이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Cisco ISE 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations 전달자를 사용하여 Cisco Identify Services Engine (ISE) 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 CISCO_ISE 수집 라벨이 있는 파서에 적용됩니다.

Cisco ISE 구성

관리자 사용자 인증 정보를 사용하여 Cisco ISE 콘솔에 로그인합니다.
Cisco ISE 콘솔에서 Administration(관리) > System(시스템) > Logging(로깅) > Remote logging targets(원격 로깅 타겟)를 선택합니다.
원격 로깅 타겟 창에서 추가를 클릭합니다. 새 로깅 타겟 창이 표시됩니다.

로깅 타겟 섹션에서 다음 필드의 값을 지정합니다.

필드	설명
이름	Google Security Operations 전달자의 이름입니다.
설명	Google Security Operations 전달자에 대한 설명입니다.
유형	syslog와 같은 원격 로그 타겟의 유형입니다.
IP 주소	Google Security Operations 전달자의 IP 주소입니다.
대상 유형	TCP syslog 또는 UDP syslog를 선택합니다.
포트	10514와 같은 높은 포트를 사용합니다.
시설 코드	다음 값 중 하나를 지정할 수 있습니다. LOCAL0 (코드 = 16) LOCAL1 (코드 = 17) LOCAL2 (코드 = 18) LOCAL3 (코드 = 19) LOCAL4 (코드 = 20) LOCAL5 (코드 = 21) LOCAL6 (코드 = 22, 기본값) LOCAL7 (코드 = 23)
최대 길이	권장값은 1024입니다.

제출을 클릭합니다. 새 Google Security Operations 전달자 구성이 포함된 원격 로그 타겟 창이 표시됩니다.
Cisco ISE 콘솔에서 Administration(관리) > System(시스템) > Logging(로깅) > Logging categories(로깅 카테고리)를 선택합니다.
로깅 카테고리 창에서 원격 syslog 타겟을 설정할 카테고리를 선택하고 원격 syslog 타겟을 추가합니다.

샘플 카테고리는 AAA 감사, AAA 진단, 회계, 관리 및 운영 감사, 자세 및 클라이언트 프로비저닝 감사, 자세 및 클라이언트 프로비저닝 진단, 프로파일러, 시스템 진단, 시스템 통계입니다.

Cisco Secure ACS 로그를 수집하도록 Google Security Operations 전달자 및 syslog 구성

SIEM 설정 > 포워더로 이동합니다.
새 전달자 추가를 클릭합니다.
전달자 이름 필드에 전달자의 고유한 이름을 입력합니다.
제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
수집기 이름 필드에 이름을 입력합니다.
로그 유형으로 Cisco ISE를 선택합니다.
수집기 유형으로 Syslog를 선택합니다.
다음 필수 입력 매개변수를 구성합니다.
- 프로토콜: 프로토콜을 지정합니다.
- 주소: 수집기가 상주하고 syslog 데이터를 처리하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
- 포트: 수집기가 상주하고 syslog 데이터를 수신 대기하는 대상 포트를 지정합니다.
제출을 클릭합니다.

Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations 전달자 문서를 참고하세요. 각 전달자 유형의 요구사항은 유형별 전달자 구성을 참고하세요. 포워더를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 syslog 메시지에서 Cisco ISE 로그를 추출하고, 데이터를 UDM 형식으로 정규화하고, 추가 컨텍스트로 이벤트를 보강합니다. 인증 성공 및 실패, 관리 감사, 시스템 통계 등 다양한 ISE 로그 카테고리를 처리하여 관련 필드를 UDM 스키마에 매핑하고 세부 분석을 위한 특정 라벨을 추가합니다.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
`Acct-Authentic`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Acct-Delay-Time`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Acct-Input-Octets`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Acct-Input-Packets`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Acct-Output-Octets`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Acct-Output-Packets`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Acct-Session-Id`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Acct-Session-Time`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Acct-Status-Type`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Acct-Terminate-Cause`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`AcsSessionID`	`sec_result.detection_fields.value`	'Acs SessionID'로 직접 매핑됩니다.
`AD-Account-Name`	`principal.user.userid`	직접 매핑됩니다.
