Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Cisco ISE

Compatível com:

Google SecOps SIEM

Este documento descreve como coletar registros do Cisco Identify Services Engine (ISE) usando um forwarder de operações de segurança do Google.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado da UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência CISCO_ISE.

Configurar o Cisco ISE

Faça login no console do Cisco ISE usando as credenciais de administrador.
No console do Cisco ISE, selecione Administration > System > Logging > Remote logging targets.
Na janela Alvos de registro remoto, clique em Adicionar. A janela New logging target vai aparecer.

Na seção Destino de registro, especifique os valores dos seguintes campos:

Campo	Descrição
Nome	Nome do remetente do Google Security Operations.
Descrição	Descrição do encaminhador do Google Security Operations.
Tipo	Tipo de destino de registro remoto, como syslog.
Endereço IP	Endereço IP do encaminhador do Google Security Operations.
Tipo de destino	Selecione syslog TCP ou syslog UDP.
Porta	Use uma porta alta, como 10514.
Código da instalação	É possível especificar um dos seguintes valores: LOCAL0 (código = 16) LOCAL1 (código = 17) LOCAL2 (código = 18) LOCAL3 (código = 19) LOCAL4 (código = 20) LOCAL5 (código = 21) LOCAL6 (código = 22; padrão) LOCAL7 (código = 23)
Comprimento máximo	O valor recomendado é 1024.

Clique em Enviar. A janela Destinos de registro remoto aparece com a nova configuração do encaminhador do Google Security Operations.
No console do Cisco ISE, selecione Administration > System > Logging > Logging categories.
Na janela Logging categories, selecione as categorias para as quais você quer definir e adicionar o destino syslog remoto.

Confira abaixo alguns exemplos de categorias: auditorias AAA, diagnósticos AAA, contabilidade, auditoria operacional e administrativa, auditoria de postura e provisionamento de clientes, diagnóstico de postura e provisionamento de clientes, perfil, diagnóstico do sistema e estatísticas do sistema.

Configurar o forwarder e o syslog do Google Security Operations para processar os registros do Cisco Secure ACS

Acesse Configurações do SIEM > Encaminhadores.
Clique em Adicionar novo encaminhador.
No campo Nome do encaminhador, insira um nome exclusivo.
Clique em Enviar. O encaminhador é adicionado, e a janela Add collector configuration é exibida.
No campo Nome do coletor, digite um nome.
Selecione Cisco ISE como o Tipo de registro.
Selecione Syslog como o Tipo de coletor.
Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo.
- Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e os endereços para os dados do syslog.
- Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte a documentação sobre encaminhadores do Google Security Operations. Para informações sobre os requisitos de cada tipo de encaminhador, consulte Configuração do encaminhador por tipo. Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte da Google Security Operations.

