收集 Cisco ISE 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google 安全运营转发器收集 Cisco Identify Services Engine (ISE) 日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 CISCO_ISE 注入标签的解析器。
配置 Cisco ISE
- 使用管理员凭据登录 Cisco ISE 控制台。
- 在 Cisco ISE 控制台中,依次选择管理 > 系统 > 日志记录 > 远程日志记录目标。
- 在 Remote logging targets 窗口中,点击 Add。系统随即会显示新建日志记录目标窗口。
在日志记录目标部分中,为以下字段指定值:
字段 说明 名称 Google Security Operations 转发器的名称。 说明 Google Security Operations 转发器的说明。 类型 远程日志目标的类型,例如 syslog。 IP 地址 Google Security Operations 转发器的 IP 地址。 目标类型 选择 TCP syslog 或 UDP syslog。 端口 使用高端口,例如 10514。 设施代码 您可以指定以下某个值: - LOCAL0(代码 = 16)
- LOCAL1(代码 = 17)
- LOCAL2(代码 = 18)
- LOCAL3(代码 = 19)
- LOCAL4(代码 = 20)
- LOCAL5(代码 = 21)
- LOCAL6(代码 = 22;默认)
- LOCAL7(代码 = 23)
密码长度上限 建议值为 1024。 点击提交。系统会显示远程日志目标窗口,其中包含新的 Google Security Operations 转发器配置。
在 Cisco ISE 控制台中,依次选择管理 > 系统 > 日志记录 > 日志记录类别。
在日志记录类别窗口中,选择要为哪些类别设置远程 syslog 目标,然后添加远程 syslog 目标。
以下是示例类别:AAA 审核、AAA 诊断、会计、管理和运营审核、状态和客户端配置审核、状态和客户端配置诊断、性能分析器、系统诊断和系统统计信息。
配置 Google Security Operations 转发器和 syslog 以提取 Cisco Secure ACS 日志
- 依次前往 SIEM 设置 > 转发器。
- 点击添加新转发器。
- 在转发器名称字段中,为转发器输入一个唯一的名称。
- 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
- 在收集器名称字段中,输入名称。
- 选择 Cisco ISE 作为日志类型。
- 选择 Syslog 作为收集器类型。
- 配置以下必需的输入参数:
- 协议:指定协议。
- 地址:指定收集器所在的目标 IP 地址或主机名,以及 syslog 数据的地址。
- 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
- 点击提交。
如需详细了解 Google Security Operations 转发器,请参阅 Google Security Operations 转发器文档。 如需了解每种转发器类型的要求,请参阅按类型配置转发器。 如果您在创建转发器时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
此解析器会从 syslog 消息中提取 Cisco ISE 日志,将数据标准化为 UDM 格式,并使用其他上下文丰富事件。它可处理各种 ISE 日志类别,包括身份验证成功和失败、管理审核、系统统计信息等,将相关字段映射到 UDM 架构,并添加特定标签以进行详细分析。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
Acct-Authentic |
sec_result.detection_fields.value |
直接映射。 |
Acct-Delay-Time |
sec_result.detection_fields.value |
直接映射。 |
Acct-Input-Octets |
sec_result.detection_fields.value |
直接映射。 |
Acct-Input-Packets |
sec_result.detection_fields.value |
直接映射。 |
Acct-Output-Octets |
sec_result.detection_fields.value |
直接映射。 |
Acct-Output-Packets |
sec_result.detection_fields.value |
直接映射。 |
Acct-Session-Id |
sec_result.detection_fields.value |
直接映射。 |
Acct-Session-Time |
sec_result.detection_fields.value |
直接映射。 |
Acct-Status-Type |
sec_result.detection_fields.value |
直接映射。 |
Acct-Terminate-Cause |
sec_result.detection_fields.value |
直接映射。 |
AcsSessionID |
sec_result.detection_fields.value |
直接映射为“Acs SessionID”。 |
AD-Account-Name |
principal.user.userid |
直接映射。 |
AD-Domain |
principal.group.group_display_name |
直接映射。 |
AD-Domain-Controller |
target.administrative_domain |
直接映射。 |
AD-Error-Details |
sec_result.description |
直接映射。 |
AD-Host-Candidate-Identities |
sec_result.detection_fields.value |
直接映射。 |
AD-IP-Address |
target.ip,target.asset.ip |
直接映射。 |
AD-Log-Id |
sec_result.detection_fields.value |
直接映射为“AD-Log-Id”。 |
AD-Operating-System |
principal.asset.platform_software.platform_version |
直接映射为 ad_operating_system。如果包含“Windows”,则 principal.platform 设置为“WINDOWS”。 |
AD-Site |
target.location.name |
直接映射。 |
AD-Srv-Query |
sec_result.detection_fields.value |
直接映射为“AD-Srv-Query”。 |
AD-Srv-Record |
sec_result.detection_fields.value |
直接映射为“AD-Srv-Record”。 |
AD-User-Resolved-Identities |
