收集 Cisco ISE 記錄
支援以下發布途徑:
Google secops
Siem
本文說明如何使用 Google 安全作業轉送器收集 Cisco Identity Services Engine (ISE) 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤可識別剖析器,將原始記錄資料正規化為結構化 UDM 格式。本文中的資訊適用於使用 CISCO_ISE 攝入標籤的剖析器。
設定 Cisco ISE
- 使用管理員憑證登入 Cisco ISE 主控台。
- 在 Cisco ISE 主控台中,依序選取「Administration」>「System」>「Logging」>「Remote logging targets」。
- 在「Remote logging targets」視窗中,按一下「Add」。系統會顯示「New logging target」視窗。
在「Logging target」區段中,指定下列欄位的值:
欄位 說明 名稱 Google Security Operations 轉寄者的名稱。 說明 Google Security Operations 轉送器的說明。 類型 遠端記錄目標的類型,例如 syslog。 IP 位址 Google Security Operations 轉寄站的 IP 位址。 目標類型 選取 TCP 或 UDP 系統記錄檔。 通訊埠 使用較高的通訊埠,例如 10514。 設施代碼 您可以指定下列其中一個值: - LOCAL0 (code = 16)
- LOCAL1 (代碼 = 17)
- LOCAL2 (代碼 = 18)
- LOCAL3 (代碼 = 19)
- LOCAL4 (代碼 = 20)
- LOCAL5 (代碼 = 21)
- LOCAL6 (代碼 = 22; 預設)
- LOCAL7 (代碼 = 23)
長度上限 建議值為 1024。 按一下「提交」。「遠端記錄目標」視窗隨即顯示,並顯示新的 Google Security Operations 轉送器設定。
在 Cisco ISE 主控台中,依序選取「Administration」>「System」>「Logging」>「Logging categories」。
在「Logging categories」視窗中,選取要設定遠端 syslog 目標的類別,然後新增遠端 syslog 目標。
以下是範例類別:AAA 稽核、AAA 診斷、會計、管理和作業稽核、態勢和用戶端佈建稽核、態勢和用戶端佈建診斷、剖析器、系統診斷和系統統計資料。
設定 Google Security Operations 轉送器和 syslog,以便擷取 Cisco Secure ACS 記錄
- 依序前往「SIEM 設定」>「轉送器」。
- 按一下「新增轉寄者」。
- 在「轉介者名稱」欄位中,輸入轉介者的專屬名稱。
- 按一下「提交」。系統會新增轉送器,並顯示「Add collector configuration」視窗。
- 在「收集器名稱」欄位中輸入名稱。
- 選取「Cisco ISE」做為「記錄類型」。
- 選取「Syslog」做為「收集器類型」。
- 設定下列必要輸入參數:
- Protocol:指定通訊協定。
- 地址:指定收集器所在位置的目標 IP 位址或主機名稱,以及 syslog 資料的地址。
- Port:指定收集器所在位置的目標通訊埠,並監聽 syslog 資料。
- 點選「提交」。
如要進一步瞭解 Google Security Operations 轉送器,請參閱 Google Security Operations 轉送器說明文件。如要瞭解各轉送器類型的相關規定,請參閱「依類型分類的轉送器設定」。如果在建立轉送器時遇到問題,請與 Google 安全作業支援團隊聯絡。
欄位對應參考資料
這個剖析器會從 syslog 訊息中擷取 Cisco ISE 記錄,將資料正規化為 UDM 格式,並為事件提供額外的背景資訊。這項功能會處理各種 ISE 記錄類別,包括驗證成功和失敗、管理稽核、系統統計資料等,並將相關欄位對應至 UDM 結構定義,以及新增特定標籤以進行詳細分析。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
Acct-Authentic |
sec_result.detection_fields.value |
直接對應。 |
Acct-Delay-Time |
sec_result.detection_fields.value |
直接對應。 |
Acct-Input-Octets |
sec_result.detection_fields.value |
直接對應。 |
Acct-Input-Packets |
sec_result.detection_fields.value |
直接對應。 |
Acct-Output-Octets |
sec_result.detection_fields.value |
直接對應。 |
Acct-Output-Packets |
sec_result.detection_fields.value |
直接對應。 |
Acct-Session-Id |
sec_result.detection_fields.value |
直接對應。 |
Acct-Session-Time |
sec_result.detection_fields.value |
直接對應。 |
Acct-Status-Type |
sec_result.detection_fields.value |
直接對應。 |
Acct-Terminate-Cause |
sec_result.detection_fields.value |
直接對應。 |
AcsSessionID |
sec_result.detection_fields.value |
直接對應為「Acs SessionID」。 |
AD-Account-Name |
principal.user.userid |
直接對應。 |
AD-Domain |
principal.group.group_display_name |
直接對應。 |
AD-Domain-Controller |
target.administrative_domain |
直接對應。 |
AD-Error-Details |
sec_result.description |
