Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Cisco ISE

Compatível com:

Google secops SIEM

Este documento descreve como pode recolher registos do Cisco Identify Services Engine (ISE) através de um encaminhador do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento CISCO_ISE.

Configure o Cisco ISE

Inicie sessão na consola do Cisco ISE com as credenciais de administrador.
Na consola do Cisco ISE, selecione Administration > System > Logging > Remote logging targets.
Na janela Alvos de registo remoto, clique em Adicionar. É apresentada a janela Novo destino de registo.

Na secção Destino do registo, especifique valores para os seguintes campos:

Campo	Descrição
Nome	Nome do encaminhador do Google Security Operations.
Descrição	Descrição do encaminhador do Google Security Operations.
Tipo	Tipo do destino do registo remoto, como syslog.
Endereço IP	Endereço IP do encaminhador do Google Security Operations.
Tipo de segmentação	Selecione TCP syslog ou UDP syslog.
Porta	Use uma porta elevada, como 10514.
Código da instalação	Pode especificar um dos seguintes valores: LOCAL0 (código = 16) LOCAL1 (code = 17) LOCAL2 (code = 18) LOCAL3 (code = 19) LOCAL4 (code = 20) LOCAL5 (code = 21) LOCAL6 (code = 22; predefinição) LOCAL7 (code = 23)
Comprimento máximo	O valor recomendado é 1024.

Clique em Enviar. A janela Destinos de registos remotos é apresentada com a nova configuração do encaminhador do Google Security Operations.
Na consola do Cisco ISE, selecione Administração > Sistema > Registo > Categorias de registo.
Na janela Categorias de registo, selecione as categorias para as quais quer definir o destino syslog remoto e adicione o destino syslog remoto.

Seguem-se as categorias de exemplo: auditorias AAA, diagnósticos AAA, contabilidade, auditoria administrativa e operacional, auditoria de aprovisionamento de postura e cliente, diagnósticos de aprovisionamento de postura e cliente, criador de perfis, diagnósticos do sistema e estatísticas do sistema.

Configure o encaminhador e o syslog do Google Security Operations para carregar registos do Cisco Secure ACS

Aceda a Definições do SIEM > Encaminhadores.
Clique em Adicionar novo encaminhador.
No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
Clique em Enviar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
No campo Nome do coletor, introduza um nome.
Selecione Cisco ISE como Tipo de registo.
Selecione Syslog como o tipo de coletor.
Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo.
- Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e se dirige aos dados do syslog.
- Porta: especifique a porta de destino onde o coletor reside e ouve os dados do syslog.
Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte a documentação dos encaminhadores do Google Security Operations. Para obter informações sobre os requisitos de cada tipo de encaminhador, consulte o artigo Configuração do encaminhador por tipo. Se tiver problemas ao criar encaminhamentos, contacte o apoio técnico das Operações de segurança da Google.