Referência do mapeamento de campo

Esse analisador extrai registros do Cisco ISE de mensagens syslog, normaliza os dados no formato UDM e enriquece o evento com mais contexto. Ele processa várias categorias de registro do ISE, incluindo sucessos e falhas de autenticação, auditorias administrativas, estatísticas do sistema e muito mais, mapeando campos relevantes para o esquema do UDM e adicionando rótulos específicos para uma análise detalhada.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`Acct-Authentic`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Delay-Time`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Input-Octets`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Input-Packets`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Output-Octets`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Output-Packets`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Session-Id`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Session-Time`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Status-Type`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Terminate-Cause`	`sec_result.detection_fields.value`	Mapeado diretamente.
`AcsSessionID`	`sec_result.detection_fields.value`	Mapeado diretamente como "Acs SessionID".
`AD-Account-Name`	`principal.user.userid`	Mapeado diretamente.
`AD-Domain`	`principal.group.group_display_name`	Mapeado diretamente.
`AD-Domain-Controller`	`target.administrative_domain`	Mapeado diretamente.
`AD-Error-Details`	`sec_result.description`	Mapeado diretamente.
`AD-Host-Candidate-Identities`	`sec_result.detection_fields.value`	Mapeado diretamente.
`AD-IP-Address`	`target.ip`, `target.asset.ip`	Mapeado diretamente.
`AD-Log-Id`	`sec_result.detection_fields.value`	Mapeado diretamente como "AD-Log-Id".
`AD-Operating-System`	`principal.asset.platform_software.platform_version`	Mapeado diretamente como `ad_operating_system`. Se o valor contiver "Windows", `principal.platform` será definido como "WINDOWS".
`AD-Site`	`target.location.name`	Mapeado diretamente.
`AD-Srv-Query`	`sec_result.detection_fields.value`	Mapeado diretamente como "AD-Srv-Query".
`AD-Srv-Record`	`sec_result.detection_fields.value`	Mapeado diretamente como "AD-Srv-Record".
`AD-User-Resolved-Identities`	`sec_result.detection_fields.value`	Mapeado diretamente.
`AD-User-SamAccount-Name`	`principal.user.attribute.labels.value`	Mapeado diretamente.
`AdminIPAddress`	`principal.ip`, `principal.asset.ip`	Mapeado diretamente.
`AdminInterface`	`principal.user.attribute.labels.value`	Mapeado diretamente como "Interface do administrador".
`AdminName`	`principal.user.userid`	Mapeado diretamente. Um `user.attribute.roles` com o tipo "ADMINISTRATOR" também é adicionado.
`AuthenticationIdentityStore`	`sec_result.detection_fields.value`	Mapeado diretamente como "Armazenamento de identidade de autenticação".
`AuthenticationStatus`	`sec_result.action_details`	Mapeado diretamente. Se o valor corresponder a "AuthenticationPassed", `sec_result.action` será definido como "ALLOW". Caso contrário, será definido como "BLOCK".
`AuthorizationPolicyMatchedRule`	`sec_result.rule_name`	Mapeado com o prefixo "AuthorizationPolicyMatchedRule : ".
`BYODRegistration`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Called-Station-ID`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Calling-Station-ID`	`sec_result.detection_fields.value`, `principal.ip`, `principal.asset.ip`	Mapeado diretamente. Se for um endereço IP, também será mapeado para `principal.ip` e `principal.asset.ip`.
`cdpCachePlatform`	`principal.asset.hardware.model`	Mapeado diretamente.
`Class`	`sec_result.detection_fields.value`	Mapeado diretamente.
`ClientLatency`	`sec_result.detection_fields.value`	Mapeado diretamente.
`CmdSet`	`target.process.command_line`	Mapeado diretamente após a remoção de colchetes e espaços.
`ConfigVersionId`	`sec_result.detection_fields.value`	Mapeado diretamente como "ID da versão da configuração".
`ConnectionStatus`	`sec_result.detection_fields.value`	Mapeado diretamente como "Status da conexão".
`CPMSessionID`	`sec_result.detection_fields.value`	Mapeado diretamente.
`CreateTime`	`principal.asset.attribute.creation_time`	Analisado como carimbo de data/hora UNIX_MS.
`DetailedInfo`	`sec_result.description`	Mapeado diretamente após a remoção de barras invertidas.
`DestinationIPAddress`	`target.ip`, `target.asset.ip`	Mapeado diretamente. Define `has_target` como "true".
`DestinationPort`	`target.port`	Mapeado diretamente se for numérico.
`Device IP Address`	`principal.ip`, `principal.asset.ip`, `_intermediary.ip`, `target.ip`, `target.asset.ip`	Mapeado como `DeviceIPAddress`. Usado em várias lógicas para preencher `principal.ip`, `_intermediary.ip` ou `target.ip`, dependendo da categoria de registro e de outros campos.
`Device Port`	`principal.port`, `_intermediary.port`, `target.port`	Mapeado como `DevicePort`. Usado em várias lógicas para preencher `principal.port`, `_intermediary.port` ou `target.port`, dependendo da categoria de registro e de outros campos.