直接對應。 |
AD-Host-Candidate-Identities |
sec_result.detection_fields.value |
直接對應。 |
AD-IP-Address |
target.ip、target.asset.ip |
直接對應。 |
AD-Log-Id |
sec_result.detection_fields.value |
直接對應為「AD-Log-Id」。 |
AD-Operating-System |
principal.asset.platform_software.platform_version |
直接對應為 ad_operating_system。如果包含「Windows」,principal.platform 會設為「WINDOWS」。 |
AD-Site |
target.location.name |
直接對應。 |
AD-Srv-Query |
sec_result.detection_fields.value |
直接對應為「AD-Srv-Query」。 |
AD-Srv-Record |
sec_result.detection_fields.value |
直接對應為「AD-Srv-Record」。 |
AD-User-Resolved-Identities |
sec_result.detection_fields.value |
直接對應。 |
AD-User-SamAccount-Name |
principal.user.attribute.labels.value |
直接對應。 |
AdminIPAddress |
principal.ip、principal.asset.ip |
直接對應。 |
AdminInterface |
principal.user.attribute.labels.value |
直接對應為「管理介面」。 |
AdminName |
principal.user.userid |
直接對應。系統也會新增類型為「ADMINISTRATOR」的 user.attribute.roles。 |
AuthenticationIdentityStore |
sec_result.detection_fields.value |
直接對應為「Authentication Identity Store」。 |
AuthenticationStatus |
sec_result.action_details |
直接對應。如果值與「AuthenticationPassed」相符,sec_result.action 會設為「ALLOW」,否則設為「BLOCK」。 |
AuthorizationPolicyMatchedRule |
sec_result.rule_name |
已對應至前置字串「AuthorizationPolicyMatchedRule :」。 |
BYODRegistration |
sec_result.detection_fields.value |
直接對應。 |
Called-Station-ID |
sec_result.detection_fields.value |
直接對應。 |
Calling-Station-ID |
sec_result.detection_fields.value、principal.ip、principal.asset.ip |
直接對應。如果是 IP 位址,也要對應至 principal.ip 和 principal.asset.ip。 |
cdpCachePlatform |
principal.asset.hardware.model |
直接對應。 |
Class |
sec_result.detection_fields.value |
直接對應。 |
ClientLatency |
sec_result.detection_fields.value |
直接對應。 |
CmdSet |
target.process.command_line |
移除外圍的括號和空格後,直接對應。 |
ConfigVersionId |
sec_result.detection_fields.value |
直接對應為「設定版本 ID」。 |
ConnectionStatus |
sec_result.detection_fields.value |
直接對應為「連線狀態」。 |
CPMSessionID |
sec_result.detection_fields.value |
直接對應。 |
CreateTime |
principal.asset.attribute.creation_time |
解析為 UNIX_MS 時間戳記。 |
DetailedInfo |
sec_result.description |
移除反斜線後直接對應。 |
DestinationIPAddress |
target.ip、target.asset.ip |
直接對應。將 has_target 設為「true」。 |
DestinationPort |
target.port |
如果是數字,則直接對應。 |
Device IP Address |
principal.ip、principal.asset.ip、_intermediary.ip、target.ip、target.asset.ip |
已對應為 DeviceIPAddress。用於各種邏輯,根據記錄類別和其他欄位填入 principal.ip、_intermediary.ip 或 target.ip。 |
Device Port |
principal.port、_intermediary.port、target.port |
已對應為 DevicePort。用於各種邏輯,根據記錄類別和其他欄位填入 principal.port、_intermediary.port 或 target.port。 |
Device Type |
principal.asset.hardware.model |
直接對應為 device-type。 |
DTLSSupport |
sec_result.detection_fields.value |
直接對應。 |
EndPointMACAddress |
principal.asset.mac |
轉換為小寫並將連字號替換為冒號後,直接對應。 |
EndPointMatchedProfile |