Referência de mapeamento de campos

Este analisador extrai registos do Cisco ISE de mensagens syslog, normaliza os dados para o formato UDM e enriquece o evento com contexto adicional. Processa várias categorias de registos de ISE, incluindo sucessos e falhas de autenticação, auditorias administrativas, estatísticas do sistema e muito mais, mapeando os campos relevantes para o esquema UDM e adicionando etiquetas específicas para uma análise detalhada.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`Acct-Authentic`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Delay-Time`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Input-Octets`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Input-Packets`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Output-Octets`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Output-Packets`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Session-Id`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Session-Time`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Status-Type`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Terminate-Cause`	`sec_result.detection_fields.value`	Mapeado diretamente.
`AcsSessionID`	`sec_result.detection_fields.value`	Mapeado diretamente como "Acs SessionID".
`AD-Account-Name`	`principal.user.userid`	Mapeado diretamente.
`AD-Domain`	`principal.group.group_display_name`	Mapeado diretamente.
`AD-Domain-Controller`	`target.administrative_domain`	Mapeado diretamente.
`AD-Error-Details`	`sec_result.description`	Mapeado diretamente.
`AD-Host-Candidate-Identities`	`sec_result.detection_fields.value`	Mapeado diretamente.
`AD-IP-Address`	`target.ip`, `target.asset.ip`	Mapeado diretamente.
`AD-Log-Id`	`sec_result.detection_fields.value`	Mapeado diretamente como "AD-Log-Id".
`AD-Operating-System`	`principal.asset.platform_software.platform_version`	Mapeado diretamente como `ad_operating_system`. Se contiver "Windows", `principal.platform` é definido como "WINDOWS".
`AD-Site`	`target.location.name`	Mapeado diretamente.
`AD-Srv-Query`	`sec_result.detection_fields.value`	Mapeado diretamente como "AD-Srv-Query".
`AD-Srv-Record`	`sec_result.detection_fields.value`	Mapeado diretamente como "AD-Srv-Record".
`AD-User-Resolved-Identities`	`sec_result.detection_fields.value`	Mapeado diretamente.
`AD-User-SamAccount-Name`	`principal.user.attribute.labels.value`	Mapeado diretamente.
`AdminIPAddress`	`principal.ip`, `principal.asset.ip`	Mapeado diretamente.
`AdminInterface`	`principal.user.attribute.labels.value`	Mapeado diretamente como "Interface de administração".
`AdminName`	`principal.user.userid`	Mapeado diretamente. Também é adicionado um `user.attribute.roles` com o tipo "ADMINISTRATOR".
`AuthenticationIdentityStore`	`sec_result.detection_fields.value`	Mapeado diretamente como "Authentication Identity Store".
`AuthenticationStatus`	`sec_result.action_details`	Mapeado diretamente. Se o valor corresponder a "AuthenticationPassed", `sec_result.action` é definido como "ALLOW", caso contrário, é definido como "BLOCK".
`AuthorizationPolicyMatchedRule`	`sec_result.rule_name`	Mapeado com o prefixo "AuthorizationPolicyMatchedRule : ".
`BYODRegistration`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Called-Station-ID`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Calling-Station-ID`	`sec_result.detection_fields.value`, `principal.ip`, `principal.asset.ip`	Mapeado diretamente. Se for um endereço IP, também é mapeado para `principal.ip` e `principal.asset.ip`.
`cdpCachePlatform`	`principal.asset.hardware.model`	Mapeado diretamente.
`Class`	`sec_result.detection_fields.value`	Mapeado diretamente.
`ClientLatency`	`sec_result.detection_fields.value`	Mapeado diretamente.
`CmdSet`	`target.process.command_line`	Mapeado diretamente após a remoção dos parênteses e espaços circundantes.
`ConfigVersionId`	`sec_result.detection_fields.value`	Mapeado diretamente como "Config Version Id".
`ConnectionStatus`	`sec_result.detection_fields.value`	Mapeado diretamente como "Estado da associação".
`CPMSessionID`	`sec_result.detection_fields.value`	Mapeado diretamente.
`CreateTime`	`principal.asset.attribute.creation_time`	Analisado como data/hora UNIX_MS.
`DetailedInfo`	`sec_result.description`	Mapeado diretamente após a remoção das barras invertidas.
