Mengumpulkan log Cisco Secure ACS
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Cisco Secure Access Control Server (ACS) menggunakan penerus Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan
CISCO_ACS.
Mengonfigurasi Cisco Secure ACS
- Login ke konsol Cisco Secure ACS menggunakan kredensial administrator.
- Di konsol Cisco Secure ACS, pilih System administration > Configuration > Log configuration > Remote log targets.
- Klik Buat.
Di jendela Create, tentukan nilai untuk kolom berikut:
Kolom Deskripsi Nama Nama penerusan Google Security Operations. Deskripsi Deskripsi penerusan Google Security Operations. Alamat IP Alamat IP penerusan Google Security Operations. Menggunakan opsi syslog lanjutan Pilih opsi ini untuk mengaktifkan opsi syslog lanjutan. Jenis target Pilih syslog TCP atau syslog UDP. Port Gunakan port tinggi, seperti 10514. Kode fasilitas LOCAL6 (kode = 22; default). Panjang maksimum Nilai yang direkomendasikan adalah 1024. Klik Kirim. Jendela Target log jarak jauh akan muncul dengan konfigurasi target log jarak jauh baru.
Di konsol Cisco Secure ACS, pilih System administration > Configuration > Log configuration > Logging categories > Per-Instance.
Pilih ACS, lalu klik Konfigurasi.
Di jendela Per-Instance, pilih kategori logging, lalu klik Edit.
Pada tab Umum, untuk beberapa kategori pencatatan, tingkat keparahan pencatatan harus disetel ke default atau sebagaimana disediakan oleh vendor.
Untuk Cisco Secure ACS, tingkat keparahan default adalah Peringatan untuk semua kategori logging, kecuali untuk kategori yang tingkat keparahannya tidak dapat diubah, seperti pemberitahuan audit AAA, pemberitahuan akuntansi, pemberitahuan audit administratif dan operasional, serta pemberitahuan statistik sistem.
Klik tab Remote syslog target, lalu pindahkan target jarak jauh yang baru dibuat dari Available targets ke Selected targets.
Klik Kirim.
Untuk mengonfigurasi target jarak jauh untuk kategori logging lainnya, ulangi langkah-langkah dari 8 hingga 10.
Mengonfigurasi penerusan dan syslog Google Security Operations untuk menyerap log Cisco Secure ACS
- Buka Setelan SIEM > Pengirim.
- Klik Tambahkan penerusan baru.
- Di kolom Forwarder Name, masukkan nama unik untuk penerusan.
- Klik Kirim. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
- Di kolom Nama pengumpul, ketik nama.
- Pilih Cisco ACS sebagai Jenis log.
- Pilih Syslog sebagai Collector type.
- Konfigurasikan parameter input wajib berikut:
- Protocol: tentukan protokol.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan alamat ke data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
- Klik Kirim.
Untuk mengetahui informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis penerusan, lihat Konfigurasi penerusan menurut jenis. Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Operasi Keamanan Google.
Referensi pemetaan kolom
Parser ini menangani log Cisco ACS, termasuk autentikasi, akuntansi, diagnostik, dan statistik sistem. Fitur ini menggunakan pola grok untuk mengekstrak kolom dari berbagai format log (SYSLOG + KV, LEEF), menormalisasi stempel waktu dan zona waktu, serta memetakan kolom utama ke UDM, menangani berbagai jenis log dengan logika khusus untuk keberhasilan/kegagalan autentikasi, pencatatan TACACS+, dan peristiwa RADIUS. UDM juga dilengkapi dengan kolom tambahan seperti informasi perangkat dan detail autentikasi.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
Acct-Authentic |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Authentic. |
Acct-Delay-Time |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Delay-Time. |
Acct-Input-Octets |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Input-Octets. |
Acct-Input-Packets |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Input-Packets. |
Acct-Output-Octets |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Output-Octets. |
Acct-Output-Packets |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Output-Packets. |
Acct-Session-Id |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Session-Id. |
Acct-Session-Time |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Session-Time. |
Acct-Status-Type |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Status-Type. |
Acct-Terminate-Cause |
additional.fields[].value.string_value |
Nilai diambil dari kolom Acct-Terminate-Cause. |
ACSVersion |
additional.fields[].value.string_value |
Nilai diambil dari kolom ACSVersion. |