sec_result.about.labels.value |
直接對應。 |
EndpointCertainityMetric |
sec_result.detection_fields.value |
直接對應為「端點準確度指標」。 |
EndpointIdentityGroup |
principal.group.group_display_name |
直接對應。 |
EndpointIPAddress |
principal.asset.ip |
直接對應。 |
EndpointNADAddress |
sec_result.detection_fields.value |
直接對應為「端點 NAD 位址」。 |
EndpointOUI |
sec_result.detection_fields.value |
直接對應為「端點 OUI」。 |
EndpointPolicy |
principal.asset.platform_software.platform_version |
直接對應。 |
EndpointProperty |
sec_result.detection_fields.value |
直接對應為「端點資源」。 |
EndpointSourceEvent |
sec_result.detection_fields.value |
直接對應。 |
EndpointUserAgent |
network.http.user_agent |
直接對應。 |
EndPointVersion |
sec_result.detection_fields.value |
直接對應。 |
FailureReason |
sec_result.detection_fields.value、sec_result.summary、sec_result.description |
已對應為 FailureReason。用於填入 sec_result.detection_fields 的「失敗原因」欄位,視情況填入 sec_result.summary 或 sec_result.description。 |
FirstCollection |
principal.asset.first_discover_time |
解析為 UNIX_MS 時間戳記。 |
Framed-IP-Address |
sec_result.detection_fields.value |
直接對應。 |
Framed-IPv6-Address |
FramedIPAddress |
直接對應。 |
Framed-Protocol |
sec_result.detection_fields.value |
直接對應。 |
IdentityGroup |
principal.group.group_display_name |
直接對應。 |
IdentityGroupID |
principal.group.product_object_id |
直接對應。 |
IdentityPolicyMatchedRule |
sec_result.about.labels.value |
直接對應。 |
IdentitySelectionMatchedRule |
sec_result.detection_fields.value |
直接對應。 |
IMEI |
target.asset.product_object_id |
直接對應。 |
ISELocalAddress |
_intermediary.ip、principal.ip、principal.asset.ip、_intermediary.port、principal.port、sec_result.detection_fields.value |
如果在 CISE_Administrative_and_Operational_Audit 中,IP 和通訊埠會被擷取並對應至 _intermediary 和 principal。否則,請直接將「ISE Local Address」對應至 sec_result.detection_fields。 |
ISEModuleName |
sec_result.detection_fields.value |
直接對應為「ISE 模組名稱」。 |
ISEServiceName |
sec_result.detection_fields.value |
直接對應為「ISE Service Name」。 |
IsThirdPartyDeviceFlow |
sec_result.detection_fields.value |
直接對應。 |
Issuer |
about.labels.value |
直接對應。 |
LastActivity |
principal.asset.last_discover_time |
解析為 UNIX_MS 時間戳記。 |
LastNmapScanTime |
sec_result.detection_fields.value |
直接對應。 |
lldpChassisId |
target.mac |
剖析後直接對應為 MAC 位址。 |
lldpSystemName |
target.hostname、target.asset.hostname |
直接對應。 |
Location |
principal.location.country_or_region、target.location.country_or_region |
視記錄類別而定,直接對應至 principal 或 target 位置。 |
Manufacturer |
target.asset.hardware.manufacturer |
直接對應。 |
MessageCode |
sec_result.detection_fields.value、metadata.event_type |
直接對應為 msg_code。用於邏輯判斷 metadata.event_type。 |
Model |
target.asset.hardware.model |
直接對應。 |
NAS-IP-Address |
principal.nat_ip |
直接對應。 |
NAS-Identifier |
principal.labels.value |
直接對應為 nas_identifier。 |
NAS-Port |
principal.nat_port、sec_result.detection_fields.value、principal.labels.value |