`AD-Domain`	`principal.group.group_display_name`	직접 매핑됩니다.
`AD-Domain-Controller`	`target.administrative_domain`	직접 매핑됩니다.
`AD-Error-Details`	`sec_result.description`	직접 매핑됩니다.
`AD-Host-Candidate-Identities`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`AD-IP-Address`	`target.ip`, `target.asset.ip`	직접 매핑됩니다.
`AD-Log-Id`	`sec_result.detection_fields.value`	'AD-Log-Id'로 직접 매핑됩니다.
`AD-Operating-System`	`principal.asset.platform_software.platform_version`	`ad_operating_system`로 직접 매핑됩니다. 'Windows'가 포함되어 있으면 `principal.platform`이 'WINDOWS'로 설정됩니다.
`AD-Site`	`target.location.name`	직접 매핑됩니다.
`AD-Srv-Query`	`sec_result.detection_fields.value`	'AD-Srv-Query'로 직접 매핑됩니다.
`AD-Srv-Record`	`sec_result.detection_fields.value`	'AD-Srv-Record'로 직접 매핑됩니다.
`AD-User-Resolved-Identities`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`AD-User-SamAccount-Name`	`principal.user.attribute.labels.value`	직접 매핑됩니다.
`AdminIPAddress`	`principal.ip`, `principal.asset.ip`	직접 매핑됩니다.
`AdminInterface`	`principal.user.attribute.labels.value`	'관리 인터페이스'로 직접 매핑됩니다.
`AdminName`	`principal.user.userid`	직접 매핑됩니다. 유형이 'ADMINISTRATOR'인 `user.attribute.roles`도 추가됩니다.
`AuthenticationIdentityStore`	`sec_result.detection_fields.value`	'인증 ID 저장소'로 직접 매핑됩니다.
`AuthenticationStatus`	`sec_result.action_details`	직접 매핑됩니다. 값이 'AuthenticationPassed'와 일치하면 `sec_result.action`이 'ALLOW'로 설정되고, 그렇지 않으면 'BLOCK'으로 설정됩니다.
`AuthorizationPolicyMatchedRule`	`sec_result.rule_name`	'AuthorizationPolicyMatchedRule : ' 접두사로 매핑되었습니다.
`BYODRegistration`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Called-Station-ID`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Calling-Station-ID`	`sec_result.detection_fields.value`, `principal.ip`, `principal.asset.ip`	직접 매핑됩니다. IP 주소인 경우 `principal.ip` 및 `principal.asset.ip`에도 매핑됩니다.
`cdpCachePlatform`	`principal.asset.hardware.model`	직접 매핑됩니다.
`Class`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`ClientLatency`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`CmdSet`	`target.process.command_line`	주변 괄호와 공백을 삭제한 후 직접 매핑됩니다.
`ConfigVersionId`	`sec_result.detection_fields.value`	'구성 버전 ID'로 직접 매핑됩니다.
`ConnectionStatus`	`sec_result.detection_fields.value`	'연결 상태'로 직접 매핑됩니다.
`CPMSessionID`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`CreateTime`	`principal.asset.attribute.creation_time`	UNIX_MS 타임스탬프로 파싱됩니다.
`DetailedInfo`	`sec_result.description`	백슬래시를 삭제한 후 직접 매핑됩니다.
`DestinationIPAddress`	`target.ip`, `target.asset.ip`	직접 매핑됩니다. `has_target`을 'true'로 설정합니다.
`DestinationPort`	`target.port`	숫자인 경우 직접 매핑됩니다.
`Device IP Address`	`principal.ip`, `principal.asset.ip`, `_intermediary.ip`, `target.ip`, `target.asset.ip`	`DeviceIPAddress`로 매핑됩니다. 로그 카테고리 및 기타 필드에 따라 `principal.ip`, `_intermediary.ip` 또는 `target.ip`을 채우는 다양한 로직에 사용됩니다.
`Device Port`	`principal.port`, `_intermediary.port`, `target.port`	`DevicePort`로 매핑됩니다. 로그 카테고리 및 기타 필드에 따라 `principal.port`, `_intermediary.port` 또는 `target.port`을 채우는 다양한 로직에 사용됩니다.
