Mengumpulkan log Cisco Meraki
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Cisco Meraki dengan menggunakan forwarder Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label transfer CISCO_MERAKI.
Mengonfigurasi Cisco Meraki
- Login ke dasbor Cisco Meraki.
- Di dasbor Cisco Meraki, pilih Configure > Alerts & administration.
- Di bagian Logging, lakukan tindakan berikut:
- Di kolom Server IP, tentukan alamat IP penerusan Google Security Operations.
- Di kolom Port, tentukan nilai port, seperti 514.
- Di kolom Roles, pilih empat opsi yang tersedia untuk mendapatkan semua log atau pilih kombinasi apa pun sesuai kebutuhan Anda.
- Klik Simpan perubahan.
Mengonfigurasi forwarder dan syslog Google Security Operations untuk menyerap log Cisco Meraki
- Buka Setelan SIEM > Penerima.
- Klik Tambahkan penerusan baru.
- Di kolom Forwarder Name, masukkan nama unik untuk pengirim.
- Klik Kirim. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
- Di kolom Nama kolektor, ketik nama.
- Pilih Cisco Meraki sebagai Jenis log.
- Pilih Syslog sebagai Jenis kolektor.
- Konfigurasikan parameter input wajib berikut:
- Protocol: menentukan protokol.
- Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
- Port: menentukan port target tempat kolektor berada dan memproses data syslog.
- Klik Kirim.
Untuk informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations.
Untuk mengetahui informasi tentang persyaratan untuk setiap jenis forwarder, lihat Konfigurasi forwarder menurut jenis.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini menangani log Cisco Meraki (diidentifikasi sebagai Cisco/Meraki) dalam format SYSLOG atau JSON, yang dinormalisasi ke dalam UDM. Fungsi ini menggunakan pola grok untuk mengurai pesan syslog dan logika kondisional berdasarkan kolom eventType untuk mengekstrak informasi yang relevan, menangani berbagai jenis peristiwa seperti alur jaringan, permintaan URL, peristiwa firewall, dan peristiwa umum, memetakan peristiwa tersebut ke kolom UDM yang sesuai, dan memperkaya data dengan konteks tambahan. Jika input bukan syslog, input tersebut akan mencoba mengurainya sebagai JSON dan memetakan kolom yang relevan ke UDM.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
action |
security_result.action |
Nilai dikonversi menjadi huruf besar. Jika nilainya "deny", nilai tersebut akan diganti dengan "BLOCK". Jika sc_action berisi "allow", nilainya akan diganti dengan "ALLOW". Jika tidak, jika decision berisi "block", nilai akan diganti dengan "BLOCK". Jika tidak, jika authorization adalah "success", nilainya akan ditetapkan ke "ALLOW", dan jika "failure", nilainya akan ditetapkan ke "BLOCK". Atau, jika pattern adalah "1 all", "deny all", atau "Group Policy Deny", pattern akan disetel ke "BLOCK". Jika pattern adalah "allow all", "Group Policy Allow", atau "0 all", nilainya ditetapkan ke "ALLOW". Jika tidak, nilai ini akan ditetapkan ke "UNKNOWN_ACTION". Jika decision berisi "block", decision akan ditetapkan ke "BLOCK". |
adId |
principal.user.user_display_name |
Dipetakan langsung dari kolom adId dalam log JSON. |
agent |
network.http.user_agent |
Tanda apostrof dihapus. Dipetakan langsung dari kolom agent. Juga dikonversi ke network.http.parsed_user_agent menggunakan filter parseduseragent. |
aid |
network.session_id |
Dipetakan langsung dari kolom aid. |
appProtocol |
network.application_protocol |
Dikonversi ke huruf besar. Dipetakan langsung dari kolom appProtocol. |
attr |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "attr". |
authorization |
security_result.action_details |
Dipetakan langsung dari kolom authorization dalam log JSON. |
band |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "band". |
bssids.bssid |
principal.mac |
Dikonversi menjadi huruf kecil. Digabung ke dalam array principal.mac. |
bssids.detectedBy.device |
intermediary.asset.asset_id |