sec_result.detection_fields.value |
直接映射。 |
AD-User-SamAccount-Name |
principal.user.attribute.labels.value |
直接映射。 |
AdminIPAddress |
principal.ip,principal.asset.ip |
直接映射。 |
AdminInterface |
principal.user.attribute.labels.value |
直接映射为“管理界面”。 |
AdminName |
principal.user.userid |
直接映射。还添加了类型为“ADMINISTRATOR”的 user.attribute.roles。 |
AuthenticationIdentityStore |
sec_result.detection_fields.value |
直接映射为“Authentication Identity Store”。 |
AuthenticationStatus |
sec_result.action_details |
直接映射。如果值与“AuthenticationPassed”匹配,则 sec_result.action 设置为“ALLOW”,否则设置为“BLOCK”。 |
AuthorizationPolicyMatchedRule |
sec_result.rule_name |
已映射到前缀为“AuthorizationPolicyMatchedRule : ”的字段。 |
BYODRegistration |
sec_result.detection_fields.value |
直接映射。 |
Called-Station-ID |
sec_result.detection_fields.value |
直接映射。 |
Calling-Station-ID |
sec_result.detection_fields.value、principal.ip、principal.asset.ip |
直接映射。如果是 IP 地址,还会映射到 principal.ip 和 principal.asset.ip。 |
cdpCachePlatform |
principal.asset.hardware.model |
直接映射。 |
Class |
sec_result.detection_fields.value |
直接映射。 |
ClientLatency |
sec_result.detection_fields.value |
直接映射。 |
CmdSet |
target.process.command_line |
移除括号和空格后直接映射。 |
ConfigVersionId |
sec_result.detection_fields.value |
直接映射为“配置版本 ID”。 |
ConnectionStatus |
sec_result.detection_fields.value |
直接映射为“连接状态”。 |
CPMSessionID |
sec_result.detection_fields.value |
直接映射。 |
CreateTime |
principal.asset.attribute.creation_time |
解析为 UNIX_MS 时间戳。 |
DetailedInfo |
sec_result.description |
移除反斜线后直接映射。 |
DestinationIPAddress |
target.ip,target.asset.ip |
直接映射。将 has_target 设置为“true”。 |
DestinationPort |
target.port |
如果是数字,则直接映射。 |
Device IP Address |
principal.ip、principal.asset.ip、_intermediary.ip、target.ip、target.asset.ip |
映射为 DeviceIPAddress。用于各种逻辑,以根据日志类别和其他字段填充 principal.ip、_intermediary.ip 或 target.ip。 |
Device Port |
principal.port、_intermediary.port、target.port |
映射为 DevicePort。用于各种逻辑,以根据日志类别和其他字段填充 principal.port、_intermediary.port 或 target.port。 |
Device Type |
principal.asset.hardware.model |
直接映射为 device-type。 |
DTLSSupport |
sec_result.detection_fields.value |
直接映射。 |
EndPointMACAddress |
principal.asset.mac |
转换为小写并将连字符替换为英文冒号后,直接映射。 |
EndPointMatchedProfile |
sec_result.about.labels.value |
直接映射。 |
EndpointCertainityMetric |
sec_result.detection_fields.value |
直接映射为“端点确定性指标”。 |
EndpointIdentityGroup |
principal.group.group_display_name |
直接映射。 |
EndpointIPAddress |
principal.asset.ip |
直接映射。 |
EndpointNADAddress |
sec_result.detection_fields.value |
直接映射为“端点 NAD 地址”。 |
EndpointOUI |
sec_result.detection_fields.value |
直接映射为“端点 OUI”。 |
EndpointPolicy |
principal.asset.platform_software.platform_version |
直接映射。 |
EndpointProperty |
sec_result.detection_fields.value |
直接映射为“端点媒体资源”。 |
EndpointSourceEvent |
sec_result.detection_fields.value |
直接映射。 |
EndpointUserAgent |
network.http.user_agent |
直接映射。 |
EndPointVersion |
sec_result.detection_fields.value |
直接映射。 |
FailureReason |
sec_result.detection_fields.value、sec_result.summary、sec_result.description |
映射为 FailureReason。用于将 sec_result.detection_fields 填充为“失败原因”“sec_result.summary”或“sec_result.description”(具体取决于上下文)。 |
FirstCollection |
principal.asset.first_discover_time |
解析为 UNIX_MS 时间戳。 |
Framed-IP-Address |