`DestinationIPAddress`	`target.ip`, `target.asset.ip`	Mapeado diretamente. Define `has_target` como "verdadeiro".
`DestinationPort`	`target.port`	Mapeado diretamente se for numérico.
`Device IP Address`	`principal.ip`, `principal.asset.ip`, `_intermediary.ip`, `target.ip` e `target.asset.ip`	Mapeado como `DeviceIPAddress`. Usado em várias lógicas para preencher `principal.ip`, `_intermediary.ip` ou `target.ip`, consoante a categoria do registo e outros campos.
`Device Port`	`principal.port`, `_intermediary.port`, `target.port`	Mapeado como `DevicePort`. Usado em várias lógicas para preencher `principal.port`, `_intermediary.port` ou `target.port`, consoante a categoria do registo e outros campos.
`Device Type`	`principal.asset.hardware.model`	Mapeado diretamente como `device-type`.
`DTLSSupport`	`sec_result.detection_fields.value`	Mapeado diretamente.
`EndPointMACAddress`	`principal.asset.mac`	Mapeado diretamente após a conversão para minúsculas e a substituição dos hífens por dois pontos.
`EndPointMatchedProfile`	`sec_result.about.labels.value`	Mapeado diretamente.
`EndpointCertainityMetric`	`sec_result.detection_fields.value`	Mapeado diretamente como "Métrica de certeza do ponto final".
`EndpointIdentityGroup`	`principal.group.group_display_name`	Mapeado diretamente.
`EndpointIPAddress`	`principal.asset.ip`	Mapeado diretamente.
`EndpointNADAddress`	`sec_result.detection_fields.value`	Mapeado diretamente como "Endereço NAD do ponto final".
`EndpointOUI`	`sec_result.detection_fields.value`	Mapeado diretamente como "OUI do ponto final".
`EndpointPolicy`	`principal.asset.platform_software.platform_version`	Mapeado diretamente.
`EndpointProperty`	`sec_result.detection_fields.value`	Mapeado diretamente como "Propriedade do ponto final".
`EndpointSourceEvent`	`sec_result.detection_fields.value`	Mapeado diretamente.
`EndpointUserAgent`	`network.http.user_agent`	Mapeado diretamente.
`EndPointVersion`	`sec_result.detection_fields.value`	Mapeado diretamente.
`FailureReason`	`sec_result.detection_fields.value`, `sec_result.summary`, `sec_result.description`	Mapeado como `FailureReason`. Usado para preencher `sec_result.detection_fields` como "Motivo da falha", `sec_result.summary` ou `sec_result.description`, consoante o contexto.
`FirstCollection`	`principal.asset.first_discover_time`	Analisado como data/hora UNIX_MS.
`Framed-IP-Address`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Framed-IPv6-Address`	`FramedIPAddress`	Mapeado diretamente.
`Framed-Protocol`	`sec_result.detection_fields.value`	Mapeado diretamente.
`IdentityGroup`	`principal.group.group_display_name`	Mapeado diretamente.
`IdentityGroupID`	`principal.group.product_object_id`	Mapeado diretamente.
`IdentityPolicyMatchedRule`	`sec_result.about.labels.value`	Mapeado diretamente.
`IdentitySelectionMatchedRule`	`sec_result.detection_fields.value`	Mapeado diretamente.
`IMEI`	`target.asset.product_object_id`	Mapeado diretamente.
`ISELocalAddress`	`_intermediary.ip`, `principal.ip`, `principal.asset.ip`, `_intermediary.port`, `principal.port`, `sec_result.detection_fields.value`	Se estiver em `CISE_Administrative_and_Operational_Audit`, o IP e a porta são extraídos e mapeados para `_intermediary` e `principal`. Caso contrário, mapeado diretamente como "ISE Local Address" para `sec_result.detection_fields`.
`ISEModuleName`	`sec_result.detection_fields.value`	Mapeado diretamente como "Nome do módulo ISE".
`ISEServiceName`	`sec_result.detection_fields.value`	Mapeado diretamente como "ISE Service Name".
`IsThirdPartyDeviceFlow`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Issuer`	`about.labels.value`	Mapeado diretamente.
`LastActivity`	`principal.asset.last_discover_time`	Analisado como data/hora UNIX_MS.
`LastNmapScanTime`	`sec_result.detection_fields.value`	Mapeado diretamente.
`lldpChassisId`	`target.mac`	Mapeado diretamente após a análise como endereço MAC.
`lldpSystemName`	`target.hostname`, `target.asset.hostname`	Mapeado diretamente.
`Location`	`principal.location.country_or_region`, `target.location.country_or_region`	Mapeado diretamente para a localização `principal` ou `target`, consoante a categoria do registo.
`Manufacturer`	`target.asset.hardware.manufacturer`	Mapeado diretamente.