Diformat sebagai "ID perangkat: |
bssids.detectedBy.rssi |
intermediary.asset.product_object_id |
Dikonversi menjadi string. |
Channel |
about.resource.attribute.labels |
Ditambahkan sebagai pasangan nilai kunci ke array about.resource.attribute.labels dengan kunci "Channel". |
clientDescription |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "clientDescription". |
clientId |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "clientId". |
clientIp |
principal.ip, principal.asset.ip |
Dipetakan langsung dari kolom clientIp. |
clientMac |
principal.mac |
Dikonversi menjadi huruf kecil. Dipetakan langsung dari kolom clientMac dalam log JSON. |
client_ip |
principal.ip, principal.asset.ip |
Dipetakan langsung dari kolom client_ip. |
client_mac |
principal.mac |
Dikonversi menjadi huruf kecil. Dipetakan langsung dari kolom client_mac. |
code |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "code". |
collection_time |
metadata.event_timestamp |
Kolom detik dan nano digabungkan untuk membuat stempel waktu. |
Conditions |
security_result.about.resource.attribute.labels |
Kembali ke awal baris, baris baru, dan tab diganti dengan spasi dan nilai tertentu diganti. Nilai yang diubah ditambahkan sebagai pasangan nilai kunci ke array security_result.about.resource.attribute.labels dengan kunci "Conditions". |
decision |
security_result.action |
Jika nilainya "diblokir", nilai tersebut ditetapkan ke "BLOCK". |
desc |
metadata.description |
Dipetakan langsung dari kolom desc. |
description |
security_result.description |
Dipetakan langsung dari kolom description dalam log JSON. |
DestAddress |
target.ip, target.asset.ip |
Dipetakan langsung dari kolom DestAddress. |
DestPort |
target.port |
Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom DestPort. |
deviceIp |
target.ip |
Dipetakan langsung dari kolom deviceIp. |
deviceMac |
target.mac |
Dikonversi menjadi huruf kecil. Dipetakan langsung dari kolom deviceMac. |
deviceName |
target.hostname, target.asset.hostname |
Dipetakan langsung dari kolom deviceName dalam log JSON. |
deviceSerial |
target.asset.hardware.serial_number |
Dipetakan langsung dari kolom deviceSerial dalam log JSON. |
Direction |
network.direction |
Karakter khusus dihapus, dan nilai dipetakan ke network.direction. |
DisabledPrivilegeList |
target.user.attribute |
Kembali ke awal baris, baris baru, dan tab diganti, dan nilai yang diubah diuraikan sebagai JSON dan digabungkan ke dalam objek target.user.attribute. |
dport |
target.port |
Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom dport. |
dst |
target.ip, target.asset.ip |
Dipetakan langsung dari kolom dst. |
dstIp |
target.ip, target.asset.ip |
Dipetakan langsung dari kolom dstIp. |
dstPort |
target.port |
Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom dstPort. |
dvc |
intermediary.hostname |
Dipetakan langsung dari kolom dvc. |
EnabledPrivilegeList |
target.user.attribute |
Kembali ke awal baris, baris baru, dan tab diganti, dan nilai yang diubah diuraikan sebagai JSON dan digabungkan ke dalam objek target.user.attribute. |
eventData.aid |
principal.asset_id |
Diformat sebagai "ASSET_ID: |
eventData.client_ip |
principal.ip, principal.asset.ip |
Dipetakan langsung dari kolom eventData.client_ip dalam log JSON. |
eventData.client_mac |
principal.mac |
Dikonversi menjadi huruf kecil. Dipetakan langsung dari kolom eventData.client_mac dalam log JSON. |
eventData.group |
principal.group.group_display_name |
Dipetakan langsung dari kolom eventData.group dalam log JSON. |
eventData.identity |
principal.hostname |
Dipetakan langsung dari kolom eventData.identity dalam log JSON. |
eventData.ip |
principal.ip, principal.asset.ip |
Dipetakan langsung dari kolom eventData.ip dalam log JSON. |
EventID |
metadata.product_event_type, security_result.rule_name |