sec_result.detection_fields.value |
直接映射。 |
Framed-IPv6-Address |
FramedIPAddress |
直接映射。 |
Framed-Protocol |
sec_result.detection_fields.value |
直接映射。 |
IdentityGroup |
principal.group.group_display_name |
直接映射。 |
IdentityGroupID |
principal.group.product_object_id |
直接映射。 |
IdentityPolicyMatchedRule |
sec_result.about.labels.value |
直接映射。 |
IdentitySelectionMatchedRule |
sec_result.detection_fields.value |
直接映射。 |
IMEI |
target.asset.product_object_id |
直接映射。 |
ISELocalAddress |
_intermediary.ip、principal.ip、principal.asset.ip、_intermediary.port、principal.port、sec_result.detection_fields.value |
如果在 CISE_Administrative_and_Operational_Audit 中,系统会提取 IP 和端口并将其映射到 _intermediary 和 principal。否则,将其直接映射为“ISE 本地地址”到 sec_result.detection_fields。 |
ISEModuleName |
sec_result.detection_fields.value |
直接映射为“ISE 模块名称”。 |
ISEServiceName |
sec_result.detection_fields.value |
直接映射为“ISE 服务名称”。 |
IsThirdPartyDeviceFlow |
sec_result.detection_fields.value |
直接映射。 |
Issuer |
about.labels.value |
直接映射。 |
LastActivity |
principal.asset.last_discover_time |
解析为 UNIX_MS 时间戳。 |
LastNmapScanTime |
sec_result.detection_fields.value |
直接映射。 |
lldpChassisId |
target.mac |
解析后直接映射为 MAC 地址。 |
lldpSystemName |
target.hostname,target.asset.hostname |
直接映射。 |
Location |
principal.location.country_or_region,target.location.country_or_region |
直接映射到 principal 或 target 位置,具体取决于日志类别。 |
Manufacturer |
target.asset.hardware.manufacturer |
直接映射。 |
MessageCode |
sec_result.detection_fields.value,metadata.event_type |
直接映射为 msg_code。用于逻辑中,用于确定 metadata.event_type。 |
Model |
target.asset.hardware.model |
直接映射。 |
NAS-IP-Address |
principal.nat_ip |
直接映射。 |
NAS-Identifier |
principal.labels.value |
直接映射为 nas_identifier。 |
NAS-Port |
principal.nat_port、sec_result.detection_fields.value、principal.labels.value |
映射为 NASPort。如果是数字且小于 2147483648,则映射到 principal.nat_port。否则,将字符串映射到 sec_result.detection_fields(“NAS 端口”)或 principal.labels(“NAS-Port”)。 |
NAS-Port-Id |
principal.labels.value,sec_result.detection_fields.value |
映射为 NASPortId。用于将 principal.labels 填充为“nas_port_id”或将 sec_result.detection_fields 填充为“nas_port_id”。 |
NAS-Port-Type |
principal.labels.value,sec_result.detection_fields.value |
映射为 NASPortType。用于将 principal.labels 填充为“nas_port_type”或将 sec_result.detection_fields 填充为“Nas-Port-Type”。 |
NetworkDeviceGroups |
sec_result.detection_fields.value |
直接映射。 |
NetworkDeviceName |
_intermediary.hostname、principal.hostname、principal.asset.hostname、target.hostname、target.asset.hostname |
映射为 NetworkDeviceName。用于各种逻辑,以根据日志类别和其他字段填充 _intermediary.hostname、principal.hostname 或 target.hostname。 |
NetworkDeviceProfileId |
principal.asset.asset_id |
使用前缀“Cisco_ISE:”进行映射。 |
NetworkDeviceProfileName |
principal.asset.attribute.labels.value |
直接映射。 |
ObjectName |
sec_result.about.labels.value |
直接映射。 |
ObjectType |
sec_result.about.labels.value |
直接映射。 |
OperatingSystem |
target.asset.platform_software.platform_version、principal.asset.platform_software.platform_version、principal.platform |
映射为 OperatingSystem。用于填充 target.asset.platform_software.platform_version 或 principal.asset.platform_software.platform_version。如果包含“Win”,则 principal.platform 设置为“WINDOWS”。如果包含“lin”,则 principal.platform 会设置为“LINUX”。如果包含“iOS”,则将 principal.platform 设置为“MAC”。 |