`MessageCode`	`sec_result.detection_fields.value`, `metadata.event_type`	Mapeado diretamente como `msg_code`. Usado na lógica para determinar `metadata.event_type`.
`Model`	`target.asset.hardware.model`	Mapeado diretamente.
`NAS-IP-Address`	`principal.nat_ip`	Mapeado diretamente.
`NAS-Identifier`	`principal.labels.value`	Mapeado diretamente como `nas_identifier`.
`NAS-Port`	`principal.nat_port`, `sec_result.detection_fields.value`, `principal.labels.value`	Mapeado como `NASPort`. Se for numérico e inferior a 2147483648, é mapeado para `principal.nat_port`. Caso contrário, é mapeado como uma string para `sec_result.detection_fields` como "NAS Port" ou `principal.labels` como "NAS-Port".
`NAS-Port-Id`	`principal.labels.value`, `sec_result.detection_fields.value`	Mapeado como `NASPortId`. Usado para preencher `principal.labels` como "nas_port_id" ou `sec_result.detection_fields` como "nas_port_id".
`NAS-Port-Type`	`principal.labels.value`, `sec_result.detection_fields.value`	Mapeado como `NASPortType`. Usado para preencher `principal.labels` como "nas_port_type" ou `sec_result.detection_fields` como "Nas-Port-Type".
`NetworkDeviceGroups`	`sec_result.detection_fields.value`	Mapeado diretamente.
`NetworkDeviceName`	`_intermediary.hostname`, `principal.hostname`, `principal.asset.hostname`, `target.hostname` e `target.asset.hostname`	Mapeado como `NetworkDeviceName`. Usado em várias lógicas para preencher `_intermediary.hostname`, `principal.hostname` ou `target.hostname`, consoante a categoria do registo e outros campos.
`NetworkDeviceProfileId`	`principal.asset.asset_id`	Mapeado com o prefixo "Cisco_ISE:".
`NetworkDeviceProfileName`	`principal.asset.attribute.labels.value`	Mapeado diretamente.
`ObjectName`	`sec_result.about.labels.value`	Mapeado diretamente.
`ObjectType`	`sec_result.about.labels.value`	Mapeado diretamente.
`OperatingSystem`	`target.asset.platform_software.platform_version`, `principal.asset.platform_software.platform_version`, `principal.platform`	Mapeado como `OperatingSystem`. Usado para preencher `target.asset.platform_software.platform_version` ou `principal.asset.platform_software.platform_version`. Se contiver "Win", `principal.platform` é definido como "WINDOWS". Se contiver "lin", `principal.platform` é definido como "LINUX". Se contiver "iOS", `principal.platform` é definido como "MAC".
`OperationMessageText`	`sec_result.detection_fields.value`, `about.labels.value`, `sec_result.summary`	Mapeado como `OperationMessageText`. Usado para preencher `sec_result.detection_fields` como "Texto da mensagem de operação", `about.labels` como "Texto da mensagem de operação" ou `sec_result.summary`, consoante o contexto. Se contiver detalhes de ligação, estes são extraídos e mapeados para `src` e `target`.
`OriginalUserName`	`principal.user.userid`	Mapeado diretamente como `User`.
`PeerAddress`	`target.mac`	Mapeado diretamente após a conversão para minúsculas e a substituição dos hífens por dois pontos.
`PeerName`	`target.hostname`, `target.asset.hostname`	O IP e o nome de anfitrião são extraídos e mapeados para `target.ip` e `target.hostname`.
`PhoneID`	`principal.user.phone_numbers`	Mapeado diretamente como `User-Fetch-Telephone`.
`PhoneNumber`	`principal.user.phone_numbers`	Mapeado diretamente.
`PolicyVersion`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Port`	`_intermediary.port`, `principal.port`, `target.port`	Mapeado como `Port`. Usado em várias lógicas para preencher `_intermediary.port`, `principal.port` ou `target.port`, consoante a categoria do registo e outros campos.
`PostureAssessmentStatus`	`sec_result.detection_fields.value`	Mapeado diretamente.
`PostureExpiry`	`sec_result.detection_fields.value`	Mapeado diretamente.
`PostureStatus`	`sec_result.detection_fields.value`	Mapeado diretamente como "Posture Status" (Estado da postura).
`ProfilerServer`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Protocol`	`sec_result.detection_fields.value`	Mapeado diretamente.
`r_cat_name`	`metadata.product_event_type`	Mapeado diretamente.
`r_ip_or_host`	`observer.ip`, `observer.hostname`, `principal.ip`, `principal.asset.ip`, `principal.hostname`, `principal.asset.hostname`, `target.ip`, `target.asset.ip`, `target.hostname`, `target.asset.hostname`	Se um IP estiver mapeado para `observer.ip`. Se um nome do anfitrião estiver mapeado para `observer.hostname`. Também usado em várias lógicas para preencher o endereço IP/nome do anfitrião `principal` ou `target`, consoante a categoria do registo e outros campos.