`Device Type`	`principal.asset.hardware.model`	`device-type`로 직접 매핑됩니다.
`DTLSSupport`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`EndPointMACAddress`	`principal.asset.mac`	소문자로 변환하고 하이픈을 콜론으로 바꾼 후 직접 매핑됩니다.
`EndPointMatchedProfile`	`sec_result.about.labels.value`	직접 매핑됩니다.
`EndpointCertainityMetric`	`sec_result.detection_fields.value`	'엔드포인트 확실성 측정항목'으로 직접 매핑됩니다.
`EndpointIdentityGroup`	`principal.group.group_display_name`	직접 매핑됩니다.
`EndpointIPAddress`	`principal.asset.ip`	직접 매핑됩니다.
`EndpointNADAddress`	`sec_result.detection_fields.value`	'엔드포인트 NAD 주소'로 직접 매핑됩니다.
`EndpointOUI`	`sec_result.detection_fields.value`	'엔드포인트 OUI'로 직접 매핑됩니다.
`EndpointPolicy`	`principal.asset.platform_software.platform_version`	직접 매핑됩니다.
`EndpointProperty`	`sec_result.detection_fields.value`	'엔드포인트 속성'으로 직접 매핑됩니다.
`EndpointSourceEvent`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`EndpointUserAgent`	`network.http.user_agent`	직접 매핑됩니다.
`EndPointVersion`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`FailureReason`	`sec_result.detection_fields.value`, `sec_result.summary`, `sec_result.description`	`FailureReason`로 매핑됩니다. 컨텍스트에 따라 `sec_result.detection_fields`을 '실패 이유', `sec_result.summary` 또는 `sec_result.description`로 채우는 데 사용됩니다.
`FirstCollection`	`principal.asset.first_discover_time`	UNIX_MS 타임스탬프로 파싱됩니다.
`Framed-IP-Address`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Framed-IPv6-Address`	`FramedIPAddress`	직접 매핑됩니다.
`Framed-Protocol`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`IdentityGroup`	`principal.group.group_display_name`	직접 매핑됩니다.
`IdentityGroupID`	`principal.group.product_object_id`	직접 매핑됩니다.
`IdentityPolicyMatchedRule`	`sec_result.about.labels.value`	직접 매핑됩니다.
`IdentitySelectionMatchedRule`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`IMEI`	`target.asset.product_object_id`	직접 매핑됩니다.
`ISELocalAddress`	`_intermediary.ip`, `principal.ip`, `principal.asset.ip`, `_intermediary.port`, `principal.port`, `sec_result.detection_fields.value`	`CISE_Administrative_and_Operational_Audit`인 경우 IP와 포트가 추출되어 `_intermediary` 및 `principal`에 매핑됩니다. 그렇지 않으면 'ISE Local Address'로 `sec_result.detection_fields`에 직접 매핑됩니다.
`ISEModuleName`	`sec_result.detection_fields.value`	'ISE 모듈 이름'으로 직접 매핑됩니다.
`ISEServiceName`	`sec_result.detection_fields.value`	'ISE 서비스 이름'으로 직접 매핑됩니다.
`IsThirdPartyDeviceFlow`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Issuer`	`about.labels.value`	직접 매핑됩니다.
`LastActivity`	`principal.asset.last_discover_time`	UNIX_MS 타임스탬프로 파싱됩니다.
`LastNmapScanTime`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`lldpChassisId`	`target.mac`	MAC 주소로 파싱된 후 직접 매핑됩니다.
`lldpSystemName`	`target.hostname`, `target.asset.hostname`	직접 매핑됩니다.
`Location`	`principal.location.country_or_region`, `target.location.country_or_region`	로그 카테고리에 따라 `principal` 또는 `target` 위치에 직접 매핑됩니다.
`Manufacturer`	`target.asset.hardware.manufacturer`	직접 매핑됩니다.
`MessageCode`	`sec_result.detection_fields.value`, `metadata.event_type`	`msg_code`로 직접 매핑됩니다. `metadata.event_type`를 결정하는 로직에 사용됩니다.
`Model`	`target.asset.hardware.model`	직접 매핑됩니다.
