Cisco Meraki ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して Cisco Meraki のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CISCO_MERAKI が付加されたパーサーに適用されます。
Cisco Meraki を構成する
- Cisco Meraki ダッシュボードにログインします。
- Cisco Meraki ダッシュボードで、[設定] > [アラートと管理] を選択します。
- [ロギング] セクションで、次の操作を行います。
- [Server IP] フィールドに、Google Security Operations 転送元の IP アドレスを指定します。
- [ポート] フィールドに、ポート値(514 など)を指定します。
- [ロール] フィールドで、使用可能な 4 つのオプションを選択してすべてのログを取得するか、要件に応じて任意の組み合わせを選択します。
- [変更を保存] をクリックします。
Cisco Meraki ログを取り込むように Google Security Operations フォワーダーと Syslog を構成する
- [SIEM 設定] > [転送元] に移動します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダー名] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに名前を入力します。
- [ログタイプ] で [Cisco Meraki] を選択します。
- [Collector type] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- プロトコル: プロトコルを指定します。
- Address: コレクタが存在し、syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、Syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。
各フォワーダ タイプの要件については、タイプ別のフォワーダの構成をご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、SYSLOG 形式または JSON 形式の Cisco Meraki(Cisco/Meraki として識別)ログを処理し、UDM に正規化します。grok パターンを使用して syslog メッセージを解析し、eventType フィールドに基づく条件ロジックを使用して関連情報を抽出します。ネットワーク フロー、URL リクエスト、ファイアウォール イベント、汎用イベントなどのさまざまなイベントタイプを処理し、適切な UDM フィールドにマッピングして、追加のコンテキストでデータを拡充します。入力が syslog でない場合、JSON として解析され、関連するフィールドが UDM にマッピングされます。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
action |
security_result.action |
値は大文字に変換されます。値が「deny」の場合は、「BLOCK」に置き換えられます。sc_action に「allow」が含まれている場合、値は「ALLOW」に置き換えられます。それ以外の場合、decision に「block」が含まれている場合、値は「BLOCK」に置き換えられます。それ以外の場合は、authorization が「success」の場合は「ALLOW」に設定され、「failure」の場合は「BLOCK」に設定されます。それ以外の場合、pattern が「1 all」、「deny all」、「Group Policy Deny」の場合は、「BLOCK」に設定されます。pattern が「すべて許可」、「グループ ポリシーの許可」、「0 all」の場合は、「ALLOW」に設定されます。それ以外の場合は、「UNKNOWN_ACTION」に設定されます。decision に「block」が含まれている場合は、「BLOCK」に設定されます。 |
adId |
principal.user.user_display_name |
JSON ログの adId フィールドから直接マッピングされます。 |
agent |
network.http.user_agent |
アポストロフィは削除されます。agent フィールドから直接マッピングされます。また、parseduseragent フィルタを使用して network.http.parsed_user_agent に変換されます。 |
aid |
network.session_id |
aid フィールドから直接マッピングされます。 |
appProtocol |
network.application_protocol |
大文字に変換されます。appProtocol フィールドから直接マッピングされます。 |
attr |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「attr」です。 |
authorization |
security_result.action_details |
JSON ログの authorization フィールドから直接マッピングされます。 |
band |
additional.fields |
キー「band」で additional.fields 配列に Key-Value ペアとして追加されました。 |
bssids.bssid |
principal.mac |
小文字に変換されます。principal.mac 配列に統合されました。 |
bssids.detectedBy.device |
intermediary.asset.asset_id |
「デバイス ID: |
bssids.detectedBy.rssi |
intermediary.asset.product_object_id |
文字列に変換されます。 |
Channel |
about.resource.attribute.labels |
about.resource.attribute.labels 配列に Key-Value ペアとして追加され、キーは「Channel」です。 |
clientDescription |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「clientDescription」です。 |
clientId |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「clientId」です。 |