`Device Type`	`principal.asset.hardware.model`	Mapeado diretamente como `device-type`.
`DTLSSupport`	`sec_result.detection_fields.value`	Mapeado diretamente.
`EndPointMACAddress`	`principal.asset.mac`	Mapeado diretamente após a conversão para letras minúsculas e a substituição de hífens por dois-pontos.
`EndPointMatchedProfile`	`sec_result.about.labels.value`	Mapeado diretamente.
`EndpointCertainityMetric`	`sec_result.detection_fields.value`	Mapeado diretamente como "Métrica de certeza do endpoint".
`EndpointIdentityGroup`	`principal.group.group_display_name`	Mapeado diretamente.
`EndpointIPAddress`	`principal.asset.ip`	Mapeado diretamente.
`EndpointNADAddress`	`sec_result.detection_fields.value`	Mapeado diretamente como "Endereço NAD do endpoint".
`EndpointOUI`	`sec_result.detection_fields.value`	Mapeado diretamente como "OUI do endpoint".
`EndpointPolicy`	`principal.asset.platform_software.platform_version`	Mapeado diretamente.
`EndpointProperty`	`sec_result.detection_fields.value`	Mapeado diretamente como "Propriedade do endpoint".
`EndpointSourceEvent`	`sec_result.detection_fields.value`	Mapeado diretamente.
`EndpointUserAgent`	`network.http.user_agent`	Mapeado diretamente.
`EndPointVersion`	`sec_result.detection_fields.value`	Mapeado diretamente.
`FailureReason`	`sec_result.detection_fields.value`, `sec_result.summary`, `sec_result.description`	Mapeado como `FailureReason`. Usado para preencher `sec_result.detection_fields` como "Motivo da falha", `sec_result.summary` ou `sec_result.description`, dependendo do contexto.
`FirstCollection`	`principal.asset.first_discover_time`	Analisado como carimbo de data/hora UNIX_MS.
`Framed-IP-Address`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Framed-IPv6-Address`	`FramedIPAddress`	Mapeado diretamente.
`Framed-Protocol`	`sec_result.detection_fields.value`	Mapeado diretamente.
`IdentityGroup`	`principal.group.group_display_name`	Mapeado diretamente.
`IdentityGroupID`	`principal.group.product_object_id`	Mapeado diretamente.
`IdentityPolicyMatchedRule`	`sec_result.about.labels.value`	Mapeado diretamente.
`IdentitySelectionMatchedRule`	`sec_result.detection_fields.value`	Mapeado diretamente.
`IMEI`	`target.asset.product_object_id`	Mapeado diretamente.
`ISELocalAddress`	`_intermediary.ip`, `principal.ip`, `principal.asset.ip`, `_intermediary.port`, `principal.port`, `sec_result.detection_fields.value`	Se estiver em `CISE_Administrative_and_Operational_Audit`, o IP e a porta serão extraídos e mapeados para `_intermediary` e `principal`. Caso contrário, mapeado diretamente como "Endereço local do ISE" para `sec_result.detection_fields`.
`ISEModuleName`	`sec_result.detection_fields.value`	Mapeado diretamente como "Nome do módulo ISE".
`ISEServiceName`	`sec_result.detection_fields.value`	Mapeado diretamente como "Nome do serviço ISE".
`IsThirdPartyDeviceFlow`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Issuer`	`about.labels.value`	Mapeado diretamente.
`LastActivity`	`principal.asset.last_discover_time`	Analisado como carimbo de data/hora UNIX_MS.
`LastNmapScanTime`	`sec_result.detection_fields.value`	Mapeado diretamente.
`lldpChassisId`	`target.mac`	Mapeado diretamente após a análise como endereço MAC.
`lldpSystemName`	`target.hostname`, `target.asset.hostname`	Mapeado diretamente.
`Location`	`principal.location.country_or_region`, `target.location.country_or_region`	Mapeado diretamente para o local `principal` ou `target`, dependendo da categoria de registro.
`Manufacturer`	`target.asset.hardware.manufacturer`	Mapeado diretamente.
`MessageCode`	`sec_result.detection_fields.value`, `metadata.event_type`	Mapeado diretamente como `msg_code`. Usado na lógica para determinar `metadata.event_type`.
`Model`	`target.asset.hardware.model`	Mapeado diretamente.
`NAS-IP-Address`	`principal.nat_ip`	Mapeado diretamente.
`NAS-Identifier`	`principal.labels.value`	Mapeado diretamente como `nas_identifier`.
`NAS-Port`	`principal.nat_port`, `sec_result.detection_fields.value`, `principal.labels.value`	Mapeado como `NASPort`. Se for numérico e menor que 2147483648, será mapeado para `principal.nat_port`. Caso contrário, será mapeado como string para `sec_result.detection_fields` como "NAS Port" ou `principal.labels` como "NAS-Port".
`NAS-Port-Id`	`principal.labels.value`, `sec_result.detection_fields.value`	Mapeado como `NASPortId`. Usado para preencher `principal.labels` como "nas_port_id" ou `sec_result.detection_fields` como "nas_port_id".
`NAS-Port-Type`	`principal.labels.value`, `sec_result.detection_fields.value`	Mapeado como `NASPortType`. Usado para preencher `principal.labels` como "nas_port_type" ou `sec_result.detection_fields` como "Nas-Port-Type".
`NetworkDeviceGroups`	`sec_result.detection_fields.value`	Mapeado diretamente.
`NetworkDeviceName`	`_intermediary.hostname`, `principal.hostname`, `principal.asset.hostname`, `target.hostname`, `target.asset.hostname`	Mapeado como `NetworkDeviceName`. Usado em várias lógicas para preencher `_intermediary.hostname`, `principal.hostname` ou `target.hostname`, dependendo da categoria de registro e de outros campos.
