됩니다. |
Location |
principal.location.country_or_region, target.location.country_or_region |
로그 카테고리에 따라 principal 또는 target 위치에 직접 매핑됩니다. |
Manufacturer |
target.asset.hardware.manufacturer |
직접 매핑됩니다. |
MessageCode |
sec_result.detection_fields.value, metadata.event_type |
msg_code로 직접 매핑됩니다. metadata.event_type를 결정하는 로직에 사용됩니다. |
Model |
target.asset.hardware.model |
직접 매핑됩니다. |
NAS-IP-Address |
principal.nat_ip |
직접 매핑됩니다. |
NAS-Identifier |
principal.labels.value |
nas_identifier로 직접 매핑됩니다. |
NAS-Port |
principal.nat_port, sec_result.detection_fields.value, principal.labels.value |
NASPort로 매핑됩니다. 숫자이고 2147483648보다 작은 경우 principal.nat_port에 매핑됩니다. 그렇지 않으면 문자열로 sec_result.detection_fields에 'NAS 포트'로 또는 principal.labels에 'NAS-포트'로 매핑됩니다. |
NAS-Port-Id |
principal.labels.value, sec_result.detection_fields.value |
NASPortId로 매핑됩니다. principal.labels를 'nas_port_id'로 또는 sec_result.detection_fields를 'nas_port_id'로 채우는 데 사용됩니다. |
NAS-Port-Type |
principal.labels.value, sec_result.detection_fields.value |
NASPortType로 매핑됩니다. principal.labels를 'nas_port_type'으로 또는 sec_result.detection_fields를 'Nas-Port-Type'으로 채우는 데 사용됩니다. |
NetworkDeviceGroups |
sec_result.detection_fields.value |
직접 매핑됩니다. |
NetworkDeviceName |
_intermediary.hostname, principal.hostname, principal.asset.hostname, target.hostname, target.asset.hostname |
NetworkDeviceName로 매핑됩니다. 로그 카테고리 및 기타 필드에 따라 _intermediary.hostname, principal.hostname 또는 target.hostname를 채우는 다양한 로직에 사용됩니다. |
NetworkDeviceProfileId |
principal.asset.asset_id |
'Cisco_ISE:' 접두사로 매핑됩니다. |
NetworkDeviceProfileName |
principal.asset.attribute.labels.value |
직접 매핑됩니다. |
ObjectName |
sec_result.about.labels.value |
직접 매핑됩니다. |
ObjectType |
sec_result.about.labels.value |
직접 매핑됩니다. |
OperatingSystem |
target.asset.platform_software.platform_version, principal.asset.platform_software.platform_version, principal.platform |
OperatingSystem로 매핑됩니다. target.asset.platform_software.platform_version 또는 principal.asset.platform_software.platform_version를 채우는 데 사용됩니다. 'Win'이 포함된 경우 principal.platform이 'WINDOWS'로 설정됩니다. 'lin'이 포함된 경우 principal.platform이 'LINUX'로 설정됩니다. 'iOS'가 포함된 경우 principal.platform이 'MAC'으로 설정됩니다. |
OperationMessageText |
sec_result.detection_fields.value, about.labels.value, sec_result.summary |
OperationMessageText로 매핑됩니다. 컨텍스트에 따라 sec_result.detection_fields를 'Operation Message Text'로, about.labels를 'Operation Message Text'로, sec_result.summary를 채우는 데 사용됩니다. 연결 세부정보가 포함된 경우 이러한 세부정보가 추출되어 src 및 target에 매핑됩니다. |
OriginalUserName |
principal.user.userid |
User로 직접 매핑됩니다. |
PeerAddress |
target.mac |
소문자로 변환하고 하이픈을 콜론으로 대체한 후 직접 매핑되었습니다. |
PeerName |
target.hostname, target.asset.hostname |
IP 및 호스트 이름이 추출되어 target.ip 및 target.hostname에 매핑됩니다. |
PhoneID |
principal.user.phone_numbers |
User-Fetch-Telephone로 직접 매핑됩니다. |
PhoneNumber |
principal.user.phone_numbers |
직접 매핑됩니다. |
PolicyVersion |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Port |
_intermediary.port, principal.port, target.port |
Port로 매핑됩니다. 로그 카테고리 및 기타 필드에 따라 _intermediary.port, principal.port 또는 target.port를 채우는 다양한 로직에 사용됩니다. |
PostureAssessmentStatus |
sec_result.detection_fields.value |
직접 매핑됩니다. |
PostureExpiry |
sec_result.detection_fields.value |
직접 매핑됩니다. |
PostureStatus |
sec_result.detection_fields.value |
'자세 상태'로 직접 매핑됩니다. |
ProfilerServer |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Protocol |
sec_result.detection_fields.value |
직접 매핑됩니다. |
r_cat_name |
metadata.product_event_type |
직접 매핑됩니다. |
r_ip_or_host |