clientIp |
principal.ip、principal.asset.ip |
clientIp フィールドから直接マッピングされます。 |
clientMac |
principal.mac |
小文字に変換されます。JSON ログの clientMac フィールドから直接マッピングされます。 |
client_ip |
principal.ip、principal.asset.ip |
client_ip フィールドから直接マッピングされます。 |
client_mac |
principal.mac |
小文字に変換されます。client_mac フィールドから直接マッピングされます。 |
code |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「code」です。 |
collection_time |
metadata.event_timestamp |
seconds フィールドと nanos フィールドを組み合わせてタイムスタンプを作成します。 |
Conditions |
security_result.about.resource.attribute.labels |
復帰改行、改行、タブはスペースに置き換えられ、特定の値が置き換えられます。変更された値は、キー「条件」を使用して Key-Value ペアとして security_result.about.resource.attribute.labels 配列に追加されます。 |
decision |
security_result.action |
値が「blocked」の場合、値は「BLOCK」に設定されます。 |
desc |
metadata.description |
desc フィールドから直接マッピングされます。 |
description |
security_result.description |
JSON ログの description フィールドから直接マッピングされます。 |
DestAddress |
target.ip、target.asset.ip |
DestAddress フィールドから直接マッピングされます。 |
DestPort |
target.port |
整数に変換されます。DestPort フィールドから直接マッピングされます。 |
deviceIp |
target.ip |
deviceIp フィールドから直接マッピングされます。 |
deviceMac |
target.mac |
小文字に変換されます。deviceMac フィールドから直接マッピングされます。 |
deviceName |
target.hostname、target.asset.hostname |
JSON ログの deviceName フィールドから直接マッピングされます。 |
deviceSerial |
target.asset.hardware.serial_number |
JSON ログの deviceSerial フィールドから直接マッピングされます。 |
Direction |
network.direction |
特殊文字は削除され、値は network.direction にマッピングされます。 |
DisabledPrivilegeList |
target.user.attribute |
改行、改行、タブが置き換えられ、変更された値が JSON として解析され、target.user.attribute オブジェクトに統合されます。 |
dport |
target.port |
整数に変換されます。dport フィールドから直接マッピングされます。 |
dst |
target.ip、target.asset.ip |
dst フィールドから直接マッピングされます。 |
dstIp |
target.ip、target.asset.ip |
dstIp フィールドから直接マッピングされます。 |
dstPort |
target.port |
整数に変換されます。dstPort フィールドから直接マッピングされます。 |
dvc |
intermediary.hostname |
dvc フィールドから直接マッピングされます。 |
EnabledPrivilegeList |
target.user.attribute |
改行、改行、タブが置き換えられ、変更された値が JSON として解析され、target.user.attribute オブジェクトに統合されます。 |
eventData.aid |
principal.asset_id |
「ASSET_ID: |
eventData.client_ip |
principal.ip、principal.asset.ip |
JSON ログの eventData.client_ip フィールドから直接マッピングされます。 |
eventData.client_mac |
principal.mac |
小文字に変換されます。JSON ログの eventData.client_mac フィールドから直接マッピングされます。 |
eventData.group |
principal.group.group_display_name |
JSON ログの eventData.group フィールドから直接マッピングされます。 |
eventData.identity |
principal.hostname |
JSON ログの eventData.identity フィールドから直接マッピングされます。 |
eventData.ip |
principal.ip、principal.asset.ip |
JSON ログの eventData.ip フィールドから直接マッピングされます。 |
EventID |
metadata.product_event_type、security_result.rule_name |
文字列に変換されます。metadata.product_event_type にマッピングされます。また、「EventID: security_result.rule_name の作成にも使用されます。event_type と sec_action の判定に使用されます。 |
eventSummary |
security_result.summary、metadata.description |
eventSummary フィールドから直接マッピングされます。一部のイベントでは security_result.description でも使用されます。 |
eventType |
metadata.product_event_type |
eventType フィールドから直接マッピングされます。適用する解析ロジックを決定するために使用されます。 |
filename |
principal.process.file.full_path |