已對應為 NASPort。如果是數字且小於 2147483648,則會對應至 principal.nat_port。否則,系統會將其視為字串,並將 sec_result.detection_fields 設為「NAS Port」,將 principal.labels 設為「NAS-Port」。 |
NAS-Port-Id |
principal.labels.value、sec_result.detection_fields.value |
已對應為 NASPortId。用於將 principal.labels 填入「nas_port_id」或 sec_result.detection_fields 填入「nas_port_id」。 |
NAS-Port-Type |
principal.labels.value、sec_result.detection_fields.value |
已對應為 NASPortType。用於將 principal.labels 填入「nas_port_type」或 sec_result.detection_fields 填入「Nas-Port-Type」。 |
NetworkDeviceGroups |
sec_result.detection_fields.value |
直接對應。 |
NetworkDeviceName |
_intermediary.hostname、principal.hostname、principal.asset.hostname、target.hostname、target.asset.hostname |
已對應為 NetworkDeviceName。用於各種邏輯,根據記錄類別和其他欄位填入 _intermediary.hostname、principal.hostname 或 target.hostname。 |
NetworkDeviceProfileId |
principal.asset.asset_id |
使用前置字串「Cisco_ISE:」對應。 |
NetworkDeviceProfileName |
principal.asset.attribute.labels.value |
直接對應。 |
ObjectName |
sec_result.about.labels.value |
直接對應。 |
ObjectType |
sec_result.about.labels.value |
直接對應。 |
OperatingSystem |
target.asset.platform_software.platform_version、principal.asset.platform_software.platform_version、principal.platform |
已對應為 OperatingSystem。用於填入 target.asset.platform_software.platform_version 或 principal.asset.platform_software.platform_version。如果包含「Win」,principal.platform 就會設為「WINDOWS」。如果包含「lin」,principal.platform 會設為「LINUX」。如果包含「iOS」,principal.platform 會設為「MAC」。 |
OperationMessageText |
sec_result.detection_fields.value、about.labels.value、sec_result.summary |
已對應為 OperationMessageText。用於填入 sec_result.detection_fields 做為「作業訊息文字」、about.labels 做為「作業訊息文字」,或 sec_result.summary (視情況而定)。如果包含連結詳細資料,系統會擷取這些資料並對應至 src 和 target。 |
OriginalUserName |
principal.user.userid |
直接對應為 User。 |
PeerAddress |
target.mac |
轉換為小寫並將連字號替換為冒號後,直接對應。 |
PeerName |
target.hostname、target.asset.hostname |
系統會擷取 IP 和主機名稱,並對應至 target.ip 和 target.hostname。 |
PhoneID |
principal.user.phone_numbers |
直接對應為 User-Fetch-Telephone。 |
PhoneNumber |
principal.user.phone_numbers |
直接對應。 |
PolicyVersion |
sec_result.detection_fields.value |
直接對應。 |
Port |
_intermediary.port、principal.port、target.port |
已對應為 Port。用於各種邏輯,根據記錄類別和其他欄位填入 _intermediary.port、principal.port 或 target.port。 |
PostureAssessmentStatus |
sec_result.detection_fields.value |
直接對應。 |
PostureExpiry |
sec_result.detection_fields.value |
直接對應。 |
PostureStatus |
sec_result.detection_fields.value |
直接對應為「姿勢狀態」。 |
ProfilerServer |
sec_result.detection_fields.value |
直接對應。 |
Protocol |
sec_result.detection_fields.value |
直接對應。 |
r_cat_name |
metadata.product_event_type |
直接對應。 |
r_ip_or_host |
observer.ip、observer.hostname、principal.ip、principal.asset.ip、principal.hostname、principal.asset.hostname、target.ip、target.asset.ip、target.hostname、target.asset.hostname |