`r_msg_id`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Mapeado diretamente como "r_msg_id". Também usado como `metadata.product_log_id` se `sequence_num` não estiver disponível.
`r_seg_num`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Mapeado diretamente como "r_seg_num". Também usado como `metadata.product_log_id` se `sequence_num` não estiver disponível.
`r_total_seg`	`sec_result.detection_fields.value`	Mapeado diretamente.
`RadiusFlowType`	`sec_result.detection_fields.value`	Mapeado diretamente.
`RadiusPacketType`	`sec_result.detection_fields.value`	Mapeado diretamente como "Radius Packet Type".
`RegisterStatus`	`sec_result.rule_name`	Mapeado diretamente.
`RequestLatency`	`sec_result.detection_fields.value`	Mapeado diretamente como "Latência do pedido".
`SelectedAccessService`	`sec_result.detection_fields.value`	Mapeado diretamente como "Serviço de acesso selecionado".
`SelectedAuthorizationProfiles`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Serial Number`	`network.tls.server.certificate.serial`, `about.labels.value`	Mapeado como `serial_number`. Usado para preencher `network.tls.server.certificate.serial` ou `about.labels` como "Número de série", consoante o contexto.
`Service-Type`	`sec_result.detection_fields.value`	Mapeado diretamente.
`SessionId`	`network.session_id`	Mapeado diretamente.
`ShutdownReason`	`sec_result.detection_fields.value`	Mapeado diretamente como "ShutdownReason".
`SSID`	`sec_result.detection_fields.value`	Mapeado diretamente.
`StaticGroupAssignment`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Subject`	`about.labels.value`	Mapeado diretamente.
`Subject Alternative Name`	`about.labels.value`	Mapeado diretamente como "Nome alternativo do requerente".
`SysStatsCpuCount`	`target.asset.hardware.cpu_number_cores`	Mapeado diretamente.
`SysStatsProcessMemoryMB`	`target.asset.hardware.ram`	Mapeado diretamente como `__hardware.ram`.
`SysStatsUtilizationNetwork`	`target.resource.name`, `network.sent_bytes`, `network.received_bytes`	O nome do adaptador de rede, os bytes enviados e os bytes recebidos são extraídos e mapeados. `target.resource.resource_type` está definido como "UNSPECIFIED".
`TimeToProfile`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Total Certainty Factor`	`sec_result.detection_fields.value`	Mapeado diretamente.
`TotalFailedTime`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Tunnel-Client-Endpoint`	`sec_result.detection_fields.value`	Mapeado diretamente como "Tunnel Client Endpoint".
`UniqueConnectionIdentifier`	`sec_result.detection_fields.value`	Mapeado diretamente como "Identificador único da ligação".
`UpdateTime`	`sec_result.detection_fields.value`	Mapeado diretamente.
`User`	`principal.user.userid`	Mapeado diretamente.
`User-Fetch-Email`	`sec_result.detection_fields.value`	Mapeado diretamente.
`User-Fetch-Last-Name`	`principal.user.last_name`	Mapeado diretamente.
`User-Fetch-LocalityName`	`sec_result.detection_fields.value`	Mapeado diretamente.
`User-Fetch-StateOrProvinceName`	`sec_result.detection_fields.value`	Mapeado diretamente.
`User-Fetch-Telephone`	`principal.user.phone_numbers`	Mapeado diretamente como `PhoneID`.
`UserName`	`principal.user.userid`	Mapeado diretamente. Se não estiver vazio e não for "" ou "unknown", é convertido em minúsculas, os hífenes são substituídos por dois pontos e, se corresponder a um padrão de endereço MAC, também é mapeado para `principal.mac`.
`User-Name`	`principal.user.userid`	Mapeado diretamente.
`UserType`	`principal.user.attribute.labels.value`	Mapeado diretamente.
(Lógica do analisador) `action`	`sec_result.action`	Definido como "ALLOW" se `msg_text` contiver palavras-chave de sucesso, "BLOCK" se contiver palavras-chave de falha e "UNKNOWN_ACTION" caso contrário.
(Lógica do analisador) `about.hostname`	`about.hostname`	Derivados de `StepData=4` ou `stepdata`.
(Lógica do analisador) `event.idm.read_only_udm.about`	`event.idm.read_only_udm.about`	Preenchido com vários campos, como `about.hostname`, `about.application` e `about.process.pid`.