OperationMessageText |
sec_result.detection_fields.value、about.labels.value、sec_result.summary |
映射为 OperationMessageText。用于将 sec_result.detection_fields 填充为“操作消息文本”,将 about.labels 填充为“操作消息文本”,或将 sec_result.summary 填充为“操作消息文本”,具体取决于上下文。如果它包含连接详情,系统会提取这些详情并将其映射到 src 和 target。 |
OriginalUserName |
principal.user.userid |
直接映射为 User。 |
PeerAddress |
target.mac |
转换为小写并将连字符替换为英文冒号后,直接映射。 |
PeerName |
target.hostname,target.asset.hostname |
系统会提取 IP 地址和主机名,并将其映射到 target.ip 和 target.hostname。 |
PhoneID |
principal.user.phone_numbers |
直接映射为 User-Fetch-Telephone。 |
PhoneNumber |
principal.user.phone_numbers |
直接映射。 |
PolicyVersion |
sec_result.detection_fields.value |
直接映射。 |
Port |
_intermediary.port、principal.port、target.port |
映射为 Port。用于各种逻辑,以根据日志类别和其他字段填充 _intermediary.port、principal.port 或 target.port。 |
PostureAssessmentStatus |
sec_result.detection_fields.value |
直接映射。 |
PostureExpiry |
sec_result.detection_fields.value |
直接映射。 |
PostureStatus |
sec_result.detection_fields.value |
直接映射为“姿势状态”。 |
ProfilerServer |
sec_result.detection_fields.value |
直接映射。 |
Protocol |
sec_result.detection_fields.value |
直接映射。 |
r_cat_name |
metadata.product_event_type |
直接映射。 |
r_ip_or_host |
observer.ip、observer.hostname、principal.ip、principal.asset.ip、principal.hostname、principal.asset.hostname、target.ip、target.asset.ip、target.hostname、target.asset.hostname |
如果是 IP 地址,则映射到 observer.ip。如果是主机名,则映射到 observer.hostname。还可在各种逻辑中用于根据日志类别和其他字段填充 principal 或 target IP/主机名。 |
r_msg_id |
sec_result.detection_fields.value,metadata.product_log_id |
直接映射为“r_msg_id”。如果 sequence_num 不可用,还可用作 metadata.product_log_id。 |
r_seg_num |
sec_result.detection_fields.value,metadata.product_log_id |
直接映射为“r_seg_num”。如果 sequence_num 不可用,还可用作 metadata.product_log_id。 |
r_total_seg |
sec_result.detection_fields.value |
直接映射。 |
RadiusFlowType |
sec_result.detection_fields.value |
直接映射。 |
RadiusPacketType |
sec_result.detection_fields.value |
直接映射为“Radius 数据包类型”。 |
RegisterStatus |
sec_result.rule_name |
直接映射。 |
RequestLatency |
sec_result.detection_fields.value |
直接映射为“请求延迟时间”。 |
SelectedAccessService |
sec_result.detection_fields.value |
直接映射为“所选的访问服务”。 |
SelectedAuthorizationProfiles |
sec_result.detection_fields.value |
直接映射。 |
Serial Number |
network.tls.server.certificate.serial,about.labels.value |
映射为 serial_number。用于将 network.tls.server.certificate.serial 或 about.labels 填充为“序列号”(具体取决于上下文)。 |
Service-Type |
sec_result.detection_fields.value |
直接映射。 |
SessionId |
network.session_id |
直接映射。 |
ShutdownReason |
sec_result.detection_fields.value |
直接映射为“ShutdownReason”。 |
SSID |
sec_result.detection_fields.value |
直接映射。 |
StaticGroupAssignment |
sec_result.detection_fields.value |
直接映射。 |
Subject |
about.labels.value |
直接映射。 |
Subject Alternative Name |
about.labels.value |
直接映射为“Subject Alternative Name”。 |
SysStatsCpuCount |
target.asset.hardware.cpu_number_cores |
直接映射。 |
SysStatsProcessMemoryMB |
target.asset.hardware.ram |
直接映射为 __hardware.ram。 |
SysStatsUtilizationNetwork |
target.resource.name、network.sent_bytes、network.received_bytes |
系统会提取并映射网络适配器名称、发送的字节数和接收的字节数。target.resource.resource_type 设置为“UNSPECIFIED”。 |
TimeToProfile |
sec_result.detection_fields.value |