`NetworkDeviceProfileId`	`principal.asset.asset_id`	Mapeado com o prefixo "Cisco_ISE:".
`NetworkDeviceProfileName`	`principal.asset.attribute.labels.value`	Mapeado diretamente.
`ObjectName`	`sec_result.about.labels.value`	Mapeado diretamente.
`ObjectType`	`sec_result.about.labels.value`	Mapeado diretamente.
`OperatingSystem`	`target.asset.platform_software.platform_version`, `principal.asset.platform_software.platform_version`, `principal.platform`	Mapeado como `OperatingSystem`. Usado para preencher `target.asset.platform_software.platform_version` ou `principal.asset.platform_software.platform_version`. Se contiver "Win", `principal.platform` será definido como "WINDOWS". Se contiver "lin", `principal.platform` será definido como "LINUX". Se contiver "iOS", `principal.platform` será definido como "MAC".
`OperationMessageText`	`sec_result.detection_fields.value`, `about.labels.value`, `sec_result.summary`	Mapeado como `OperationMessageText`. Usado para preencher `sec_result.detection_fields` como "Texto da mensagem de operação", `about.labels` como "Texto da mensagem de operação" ou `sec_result.summary`, dependendo do contexto. Se ele tiver detalhes de conexão, eles serão extraídos e mapeados para `src` e `target`.
`OriginalUserName`	`principal.user.userid`	Mapeado diretamente como `User`.
`PeerAddress`	`target.mac`	Mapeado diretamente após a conversão para letras minúsculas e a substituição de hífens por dois-pontos.
`PeerName`	`target.hostname`, `target.asset.hostname`	O IP e o nome do host são extraídos e mapeados para `target.ip` e `target.hostname`.
`PhoneID`	`principal.user.phone_numbers`	Mapeado diretamente como `User-Fetch-Telephone`.
`PhoneNumber`	`principal.user.phone_numbers`	Mapeado diretamente.
`PolicyVersion`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Port`	`_intermediary.port`, `principal.port`, `target.port`	Mapeado como `Port`. Usado em várias lógicas para preencher `_intermediary.port`, `principal.port` ou `target.port`, dependendo da categoria de registro e de outros campos.
`PostureAssessmentStatus`	`sec_result.detection_fields.value`	Mapeado diretamente.
`PostureExpiry`	`sec_result.detection_fields.value`	Mapeado diretamente.
`PostureStatus`	`sec_result.detection_fields.value`	Mapeado diretamente como "Status da postura".
`ProfilerServer`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Protocol`	`sec_result.detection_fields.value`	Mapeado diretamente.
`r_cat_name`	`metadata.product_event_type`	Mapeado diretamente.
`r_ip_or_host`	`observer.ip`, `observer.hostname`, `principal.ip`, `principal.asset.ip`, `principal.hostname`, `principal.asset.hostname`, `target.ip`, `target.asset.ip`, `target.hostname`, `target.asset.hostname`	Se for um IP, será mapeado para `observer.ip`. Se for um nome de host, será mapeado para `observer.hostname`. Também é usado em várias lógicas para preencher o IP/nome do host `principal` ou `target`, dependendo da categoria de registro e de outros campos.
`r_msg_id`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Mapeado diretamente como "r_msg_id". Também usado como `metadata.product_log_id` se `sequence_num` não estiver disponível.
`r_seg_num`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Mapeado diretamente como "r_seg_num". Também usado como `metadata.product_log_id` se `sequence_num` não estiver disponível.
`r_total_seg`	`sec_result.detection_fields.value`	Mapeado diretamente.
`RadiusFlowType`	`sec_result.detection_fields.value`	Mapeado diretamente.
`RadiusPacketType`	`sec_result.detection_fields.value`	Mapeado diretamente como "Tipo de pacote Radius".
`RegisterStatus`	`sec_result.rule_name`	Mapeado diretamente.
`RequestLatency`	`sec_result.detection_fields.value`	Mapeado diretamente como "Latência da solicitação".
`SelectedAccessService`	`sec_result.detection_fields.value`	Mapeado diretamente como "Serviço de acesso selecionado".
`SelectedAuthorizationProfiles`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Serial Number`	`network.tls.server.certificate.serial`, `about.labels.value`	Mapeado como `serial_number`. Usado para preencher `network.tls.server.certificate.serial` ou `about.labels` como "Número de série", dependendo do contexto.
`Service-Type`	`sec_result.detection_fields.value`	Mapeado diretamente.
`SessionId`	`network.session_id`	Mapeado diretamente.
`ShutdownReason`	`sec_result.detection_fields.value`	Mapeado diretamente como "ShutdownReason".
`SSID`	`sec_result.detection_fields.value`	Mapeado diretamente.
`StaticGroupAssignment`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Subject`	`about.labels.value`	Mapeado diretamente.
`Subject Alternative Name`	`about.labels.value`	Mapeado diretamente como "Nome alternativo do assunto".
`SysStatsCpuCount`	`target.asset.hardware.cpu_number_cores`	Mapeado diretamente.
`SysStatsProcessMemoryMB`	`target.asset.hardware.ram`	Mapeado diretamente como `__hardware.ram`.