(Lógica do analisador) `event.idm.read_only_udm.extensions.auth.mechanism`	`event.idm.read_only_udm.extensions.auth.mechanism`	Definido como "NETWORK" em determinados casos na categoria `CISE_TACACS_Diagnostics`.
(Lógica do analisador) `event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	Definido como "MACHINE" para vários eventos de início/fim de sessão, "TACACS" para determinados eventos TACACS e "AUTHTYPE_UNSPECIFIED" para outros eventos de início de sessão.
(Lógica do analisador) `event.idm.read_only_udm.metadata.collected_timestamp`	`event.idm.read_only_udm.metadata.collected_timestamp`	Analisado a partir de `logstash.process.timestamp`, se disponível.
(Lógica do analisador) `event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	Construído a partir de `msg_class` e `msg_text` ou apenas `msg_text` se `msg_class` não estiver disponível.
(Lógica do analisador) `event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado a partir do campo `datetime`, que é derivado de `datetime` e `timezone` ou `r_datetime`.
(Lógica do analisador) `event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	Determinado com base em `r_cat_name`, `msg_code` e outros campos. Pode ser GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED ou NETWORK_FLOW.
(Lógica do analisador) `event.idm.read_only_udm.metadata.ingested_timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Analisado a partir de `logstash.ingest.timestamp`, se disponível.
(Lógica do analisador) `event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	Definido como "CISCO_ISE".
(Lógica do analisador) `event.idm.read_only_udm.metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Derivado de `r_cat_name`.
(Lógica do analisador) `event.idm.read_only_udm.metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Derivado de `sequence_num`, `r_seg_num` ou `r_msg_id`, consoante a disponibilidade.
(Lógica do analisador) `event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	Definido como "ISE" ou `MDMServerName`, se disponível.
(Lógica do analisador) `event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Definido como "Cisco".
(Lógica do analisador) `event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Derivados de `ac-user-agent` ou `EndpointUserAgent`.
(Lógica do analisador) `event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	Definido como "TCP" para determinados tipos de eventos.
(Lógica do analisador) `event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	Derivado de `SessionId`.
(Lógica do analisador) `event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	Derivado de `TLSCipher`.
(Lógica do analisador) `event.idm.read_only_udm.network.tls.server.certificate.serial`	`event.idm.read_only_udm.network.tls.server.certificate.serial`	Derivado de `Serial Number`.
(Lógica do analisador) `event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	Derivado de `TLSVersion`.
(Lógica do analisador) `event.idm.read_only_udm.principal.asset.asset_id`	`event.idm.read_only_udm.principal.asset.asset_id`	Derivado de `NetworkDeviceProfileId` com o prefixo "Cisco_ISE:".
(Lógica do analisador) `event.idm.read_only_udm.principal.asset.hardware`	`event.idm.read_only_udm.principal.asset.hardware`	Preenchido com campos como `hardware.manufacturer` e `hardware.model`.
(Lógica do analisador) `event.idm.read_only_udm.principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	Derivado de vários campos de endereço IP, consoante a categoria de registo e outros campos.
(Lógica do analisador) `event.idm.read_only_udm.principal.asset.mac`	`event.idm.read_only_udm.principal.asset.mac`	Derivado de `EndpointMacAddress`, `parsed_endpoint_mac` ou outros campos de endereço MAC após a formatação adequada.
(Lógica do analisador) `event.idm.read_only_udm.principal.asset.platform_software.platform_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_version`	Derivada de `OperatingSystem`, `EndpointPolicy` ou `ad_operating_system`.
(Lógica do analisador) `event.idm.read_only_udm.principal.group.group_display_name`	`event.idm.read_only_udm.principal.group.group_display_name`	Derivada de `AD-Domain`, `IdentityGroup` ou `EndpointIdentityGroup`.
(Lógica do analisador) `event.idm.read_only_udm.principal.group.product_object_id`	`event.idm.read_only_udm.principal.group.product_object_id`	Derivado de `IdentityGroupID`.