Dikonversi menjadi string. Dipetakan ke metadata.product_event_type. Juga digunakan untuk membuat security_result.rule_name dalam format "EventID: event_type dan sec_action. |
eventSummary |
security_result.summary, metadata.description |
Dipetakan langsung dari kolom eventSummary. Juga digunakan di security_result.description untuk beberapa peristiwa. |
eventType |
metadata.product_event_type |
Dipetakan langsung dari kolom eventType. Digunakan untuk menentukan logika penguraian yang akan diterapkan. |
filename |
principal.process.file.full_path |
Dipetakan langsung dari kolom filename. |
FilterId |
target.resource.product_object_id |
Dipetakan langsung dari kolom FilterId untuk EventID 5447. |
FilterName |
target.resource.name |
Dipetakan langsung dari kolom FilterName untuk EventID 5447. |
FilterRTID |
security_result.detection_fields |
Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields dengan kunci "FilterRTID". |
firstSeen |
security_result.detection_fields |
Dikonversi menjadi string. Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields dengan kunci "firstSeen". |
gatewayDeviceMac |
target.mac |
Dikonversi menjadi huruf kecil. Digabung ke dalam array target.mac. |
group |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "group". |
GroupMembership |
target.user |
Enter, baris baru, tab, dan karakter khusus akan dihapus. Nilai yang diubah akan diuraikan sebagai JSON dan digabungkan ke dalam objek target.user. |
Hostname |
principal.hostname, principal.asset.hostname |
Dipetakan langsung dari kolom Hostname. |
identity |
target.user.userid |
Dipetakan langsung dari kolom identity. |
instigator |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "instigator". |
int_ip |
intermediary.ip |
Dipetakan langsung dari kolom int_ip. |
ip_msg |
principal.resource.attribute.labels |
Ditambahkan sebagai pasangan nilai kunci ke array principal.resource.attribute.labels dengan kunci "IP". |
is_8021x |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "is_8021x". |
KeyName |
target.resource.name |
Dipetakan langsung dari kolom KeyName. |
KeyFilePath |
target.file.full_path |
Dipetakan langsung dari kolom KeyFilePath. |
lastSeen |
security_result.detection_fields |
Dikonversi menjadi string. Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields dengan kunci "lastSeen". |
last_known_client_ip |
principal.ip, principal.asset.ip |
Dipetakan langsung dari kolom last_known_client_ip. |
LayerName |
security_result.detection_fields |
Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields dengan kunci "Nama Lapisan". |
LayerRTID |
security_result.detection_fields |
Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields dengan kunci "LayerRTID". |
localIp |
principal.ip, principal.asset.ip |
Dipetakan langsung dari kolom localIp. |
login |
principal.user.email_addresses |
Dipetakan langsung dari kolom login dalam log JSON jika cocok dengan format alamat email. |
LogonGuid |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "LogonGuid". |
LogonType |
extensions.auth.mechanism |
Dipetakan ke mekanisme autentikasi tertentu berdasarkan nilainya. Jika ada, PreAuthType akan menggantikan LogonType. Nilai dipetakan sebagai berikut: 2 -> USERNAME_PASSWORD, 3 -> NETWORK, 4 -> BATCH, 5 -> SERVICE, 7 -> UNLOCK, 8 -> NETWORK_CLEAR_TEXT, 9 -> NEW_CREDENTIALS, 10 -> REMOTE_INTERACTIVE, 11 -> CACHED_INTERACTIVE, 12 -> CACHED_REMOTE_INTERACTIVE, 13 -> CACHED_UNLOCK, lainnya -> MECHANISM_UNSPECIFIED. |
mac |
principal.mac |
Dikonversi menjadi huruf kecil. Digabung ke dalam array principal.mac. |
MandatoryLabel |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "MandatoryLabel". |
Message |
security_result.description, security_result.summary |
Jika AccessReason ada, Message akan dipetakan ke security_result.summary dan AccessReason akan dipetakan ke security_result.description. Jika tidak, Message akan dipetakan ke security_result.description. |
method |