observer.ip, observer.hostname, principal.ip, principal.asset.ip, principal.hostname, principal.asset.hostname, target.ip, target.asset.ip, target.hostname, target.asset.hostname |
IP인 경우 observer.ip에 매핑됩니다. 호스트 이름인 경우 observer.hostname에 매핑됩니다. 또한 로그 카테고리 및 기타 필드에 따라 principal 또는 target IP/호스트 이름을 채우는 다양한 로직에도 사용됩니다. |
r_msg_id |
sec_result.detection_fields.value, metadata.product_log_id |
'r_msg_id'로 직접 매핑됩니다. sequence_num를 사용할 수 없는 경우 metadata.product_log_id로도 사용됩니다. |
r_seg_num |
sec_result.detection_fields.value, metadata.product_log_id |
'r_seg_num'으로 직접 매핑됩니다. sequence_num를 사용할 수 없는 경우 metadata.product_log_id로도 사용됩니다. |
r_total_seg |
sec_result.detection_fields.value |
직접 매핑됩니다. |
RadiusFlowType |
sec_result.detection_fields.value |
직접 매핑됩니다. |
RadiusPacketType |
sec_result.detection_fields.value |
'Radius 패킷 유형'으로 직접 매핑됩니다. |
RegisterStatus |
sec_result.rule_name |
직접 매핑됩니다. |
RequestLatency |
sec_result.detection_fields.value |
'Request Latency'(요청 지연 시간)로 직접 매핑됩니다. |
SelectedAccessService |
sec_result.detection_fields.value |
'선택한 액세스 서비스'로 직접 매핑됩니다. |
SelectedAuthorizationProfiles |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Serial Number |
network.tls.server.certificate.serial, about.labels.value |
serial_number로 매핑됩니다. 컨텍스트에 따라 network.tls.server.certificate.serial 또는 about.labels를 '일련번호'로 채우는 데 사용됩니다. |
Service-Type |
sec_result.detection_fields.value |
직접 매핑됩니다. |
SessionId |
network.session_id |
직접 매핑됩니다. |
ShutdownReason |
sec_result.detection_fields.value |
'ShutdownReason'으로 직접 매핑됩니다. |
SSID |
sec_result.detection_fields.value |
직접 매핑됩니다. |
StaticGroupAssignment |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Subject |
about.labels.value |
직접 매핑됩니다. |
Subject Alternative Name |
about.labels.value |
'Subject Alternative Name'(제목 대체 이름)으로 직접 매핑됩니다. |
SysStatsCpuCount |
target.asset.hardware.cpu_number_cores |
직접 매핑됩니다. |
SysStatsProcessMemoryMB |
target.asset.hardware.ram |
__hardware.ram로 직접 매핑됩니다. |
SysStatsUtilizationNetwork |
target.resource.name, network.sent_bytes, network.received_bytes |
네트워크 어댑터 이름, 전송된 바이트, 수신된 바이트가 추출되고 매핑됩니다. target.resource.resource_type이(가) 'UNSPECIFIED'로 설정됩니다. |
TimeToProfile |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Total Certainty Factor |
sec_result.detection_fields.value |
직접 매핑됩니다. |
TotalFailedTime |
sec_result.detection_fields.value |
직접 매핑됩니다. |
Tunnel-Client-Endpoint |
sec_result.detection_fields.value |
'터널 클라이언트 엔드포인트'로 직접 매핑됩니다. |
UniqueConnectionIdentifier |
sec_result.detection_fields.value |
'고유 연결 식별자'로 직접 매핑됩니다. |
UpdateTime |
sec_result.detection_fields.value |
직접 매핑됩니다. |
User |
principal.user.userid |
직접 매핑됩니다. |
User-Fetch-Email |
sec_result.detection_fields.value |
직접 매핑됩니다. |
User-Fetch-Last-Name |
principal.user.last_name |
직접 매핑됩니다. |
User-Fetch-LocalityName |
sec_result.detection_fields.value |
직접 매핑됩니다. |
User-Fetch-StateOrProvinceName |
sec_result.detection_fields.value |
직접 매핑됩니다. |
User-Fetch-Telephone |
principal.user.phone_numbers |
PhoneID로 직접 매핑됩니다. |
UserName |
principal.user.userid |
직접 매핑됩니다. 값이 비어 있지 않고 '"' 또는 'unknown'이 아닌 경우 소문자로 변환되고 하이픈은 콜론으로 대체됩니다. 또한 MAC 주소 패턴과 일치하는 경우 principal.mac에 매핑됩니다. |
User-Name |
principal.user.userid |
직접 매핑됩니다. |
UserType |
principal.user.attribute.labels.value |
직접 매핑됩니다. |
(파서 로직) action |
sec_result.action |
msg_text에 성공 키워드가 포함된 경우 'ALLOW'로, 실패 키워드가 포함된 경우 'BLOCK'으로, 그렇지 않은 경우에는 'UNKNOWN_ACTION'으로 설정합니다. |
(파서 로직) about.hostname |
about.hostname |
StepData=4 또는 stepdata에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.about |
event.idm.read_only_udm.about |