`NAS-IP-Address`	`principal.nat_ip`	직접 매핑됩니다.
`NAS-Identifier`	`principal.labels.value`	`nas_identifier`로 직접 매핑됩니다.
`NAS-Port`	`principal.nat_port`, `sec_result.detection_fields.value`, `principal.labels.value`	`NASPort`로 매핑됩니다. 숫자이고 2147483648보다 작으면 `principal.nat_port`에 매핑됩니다. 그렇지 않으면 문자열로 매핑되어 `sec_result.detection_fields`은 'NAS Port'로, `principal.labels`은 'NAS-Port'로 표시됩니다.
`NAS-Port-Id`	`principal.labels.value`, `sec_result.detection_fields.value`	`NASPortId`로 매핑됩니다. `principal.labels`를 'nas_port_id'로 또는 `sec_result.detection_fields`를 'nas_port_id'로 채우는 데 사용됩니다.
`NAS-Port-Type`	`principal.labels.value`, `sec_result.detection_fields.value`	`NASPortType`로 매핑됩니다. `principal.labels`을 'nas_port_type'으로 또는 `sec_result.detection_fields`을 'Nas-Port-Type'으로 채우는 데 사용됩니다.
`NetworkDeviceGroups`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`NetworkDeviceName`	`_intermediary.hostname`, `principal.hostname`, `principal.asset.hostname`, `target.hostname`, `target.asset.hostname`	`NetworkDeviceName`로 매핑됩니다. 로그 카테고리 및 기타 필드에 따라 `_intermediary.hostname`, `principal.hostname` 또는 `target.hostname`을 채우는 다양한 로직에 사용됩니다.
`NetworkDeviceProfileId`	`principal.asset.asset_id`	'Cisco_ISE:' 접두사로 매핑되었습니다.
`NetworkDeviceProfileName`	`principal.asset.attribute.labels.value`	직접 매핑됩니다.
`ObjectName`	`sec_result.about.labels.value`	직접 매핑됩니다.
`ObjectType`	`sec_result.about.labels.value`	직접 매핑됩니다.
`OperatingSystem`	`target.asset.platform_software.platform_version`, `principal.asset.platform_software.platform_version`, `principal.platform`	`OperatingSystem`로 매핑됩니다. `target.asset.platform_software.platform_version` 또는 `principal.asset.platform_software.platform_version`을 채우는 데 사용됩니다. 'Win'이 포함된 경우 `principal.platform`이 'WINDOWS'로 설정됩니다. 'lin'이 포함된 경우 `principal.platform`이 'LINUX'로 설정됩니다. 'iOS'가 포함된 경우 `principal.platform`이(가) 'MAC'으로 설정됩니다.
`OperationMessageText`	`sec_result.detection_fields.value`, `about.labels.value`, `sec_result.summary`	`OperationMessageText`로 매핑됩니다. 컨텍스트에 따라 `sec_result.detection_fields`을 '작업 메시지 텍스트', `about.labels`을 '작업 메시지 텍스트' 또는 `sec_result.summary`로 채우는 데 사용됩니다. 연결 세부정보가 포함된 경우 연결 세부정보가 추출되어 `src` 및 `target`에 매핑됩니다.
`OriginalUserName`	`principal.user.userid`	`User`로 직접 매핑됩니다.
`PeerAddress`	`target.mac`	소문자로 변환하고 하이픈을 콜론으로 바꾼 후 직접 매핑됩니다.
`PeerName`	`target.hostname`, `target.asset.hostname`	IP와 호스트 이름이 추출되어 `target.ip` 및 `target.hostname`에 매핑됩니다.
`PhoneID`	`principal.user.phone_numbers`	`User-Fetch-Telephone`로 직접 매핑됩니다.
`PhoneNumber`	`principal.user.phone_numbers`	직접 매핑됩니다.
`PolicyVersion`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Port`	`_intermediary.port`, `principal.port`, `target.port`	`Port`로 매핑됩니다. 로그 카테고리 및 기타 필드에 따라 `_intermediary.port`, `principal.port` 또는 `target.port`을 채우는 다양한 로직에 사용됩니다.
`PostureAssessmentStatus`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`PostureExpiry`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`PostureStatus`	`sec_result.detection_fields.value`	'자세 상태'로 직접 매핑됩니다.