network.http.method |
Dipetakan langsung dari kolom method. |
msg |
security_result.description |
Dipetakan langsung dari kolom msg. |
name |
principal.user.user_display_name |
Dipetakan langsung dari kolom name dalam log JSON. |
natsrcIp |
principal.nat_ip |
Dipetakan langsung dari kolom natsrcIp. |
natsrcport |
principal.nat_port |
Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom natsrcport. |
network_id |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "ID Jaringan". |
NewProcessId |
target.process.pid |
Dipetakan langsung dari kolom NewProcessId. |
NewProcessName |
target.process.file.full_path |
Dipetakan langsung dari kolom NewProcessName. |
NewSd |
target.resource.attribute.labels |
Ditambahkan sebagai pasangan nilai kunci ke array target.resource.attribute.labels dengan kunci "New Security Descriptor". |
occurredAt |
metadata.event_timestamp |
Diurai sebagai stempel waktu menggunakan format ISO8601. |
ObjectName |
target.file.full_path, target.registry.registry_key, target.process.file.full_path, additional.fields |
Jika EventID adalah 4663 dan ObjectType adalah "Proses", EventID akan dipetakan ke target.process.file.full_path. Jika ObjectType adalah "Kunci", kunci tersebut akan dipetakan ke target.registry.registry_key. Jika tidak, kolom akan dipetakan ke target.file.full_path. Untuk peristiwa lain, peristiwa tersebut ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "ObjectName". |
ObjectType |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "ObjectType". Digunakan untuk menentukan event_type. |
OldSd |
target.resource.attribute.labels |
Ditambahkan sebagai pasangan nilai kunci ke array target.resource.attribute.labels dengan kunci "Original Security Descriptor". |
organizationId |
principal.resource.id |
Dipetakan langsung dari kolom organizationId dalam log JSON. |
ParentProcessName |
target.process.parent_process.file.full_path |
Dipetakan langsung dari kolom ParentProcessName. |
pattern |
security_result.description |
Dipetakan langsung ke security_result.description. Digunakan untuk menentukan security_result.action. |
peer_ident |
target.user.userid |
Dipetakan langsung dari kolom peer_ident. |
PreAuthType |
extensions.auth.mechanism |
Digunakan untuk menentukan mekanisme autentikasi jika ada. Mengganti LogonType. |
principalIp |
principal.ip, principal.asset.ip |
Dipetakan langsung dari kolom principalIp. |
principalMac |
principal.mac |
Dikonversi menjadi huruf kecil. Digabung ke dalam array principal.mac. |
principalPort |
principal.port |
Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom principalPort. |
prin_ip2 |
principal.ip, principal.asset.ip |
Dipetakan langsung dari kolom prin_ip2. |
prin_url |
principal.url |
Dipetakan langsung dari kolom prin_url. |
priority |
security_result.priority |
Dipetakan ke tingkat prioritas berdasarkan nilainya: 1 -> HIGH_PRIORITY, 2 -> MEDIUM_PRIORITY, 3 -> LOW_PRIORITY, lainnya -> UNKNOWN_PRIORITY. |
ProcessID |
principal.process.pid |
Dikonversi menjadi string. Dipetakan langsung dari kolom ProcessID. |
ProcessName |
principal.process.file.full_path, target.process.file.full_path |
Jika EventID adalah 4689, EventID akan dipetakan ke target.process.file.full_path. Jika tidak, kolom akan dipetakan ke principal.process.file.full_path. |
prod_log_id |
metadata.product_log_id |
Dipetakan langsung dari kolom prod_log_id. |
protocol |
network.ip_protocol |
Dikonversi ke huruf besar. Jika berupa angka, angka tersebut akan dikonversi menjadi nama protokol IP yang sesuai. Jika "ICMP6", akan diganti dengan "ICMP". Dipetakan langsung dari kolom protocol. |
ProviderGuid |
metadata.product_deployment_id |
Dipetakan langsung dari kolom ProviderGuid. |
query |
network.dns.questions.name |
Dipetakan langsung dari kolom query. |
query_type |
network.dns.questions.type |