about.hostname, about.application, about.process.pid와 같은 다양한 필드로 채워집니다. |
(파서 로직) event.idm.read_only_udm.extensions.auth.mechanism |
event.idm.read_only_udm.extensions.auth.mechanism |
CISE_TACACS_Diagnostics 카테고리 내 특정 경우에는 'NETWORK'로 설정합니다. |
(파서 로직) event.idm.read_only_udm.extensions.auth.type |
event.idm.read_only_udm.extensions.auth.type |
다양한 로그인/로그아웃 이벤트의 경우 'MACHINE', 특정 TACACS 이벤트의 경우 'TACACS', 기타 로그인 이벤트의 경우 'AUTHTYPE_UNSPECIFIED'로 설정합니다. |
(파서 로직) event.idm.read_only_udm.metadata.collected_timestamp |
event.idm.read_only_udm.metadata.collected_timestamp |
가능한 경우 logstash.process.timestamp에서 파싱됩니다. |
(파서 로직) event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
msg_class 및 msg_text로 구성되며 msg_class를 사용할 수 없는 경우에는 msg_text로만 구성됩니다. |
(파서 로직) event.idm.read_only_udm.metadata.event_timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
datetime 필드에서 파싱되며, datetime 및 timezone 또는 r_datetime에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
r_cat_name, msg_code, 기타 필드를 기반으로 결정됩니다. GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED, NETWORK_FLOW 중 하나일 수 있습니다. |
(파서 로직) event.idm.read_only_udm.metadata.ingested_timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
가능한 경우 logstash.ingest.timestamp에서 파싱됩니다. |
(파서 로직) event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
'CISCO_ISE'로 설정합니다. |
(파서 로직) event.idm.read_only_udm.metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
r_cat_name에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
사용 가능 여부에 따라 sequence_num, r_seg_num 또는 r_msg_id에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
'ISE'로 설정하거나 사용 가능한 경우 MDMServerName로 설정합니다. |
(파서 로직) event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
'Cisco'로 설정합니다. |
(파서 로직) event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
ac-user-agent 또는 EndpointUserAgent에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
특정 이벤트 유형의 경우 'TCP'로 설정합니다. |
(파서 로직) event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
SessionId에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
TLSCipher에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.network.tls.server.certificate.serial |
event.idm.read_only_udm.network.tls.server.certificate.serial |
Serial Number에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
TLSVersion에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.asset.asset_id |
event.idm.read_only_udm.principal.asset.asset_id |
'Cisco_ISE:' 접두사가 있는 NetworkDeviceProfileId에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.asset.hardware |
event.idm.read_only_udm.principal.asset.hardware |
hardware.manufacturer 및 hardware.model와 같은 필드로 채워집니다. |
(파서 로직) event.idm.read_only_udm.principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
로그 카테고리 및 기타 필드에 따라 다양한 IP 주소 필드에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.asset.mac |
event.idm.read_only_udm.principal.asset.mac |
적절한 형식을 지정한 후 EndpointMacAddress, parsed_endpoint_mac 또는 기타 MAC 주소 필드에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.asset.platform_software.platform_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_version |
OperatingSystem, EndpointPolicy 또는 ad_operating_system에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.group.group_display_name |
event.idm.read_only_udm.principal.group.group_display_name |
AD-Domain, IdentityGroup 또는 EndpointIdentityGroup에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.group.product_object_id |
event.idm.read_only_udm.principal.group.product_object_id |
IdentityGroupID에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