直接映射。 |
Total Certainty Factor |
sec_result.detection_fields.value |
直接映射。 |
TotalFailedTime |
sec_result.detection_fields.value |
直接映射。 |
Tunnel-Client-Endpoint |
sec_result.detection_fields.value |
直接映射为“隧道客户端端点”。 |
UniqueConnectionIdentifier |
sec_result.detection_fields.value |
直接映射为“唯一连接标识符”。 |
UpdateTime |
sec_result.detection_fields.value |
直接映射。 |
User |
principal.user.userid |
直接映射。 |
User-Fetch-Email |
sec_result.detection_fields.value |
直接映射。 |
User-Fetch-Last-Name |
principal.user.last_name |
直接映射。 |
User-Fetch-LocalityName |
sec_result.detection_fields.value |
直接映射。 |
User-Fetch-StateOrProvinceName |
sec_result.detection_fields.value |
直接映射。 |
User-Fetch-Telephone |
principal.user.phone_numbers |
直接映射为 PhoneID。 |
UserName |
principal.user.userid |
直接映射。如果该值不为空,并且不为“”或“未知”,则会转换为小写,并且将连字符替换为英文冒号;如果该值与 MAC 地址模式匹配,则还会映射到 principal.mac。 |
User-Name |
principal.user.userid |
直接映射。 |
UserType |
principal.user.attribute.labels.value |
直接映射。 |
(解析器逻辑)action |
sec_result.action |
如果 msg_text 包含成功关键字,则设置为“ALLOW”;如果包含失败关键字,则设置为“BLOCK”;否则设置为“UNKNOWN_ACTION”。 |
(解析器逻辑)about.hostname |
about.hostname |
派生自 StepData=4 或 stepdata。 |
(解析器逻辑)event.idm.read_only_udm.about |
event.idm.read_only_udm.about |
填充了 about.hostname、about.application 和 about.process.pid 等各种字段。 |
(解析器逻辑)event.idm.read_only_udm.extensions.auth.mechanism |
event.idm.read_only_udm.extensions.auth.mechanism |
在某些情况下,在 CISE_TACACS_Diagnostics 类别中设置为“NETWORK”。 |
(解析器逻辑)event.idm.read_only_udm.extensions.auth.type |
event.idm.read_only_udm.extensions.auth.type |
对于各种登录/退出事件,请将其设置为“MACHINE”;对于某些 TACACS 事件,请将其设置为“TACACS”;对于其他登录事件,请将其设置为“AUTHTYPE_UNSPECIFIED”。 |
(解析器逻辑)event.idm.read_only_udm.metadata.collected_timestamp |
event.idm.read_only_udm.metadata.collected_timestamp |
从 logstash.process.timestamp 解析(如果有)。 |
(解析器逻辑)event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
由 msg_class 和 msg_text 构建而成,如果 msg_class 不可用,则仅由 msg_text 构建而成。 |
(解析器逻辑)event.idm.read_only_udm.metadata.event_timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
从 datetime 字段解析,该字段派生自 datetime 和 timezone 或 r_datetime。 |
(解析器逻辑)event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
根据 r_cat_name、msg_code 和其他字段确定。可以是 GENERIC_EVENT、STATUS_UPDATE、NETWORK_CONNECTION、STATUS_HEARTBEAT、STATUS_STARTUP、STATUS_SHUTDOWN、USER_LOGIN、USER_LOGOUT、USER_RESOURCE_ACCESS、USER_UNCATEGORIZED、RESOURCE_READ、SCAN_NETWORK、STATUS_UNCATEGORIZED、NETWORK_FLOW。 |
(解析器逻辑)event.idm.read_only_udm.metadata.ingested_timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
从 logstash.ingest.timestamp 解析(如果有)。 |
(解析器逻辑)event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
设置为“CISCO_ISE”。 |
(解析器逻辑)event.idm.read_only_udm.metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
派生自 r_cat_name。 |
(解析器逻辑)event.idm.read_only_udm.metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
派生自 sequence_num、r_seg_num 或 r_msg_id,具体取决于可用性。 |
(解析器逻辑)event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
设置为“ISE”,或设置为 MDMServerName(如果可用)。 |
(解析器逻辑)event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
设置为“Cisco”。 |
(解析器逻辑)event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
派生自 ac-user-agent 或 EndpointUserAgent。 |
(解析器逻辑)event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