AD-Domain |
principal.group.group_display_name |
Nilai diambil dari kolom AD-Domain. |
AD-IP-Address |
principal.ip |
Nilai diambil dari kolom AD-IP-Address. |
Called-Station-ID |
additional.fields[].value.string_value |
Nilai diambil dari kolom Called-Station-ID. |
Calling-Station-ID |
additional.fields[].value.string_value |
Nilai diambil dari kolom Calling-Station-ID. |
Class |
additional.fields[].value.string_value |
Nilai diambil dari kolom Class. |
CmdSet |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
ConfigVersionId |
additional.fields[].value.number_value |
Nilai diambil dari kolom ConfigVersionId dan dikonversi menjadi float. |
DestinationIPAddress |
target.ip, intermediary.ip |
Nilai diambil dari kolom DestinationIPAddress. intermediary.ip berasal dari Device IP Address. |
DestinationPort |
target.port |
Nilai diambil dari kolom DestinationPort dan dikonversi menjadi bilangan bulat. |
Device IP Address |
intermediary.ip |
Nilai diambil dari kolom Device IP Address. |
Device Port |
intermediary.port |
Nilai diambil dari kolom Device Port dan dikonversi menjadi bilangan bulat. |
DetailedInfo |
security_result.summary, security_result.description, security_result.action |
Jika DetailedInfo adalah "Authentication succeed", security_result.summary adalah "successful login occurred", dan security_result.action adalah ALLOW. Jika DetailedInfo berisi "Invalid username or password specified", security_result.summary adalah "failed login occurred" dan security_result.action adalah BLOCK. security_result.description berasal dari log_header. |
Framed-IP-Address |
principal.ip |
Nilai diambil dari kolom Framed-IP-Address. |
Framed-Protocol |
additional.fields[].value.string_value |
Nilai diambil dari kolom Framed-Protocol. |
NAS-IP-Address |
target.ip |
Nilai diambil dari kolom NAS-IP-Address. |
NAS-Port |
additional.fields[].value.string_value |
Nilai diambil dari kolom NAS-Port. |
NAS-Port-Id |
target.port |
Nilai diambil dari kolom NAS-Port-Id dan dikonversi menjadi bilangan bulat. |
NAS-Port-Type |
additional.fields[].value.string_value |
Nilai diambil dari kolom NAS-Port-Type. |
NetworkDeviceName |
target.hostname |
Nilai diambil dari kolom NetworkDeviceName. |
Protocol |
additional.fields[].value.string_value |
Nilai diambil dari kolom Protocol. |
RadiusPacketType |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
Remote-Address |
principal.ip, target.ip |
Nilai diambil dari kolom Remote-Address dan diuraikan sebagai alamat IP. ID ini dipetakan ke principal.ip untuk peristiwa autentikasi dan target.ip untuk peristiwa akuntansi dan diagnostik. |
RequestLatency |
additional.fields[].value.string_value |
Nilai diambil dari kolom RequestLatency. |
Response |
principal.user.userid |
Jika Response berisi "User-Name", nama pengguna akan diekstrak dan dipetakan ke principal.user.userid. |
SelectedAccessService |
additional.fields[].value.string_value |
Nilai diambil dari kolom SelectedAccessService. |
SelectedAuthenticationIdentityStores |
security_result.detection_fields[].value |
Nilai diambil dari kolom SelectedAuthenticationIdentityStores. |
SelectedAuthorizationProfiles |
security_result.detection_fields[].value |
Nilai diambil dari kolom SelectedAuthorizationProfiles. |
Service-Type |
additional.fields[].value.string_value |
Nilai diambil dari kolom Service-Type. |
Tunnel-Client-Endpoint |
additional.fields[].value.string_value |
Nilai diambil dari kolom Tunnel-Client-Endpoint dan diuraikan sebagai alamat IP. |
User |
target.user.userid |
Nilai diambil dari kolom User. |
UserName |
target.user.userid, principal.mac |
Jika UserName adalah alamat MAC, alamat tersebut akan diuraikan dan dipetakan ke principal.mac. Jika tidak, nilai ini dipetakan ke target.user.userid. |
ac-user-agent |
network.http.user_agent |
Nilai diambil dari kolom ac-user-agent. |
cat |
metadata.description |
Nilai diambil dari kolom cat. |
device-mac |
principal.mac |
Nilai diambil dari kolom device-mac, titik dua ditambahkan, dan nilai dikonversi menjadi huruf kecil. Jika device-mac adalah "00", maka akan diganti dengan "00:00:00:00:00:00". |
device-platform |
principal.asset.platform_software.platform |
Jika device-platform adalah "win", nilai "WINDOWS" akan ditetapkan ke principal.asset.platform_software.platform. |
device-platform-version |
principal.asset.platform_software.platform_version |
Nilai diambil dari kolom device-platform-version. |