`SysStatsUtilizationNetwork`	`target.resource.name`, `network.sent_bytes`, `network.received_bytes`	O nome da adaptador de rede, os bytes enviados e os bytes recebidos são extraídos e mapeados. `target.resource.resource_type` está definido como "NÃO ESPECIFICADO".
`TimeToProfile`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Total Certainty Factor`	`sec_result.detection_fields.value`	Mapeado diretamente.
`TotalFailedTime`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Tunnel-Client-Endpoint`	`sec_result.detection_fields.value`	Mapeado diretamente como "Endpoint do cliente do túnel".
`UniqueConnectionIdentifier`	`sec_result.detection_fields.value`	Mapeado diretamente como "Identificador de conexão exclusivo".
`UpdateTime`	`sec_result.detection_fields.value`	Mapeado diretamente.
`User`	`principal.user.userid`	Mapeado diretamente.
`User-Fetch-Email`	`sec_result.detection_fields.value`	Mapeado diretamente.
`User-Fetch-Last-Name`	`principal.user.last_name`	Mapeado diretamente.
`User-Fetch-LocalityName`	`sec_result.detection_fields.value`	Mapeado diretamente.
`User-Fetch-StateOrProvinceName`	`sec_result.detection_fields.value`	Mapeado diretamente.
`User-Fetch-Telephone`	`principal.user.phone_numbers`	Mapeado diretamente como `PhoneID`.
`UserName`	`principal.user.userid`	Mapeado diretamente. Se não estiver vazio e não for "" ou "unknown", ele será convertido em letras minúsculas, os hifens serão substituídos por dois-pontos e, se corresponder a um padrão de endereço MAC, também será mapeado para `principal.mac`.
`User-Name`	`principal.user.userid`	Mapeado diretamente.
`UserType`	`principal.user.attribute.labels.value`	Mapeado diretamente.
(Parser Logic) `action`	`sec_result.action`	Defina como "ALLOW" se `msg_text` tiver palavras-chave de sucesso, "BLOCK" se tiver palavras-chave de falha e "UNKNOWN_ACTION" caso contrário.
(Parser Logic) `about.hostname`	`about.hostname`	Derivado de `StepData=4` ou `stepdata`.
(Parser Logic) `event.idm.read_only_udm.about`	`event.idm.read_only_udm.about`	Preenchido com vários campos, como `about.hostname`, `about.application` e `about.process.pid`.
(Parser Logic) `event.idm.read_only_udm.extensions.auth.mechanism`	`event.idm.read_only_udm.extensions.auth.mechanism`	Definido como "REDE" em determinados casos na categoria `CISE_TACACS_Diagnostics`.
(Parser Logic) `event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	Defina como "MACHINE" para vários eventos de login/logout, "TACACS" para determinados eventos do TACACS e "AUTHTYPE_UNSPECIFIED" para outros eventos de login.
(Parser Logic) `event.idm.read_only_udm.metadata.collected_timestamp`	`event.idm.read_only_udm.metadata.collected_timestamp`	Analisado de `logstash.process.timestamp`, se disponível.
(Parser Logic) `event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	Construído com `msg_class` e `msg_text` ou apenas `msg_text` se `msg_class` não estiver disponível.
(Parser Logic) `event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado do campo `datetime`, que é derivado de `datetime` e `timezone` ou `r_datetime`.
(Parser Logic) `event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	Determinada com base em `r_cat_name`, `msg_code` e outros campos. Pode ser GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED, NETWORK_FLOW.
(Parser Logic) `event.idm.read_only_udm.metadata.ingested_timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Analisado de `logstash.ingest.timestamp`, se disponível.
(Parser Logic) `event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	Defina como "CISCO_ISE".
(Parser Logic) `event.idm.read_only_udm.metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Derivado de `r_cat_name`.
(Parser Logic) `event.idm.read_only_udm.metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Derivado de `sequence_num`, `r_seg_num` ou `r_msg_id`, dependendo da disponibilidade.
(Parser Logic) `event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	Defina como "ISE" ou `MDMServerName`, se disponível.
(Parser Logic) `event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Defina como "Cisco".
(Parser Logic) `event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Derivado de `ac-user-agent` ou `EndpointUserAgent`.
(Parser Logic) `event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	Defina como "TCP" para determinados tipos de evento.
(Parser Logic) `event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	Derivado de `SessionId`.
(Parser Logic) `event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	Derivado de `TLSCipher`.
(Parser Logic) `event.idm.read_only_udm.network.tls.server.certificate.serial`	`event.idm.read_only_udm.network.tls.server.certificate.serial`	Derivado de `Serial Number`.
(Parser Logic) `event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	Derivado de `TLSVersion`.
(Parser Logic) `event.idm.read_only_udm.principal.asset.asset_id`	`event.idm.read_only_udm.principal.asset.asset_id`	Derivado de `NetworkDeviceProfileId` com o prefixo "Cisco_ISE:".
(Parser Logic) `event.idm.read_only_udm.principal.asset.hardware`	`event.idm.read_only_udm.principal.asset.hardware`	Preenchido com campos como `hardware.manufacturer` e `hardware.model`.