로그 카테고리 및 기타 필드에 따라 r_ip_or_host, NetworkDeviceName 또는 기타 호스트 이름 필드에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
로그 카테고리 및 기타 필드에 따라 다양한 IP 주소 필드에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.labels |
event.idm.read_only_udm.principal.labels |
nas_identifier, nas_port_type, nas_port_id와 같은 필드로 채워집니다. |
(파서 로직) event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Location에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.nat_ip |
event.idm.read_only_udm.principal.nat_ip |
NAS-IP-Address에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.nat_port |
event.idm.read_only_udm.principal.nat_port |
숫자이고 2147483648보다 작은 경우 NAS-Port에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.platform |
event.idm.read_only_udm.principal.platform |
device-platform 또는 OperatingSystem에서 파생됩니다. WINDOWS, LINUX, MAC 또는 UNKNOWN_PLATFORM일 수 있습니다. |
(파서 로직) event.idm.read_only_udm.principal.platform_version |
event.idm.read_only_udm.principal.platform_version |
platform-version에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
숫자인 경우 Device Port 또는 Port에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.user.attribute.labels |
event.idm.read_only_udm.principal.user.attribute.labels |
'관리 인터페이스', 'UserType', 'Chargeable-User-Identity'와 같은 필드로 채워집니다. |
(파서 로직) event.idm.read_only_udm.principal.user.phone_numbers |
event.idm.read_only_udm.principal.user.phone_numbers |
PhoneID 또는 PhoneNumber에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
로그 카테고리 및 기타 필드에 따라 User, UserName, User-Name, AdminName, OriginalUserName 또는 기타 사용자 이름 필드에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.security_result.about.labels |
event.idm.read_only_udm.security_result.about.labels |
'IdentityPolicyMatchedRule', 'EndPointMatchedProfile', 'ObjectType', 'ObjectName'과 같은 필드로 채워집니다. |
(파서 로직) event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
msg_text 또는 AuthenticationStatus에서 파생됩니다. ALLOW, BLOCK 또는 UNKNOWN_ACTION일 수 있습니다. |
(파서 로직) event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
로그 카테고리 및 기타 필드에 따라 다양한 필드로 채워집니다. |
(파서 로직) event.idm.read_only_udm.security_result.description |
event.idm.read_only_udm.security_result.description |
AD-Error-Details 또는 DetailedInfo에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
AuthorizationPolicyMatchedRule 또는 RegisterStatus에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
msg_sev에서 파생됩니다. CRITICAL, ERROR, HIGH, MEDIUM, INFORMATIONAL일 수 있습니다. |
(파서 로직) event.idm.read_only_udm.security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
msg_sev에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
msg_text 또는 FailureReason에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.src.ip |
event.idm.read_only_udm.src.ip |
OperationMessageText에서 추출된 source_ip에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.src.port |
event.idm.read_only_udm.src.port |
숫자인 경우 OperationMessageText에서 추출된 source_port에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
AD-Domain-Controller에서 파생됩니다. |
(파서 로직) event.idm.read_only_udm.target.asset.hardware |
event.idm.read_only_udm.target.asset.hardware |
_hardware.cpu_number_cores와 같은 필드로 채워집니다. |
(파서 로직) event.idm.read_only_udm.target.asset.hostname |
` |
변경사항
2024-05-10
- 'ExternalGroups'가 'additional.fields'에 매핑되었습니다.
2024-05-09
- 'CISE_Profiler'의 새 형식을 파싱하는 Grok 패턴이 추가되었습니다.
- 'CISE_Administrative_and_Operational_Audit' 및 'CISE_Alarm'의 일부 필드를 매핑했습니다.
2024-04-18
- 'msg_sev'가 'security_result.severity_details'에 매핑되었습니다.
- 'r_total_seg', 'r_seg_num', 'msg_code', 'r_msg_id'가 'security_result.detection_fields'에 매핑되었습니다.