如果是 IP,則會對應至 observer.ip。如果是主機名稱,則會對應至 observer.hostname。也用於各種邏輯,根據記錄類別和其他欄位填入 principal 或 target IP/主機名稱。 |
r_msg_id |
sec_result.detection_fields.value、metadata.product_log_id |
直接對應為「r_msg_id」。如果 sequence_num 無法使用,也會用做 metadata.product_log_id。 |
r_seg_num |
sec_result.detection_fields.value、metadata.product_log_id |
直接對應為「r_seg_num」。如果 sequence_num 無法使用,也會用做 metadata.product_log_id。 |
r_total_seg |
sec_result.detection_fields.value |
直接對應。 |
RadiusFlowType |
sec_result.detection_fields.value |
直接對應。 |
RadiusPacketType |
sec_result.detection_fields.value |
直接對應為「Radius 封包類型」。 |
RegisterStatus |
sec_result.rule_name |
直接對應。 |
RequestLatency |
sec_result.detection_fields.value |
直接對應為「Request Latency」。 |
SelectedAccessService |
sec_result.detection_fields.value |
直接對應為「Selected Access Service」。 |
SelectedAuthorizationProfiles |
sec_result.detection_fields.value |
直接對應。 |
Serial Number |
network.tls.server.certificate.serial、about.labels.value |
已對應為 serial_number。用於根據情境,將「序號」填入 network.tls.server.certificate.serial 或 about.labels。 |
Service-Type |
sec_result.detection_fields.value |
直接對應。 |
SessionId |
network.session_id |
直接對應。 |
ShutdownReason |
sec_result.detection_fields.value |
直接對應為「ShutdownReason」。 |
SSID |
sec_result.detection_fields.value |
直接對應。 |
StaticGroupAssignment |
sec_result.detection_fields.value |
直接對應。 |
Subject |
about.labels.value |
直接對應。 |
Subject Alternative Name |
about.labels.value |
直接對應為「主體別名」。 |
SysStatsCpuCount |
target.asset.hardware.cpu_number_cores |
直接對應。 |
SysStatsProcessMemoryMB |
target.asset.hardware.ram |
直接對應為 __hardware.ram。 |
SysStatsUtilizationNetwork |
target.resource.name、network.sent_bytes、network.received_bytes |
系統會擷取及對應網路適配器名稱、傳送位元組和接收位元組。target.resource.resource_type 設為「UNSPECIFIED」。 |
TimeToProfile |
sec_result.detection_fields.value |
直接對應。 |
Total Certainty Factor |
sec_result.detection_fields.value |
直接對應。 |
TotalFailedTime |
sec_result.detection_fields.value |
直接對應。 |
Tunnel-Client-Endpoint |
sec_result.detection_fields.value |
直接對應為「Tunnel Client Endpoint」。 |
UniqueConnectionIdentifier |
sec_result.detection_fields.value |
直接對應為「Unique Connection Identifier」。 |
UpdateTime |
sec_result.detection_fields.value |
直接對應。 |
User |
principal.user.userid |
直接對應。 |
User-Fetch-Email |
sec_result.detection_fields.value |
直接對應。 |
User-Fetch-Last-Name |
principal.user.last_name |
直接對應。 |
User-Fetch-LocalityName |
sec_result.detection_fields.value |
直接對應。 |
User-Fetch-StateOrProvinceName |
sec_result.detection_fields.value |
直接對應。 |
User-Fetch-Telephone |
principal.user.phone_numbers |
直接對應為 PhoneID。 |
UserName |
principal.user.userid |
直接對應。如果不為空白,且不是「"」或「unknown」,則會轉換為小寫,連字號會替換為冒號,如果符合 MAC 位址模式,也會對應至 principal.mac。 |
User-Name |