(Parser Logic) `event.idm.read_only_udm.principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	Derivado de vários campos de endereço IP, dependendo da categoria de registro e de outros campos.
(Parser Logic) `event.idm.read_only_udm.principal.asset.mac`	`event.idm.read_only_udm.principal.asset.mac`	Derivado de `EndpointMacAddress`, `parsed_endpoint_mac` ou outros campos de endereço MAC após a formatação adequada.
(Parser Logic) `event.idm.read_only_udm.principal.asset.platform_software.platform_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_version`	Derivado de `OperatingSystem`, `EndpointPolicy` ou `ad_operating_system`.
(Parser Logic) `event.idm.read_only_udm.principal.group.group_display_name`	`event.idm.read_only_udm.principal.group.group_display_name`	Derivado de `AD-Domain`, `IdentityGroup` ou `EndpointIdentityGroup`.
(Parser Logic) `event.idm.read_only_udm.principal.group.product_object_id`	`event.idm.read_only_udm.principal.group.product_object_id`	Derivado de `IdentityGroupID`.
(Parser Logic) `event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	Derivado de `r_ip_or_host`, `NetworkDeviceName` ou outros campos de nome de host, dependendo da categoria de registro e de outros campos.
(Parser Logic) `event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	Derivado de vários campos de endereço IP, dependendo da categoria de registro e de outros campos.
(Parser Logic) `event.idm.read_only_udm.principal.labels`	`event.idm.read_only_udm.principal.labels`	Preenchido com campos como `nas_identifier`, `nas_port_type` e `nas_port_id`.
(Parser Logic) `event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	Derivado de `Location`.
(Parser Logic) `event.idm.read_only_udm.principal.nat_ip`	`event.idm.read_only_udm.principal.nat_ip`	Derivado de `NAS-IP-Address`.
(Parser Logic) `event.idm.read_only_udm.principal.nat_port`	`event.idm.read_only_udm.principal.nat_port`	Derivado de `NAS-Port` se numérico e menor que 2147483648.
(Parser Logic) `event.idm.read_only_udm.principal.platform`	`event.idm.read_only_udm.principal.platform`	Derivado de `device-platform` ou `OperatingSystem`. Pode ser WINDOWS, LINUX, MAC ou UNKNOWN_PLATFORM.
(Parser Logic) `event.idm.read_only_udm.principal.platform_version`	`event.idm.read_only_udm.principal.platform_version`	Derivado de `platform-version`.
(Parser Logic) `event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	Derivado de `Device Port` ou `Port` se for numérico.
(Parser Logic) `event.idm.read_only_udm.principal.user.attribute.labels`	`event.idm.read_only_udm.principal.user.attribute.labels`	Preenchido com campos como "Admin Interface", "UserType" e "Chargeable-User-Identity".
(Parser Logic) `event.idm.read_only_udm.principal.user.phone_numbers`	`event.idm.read_only_udm.principal.user.phone_numbers`	Derivado de `PhoneID` ou `PhoneNumber`.
(Parser Logic) `event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	Derivado de `User`, `UserName`, `User-Name`, `AdminName`, `OriginalUserName` ou outros campos de nome de usuário, dependendo da categoria de registro e de outros campos.
(Parser Logic) `event.idm.read_only_udm.security_result.about.labels`	`event.idm.read_only_udm.security_result.about.labels`	Preenchido com campos como "IdentityPolicyMatchedRule", "EndPointMatchedProfile", "ObjectType" e "ObjectName".
(Parser Logic) `event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	Derivado de `msg_text` ou `AuthenticationStatus`. Pode ser ALLOW, BLOCK ou UNKNOWN_ACTION.
(Parser Logic) `event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	Preenchido com vários campos, dependendo da categoria de registro e de outros campos.
(Parser Logic) `event.idm.read_only_udm.security_result.description`	`event.idm.read_only_udm.security_result.description`	Derivado de `AD-Error-Details` ou `DetailedInfo`.
(Parser Logic) `event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Derivado de `AuthorizationPolicyMatchedRule` ou `RegisterStatus`.
(Parser Logic) `event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Derivado de `msg_sev`. Pode ser CRÍTICO, ERRO, ALTO, MÉDIO ou INFORMATIVO.
(Parser Logic) `event.idm.read_only_udm.security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	Derivado de `msg_sev`.
(Parser Logic) `event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	Derivado de `msg_text` ou `FailureReason`.
(Parser Logic) `event.idm.read_only_udm.src.ip`	`event.idm.read_only_udm.src.ip`	Derivado de `source_ip` extraído de `OperationMessageText`.
(Parser Logic) `event.idm.read_only_udm.src.port`	`event.idm.read_only_udm.src.port`	Derivado de `source_port` extraído de `OperationMessageText` se for numérico.
(Parser Logic) `event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	Derivado de `AD-Domain-Controller`.
(Parser Logic) `event.idm.read_only_udm.target.asset.hardware`	`event.idm.read_only_udm.target.asset.hardware`	Preenchido com campos como `_hardware.cpu_number_cores`.
(Parser Logic) `event.idm.read_only_udm.target.asset.hostname`	`