- 'r_cat_name'이 'security_result.category_details'에 매핑되었습니다.
- 'msg_text' 및 'msg_class'가 'metadata.description'에 매핑되었습니다.
- 'target.ip' 및 'target.asset.ip' 매핑이 정렬되었습니다.
- 'target.hostname' 및 'target.asset.hostname' 매핑이 정렬되었습니다.
- 'principal.ip' 및 'principal.asset.ip' 매핑이 정렬되었습니다.
- 'principal.hostname' 및 'principal.asset.hostname' 매핑이 정렬되었습니다.
- 'msg_attrs'를 파싱하는 Grok 패턴을 추가했습니다.
2024-04-10
- 버그 수정:
- 'PeerName'의 새 형식을 파싱하는 Grok 패턴이 추가되었습니다.
2023-11-20
- 실패하는 Syslog를 파싱하는 새로운 Grok 패턴을 추가했습니다.
- 동일한 'msg_code'가 있는 로그를 파싱하도록 'msg_code' '5412'를 추가했습니다.
2023-09-29
- JSON 로그의 새로운 패턴에 대한 지원이 추가되었습니다.
- 80002 및 80006 로그의 'EndpointSourceEvent', 'NASIdentifier', 'NAS-Port-Type', 'NAS-Port-Id', 'ProfilerServer'가 'security_result.detection_fields'에 매핑되었습니다.
- 80002 및 80006 로그의 '위치' 매핑이 'principal.location'에서 'target.location'으로 변경되었습니다.
- 함수를 대체하고 병합하는 on_error 검사를 추가했습니다.
- 'MEST' 및 'MESZ' 시간대를 사용하여 날짜를 파싱하도록 날짜 매핑을 수정했습니다.
2023-08-02
- 개선 -
- 'cisco-av-pair=dhcp-option=host-name'을 파싱하고 'target.hostname'에 매핑하는 KV 매핑을 추가했습니다.
- 'msg_text'에 'failed|dropped|stop|rejected|down|abandoned|block|blocking|invalid'가 포함된 경우 'security_result.action'의 매핑이 'FAIL'에서 'BLOCK'으로 변경되었습니다.
2023-07-18
- 개선 -
- 'cisco-av-pair=dhcp-option=host-name'이 'target.hostname'에 매핑되었습니다.
- 'User-Name'의 매핑이 'target.user.userid'에서 'principal.user.userid'로 변경되었습니다.
- 'UserName'의 매핑을 'target.user.userid'에서 'principal.user.userid'로 변경했습니다.
- '사용자'의 매핑을 'target.user.userid'에서 'principal.user.userid'로 변경했습니다.
- 'PhoneNumber'의 매핑이 'target.user.phone_numbers'에서 'principal.user.phone_numbers'로 변경되었습니다.
- 프로파일러 이벤트 유형 80002, 80006의 'FramedIPAddress'를 'security_result.detection_fields'에 매핑했습니다.
- 'EASTERN' 시간대를 사용하여 날짜를 파싱하도록 날짜 매핑을 수정했습니다.
- 'PeerAddress'와 일치하는 Grok 패턴이 추가되었습니다.
2023-06-07
- Enhancement-
- 새 로그 패턴을 파싱하는 Grok 패턴을 추가했습니다.
2023-05-26
- Enhancement-
- 'BJ' 시간대를 사용하여 날짜를 파싱하도록 날짜 매핑을 수정했습니다.
2023-04-18
- Enhancement-
- JSON 로그를 처리하는 'json' 블록을 추가했습니다.
- 'logstash.irm_region'이 'additional.fields'에 매핑되었습니다.
- 'logstash.irm_environment'가 'additional.fields'에 매핑되었습니다.
- 'logstash.irm_site'가 'additional.fields'에 매핑되었습니다.
- 'logstash.ingest.timestamp'이 'metadata.ingested_timestamp'에 매핑되었습니다.
- 'logstash.process.timestamp'이 'metadata.collected_timestamp'에 매핑되었습니다.
2023-03-01
- Enhancement-
- 'Calling-Station-ID'가 IP 주소인 경우 'principal.ip'에 매핑합니다.
- 'principal.mac'에 매핑하기 전에 'device-mac' 필드의 MAC 주소를 검증하는 정규 표현식 조건을 추가했습니다.