Diganti namanya menjadi question.type dan digabungkan ke dalam array network.dns.questions. Dipetakan ke nilai numerik berdasarkan jenis kueri DHCP. |
radio |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "radio". |
reason |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "reason". |
rec_bytes |
network.received_bytes |
Dikonversi menjadi bilangan bulat tanpa tanda tangan. Dipetakan langsung dari kolom rec_bytes. |
RecordNumber |
metadata.product_log_id |
Dikonversi menjadi string. Dipetakan langsung dari kolom RecordNumber. |
RelativeTargetName |
target.process.file.full_path |
Dipetakan langsung dari kolom RelativeTargetName. |
response_ip |
principal.ip, principal.asset.ip |
Dipetakan langsung dari kolom response_ip. |
rssi |
intermediary.asset.product_object_id |
Dipetakan langsung dari kolom rssi. |
sc_action |
security_result.action_details |
Dipetakan langsung dari kolom sc_action. |
sec_action |
security_result.action |
Digabung ke dalam array security_result.action. |
server_ip |
client_ip |
Dipetakan langsung ke kolom client_ip. |
Severity |
security_result.severity |
Dipetakan ke tingkat keparahan berdasarkan nilainya: "Info" -> INFORMATIONAL, "Error" -> ERROR, "Warning" -> MEDIUM, lainnya -> UNKNOWN_SEVERITY. |
sha256 |
target.file.sha256 |
Dipetakan langsung dari kolom sha256. |
signature |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "signature". |
SourceAddress |
principal.ip, principal.asset.ip |
Dipetakan langsung dari kolom SourceAddress. |
SourceHandleId |
src.resource.id |
Dipetakan langsung dari kolom SourceHandleId. |
SourceModuleName |
observer.labels |
Ditambahkan sebagai pasangan nilai kunci ke array observer.labels dengan kunci "SourceModuleName". |
SourceModuleType |
observer.application |
Dipetakan langsung dari kolom SourceModuleType. |
SourcePort |
principal.port |
Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom SourcePort. |
SourceProcessId |
src.process.pid |
Dipetakan langsung dari kolom SourceProcessId. |
source_client_ip |
client_ip |
Dipetakan langsung ke kolom client_ip. |
sport |
principal.port |
Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom sport. |
src |
principal.ip, principal.asset.ip |
Dipetakan langsung dari kolom src. |
ssid |
network.session_id |
Dipetakan langsung dari kolom ssid dalam log JSON. |
ssidName |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "ssidName". |
state |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "status". |
Status |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "Status". |
status_code |
network.http.response_code |
Dikonversi menjadi bilangan bulat. Dipetakan langsung dari kolom status_code. |
SubjectDomainName |
principal.administrative_domain |
Dipetakan langsung dari kolom SubjectDomainName. |
SubjectLogonId |
principal.resource.attribute.labels |
Ditambahkan sebagai pasangan nilai kunci ke array principal.resource.attribute.labels dengan kunci "SubjectLogonId". |
SubjectUserName |
principal.user.userid |
Dipetakan langsung dari kolom SubjectUserName. |
SubjectUserSid |
principal.user.windows_sid |
Dipetakan langsung dari kolom SubjectUserSid. |
targetHost |
target.hostname, target.asset.hostname |
Dikonversi menjadi alamat IP jika memungkinkan. Jika tidak, akan diuraikan untuk mengekstrak nama host dan dipetakan ke target.hostname dan target.asset.hostname. |
TargetHandleId |
target.resource.id |
Dipetakan langsung dari kolom TargetHandleId. |
TargetLogonId |
principal.resource.attribute.labels |
Ditambahkan sebagai pasangan nilai kunci ke array principal.resource.attribute.labels dengan kunci "TargetLogonId" jika berbeda dari SubjectLogonId. |
TargetProcessId |
target.process.pid |
Dipetakan langsung dari kolom TargetProcessId. |
TargetUserName |
target.user.userid |
Dipetakan langsung dari kolom TargetUserName. |
TargetUserSid |
target.user.windows_sid |
Dipetakan langsung dari kolom TargetUserSid. |
Task |
additional.fields |