principal.user.userid |
直接對應。 |
UserType |
principal.user.attribute.labels.value |
直接對應。 |
(剖析器邏輯) action |
sec_result.action |
如果 msg_text 包含成功關鍵字,請設為「ALLOW」;如果包含失敗關鍵字,請設為「BLOCK」;如果是其他情況,請設為「UNKNOWN_ACTION」。 |
(剖析器邏輯) about.hostname |
about.hostname |
衍生自 StepData=4 或 stepdata。 |
(剖析器邏輯) event.idm.read_only_udm.about |
event.idm.read_only_udm.about |
填入 about.hostname、about.application 和 about.process.pid 等各種欄位。 |
(剖析器邏輯) event.idm.read_only_udm.extensions.auth.mechanism |
event.idm.read_only_udm.extensions.auth.mechanism |
在 CISE_TACACS_Diagnostics 類別中的特定情況下,將其設為「NETWORK」。 |
(剖析器邏輯) event.idm.read_only_udm.extensions.auth.type |
event.idm.read_only_udm.extensions.auth.type |
針對各種登入/登出事件,請將這個欄位設為「MACHINE」;針對特定 TACACS 事件,請設為「TACACS」;針對其他登入事件,請設為「AUTHTYPE_UNSPECIFIED」。 |
(剖析器邏輯) event.idm.read_only_udm.metadata.collected_timestamp |
event.idm.read_only_udm.metadata.collected_timestamp |
從 logstash.process.timestamp 剖析 (如果有的話)。 |
(剖析器邏輯) event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
由 msg_class 和 msg_text 建構,如果 msg_class 不可用,則只由 msg_text 建構。 |
(剖析器邏輯) event.idm.read_only_udm.metadata.event_timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
從 datetime 欄位解析,該欄位源自 datetime 和 timezone 或 r_datetime。 |
(剖析器邏輯) event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
根據 r_cat_name、msg_code 和其他欄位決定。可為 GENERIC_EVENT、STATUS_UPDATE、NETWORK_CONNECTION、STATUS_HEARTBEAT、STATUS_STARTUP、STATUS_SHUTDOWN、USER_LOGIN、USER_LOGOUT、USER_RESOURCE_ACCESS、USER_UNCATEGORIZED、RESOURCE_READ、SCAN_NETWORK、STATUS_UNCATEGORIZED、NETWORK_FLOW。 |
(剖析器邏輯) event.idm.read_only_udm.metadata.ingested_timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
從 logstash.ingest.timestamp 剖析 (如果有的話)。 |
(剖析器邏輯) event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
設為「CISCO_ISE」。 |
(剖析器邏輯) event.idm.read_only_udm.metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
衍生自 r_cat_name。 |
(剖析器邏輯) event.idm.read_only_udm.metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
取決於可用性,可能來自 sequence_num、r_seg_num 或 r_msg_id。 |
(剖析器邏輯) event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
將其設為「ISE」或 MDMServerName (如果有的話)。 |
(剖析器邏輯) event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
設為「Cisco」。 |
(剖析器邏輯) event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
衍生自 ac-user-agent 或 EndpointUserAgent。 |
(剖析器邏輯) event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
針對特定事件類型設為「TCP」。 |
(剖析器邏輯) event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
衍生自 SessionId。 |
(剖析器邏輯) event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
衍生自 TLSCipher。 |
(剖析器邏輯) event.idm.read_only_udm.network.tls.server.certificate.serial |
event.idm.read_only_udm.network.tls.server.certificate.serial |
衍生自 Serial Number。 |
(剖析器邏輯) event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