(Lógica do analisador) `event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	Derivado de `r_ip_or_host`, `NetworkDeviceName` ou outros campos de nome de anfitrião, consoante a categoria do registo e outros campos.
(Lógica do analisador) `event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	Derivado de vários campos de endereço IP, consoante a categoria de registo e outros campos.
(Lógica do analisador) `event.idm.read_only_udm.principal.labels`	`event.idm.read_only_udm.principal.labels`	Preenchido com campos como `nas_identifier`, `nas_port_type` e `nas_port_id`.
(Lógica do analisador) `event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	Derivado de `Location`.
(Lógica do analisador) `event.idm.read_only_udm.principal.nat_ip`	`event.idm.read_only_udm.principal.nat_ip`	Derivado de `NAS-IP-Address`.
(Lógica do analisador) `event.idm.read_only_udm.principal.nat_port`	`event.idm.read_only_udm.principal.nat_port`	Derivado de `NAS-Port` se for numérico e inferior a 2147483648.
(Lógica do analisador) `event.idm.read_only_udm.principal.platform`	`event.idm.read_only_udm.principal.platform`	Derivados de `device-platform` ou `OperatingSystem`. Pode ser WINDOWS, LINUX, MAC ou UNKNOWN_PLATFORM.
(Lógica do analisador) `event.idm.read_only_udm.principal.platform_version`	`event.idm.read_only_udm.principal.platform_version`	Derivado de `platform-version`.
(Lógica do analisador) `event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	Derivado de `Device Port` ou `Port`, se for numérico.
(Lógica do analisador) `event.idm.read_only_udm.principal.user.attribute.labels`	`event.idm.read_only_udm.principal.user.attribute.labels`	Preenchido com campos como "Admin Interface", "UserType" e "Chargeable-User-Identity".
(Lógica do analisador) `event.idm.read_only_udm.principal.user.phone_numbers`	`event.idm.read_only_udm.principal.user.phone_numbers`	Derivados de `PhoneID` ou `PhoneNumber`.
(Lógica do analisador) `event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	Derivado de `User`, `UserName`, `User-Name`, `AdminName`, `OriginalUserName` ou outros campos de nome de utilizador, consoante a categoria do registo e outros campos.
(Lógica do analisador) `event.idm.read_only_udm.security_result.about.labels`	`event.idm.read_only_udm.security_result.about.labels`	Preenchido com campos como "IdentityPolicyMatchedRule", "EndPointMatchedProfile", "ObjectType" e "ObjectName".
(Lógica do analisador) `event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	Derivados de `msg_text` ou `AuthenticationStatus`. Pode ser ALLOW, BLOCK ou UNKNOWN_ACTION.
(Lógica do analisador) `event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	Preenchido com vários campos, consoante a categoria do registo e outros campos.
(Lógica do analisador) `event.idm.read_only_udm.security_result.description`	`event.idm.read_only_udm.security_result.description`	Derivados de `AD-Error-Details` ou `DetailedInfo`.
(Lógica do analisador) `event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Derivados de `AuthorizationPolicyMatchedRule` ou `RegisterStatus`.
(Lógica do analisador) `event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Derivado de `msg_sev`. Pode ser CRITICAL, ERROR, HIGH, MEDIUM ou INFORMATIONAL.
(Lógica do analisador) `event.idm.read_only_udm.security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	Derivado de `msg_sev`.
(Lógica do analisador) `event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	Derivados de `msg_text` ou `FailureReason`.
(Lógica do analisador) `event.idm.read_only_udm.src.ip`	`event.idm.read_only_udm.src.ip`	Derivado de `source_ip` extraído de `OperationMessageText`.
(Lógica do analisador) `event.idm.read_only_udm.src.port`	`event.idm.read_only_udm.src.port`	Derivado de `source_port` extraído de `OperationMessageText`, se for numérico.
(Lógica do analisador) `event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	Derivado de `AD-Domain-Controller`.
(Lógica do analisador) `event.idm.read_only_udm.target.asset.hardware`	`event.idm.read_only_udm.target.asset.hardware`	Preenchido com campos como `_hardware.cpu_number_cores`.
(Lógica do analisador) `event.idm.read_only_udm.target.asset.hostname`	`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.