Dikonversi menjadi string. Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "Tugas". |
timestamp |
metadata.event_timestamp |
Kolom detik digunakan untuk membuat stempel waktu. |
ts |
metadata.event_timestamp |
Jika kosong, ts akan dibuat dengan menggabungkan tsDate, tsTime, dan tsTZ. Jika berisi " |
type |
security_result.summary, metadata.product_event_type |
Dipetakan langsung dari kolom type dalam log JSON. Juga digunakan sebagai eventSummary dan metadata.product_event_type dalam beberapa kasus. |
url |
target.url, principal.url |
Dipetakan langsung dari kolom url. |
url1 |
target.url |
Dipetakan langsung dari kolom url1. |
user |
target.user.group_identifiers |
Digabung ke dalam array target.user.group_identifiers. |
user_id |
target.user.userid |
Dipetakan langsung dari kolom user_id. |
UserID |
principal.user.windows_sid |
Dipetakan langsung dari kolom UserID. |
UserName |
principal.user.userid |
Dipetakan langsung dari kolom UserName. |
user_agent |
network.http.user_agent |
Dipetakan langsung dari kolom user_agent. |
userId |
target.user.userid |
Dipetakan langsung dari kolom userId. |
vap |
additional.fields |
Ditambahkan sebagai pasangan nilai kunci ke array additional.fields dengan kunci "vap". |
VirtualAccount |
security_result.about.labels |
Ditambahkan sebagai pasangan nilai kunci ke array security_result.about.labels dengan kunci "VirtualAccount". |
wiredLastSeen |
security_result.detection_fields |
Dikonversi menjadi string. Ditambahkan sebagai pasangan nilai kunci ke array security_result.detection_fields dengan kunci "wiredLastSeen". |
wiredMacs |
intermediary.mac |
Dikonversi menjadi huruf kecil. Digabung ke dalam array intermediary.mac. |
WorkstationName |
principal.hostname, principal.asset.hostname |
Dipetakan langsung dari kolom WorkstationName. |
Perubahan
2024-03-19
- Menambahkan pola Grok untuk memetakan alamat IP perangkat pengirim ke "intermediary.ip".
2024-02-06
- Log yang diuraikan dengan "eventSummary" adalah "cli_set_rad_parms" atau "cli_set_rad_pmksa_parms".
- Memetakan "group" dan "attr" ke "additional.fields".
2023-12-26
- Log yang diuraikan yang berisi "eventSummary" sebagai "status changed" dan "changed STP role".
2023-10-09
- Tetapkan "sec_res.action" ke "BLOCK" saat "pattern" berada dalam "1 all", "deny all", atau "Group Policy Deny".
- Tetapkan "sec_res.action" ke "ALLOW" saat "pattern" berada di "0 all", "allow all", atau "Group Policy Allow".
2023-07-19
- Perbaikan Bug -
- Mengurai log syslog yang tidak diuraikan dari jenis "firewall".
2023-07-14
- Peningkatan -
- untuk jenis "splash_auth", "event_type" dipetakan ke "USER_LOGIN".
- untuk jenis "device_packet_flood", "packet_flood" memetakan "event_type" ke "GENERIC_EVENT".
- untuk jenis "vpn_connectivity_change", "wpa_deauth", "wpa_auth" memetakan "event_type" ke "STATUS_UPDATE".
- Memetakan "agent" ke "network.http.parsed_user_agent".
- Jika "protocol" == "47", maka pemetaan "network.ip_protocol" ke "GRE".
- Jika "protocol" == "103", maka pemetaan "network.ip_protocol" ke "PIM".
2023-07-04
- Peningkatan -
- Menggunakan filter nilai kunci, bukan pola Grok, untuk mengurai log jenis "urls", "firewall", "vpn_firewall".
2023-06-16
- Peningkatan -
- Memetakan "src" ke "principal.ip"
- Memetakan "dst" ke "target.ip"
- Memetakan "protocol" ke "network.ip_protocol"
- Memetakan "sport" ke "principal.port"
- Memetakan "dport" ke "target.port"
- Memetakan "mac" ke "principal.mac".
- Memetakan "pattern" ke "security_result.description".
2023-06-09
- Peningkatan -
- Memetakan 'metadata.event_type' ke 'USER_LOGOUT' saat 'type' = '8021x_deauth'.
- Memetakan 'radio','vap','reason','is_8021x','instigator','band' ke 'additional.fields' untuk 'type' = 'disassociation'.
2023-05-26
- Peningkatan -
- Untuk jenis "security_filtering_file_scanned", "metadata.event_type" diubah dari "STATUS_UPDATE" menjadi "SCAN_FILE".