device-public-mac |
principal.mac |
Nilai diambil dari kolom device-public-mac, tanda hubung diganti dengan titik dua, dan nilai dikonversi menjadi huruf kecil. |
device-type |
principal.asset.hardware.model |
Nilai diambil dari kolom device-type. |
device-uid |
principal.asset.asset_id |
Nilai diambil dari kolom device-uid dan diawali dengan "ID ASET: ". |
device-uid-global |
principal.asset.product_object_id |
Nilai diambil dari kolom device-uid-global. |
hostname |
principal.hostname |
Nilai diambil dari kolom hostname. |
ip:source-ip |
principal.ip |
Nilai diambil dari kolom ip:source-ip. |
kv.ADDomain |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.Airespace-Wlan-Id |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.AuthenticationIdentityStore |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.AVPair |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.CVPN3000/ASA/PIX7.x-DAP-Tunnel-Group-Name |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.CVPN3000/ASA/PIX7.x-Group-Based-Address-Pools |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.ExternalGroups |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.FailureReason |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.IdentityAccessRestricted |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.IdentityGroup |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.NAS-Identifier |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.SelectedShellProfile |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.ServiceSelectionMatchedRule |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.State |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.Step |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.Tunnel-Medium-Type |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.Tunnel-Private-Group-ID |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.Tunnel-Type |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.UseCase |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.UserIdentityGroup |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.VendorSpecific |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.attribute-131 |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.attribute-89 |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.cisco-av-pair |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
kv.cisco-av-pair:CiscoSecure-Group-Id |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
leef_version |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
log_header |
metadata.description |
Nilai diambil dari kolom log_header. |
log_id |
metadata.product_log_id |
Nilai diambil dari kolom log_id. |
log_type |
metadata.product_event_type |
Nilai diambil dari kolom log_type. |
message_severity |
(tidak dipetakan) | Tidak dipetakan ke objek IDM. |
product |
metadata.product_name |
Nilai diambil dari kolom product. |
product_version |
metadata.product_version |
Nilai diambil dari kolom product_version. |
server_host |
target.hostname |
Nilai diambil dari kolom server_host. |
timestamp |
metadata.event_timestamp |
Nilai diambil dari kolom timestamp dan kolom timezone (setelah menghapus titik dua). Nilai gabungan diuraikan sebagai stempel waktu. |
url |
network.dns.questions[].name |
Nilai diambil dari kolom url. |
vendor |
metadata.vendor_name |
Nilai diambil dari kolom vendor. Awalnya disetel ke "GENERIC_EVENT", lalu berpotensi diganti berdasarkan log_type dan kolom yang diuraikan. Dapat berupa "USER_LOGIN", "USER_UNCATEGORIZED", "NETWORK_DNS", "NETWORK_CONNECTION", "STATUS_UPDATE", atau "STATUS_UNCATEGORIZED". Awalnya disetel ke "Cisco", lalu berpotensi ditimpa oleh kolom vendor. Awalnya disetel ke "ACS", lalu berpotensi ditimpa oleh kolom product. Tetapkan ke "CISCO_ACS". Tetapkan ke "USERNAME_PASSWORD". Tetapkan ke "TACACS". Setel ke "UDP" untuk peristiwa diagnostik dan pencatatan RADIUS. Setel ke "DNS" untuk peristiwa DNS. Diperoleh dari kolom security_action, yang ditetapkan berdasarkan apakah login berhasil atau tidak. Disetel ke "login berhasil terjadi" untuk login yang berhasil dan "login gagal terjadi" untuk login yang gagal. Mungkin juga ditetapkan ke "passed" untuk peristiwa diagnostik penyimpanan identitas tertentu. Disetel ke "RENDAH" untuk upaya login yang gagal. Dibuat dengan menambahkan "ID ASET: " ke kolom device-uid. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.