2022-12-08
- Enhancement-
- 'assetDeviceType'가 'principal.resource.name'에 매핑되었습니다.
- 'assetIncidentScore'가 'security_result.detection_fields'에 매핑되었습니다.
- 'PostureAssessmentStatus'가 'security_result.detection_fields'에 매핑되었습니다.
- 'PolicyVersion'이 'security_result.detection_fields'에 매핑되었습니다.
- 'EndPointVersion'이 'security_result.detection_fields'에 매핑되었습니다.
- 'EndPointPolicyID'가 'security_result.detection_fields'에 매핑되었습니다.
2022-10-13
- 개선사항 - SYSLOGTIMESTAMP 날짜 형식의 날짜 매핑이 수정되었습니다.
2022-08-10
- 개선사항: 다음 필드의 매핑이 'additional.fields'에서 'security_result.detection_fields'로 수정되었습니다.
- 'CPMSessionID', 'NASPort', 'AD-Log-Id', 'AD-Srv-Query', 'AD-Srv-Record', 'Tunnel-Client-Endpoint', 'IsThirdPartyDeviceFlow', 'PostureStatus', 'OperationMessageText', 'AcsSessionID', 'SelectedAccessService', 'RadiusPacketType', 'ISELocalAddress', 'ISEModuleName', 'ISEServiceName', 'ConnectionStatus', 'UniqueConnectionIdentifier', 'Audit_session_id', 'EndpointCertainityMetric', 'EndpointNADAddress', 'EndpointOUI', 'EndpointProperty', 'AuthenticationIdentityStore', 'AD-Host-Candidate-Identities', 'PostureExpiry', 'allowEasyWiredSession', 'ConfigVersionId', 'RequestLatency', 'Service-Type', 'Framed-Protocol', 'Class', 'Called-Station-ID', 'Calling-Station-ID', 'Acct-Status-Type', 'Acct-Delay-Time', 'Acct-Input-Octets', 'Acct-Output-Octets', 'Acct-Session-Id', 'Acct-Authentic', 'Acct-Session-Time', 'Acct-Input-Packets', 'Acct-Output-Packets', 'Acct-Terminate-Cause', 'Protocol'.
2022-08-12
- 버그 수정 -
- 'prinicipal.asset.hostname' 필드의 매핑이 'intermediary.hostname'으로 수정되었습니다.
- event_type을 GENERIC_EVENT에서 STATUS_UPDATE 또는 NETWORK_CONNECTION으로 수정했습니다.
2022-07-11
- 버그 수정 - Product_event_type이 5440 RADIUS인 경우 NetworkDeviceName이 'event.idm.read_only_udm.principal.hostname'에 매핑되었습니다.
- r_ip_or_host를 observer.ip 또는 observer.hostname에 매핑했습니다.
- 잘못된 형식/인코딩된 로그를 삭제했습니다.
2022-05-02
- 버그 수정 - log_type이 'CISE_Failed_Attempts'인 경우 'security_result.action'의 매핑이 'ALLOW'에서 'FAIL'로 수정되었습니다.
2022-04-21
- 개선사항 - log_type='CISE_Profiler'로 로그를 파싱했습니다.
- log_type='CISE_TACACS_Accounting의 경우 event_type이 'GENERIC_EVENT'에서 'USER_UNCATEGORIZED'로 변경되었습니다.
- 'NASPort' 필드 및 'Port' 필드에 적절한 조건을 추가했습니다.
2022-04-18
- 'foreign_ip'가 'intermediary.ip'에 매핑되었습니다.
- log_type='CISE_TACACS_Accounting' 및 'CISE_RADIUS_Accounting'으로 로그를 파싱했습니다.
- log_type='CISE_TACACS_Accounting의 경우 event_type이 'GENERIC_EVENT'에서 'USER_UNCATEGORIZED'로 변경되었습니다.
- 'NASPort' 필드에 적절한 조건을 추가했습니다.
2022-04-13
- 이벤트 5200에서 NAS-Port-Id를 매핑했습니다.
- 이벤트 60188, 60125, 60116, 60115, 60081, 60080, 51021, 51020, 51003, 51002, 51001, 51000, 52000, 52001, 52002에서 호스트 이름이 매핑되었습니다.
- 이벤트 52000의 about.labels에 있는 작업 메시지 텍스트를 매핑했습니다.
- 이벤트의 additional_fields에 매핑된 일련번호: 5200