对于某些事件类型,请将其设置为“TCP”。 |
(解析器逻辑)event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
派生自 SessionId。 |
(解析器逻辑)event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
派生自 TLSCipher。 |
(解析器逻辑)event.idm.read_only_udm.network.tls.server.certificate.serial |
event.idm.read_only_udm.network.tls.server.certificate.serial |
派生自 Serial Number。 |
(解析器逻辑)event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
派生自 TLSVersion。 |
(解析器逻辑)event.idm.read_only_udm.principal.asset.asset_id |
event.idm.read_only_udm.principal.asset.asset_id |
派生自 NetworkDeviceProfileId,前缀为“Cisco_ISE:”。 |
(解析器逻辑)event.idm.read_only_udm.principal.asset.hardware |
event.idm.read_only_udm.principal.asset.hardware |
使用 hardware.manufacturer 和 hardware.model 等字段进行填充。 |
(解析器逻辑)event.idm.read_only_udm.principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
从各种 IP 地址字段派生而来,具体取决于日志类别和其他字段。 |
(解析器逻辑)event.idm.read_only_udm.principal.asset.mac |
event.idm.read_only_udm.principal.asset.mac |
从 EndpointMacAddress、parsed_endpoint_mac 或其他 MAC 地址字段派生而来,并经过适当的格式设置。 |
(解析器逻辑)event.idm.read_only_udm.principal.asset.platform_software.platform_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_version |
派生自 OperatingSystem、EndpointPolicy 或 ad_operating_system。 |
(解析器逻辑)event.idm.read_only_udm.principal.group.group_display_name |
event.idm.read_only_udm.principal.group.group_display_name |
派生自 AD-Domain、IdentityGroup 或 EndpointIdentityGroup。 |
(解析器逻辑)event.idm.read_only_udm.principal.group.product_object_id |
event.idm.read_only_udm.principal.group.product_object_id |
派生自 IdentityGroupID。 |
(解析器逻辑)event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
派生自 r_ip_or_host、NetworkDeviceName 或其他主机名字段,具体取决于日志类别和其他字段。 |
(解析器逻辑)event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
从各种 IP 地址字段派生而来,具体取决于日志类别和其他字段。 |
(解析器逻辑)event.idm.read_only_udm.principal.labels |
event.idm.read_only_udm.principal.labels |
使用 nas_identifier、nas_port_type 和 nas_port_id 等字段进行填充。 |
(解析器逻辑)event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
派生自 Location。 |
(解析器逻辑)event.idm.read_only_udm.principal.nat_ip |
event.idm.read_only_udm.principal.nat_ip |
派生自 NAS-IP-Address。 |
(解析器逻辑)event.idm.read_only_udm.principal.nat_port |
event.idm.read_only_udm.principal.nat_port |
如果是数字且小于 2147483648,则派生自 NAS-Port。 |
(解析器逻辑)event.idm.read_only_udm.principal.platform |
event.idm.read_only_udm.principal.platform |
派生自 device-platform 或 OperatingSystem。可以是 WINDOWS、LINUX、MAC 或 UNKNOWN_PLATFORM。 |
(解析器逻辑)event.idm.read_only_udm.principal.platform_version |
event.idm.read_only_udm.principal.platform_version |
派生自 platform-version。 |
(解析器逻辑)event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
从 Device Port 或 Port 派生(如果是数字)。 |
(解析器逻辑)event.idm.read_only_udm.principal.user.attribute.labels |
event.idm.read_only_udm.principal.user.attribute.labels |
填充了“管理界面”“用户类型”和“可结算用户身份”等字段。 |
(解析器逻辑)event.idm.read_only_udm.principal.user.phone_numbers |
event.idm.read_only_udm.principal.user.phone_numbers |
派生自 PhoneID 或 PhoneNumber。 |
(解析器逻辑)event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
派生自 User、UserName、User-Name、AdminName、OriginalUserName 或其他用户名字段,具体取决于日志类别和其他字段。 |
(解析器逻辑)event.idm.read_only_udm.security_result.about.labels |