filename フィールドから直接マッピングされます。 |
FilterId |
target.resource.product_object_id |
EventID 5447 の FilterId フィールドから直接マッピングされます。 |
FilterName |
target.resource.name |
EventID 5447 の FilterName フィールドから直接マッピングされます。 |
FilterRTID |
security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加され、キーは「FilterRTID」です。 |
firstSeen |
security_result.detection_fields |
文字列に変換されます。security_result.detection_fields 配列に Key-Value ペアとして追加され、キーは「firstSeen」です。 |
gatewayDeviceMac |
target.mac |
小文字に変換されます。target.mac 配列に統合されました。 |
group |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「group」です。 |
GroupMembership |
target.user |
復帰、改行、タブ、特殊文字は削除されます。変更された値は JSON として解析され、target.user オブジェクトに統合されます。 |
Hostname |
principal.hostname、principal.asset.hostname |
Hostname フィールドから直接マッピングされます。 |
identity |
target.user.userid |
identity フィールドから直接マッピングされます。 |
instigator |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「instigator」です。 |
int_ip |
intermediary.ip |
int_ip フィールドから直接マッピングされます。 |
ip_msg |
principal.resource.attribute.labels |
principal.resource.attribute.labels 配列にキー「IPs」を持つ Key-Value ペアとして追加されました。 |
is_8021x |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「is_8021x」です。 |
KeyName |
target.resource.name |
KeyName フィールドから直接マッピングされます。 |
KeyFilePath |
target.file.full_path |
KeyFilePath フィールドから直接マッピングされます。 |
lastSeen |
security_result.detection_fields |
文字列に変換されます。security_result.detection_fields 配列に Key-Value ペアとして追加され、キーは「lastSeen」です。 |
last_known_client_ip |
principal.ip、principal.asset.ip |
last_known_client_ip フィールドから直接マッピングされます。 |
LayerName |
security_result.detection_fields |
security_result.detection_fields 配列にキー「Layer Name」を持つ Key-Value ペアとして追加されました。 |
LayerRTID |
security_result.detection_fields |
security_result.detection_fields 配列に Key-Value ペアとして追加され、キーは「LayerRTID」です。 |
localIp |
principal.ip、principal.asset.ip |
localIp フィールドから直接マッピングされます。 |
login |
principal.user.email_addresses |
JSON ログの login フィールドから直接マッピングされます(メールアドレスの形式と一致する場合)。 |
LogonGuid |
additional.fields |
キー「LogonGuid」で additional.fields 配列に Key-Value ペアとして追加されました。 |
LogonType |
extensions.auth.mechanism |
値に基づいて特定の認証メカニズムにマッピングされます。PreAuthType が存在する場合、LogonType がオーバーライドされます。値は次のようにマッピングされます。2 -> USERNAME_PASSWORD、3 -> NETWORK、4 -> BATCH、5 -> SERVICE、7 -> UNLOCK、8 -> NETWORK_CLEAR_TEXT、9 -> NEW_CREDENTIALS、10 -> REMOTE_INTERACTIVE、11 -> CACHED_INTERACTIVE、12 -> CACHED_REMOTE_INTERACTIVE、13 -> CACHED_UNLOCK、その他 -> MECHANISM_UNSPECIFIED。 |
mac |
principal.mac |
小文字に変換されます。principal.mac 配列に統合されました。 |
MandatoryLabel |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「MandatoryLabel」です。 |
Message |
security_result.description、security_result.summary |
AccessReason が存在する場合、Message は security_result.summary にマッピングされ、AccessReason は security_result.description にマッピングされます。それ以外の場合は、Message は security_result.description にマッピングされます。 |
method |
network.http.method |
method フィールドから直接マッピングされます。 |
msg |
security_result.description |
msg フィールドから直接マッピングされます。 |
name |
principal.user.user_display_name |
JSON ログの name フィールドから直接マッピングされます。 |