`ProfilerServer`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Protocol`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`r_cat_name`	`metadata.product_event_type`	직접 매핑됩니다.
`r_ip_or_host`	`observer.ip`, `observer.hostname`, `principal.ip`, `principal.asset.ip`, `principal.hostname`, `principal.asset.hostname`, `target.ip`, `target.asset.ip`, `target.hostname`, `target.asset.hostname`	IP인 경우 `observer.ip`에 매핑됩니다. 호스트 이름(`observer.hostname`에 매핑됨) 로그 카테고리 및 기타 필드에 따라 `principal` 또는 `target` IP/호스트 이름을 채우는 다양한 논리에도 사용됩니다.
`r_msg_id`	`sec_result.detection_fields.value`, `metadata.product_log_id`	'r_msg_id'로 직접 매핑됩니다. `sequence_num`를 사용할 수 없는 경우 `metadata.product_log_id`로도 사용됩니다.
`r_seg_num`	`sec_result.detection_fields.value`, `metadata.product_log_id`	'r_seg_num'으로 직접 매핑됩니다. `sequence_num`를 사용할 수 없는 경우 `metadata.product_log_id`로도 사용됩니다.
`r_total_seg`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`RadiusFlowType`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`RadiusPacketType`	`sec_result.detection_fields.value`	'Radius Packet Type'으로 직접 매핑됩니다.
`RegisterStatus`	`sec_result.rule_name`	직접 매핑됩니다.
`RequestLatency`	`sec_result.detection_fields.value`	'요청 지연 시간'으로 직접 매핑됩니다.
`SelectedAccessService`	`sec_result.detection_fields.value`	'선택된 액세스 서비스'로 직접 매핑됩니다.
`SelectedAuthorizationProfiles`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Serial Number`	`network.tls.server.certificate.serial`, `about.labels.value`	`serial_number`로 매핑됩니다. 컨텍스트에 따라 `network.tls.server.certificate.serial` 또는 `about.labels`을 '일련번호'로 채우는 데 사용됩니다.
`Service-Type`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`SessionId`	`network.session_id`	직접 매핑됩니다.
`ShutdownReason`	`sec_result.detection_fields.value`	'ShutdownReason'으로 직접 매핑됩니다.
`SSID`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`StaticGroupAssignment`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Subject`	`about.labels.value`	직접 매핑됩니다.
`Subject Alternative Name`	`about.labels.value`	'제목 대체 이름'으로 직접 매핑됩니다.
`SysStatsCpuCount`	`target.asset.hardware.cpu_number_cores`	직접 매핑됩니다.
`SysStatsProcessMemoryMB`	`target.asset.hardware.ram`	`__hardware.ram`로 직접 매핑됩니다.
`SysStatsUtilizationNetwork`	`target.resource.name`, `network.sent_bytes`, `network.received_bytes`	네트워크 어댑터 이름, 전송된 바이트, 수신된 바이트가 추출되어 매핑됩니다. `target.resource.resource_type`이(가) 'UNSPECIFIED'로 설정됩니다.
`TimeToProfile`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Total Certainty Factor`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`TotalFailedTime`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`Tunnel-Client-Endpoint`	`sec_result.detection_fields.value`	'터널 클라이언트 엔드포인트'로 직접 매핑됩니다.
`UniqueConnectionIdentifier`	`sec_result.detection_fields.value`	'고유 연결 식별자'로 직접 매핑됩니다.
`UpdateTime`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`User`	`principal.user.userid`	직접 매핑됩니다.
`User-Fetch-Email`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`User-Fetch-Last-Name`	`principal.user.last_name`	직접 매핑됩니다.
`User-Fetch-LocalityName`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`User-Fetch-StateOrProvinceName`	`sec_result.detection_fields.value`	직접 매핑됩니다.
`User-Fetch-Telephone`	`principal.user.phone_numbers`	`PhoneID`로 직접 매핑됩니다.
`UserName`	`principal.user.userid`	직접 매핑됩니다. 비어 있지 않고 '' 또는 'unknown'이 아닌 경우 소문자로 변환되고 하이픈이 콜론으로 대체되며 MAC 주소 패턴과 일치하는 경우 `principal.mac`에도 매핑됩니다.