event.idm.read_only_udm.security_result.about.labels |
填充了“IdentityPolicyMatchedRule”“EndPointMatchedProfile”“ObjectType”和“ObjectName”等字段。 |
(解析器逻辑)event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
派生自 msg_text 或 AuthenticationStatus。可以是 ALLOW、BLOCK 或 UNKNOWN_ACTION。 |
(解析器逻辑)event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
填充了各种字段,具体取决于日志类别和其他字段。 |
(解析器逻辑)event.idm.read_only_udm.security_result.description |
event.idm.read_only_udm.security_result.description |
派生自 AD-Error-Details 或 DetailedInfo。 |
(解析器逻辑)event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
派生自 AuthorizationPolicyMatchedRule 或 RegisterStatus。 |
(解析器逻辑)event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
派生自 msg_sev。可以是“严重”“错误”“高”“中”或“信息”。 |
(解析器逻辑)event.idm.read_only_udm.security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
派生自 msg_sev。 |
(解析器逻辑)event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
派生自 msg_text 或 FailureReason。 |
(解析器逻辑)event.idm.read_only_udm.src.ip |
event.idm.read_only_udm.src.ip |
派生自从 OperationMessageText 中提取的 source_ip。 |
(解析器逻辑)event.idm.read_only_udm.src.port |
event.idm.read_only_udm.src.port |
如果为数字,则派生自从 OperationMessageText 中提取的 source_port。 |
(解析器逻辑)event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
派生自 AD-Domain-Controller。 |
(解析器逻辑)event.idm.read_only_udm.target.asset.hardware |
event.idm.read_only_udm.target.asset.hardware |
使用 _hardware.cpu_number_cores 等字段进行填充。 |
(解析器逻辑)event.idm.read_only_udm.target.asset.hostname |
` |
变化
2024-05-10
- 将“ExternalGroups”映射到“additional.fields”。
2024-05-09
- 添加了 Grok 模式,以解析“CISE_Profiler”的新格式。
- 映射了“CISE_Administrative_and_Operational_Audit”和“CISE_Alarm”的一些字段。
2024-04-18
- 将“msg_sev”映射到“security_result.severity_details”。
- 将“r_total_seg”“r_seg_num”“msg_code”和“r_msg_id”映射到“security_result.detection_fields”。
- 将“r_cat_name”映射到“security_result.category_details”。
- 将“msg_text”和“msg_class”映射到“metadata.description”。
- 对齐了“target.ip”和“target.asset.ip”映射。
- 对齐了“target.hostname”和“target.asset.hostname”映射。
- 使“principal.ip”和“principal.asset.ip”映射保持一致。
- 对“principal.hostname”和“principal.asset.hostname”映射进行了调整。
- 添加了 Grok 模式来解析“msg_attrs”。
2024-04-10
- bug 修复:
- 添加了 Grok 模式,以解析“PeerName”的新格式。
2023-11-20
- 添加了新的 Grok 模式来解析失败的 Syslog。
- 添加了“msg_code”"5412",以解析具有相同“msg_code”的日志。
2023-09-29
- 添加了对 JSON 日志的新模式的支持。
- 将 80002 和 80006 日志中的“EndpointSourceEvent”“NASIdentifier”“NAS-Port-Type”“NAS-Port-Id”“ProfilerServer”映射到“security_result.detection_fields”。
- 将 80002 和 80006 日志的“Location”的映射从“principal.location”更改为“target.location”。
- 添加了 on_error 检查,以替换和合并函数。
- 修改了日期映射,以使用“MEST”和“MESZ”时区解析日期。
2023-08-02
- 增强功能 -
- 添加了 KV 映射,以解析并将“cisco-av-pair=dhcp-option=host-name”映射到“target.hostname”。
- 将“security_result.action”的映射从“FAIL”更改为“BLOCK”,前提是“msg_text”包含“failed|dropped|stop|rejected|down|abandoned|block|blocking|invalid”。
2023-07-18
- 增强功能 -
- 将“cisco-av-pair=dhcp-option=host-name”映射到“target.hostname”。
- 将“User-Name”的映射从“target.user.userid”更改为“principal.user.userid”。
- 将“UserName”的映射从“target.user.userid”更改为“principal.user.userid”。
- 将“用户”的映射从“target.user.userid”更改为“principal.user.userid”。
- 将“PhoneNumber”的映射从“target.user.phone_numbers”更改为“principal.user.phone_numbers”。