natsrcIp |
principal.nat_ip |
natsrcIp フィールドから直接マッピングされます。 |
natsrcport |
principal.nat_port |
整数に変換されます。natsrcport フィールドから直接マッピングされます。 |
network_id |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「Network ID」です。 |
NewProcessId |
target.process.pid |
NewProcessId フィールドから直接マッピングされます。 |
NewProcessName |
target.process.file.full_path |
NewProcessName フィールドから直接マッピングされます。 |
NewSd |
target.resource.attribute.labels |
target.resource.attribute.labels 配列に Key-Value ペアとして追加され、キーは「New Security Descriptor」です。 |
occurredAt |
metadata.event_timestamp |
ISO8601 形式を使用してタイムスタンプとして解析されます。 |
ObjectName |
target.file.full_path、target.registry.registry_key、target.process.file.full_path、additional.fields |
EventID が 4663 で、ObjectType が「プロセス」の場合、target.process.file.full_path にマッピングされます。ObjectType が「Key」の場合、target.registry.registry_key にマッピングされます。それ以外の場合は target.file.full_path にマッピングされます。他のイベントの場合、オブジェクト名が Key-Value ペアとして additional.fields 配列に追加されます。 |
ObjectType |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「ObjectType」です。event_type の決定に使用されます。 |
OldSd |
target.resource.attribute.labels |
target.resource.attribute.labels 配列に Key-Value ペアとして追加され、キーは「Original Security Descriptor」です。 |
organizationId |
principal.resource.id |
JSON ログの organizationId フィールドから直接マッピングされます。 |
ParentProcessName |
target.process.parent_process.file.full_path |
ParentProcessName フィールドから直接マッピングされます。 |
pattern |
security_result.description |
security_result.description に直接マッピングされます。security_result.action の決定に使用されます。 |
peer_ident |
target.user.userid |
peer_ident フィールドから直接マッピングされます。 |
PreAuthType |
extensions.auth.mechanism |
認証メカニズム(存在する場合)を特定するために使用されます。LogonType をオーバーライドします。 |
principalIp |
principal.ip、principal.asset.ip |
principalIp フィールドから直接マッピングされます。 |
principalMac |
principal.mac |
小文字に変換されます。principal.mac 配列に統合されました。 |
principalPort |
principal.port |
整数に変換されます。principalPort フィールドから直接マッピングされます。 |
prin_ip2 |
principal.ip、principal.asset.ip |
prin_ip2 フィールドから直接マッピングされます。 |
prin_url |
principal.url |
prin_url フィールドから直接マッピングされます。 |
priority |
security_result.priority |
値に基づいて優先度レベルにマッピングされます。1 -> HIGH_PRIORITY、2 -> MEDIUM_PRIORITY、3 -> LOW_PRIORITY、それ以外 -> UNKNOWN_PRIORITY。 |
ProcessID |
principal.process.pid |
文字列に変換されます。ProcessID フィールドから直接マッピングされます。 |
ProcessName |
principal.process.file.full_path、target.process.file.full_path |
EventID が 4689 の場合、target.process.file.full_path にマッピングされます。それ以外の場合は principal.process.file.full_path にマッピングされます。 |
prod_log_id |
metadata.product_log_id |
prod_log_id フィールドから直接マッピングされます。 |
protocol |
network.ip_protocol |
大文字に変換されます。数値の場合は、対応する IP プロトコル名に変換されます。「ICMP6」の場合は「ICMP」に置き換えられます。protocol フィールドから直接マッピングされます。 |
ProviderGuid |
metadata.product_deployment_id |
ProviderGuid フィールドから直接マッピングされます。 |
query |
network.dns.questions.name |
query フィールドから直接マッピングされます。 |
query_type |
network.dns.questions.type |
question.type に名前を変更し、network.dns.questions 配列に統合しました。DHCP クエリタイプに基づいて数値にマッピングされます。 |
radio |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「radio」です。 |