`User-Name`	`principal.user.userid`	직접 매핑됩니다.
`UserType`	`principal.user.attribute.labels.value`	직접 매핑됩니다.
(파서 로직) `action`	`sec_result.action`	`msg_text`에 성공 키워드가 포함된 경우 'ALLOW', 실패 키워드가 포함된 경우 'BLOCK', 그 외의 경우 'UNKNOWN_ACTION'으로 설정됩니다.
(파서 로직) `about.hostname`	`about.hostname`	`StepData=4` 또는 `stepdata`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.about`	`event.idm.read_only_udm.about`	`about.hostname`, `about.application`, `about.process.pid`과 같은 다양한 필드로 채워집니다.
(파서 로직) `event.idm.read_only_udm.extensions.auth.mechanism`	`event.idm.read_only_udm.extensions.auth.mechanism`	`CISE_TACACS_Diagnostics` 카테고리 내 특정 사례에서 'NETWORK'로 설정됩니다.
(파서 로직) `event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	다양한 로그인/로그아웃 이벤트의 경우 'MACHINE', 특정 TACACS 이벤트의 경우 'TACACS', 기타 로그인 이벤트의 경우 'AUTHTYPE_UNSPECIFIED'로 설정됩니다.
(파서 로직) `event.idm.read_only_udm.metadata.collected_timestamp`	`event.idm.read_only_udm.metadata.collected_timestamp`	사용 가능한 경우 `logstash.process.timestamp`에서 파싱됩니다.
(파서 로직) `event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	`msg_class` 및 `msg_text` 또는 `msg_class`을 사용할 수 없는 경우 `msg_text`만으로 구성됩니다.
(파서 로직) `event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	`datetime` 및 `timezone` 또는 `r_datetime`에서 파생된 `datetime` 필드에서 파싱됩니다.
(파서 로직) `event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	`r_cat_name`, `msg_code`, 기타 필드를 기반으로 결정됩니다. GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED, NETWORK_FLOW일 수 있습니다.
(파서 로직) `event.idm.read_only_udm.metadata.ingested_timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	사용 가능한 경우 `logstash.ingest.timestamp`에서 파싱됩니다.
(파서 로직) `event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	'CISCO_ISE'로 설정됩니다.
(파서 로직) `event.idm.read_only_udm.metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	`r_cat_name`에서 파생됨
(파서 로직) `event.idm.read_only_udm.metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	사용 가능 여부에 따라 `sequence_num`, `r_seg_num` 또는 `r_msg_id`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	'ISE'로 설정하거나 사용 가능한 경우 `MDMServerName`로 설정합니다.
(파서 로직) `event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	'Cisco'로 설정됩니다.
(파서 로직) `event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	`ac-user-agent` 또는 `EndpointUserAgent`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	특정 이벤트 유형의 경우 'TCP'로 설정됩니다.
(파서 로직) `event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	`SessionId`에서 파생됨
(파서 로직) `event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	`TLSCipher`에서 파생됨
(파서 로직) `event.idm.read_only_udm.network.tls.server.certificate.serial`	`event.idm.read_only_udm.network.tls.server.certificate.serial`	`Serial Number`에서 파생됨
(파서 로직) `event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	`TLSVersion`에서 파생됨
(파서 로직) `event.idm.read_only_udm.principal.asset.asset_id`	`event.idm.read_only_udm.principal.asset.asset_id`	접두사 'Cisco_ISE:'와 함께 `NetworkDeviceProfileId`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.principal.asset.hardware`	`event.idm.read_only_udm.principal.asset.hardware`	`hardware.manufacturer`, `hardware.model`과 같은 필드로 채워집니다.