衍生自 TLSVersion。 |
(剖析器邏輯) event.idm.read_only_udm.principal.asset.asset_id |
event.idm.read_only_udm.principal.asset.asset_id |
衍生自前置字串為「Cisco_ISE:」的 NetworkDeviceProfileId。 |
(剖析器邏輯) event.idm.read_only_udm.principal.asset.hardware |
event.idm.read_only_udm.principal.asset.hardware |
填入 hardware.manufacturer 和 hardware.model 等欄位。 |
(剖析器邏輯) event.idm.read_only_udm.principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
取自各種 IP 位址欄位,取決於記錄類別和其他欄位。 |
(剖析器邏輯) event.idm.read_only_udm.principal.asset.mac |
event.idm.read_only_udm.principal.asset.mac |
經過適當格式化後,從 EndpointMacAddress、parsed_endpoint_mac 或其他 MAC 位址欄位衍生而來。 |
(剖析器邏輯) event.idm.read_only_udm.principal.asset.platform_software.platform_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_version |
衍生自 OperatingSystem、EndpointPolicy 或 ad_operating_system。 |
(剖析器邏輯) event.idm.read_only_udm.principal.group.group_display_name |
event.idm.read_only_udm.principal.group.group_display_name |
衍生自 AD-Domain、IdentityGroup 或 EndpointIdentityGroup。 |
(剖析器邏輯) event.idm.read_only_udm.principal.group.product_object_id |
event.idm.read_only_udm.principal.group.product_object_id |
衍生自 IdentityGroupID。 |
(剖析器邏輯) event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
取自 r_ip_or_host、NetworkDeviceName 或其他主機名稱欄位,具體取決於記錄類別和其他欄位。 |
(剖析器邏輯) event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
取自各種 IP 位址欄位,取決於記錄類別和其他欄位。 |
(剖析器邏輯) event.idm.read_only_udm.principal.labels |
event.idm.read_only_udm.principal.labels |
填入 nas_identifier、nas_port_type 和 nas_port_id 等欄位。 |
(剖析器邏輯) event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
衍生自 Location。 |
(剖析器邏輯) event.idm.read_only_udm.principal.nat_ip |
event.idm.read_only_udm.principal.nat_ip |
衍生自 NAS-IP-Address。 |
(剖析器邏輯) event.idm.read_only_udm.principal.nat_port |
event.idm.read_only_udm.principal.nat_port |
如果是數字且小於 2147483648,則會衍生自 NAS-Port。 |
(剖析器邏輯) event.idm.read_only_udm.principal.platform |
event.idm.read_only_udm.principal.platform |
衍生自 device-platform 或 OperatingSystem。可以是 WINDOWS、LINUX、MAC 或 UNKNOWN_PLATFORM。 |
(剖析器邏輯) event.idm.read_only_udm.principal.platform_version |
event.idm.read_only_udm.principal.platform_version |
衍生自 platform-version。 |
(剖析器邏輯) event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
如果是數值,則會從 Device Port 或 Port 衍生。 |
(剖析器邏輯) event.idm.read_only_udm.principal.user.attribute.labels |
event.idm.read_only_udm.principal.user.attribute.labels |
填入「管理介面」、「UserType」和「Chargeable-User-Identity」等欄位。 |
(剖析器邏輯) event.idm.read_only_udm.principal.user.phone_numbers |
event.idm.read_only_udm.principal.user.phone_numbers |
衍生自 PhoneID 或 PhoneNumber。 |
(剖析器邏輯) event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
取自 User、UserName、User-Name、AdminName、OriginalUserName 或其他使用者名稱欄位,具體取決於記錄類別和其他欄位。 |