reason |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「reason」です。 |
rec_bytes |
network.received_bytes |
符号なし整数に変換されます。rec_bytes フィールドから直接マッピングされます。 |
RecordNumber |
metadata.product_log_id |
文字列に変換されます。RecordNumber フィールドから直接マッピングされます。 |
RelativeTargetName |
target.process.file.full_path |
RelativeTargetName フィールドから直接マッピングされます。 |
response_ip |
principal.ip、principal.asset.ip |
response_ip フィールドから直接マッピングされます。 |
rssi |
intermediary.asset.product_object_id |
rssi フィールドから直接マッピングされます。 |
sc_action |
security_result.action_details |
sc_action フィールドから直接マッピングされます。 |
sec_action |
security_result.action |
security_result.action 配列に統合されました。 |
server_ip |
client_ip |
client_ip フィールドに直接マッピングされます。 |
Severity |
security_result.severity |
値に基づいて重大度レベルにマッピングされます。「Info」-> INFORMATIONAL、「Error」-> ERROR、「Warning」-> MEDIUM、その他 -> UNKNOWN_SEVERITY。 |
sha256 |
target.file.sha256 |
sha256 フィールドから直接マッピングされます。 |
signature |
additional.fields |
additional.fields 配列にキー「signature」を持つ Key-Value ペアとして追加されました。 |
SourceAddress |
principal.ip、principal.asset.ip |
SourceAddress フィールドから直接マッピングされます。 |
SourceHandleId |
src.resource.id |
SourceHandleId フィールドから直接マッピングされます。 |
SourceModuleName |
observer.labels |
observer.labels 配列に Key-Value ペアとして追加され、キーは「SourceModuleName」です。 |
SourceModuleType |
observer.application |
SourceModuleType フィールドから直接マッピングされます。 |
SourcePort |
principal.port |
整数に変換されます。SourcePort フィールドから直接マッピングされます。 |
SourceProcessId |
src.process.pid |
SourceProcessId フィールドから直接マッピングされます。 |
source_client_ip |
client_ip |
client_ip フィールドに直接マッピングされます。 |
sport |
principal.port |
整数に変換されます。sport フィールドから直接マッピングされます。 |
src |
principal.ip、principal.asset.ip |
src フィールドから直接マッピングされます。 |
ssid |
network.session_id |
JSON ログの ssid フィールドから直接マッピングされます。 |
ssidName |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「ssidName」です。 |
state |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「state」です。 |
Status |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「Status」です。 |
status_code |
network.http.response_code |
整数に変換されます。status_code フィールドから直接マッピングされます。 |
SubjectDomainName |
principal.administrative_domain |
SubjectDomainName フィールドから直接マッピングされます。 |
SubjectLogonId |
principal.resource.attribute.labels |
principal.resource.attribute.labels 配列に Key-Value ペアとして追加され、キーは「SubjectLogonId」です。 |
SubjectUserName |
principal.user.userid |
SubjectUserName フィールドから直接マッピングされます。 |
SubjectUserSid |
principal.user.windows_sid |
SubjectUserSid フィールドから直接マッピングされます。 |
targetHost |
target.hostname、target.asset.hostname |
可能な場合は IP アドレスに変換されます。それ以外の場合は、解析してホスト名を抽出し、target.hostname と target.asset.hostname にマッピングします。 |
TargetHandleId |
target.resource.id |
TargetHandleId フィールドから直接マッピングされます。 |
TargetLogonId |
principal.resource.attribute.labels |
principal.resource.attribute.labels 配列に Key-Value ペアとして追加され、キーが「TargetLogonId」になります(SubjectLogonId と異なる場合)。 |
TargetProcessId |
target.process.pid |
TargetProcessId フィールドから直接マッピングされます。 |
TargetUserName |
target.user.userid |
TargetUserName フィールドから直接マッピングされます。 |