(파서 로직) `event.idm.read_only_udm.principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	로그 카테고리 및 기타 필드에 따라 다양한 IP 주소 필드에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.principal.asset.mac`	`event.idm.read_only_udm.principal.asset.mac`	적절한 형식 지정 후 `EndpointMacAddress`, `parsed_endpoint_mac` 또는 기타 MAC 주소 필드에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.principal.asset.platform_software.platform_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_version`	`OperatingSystem`, `EndpointPolicy` 또는 `ad_operating_system`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.principal.group.group_display_name`	`event.idm.read_only_udm.principal.group.group_display_name`	`AD-Domain`, `IdentityGroup` 또는 `EndpointIdentityGroup`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.principal.group.product_object_id`	`event.idm.read_only_udm.principal.group.product_object_id`	`IdentityGroupID`에서 파생됨
(파서 로직) `event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	로그 카테고리 및 기타 필드에 따라 `r_ip_or_host`, `NetworkDeviceName` 또는 기타 호스트 이름 필드에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	로그 카테고리 및 기타 필드에 따라 다양한 IP 주소 필드에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.principal.labels`	`event.idm.read_only_udm.principal.labels`	`nas_identifier`, `nas_port_type`, `nas_port_id`과 같은 필드로 채워집니다.
(파서 로직) `event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	`Location`에서 파생됨
(파서 로직) `event.idm.read_only_udm.principal.nat_ip`	`event.idm.read_only_udm.principal.nat_ip`	`NAS-IP-Address`에서 파생됨
(파서 로직) `event.idm.read_only_udm.principal.nat_port`	`event.idm.read_only_udm.principal.nat_port`	숫자이고 2147483648보다 작은 경우 `NAS-Port`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.principal.platform`	`event.idm.read_only_udm.principal.platform`	`device-platform` 또는 `OperatingSystem`에서 파생됩니다. WINDOWS, LINUX, MAC 또는 UNKNOWN_PLATFORM일 수 있습니다.
(파서 로직) `event.idm.read_only_udm.principal.platform_version`	`event.idm.read_only_udm.principal.platform_version`	`platform-version`에서 파생됨
(파서 로직) `event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	숫자인 경우 `Device Port` 또는 `Port`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.principal.user.attribute.labels`	`event.idm.read_only_udm.principal.user.attribute.labels`	'관리 인터페이스', 'UserType', 'Chargeable-User-Identity'와 같은 필드로 채워집니다.
(파서 로직) `event.idm.read_only_udm.principal.user.phone_numbers`	`event.idm.read_only_udm.principal.user.phone_numbers`	`PhoneID` 또는 `PhoneNumber`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	로그 카테고리 및 기타 필드에 따라 `User`, `UserName`, `User-Name`, `AdminName`, `OriginalUserName` 또는 기타 사용자 이름 필드에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.security_result.about.labels`	`event.idm.read_only_udm.security_result.about.labels`	'IdentityPolicyMatchedRule', 'EndPointMatchedProfile', 'ObjectType', 'ObjectName'과 같은 필드로 채워집니다.
(파서 로직) `event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	`msg_text` 또는 `AuthenticationStatus`에서 파생됩니다. ALLOW, BLOCK 또는 UNKNOWN_ACTION일 수 있습니다.
(파서 로직) `event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	로그 카테고리 및 기타 필드에 따라 다양한 필드로 채워집니다.
(파서 로직) `event.idm.read_only_udm.security_result.description`	`event.idm.read_only_udm.security_result.description`	`AD-Error-Details` 또는 `DetailedInfo`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	`AuthorizationPolicyMatchedRule` 또는 `RegisterStatus`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	`msg_sev`에서 파생됨 CRITICAL, ERROR, HIGH, MEDIUM 또는 INFORMATIONAL일 수 있습니다.
(파서 로직) `event.idm.read_only_udm.security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	`msg_sev`에서 파생됨
(파서 로직) `event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	`msg_text` 또는 `FailureReason`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.src.ip`	`event.idm.read_only_udm.src.ip`	`OperationMessageText`에서 추출된 `source_ip`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.src.port`	`event.idm.read_only_udm.src.port`	숫자인 경우 `OperationMessageText`에서 추출한 `source_port`에서 파생됩니다.
(파서 로직) `event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	`AD-Domain-Controller`에서 파생됨
(파서 로직) `event.idm.read_only_udm.target.asset.hardware`	`event.idm.read_only_udm.target.asset.hardware`	`_hardware.cpu_number_cores`과 같은 필드로 채워집니다.
(파서 로직) `event.idm.read_only_udm.target.asset.hostname`	`

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.