Alterações

2024-05-10

"ExternalGroups" foi associado a "additional.fields".

2024-05-09

Foram adicionados padrões Grok para analisar novos formatos de "CISE_Profiler".
Alguns campos foram mapeados para "CISE_Administrative_and_Operational_Audit" e "CISE_Alarm".

2024-04-18

"msg_sev" foi mapeado para "security_result.severity_details".
Mapeamos "r_total_seg", "r_seg_num", "msg_code" e "r_msg_id" para "security_result.detection_fields".
"r_cat_name" foi mapeado para "security_result.category_details".
"msg_text" e "msg_class" foram mapeados para "metadata.description".
Mapeamentos "target.ip" e "target.asset.ip" alinhados.
Os mapeamentos "target.hostname" e "target.asset.hostname" foram alinhados.
Mapeamentos "principal.ip" e "principal.asset.ip" alinhados.
Os mapeamentos "principal.hostname" e "principal.asset.hostname" foram alinhados.
Um padrão Grok foi adicionado para analisar "msg_attrs".

2024-04-10

Correção de bugs:
Foram adicionados padrões Grok para analisar novos formatos de "PeerName".

2023-11-20

Foram adicionados novos padrões Grok para analisar Syslogs com falhas.
Adição de "msg_code" "5412" para analisar logs com o mesmo "msg_code".

2023-09-29

Adição de suporte a um novo padrão de registros JSON.
"EndpointSourceEvent", "NASIdentifier", "NAS-Port-Type", "NAS-Port-Id" e "ProfilerServer" foram mapeados para "security_result.detection_fields" nos registros 80002 e 80006.
O mapeamento de "Local" foi alterado de "principal.local" para "alvo.local" nos registros 80002 e 80006.
A verificação on_error foi adicionada para substituir e mesclar funções.
O mapeamento de data foi modificado para analisar datas com os fusos horários "MEST" e "MESZ".

2023-08-02

Melhoria:
Foi adicionado um mapeamento de KV para analisar e mapear "cisco-av-pair=dhcp-option=host-name" para "target.hostname".
O mapeamento de "security_result.action" mudou de "FAIL" para "BLOCK" quando "msg_text" contém "failed|dropped|stop|rejected|down|abandoned|block|blocking|invalid".

2023-07-18

Melhoria:
Mapeou "cisco-av-pair=dhcp-option=host-name" para "target.hostname".
O mapeamento de "User-Name" mudou de "target.user.userid" para "principal.user.userid".
O mapeamento de "UserName" mudou de "target.user.userid" para "principal.user.userid".
O mapeamento de "Usuário" mudou de "target.user.userid" para "principal.user.userid".
O mapeamento de "PhoneNumber" mudou de "target.user.phone_numbers" para "principal.user.phone_numbers".
O "FramedIPAddress" foi mapeado para "security_result.detection_fields" para os tipos de evento do Perfilador 80002 e 80006.
O mapeamento de datas foi modificado para analisar a data com o fuso horário "EASTERN".
O padrão Grok foi adicionado para corresponder a "PeerAddress".

2023-06-07

Enhancement-
Foi adicionado um padrão Grok para analisar um novo padrão de registro.