TargetUserSid |
target.user.windows_sid |
TargetUserSid フィールドから直接マッピングされます。 |
Task |
additional.fields |
文字列に変換されます。additional.fields 配列に Key-Value ペアとして追加され、キーは「Task」です。 |
timestamp |
metadata.event_timestamp |
seconds フィールドはタイムスタンプの作成に使用されます。 |
ts |
metadata.event_timestamp |
ts が空の場合は、tsDate、tsTime、tsTZ を組み合わせて作成されます。「 |
type |
security_result.summary、metadata.product_event_type |
JSON ログの type フィールドから直接マッピングされます。場合によっては eventSummary や metadata.product_event_type としても使用されます。 |
url |
target.url、principal.url |
url フィールドから直接マッピングされます。 |
url1 |
target.url |
url1 フィールドから直接マッピングされます。 |
user |
target.user.group_identifiers |
target.user.group_identifiers 配列に統合されました。 |
user_id |
target.user.userid |
user_id フィールドから直接マッピングされます。 |
UserID |
principal.user.windows_sid |
UserID フィールドから直接マッピングされます。 |
UserName |
principal.user.userid |
UserName フィールドから直接マッピングされます。 |
user_agent |
network.http.user_agent |
user_agent フィールドから直接マッピングされます。 |
userId |
target.user.userid |
userId フィールドから直接マッピングされます。 |
vap |
additional.fields |
additional.fields 配列に Key-Value ペアとして追加され、キーは「vap」です。 |
VirtualAccount |
security_result.about.labels |
security_result.about.labels 配列に Key-Value ペアとして追加され、キーは「VirtualAccount」です。 |
wiredLastSeen |
security_result.detection_fields |
文字列に変換されます。security_result.detection_fields 配列に Key-Value ペアとして追加され、キーは「wiredLastSeen」です。 |
wiredMacs |
intermediary.mac |
小文字に変換されます。intermediary.mac 配列に統合されました。 |
WorkstationName |
principal.hostname、principal.asset.hostname |
WorkstationName フィールドから直接マッピングされます。 |
変更点
2024-03-19
- 送信元デバイスの IP アドレスを「intermediary.ip」にマッピングする Grok パターンを追加しました。
2024-02-06
- 「eventSummary」が「cli_set_rad_parms」または「cli_set_rad_pmksa_parms」のログを解析しました。
- 「group」と「attr」を「additional.fields」にマッピングしました。
2023-12-26
- 「eventSummary」が「ステータスが変更されました」と「STP ロールが変更されました」のログを解析しました。
2023-10-09
- 「pattern」が「1 all」、「deny all」、「Group Policy Deny」のいずれかの場合、「sec_res.action」を「BLOCK」に設定します。
- 「pattern」が「0 all」、「allow all」、「Group Policy Allow」のいずれかの場合、「sec_res.action」を「ALLOW」に設定します。
2023-07-19
- バグの修正 -
- タイプが「ファイアウォール」の未解析の syslog ログを解析しました。
2023-07-14
- 機能強化 -
- タイプ「splash_auth」の「event_type」を「USER_LOGIN」にマッピングしました。
- タイプ「device_packet_flood」、「packet_flood」の「event_type」を「GENERIC_EVENT」にマッピングしました。
- タイプ「vpn_connectivity_change」、「wpa_deauth」、「wpa_auth」の「event_type」を「STATUS_UPDATE」にマッピングしました。
- 「agent」を「network.http.parsed_user_agent」にマッピングしました。
- 「protocol」が「47」の場合、「network.ip_protocol」を「GRE」にマッピングしました。
- 「protocol」が「103」の場合、「network.ip_protocol」を「PIM」にマッピングしました。
2023-07-04
- 機能強化 -
- Grok パターンではなく Key-Value フィルタを使用して、「urls」、「firewall」、「vpn_firewall」タイプのログを解析しました。
2023-06-16
- 機能強化 -
- 「src」を「principal.ip」にマッピングしました
- 「dst」を「target.ip」にマッピングしました
- 「protocol」を「network.ip_protocol」にマッピングしました
- 「sport」を「principal.port」にマッピングしました
- 「dport」を「target.port」にマッピングしました
- 「mac」を「principal.mac」にマッピングしました。
- 「pattern」を「security_result.description」にマッピングしました。
2023-06-09
- 機能強化 -
- 「type」が「8021x_deauth」の場合、「metadata.event_type」を「USER_LOGOUT」にマッピングしました。