- 将“FramedIPAddress”映射到“security_result.detection_fields”,适用于性能分析器事件类型 80002、80006。
- 修改了日期映射,以使用“东部”时区解析日期。
- 添加了 Grok 模式以匹配“PeerAddress”。
2023-06-07
- 增强功能-
- 添加了 Grok 模式来解析新的日志模式。
2023-05-26
- 增强功能-
- 修改了日期映射,以使用“BJ”时区解析日期。
2023-04-18
- 增强功能-
- 添加了“json”块来处理 JSON 日志。
- 将“logstash.irm_region”映射到“additional.fields”。
- 将“logstash.irm_environment”映射到“additional.fields”。
- 将“logstash.irm_site”映射到“additional.fields”。
- 将“logstash.ingest.timestamp”映射到“metadata.ingested_timestamp”。
- 将“logstash.process.timestamp”映射到“metadata.collected_timestamp”。
2023-03-01
- 增强功能-
- 每当“Calling-Station-ID”是 IP 地址时,请将其映射到“principal.ip”。
- 添加了正则表达式条件,以便在映射到“principal.mac”之前验证“device-mac”字段的 MAC 地址。
2022-12-08
- 增强功能-
- 将“assetDeviceType”映射到“principal.resource.name”。
- 将“assetIncidentScore”映射到“security_result.detection_fields”。
- 将“PostureAssessmentStatus”映射到“security_result.detection_fields”。
- 将“PolicyVersion”映射到“security_result.detection_fields”。
- 将“EndPointVersion”映射到“security_result.detection_fields”。
- 将“EndPointPolicyID”映射到“security_result.detection_fields”。
2022-10-13
- 增强功能 - 更正了 SYSLOGTIMESTAMP 日期格式的日期映射。
2022-08-10
- 增强功能 - 将以下字段的映射从“additional.fields”更改为“security_result.detection_fields”。
- 'CPMSessionID', 'NASPort', 'AD-Log-Id', 'AD-Srv-Query', 'AD-Srv-Record', 'Tunnel-Client-Endpoint', 'IsThirdPartyDeviceFlow', 'PostureStatus', 'OperationMessageText', 'AcsSessionID', 'SelectedAccessService', 'RadiusPacketType', 'ISELocalAddress', 'ISEModuleName', 'ISEServiceName', 'ConnectionStatus', 'UniqueConnectionIdentifier', 'Audit_session_id', 'EndpointCertaintyMetric', 'EndpointNADAddress', 'EndpointOUI', 'EndpointProperty', 'AuthenticationIdentityStore', 'AD-Host-Candidate-Identities', 'PostureExpiry', 'allowEasyWiredSession', 'ConfigVersionId', 'RequestLatency', 'Service-Type', 'Framed-Protocol', 'Class', 'Called-Station-ID', 'Calling-Station-ID', 'Acct-Status-Type', 'Acct-Delay-Time', 'Acct-Input-Octets', 'Acct-Output-Octets', 'Acct-Session-Id', 'Acct-Authentic', 'Acct-Session-Time', 'Acct-Input-Packets', 'Acct-Output-Packets', 'Acct-Terminate-Cause', 'Protocol'。
2022-08-12
- bug 修复 -
- 修改了“prinicipal.asset.hostname”字段与“intermediary.hostname”字段之间的映射。
- 将 event_type 从 GENERIC_EVENT 修改为 STATUS_UPDATE 或 NETWORK_CONNECTION。
2022-07-11
- bug 修复 - 将 NetworkDeviceName 映射到“event.idm.read_only_udm.principal.hostname”,其中 Product_event_type 为 5440 RADIUS。
- 将 r_ip_or_host 映射到 observer.ip 或 observer.hostname。
- 丢弃了格式错误/编码的日志。
2022-05-02
- bug 修复 - 将“security_result.action”的映射从“ALLOW”更正为“FAIL”,前提是 log_type 为“CISE_Failed_Attempts”。
2022-04-21
- 增强功能 - 解析了 log_type='CISE_Profiler' 的日志
- 对于 log_type='CISE_TACACS_Accounting,将 event_type 从“GENERIC_EVENT”更改为“USER_UNCATEGORIZED”
- 为“NASPort”字段和“Port”字段添加了适当的条件。
2022-04-18
- 将“foreign_ip”映射到“intermediary.ip”
- 解析了 log_type='CISE_TACACS_Accounting' 和 'CISE_RADIUS_Accounting' 的日志
- 对于 log_type='CISE_TACACS_Accounting,将 event_type 从“GENERIC_EVENT”更改为“USER_UNCATEGORIZED”
- 为“NASPort”字段添加了适当的条件。
2022-04-13
- 事件中映射的 NAS-Port-Id:5200。
- 事件中映射的主机名:60188、60125、60116、60115、60081、60080、51021、51020、51003、51002、51001、51000、52000、52001、52002。
- 映射了事件 about.labels 中的操作消息文本:52000。
- 事件中 additional_fields 中映射的序列号:5200。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。