- Menambahkan pola Grok untuk mengurai log syslog.
- Memetakan "ip" ke "principal.ip"
- Memetakan "mac" ke "principal.mac".
2023-03-03
- Peningkatan -
- Menambahkan pola Grok untuk mengurai log yang memiliki kolom "ip_flow_end".
- "natsrcIp" yang dipetakan memetakan "principal.nat_ip".
- "natsrcport" yang dipetakan "principal.nat_port".
2022-11-25
- Peningkatan -
- Menambahkan dukungan untuk log JSON yang tidak diuraikan, log kueri network_dns, dan log syslog+kv_data yang gagal.
- Memetakan "metadata.eventType" ke RESOURCE_CREATION, FILE_UNCATEGORIZED, SETTING_MODIFICATION, NETWORK_UNCATEGORIZED,
- GROUP_UNCATEGORIZED, PROCESS_LAUNCH, PROCESS_TERMINATION, STATUS_UNCATEGORIZED, SYSTEM_AUDIT_LOG_UNCATEGORIZED,
- USER_LOGOUT, USER_LOGIN, RESOURCE_PERMISSIONS_CHANGE, USER_RESOURCE_ACCESS berdasarkan "EventID" untuk log json.
- Memetakan "DisabledPrivilegeList", "EnabledPrivilegeList" ke "target.user.attribute.permissions".
- Memetakan "GroupMembership" ke "target.user.group_identifiers".
- Memetakan "AccessList" ke "target.resource.attribute".
- Memetakan "auth_mechanism" ke "extensions.auth.mechanism".
- Memetakan "question" ke "network.dns.questions".
- Tetapkan "security_result.priority" berdasarkan nilai "priority".
- Memetakan "RecordNumber" ke "metadata.product_log_id".
2022-10-06
- Peningkatan -
- Memetakan "dvc" ke "intermediary.hostname".
- Memetakan "eventType" ke "metadata.product_event_type".
- Memetakan "pattren" ke "security_result.action_details".
- Memetakan "principalMac" ke "principal.mac".
- Memetakan "principalIp" ke "principal.ip".
- Menambahkan pemeriksaan null untuk "dstIp" sebelum pemetaan ke udm.
2022-07-04
- Peningkatan -
- Jika "protocol" sama dengan "47", tetapkan "protocol" ke "GRE".
- Jika "protocol" sama dengan "50", tetapkan "protocol" ke "ESP".
- Menambahkan blok kv saat "eventType" sama dengan "events".
- Memetakan "identity" ke "target.user.userid".
- Memetakan "last_known_client_ip" ke "principal.ip".
- Jika "eventSummary" sama dengan "association".
- Memetakan "client_ip" ke "principal.ip";
- Memetakan "client_mac" ke "principal.mac".
- Memetakan "rssi" ke "intermediary.asset.product_object_id".
- Memetakan "channel" ke "security_result.detection_fields".
- Memetakan "aid" ke "network.session_id".
2022-06-15
- Peningkatan -
- Memetakan "lastSeen", "firstSeen", "wiredLastSeen" ke "security_result.detection_fields".
- Memetakan "wiredMacs" ke "intermediary.mac".
- Memetakan "type" ke "security_result.summary".
- Memetakan "description" ke "security_result.description".
- Memetakan "deviceSerial" ke "_target_hardware.serial_number".
- Memetakan "deviceName" ke "target.hostname".
- Memetakan "ssidName", "clientId", "clientDescription" ke "additional.fields".
- Memetakan "eventData.client_mac" ke "principal.mac".
- Memetakan "eventData.identity" ke "principal.hostname".
- Memetakan "eventData.aid" ke "principal.asset_id".
- Memetakan "organizationId" ke "principal.resource.id".
- Memetakan "eventData.group" ke "principal.group.group_display_name".
- Memetakan "eventData.client_ip" ke "principal.ip".
- Memetakan "occurredAt" ke "metadata.event_timestamp".
2022-05-04
- Peningkatan - Menambahkan pemetaan untuk nama host.
13-04-2022
- Peningkatan - Menambahkan penguraian log jenis JSON.