- 「type」が「disassociation」の場合に、「radio」、「vap」、「reason」、「is_8021x」、「instigator」、「band」を「additional.fields」にマッピングしました。
2023-05-26
- 機能強化 -
- タイプ「security_filtering_file_scanned」の「metadata.event_type」を「STATUS_UPDATE」から「SCAN_FILE」に変更しました。
- syslog ログを解析するための Grok パターンを追加しました。
- 「ip」を「principal.ip」にマッピングしました
- 「mac」を「principal.mac」にマッピングしました。
2023-03-03
- 機能強化 -
- フィールド「ip_flow_end」を含むログを解析するための Grok パターンを追加しました。
- 「natsrcIp」を「principal.nat_ip」にマッピングしました。
- 「natsrcport」を「principal.nat_port」にマッピングしました。
2022-11-25
- 機能強化 -
- 未解析の JSON ログ、network_dns クエリログ、失敗した syslog+kv_data ログのサポートを追加しました。
- 「metadata.eventType」を RESOURCE_CREATION、FILE_UNCATEGORIZED、SETTING_MODIFICATION、NETWORK_UNCATEGORIZED にマッピングしました。
- GROUP_UNCATEGORIZED、PROCESS_LAUNCH、PROCESS_TERMINATION、STATUS_UNCATEGORIZED、SYSTEM_AUDIT_LOG_UNCATEGORIZED、
- JSON ログの「EventID」に基づく USER_LOGOUT、USER_LOGIN、RESOURCE_PERMISSIONS_CHANGE、USER_RESOURCE_ACCESS。
- 「DisabledPrivilegeList」、「EnabledPrivilegeList」を「target.user.attribute.permissions」にマッピングしました。
- 「GroupMembership」を「target.user.group_identifiers」にマッピングしました。
- 「AccessList」を「target.resource.attribute」にマッピングしました。
- 「auth_mechanism」を「extensions.auth.mechanism」にマッピングしました。
- 「question」を「network.dns.questions」にマッピングしました。
- 「priority」値に基づいて「security_result.priority」を設定。
- 「RecordNumber」を「metadata.product_log_id」にマッピングしました。
2022-10-06
- 機能強化 -
- 「dvc」を「intermediary.hostname」にマッピングしました。
- 「eventType」を「metadata.product_event_type」にマッピングしました。
- 「pattren」を「security_result.action_details」にマッピングしました。
- 「principalMac」を「principal.mac」にマッピングしました。
- 「principalIp」を「principal.ip」にマッピングしました。
- udm にマッピングする前に「dstIp」の null チェックを追加しました。
2022-07-04
- 機能強化 -
- 「protocol」が「47」の場合、「protocol」を「GRE」に設定します。
- 「protocol」が「50」の場合、「protocol」を「ESP」に設定します。
- 「eventType」が「events」の場合の kv ブロックを追加しました。
- 「identity」を「target.user.userid」にマッピングしました。
- 「last_known_client_ip」を「principal.ip」にマッピングしました。
- 「eventSummary」が「association」の場合。
- 「client_ip」を「principal.ip」にマッピングしました。
- 「client_mac」を「principal.mac」にマッピングしました。
- 「rssi」を「intermediary.asset.product_object_id」にマッピングしました。
- 「channel」を「security_result.detection_fields」にマッピングしました。
- 「aid」を「network.session_id」にマッピングしました。
2022-06-15
- 機能強化 -
- 「lastSeen」、「firstSeen」、「wiredLastSeen」を「security_result.detection_fields」にマッピングしました。
- 「wiredMacs」を「intermediary.mac」にマッピングしました。
- 「type」を「security_result.summary」にマッピングしました。
- 「description」を「security_result.description」にマッピングしました。
- 「deviceSerial」を「_target_hardware.serial_number」にマッピングしました。
- 「deviceName」を「target.hostname」にマッピングしました。
- 「ssidName」、「clientId」、「clientDescription」を「additional.fields」にマッピングしました。
- 「eventData.client_mac」を「principal.mac」にマッピングしました。
- 「eventData.identity」を「principal.hostname」にマッピングしました。
- 「eventData.aid」を「principal.asset_id」にマッピングしました。
- 「organizationId」を「principal.resource.id」にマッピングしました。
- 「eventData.group」を「principal.group.group_display_name」にマッピングしました。
- 「eventData.client_ip」を「principal.ip」にマッピングしました。
- 「occurredAt」を「metadata.event_timestamp」にマッピングしました。
2022-05-04
- 機能拡張 - ホスト名のマッピングを追加しました。
2022-04-13
- 機能拡張 - JSON タイプのログの解析を追加しました。