2023-05-26

Enhancement-
O mapeamento de data foi modificado para analisar a data com o fuso horário "BJ".

2023-04-18

Enhancement-
Um bloco "json" foi adicionado para processar registros JSON.
"logstash.irm_region" foi mapeado para "additional.fields".
"logstash.irm_environment" foi mapeado para "additional.fields".
Mapeamos "logstash.irm_site" para "additional.fields".
"logstash.ingest.timestamp" foi mapeado para "metadata.ingested_timestamp".
"logstash.process.timestamp" foi mapeado para "metadata.collected_timestamp".

2023-03-01

Enhancement-
Sempre que "Calling-Station-ID" for um endereço IP, mapeie-o para "principal.ip".
Foi adicionada uma condição de expressão regular para validar o endereço MAC do campo "device-mac" antes do mapeamento para "principal.mac".

2022-12-08

Enhancement-
O "assetDeviceType" foi associado a "principal.resource.name".
O "assetIncidentScore" foi mapeado para "security_result.detection_fields".
O "PostureAssessmentStatus" foi mapeado para "security_result.detection_fields".
Mapeamos "PolicyVersion" para "security_result.detection_fields".
Mapeamos "EndPointVersion" para "security_result.detection_fields".
O EndPointPolicyID foi associado a security_result.detection_fields.

2022-10-13

Melhoria: corrigimos o mapeamento de datas para formatos de data SYSLOGTIMESTAMP.

2022-08-10

Melhoria: mapeamentos modificados para os seguintes campos de "additional.fields" para "security_result.detection_fields".
'CPMSessionID', 'NASPort', 'AD-Log-Id', 'AD-Srv-Query', 'AD-Srv-Record', 'Tunnel-Client-Endpoint', 'IsThirdPartyDeviceFlow', 'PostureStatus', 'OperationMessageText', 'AcsSessionID', 'SelectedAccessService', 'RadiusPacketType', 'ISELocalAddress', 'ISEModuleName', 'ISEServiceName', 'ConnectionStatus', 'UniqueConnectionIdentifier', 'Audit_session_id', 'EndpointCertainityMetric', 'EndpointNADAddress', 'EndpointOUI', 'EndpointProperty', 'AuthenticationIdentityStore', 'AD-Host-Candidate-Identities', 'PostureExpiry', 'allowEasyWiredSession', 'ConfigVersionId', 'RequestLatency', 'Service-Type', 'Framed-Protocol', 'Class', 'Called-Station-ID', 'Calling-Station-ID', 'Acct-Status-Type', 'Acct-Delay-Time', 'Acct-Input-Octets', 'Acct-Output-Octets', 'Acct-Session-Id', 'Acct-Authentic', 'Acct-Session-Time', 'Acct-Input-Packets', 'Acct-Output-Packets', 'Acct-Terminate-Cause', 'Protocol'.

2022-08-12

Correção de bugs:
O mapeamento do campo "principal.ativo.nome_de_host" foi modificado para "intermediario.nome_de_host".
O event_type foi modificado de GENERIC_EVENT para STATUS_UPDATE ou NETWORK_CONNECTION.

2022-07-11

Correção de bug: NetworkDeviceName foi mapeado para "event.idm.read_only_udm.principal.hostname", em que Product_event_type é 5440 RADIUS.
O r_ip_or_host foi mapeado para observer.ip ou observer.hostname.
Registros malformados/codificados foram descartados.

2022-05-02

Correção de bug: correção do mapeamento de "security_result.action" de "ALLOW" para "FAIL", em que log_type é "CISE_Failed_Attempts".

2022-04-21

Melhoria: os registros foram analisados com log_type='CISE_Profiler'.
Para log_type='CISE_TACACS_Accounting mudou event_type de 'GENERIC_EVENT' para 'USER_UNCATEGORIZED'
Adição de uma condição adequada para os campos "NASPort" e "Port".

2022-04-18

Mapeamos "foreign_ip" para "intermediary.ip"
Analisou os registros com log_type='CISE_TACACS_Accounting' e 'CISE_RADIUS_Accounting'
Para log_type='CISE_TACACS_Accounting mudou event_type de 'GENERIC_EVENT' para 'USER_UNCATEGORIZED'
Adicionamos a condição adequada para o campo "NASPort".

13/04/2022

NAS-Port-Id mapeado no evento: 5200.
Nomes de host mapeados em eventos: 60188, 60125, 60116, 60115, 60081, 60080, 51021, 51020, 51003, 51002, 51001, 51000, 52000, 52001, 52002.
Texto da mensagem de operação mapeada em about.labels no evento: 52000.
Número de série mapeado em additional_fields no evento: 5200.