(剖析器邏輯) event.idm.read_only_udm.security_result.about.labels |
event.idm.read_only_udm.security_result.about.labels |
填入「IdentityPolicyMatchedRule」、「EndPointMatchedProfile」、「ObjectType」和「ObjectName」等欄位。 |
(剖析器邏輯) event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
衍生自 msg_text 或 AuthenticationStatus。可以是 ALLOW、BLOCK 或 UNKNOWN_ACTION。 |
(剖析器邏輯) event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
視記錄類別和其他欄位而定,填入各種欄位。 |
(剖析器邏輯) event.idm.read_only_udm.security_result.description |
event.idm.read_only_udm.security_result.description |
衍生自 AD-Error-Details 或 DetailedInfo。 |
(剖析器邏輯) event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
衍生自 AuthorizationPolicyMatchedRule 或 RegisterStatus。 |
(剖析器邏輯) event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
衍生自 msg_sev。可為「CRITICAL」、「ERROR」、「HIGH」、「MEDIUM」或「INFORMATIONAL」。 |
(剖析器邏輯) event.idm.read_only_udm.security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
衍生自 msg_sev。 |
(剖析器邏輯) event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
衍生自 msg_text 或 FailureReason。 |
(剖析器邏輯) event.idm.read_only_udm.src.ip |
event.idm.read_only_udm.src.ip |
衍生自從 OperationMessageText 擷取的 source_ip。 |
(剖析器邏輯) event.idm.read_only_udm.src.port |
event.idm.read_only_udm.src.port |
如果是數字,則是從 OperationMessageText 擷取的 source_port 衍生而來。 |
(剖析器邏輯) event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
衍生自 AD-Domain-Controller。 |
(剖析器邏輯) event.idm.read_only_udm.target.asset.hardware |
event.idm.read_only_udm.target.asset.hardware |
填入 _hardware.cpu_number_cores 等欄位。 |
(剖析器邏輯) event.idm.read_only_udm.target.asset.hostname |
` |
異動
2024-05-10
- 將「ExternalGroups」對應至「additional.fields」。
2024-05-09
- 新增 Grok 模式,以便剖析新的「CISE_Profiler」格式。
- 已對應「CISE_Administrative_and_Operational_Audit」和「CISE_Alarm」的部分欄位。
2024-04-18
- 已將「msg_sev」對應至「security_result.severity_details」。
- 已將「r_total_seg」、「r_seg_num」、「msg_code」和「r_msg_id」對應至「security_result.detection_fields」。
- 已將「r_cat_name」對應至「security_result.category_details」。
- 將「msg_text」和「msg_class」對應至「metadata.description」。
- 對齊「target.ip」和「target.asset.ip」對應項目。
- 對齊「target.hostname」和「target.asset.hostname」對應項目。
- 已對齊「principal.ip」和「principal.asset.ip」對應項目。
- 對齊「principal.hostname」和「principal.asset.hostname」對應項目。
- 新增 Grok 模式,用於剖析「msg_attrs」。
2024-04-10
- 修正錯誤:
- 新增 Grok 模式,以便剖析新的「PeerName」格式。
2023-11-20
- 新增 Grok 模式,用於剖析失敗的 Syslog。
- 新增「msg_code」"5412",用於剖析具有相同「msg_code」的記錄。
2023-09-29
- 新增支援 JSON 記錄的新模式。
- 將 80002 和 80006 記錄中的「EndpointSourceEvent」、「NASIdentifier」、「NAS-Port-Type」、「NAS-Port-Id」、「ProfilerServer」對應至「security_result.detection_fields」。
- 針對 80002 和 80006 記錄,將「位置」的對應項目從「principal.location」變更為「target.location」。
- 新增 on_error 檢查,用於取代及合併函式。
- 修改日期對應項目,以便剖析使用「MEST」和「MESZ」時區的日期。
2023-08-02
- 改善項目:
- 新增 KV 對應,用於剖析並將「cisco-av-pair=dhcp-option=host-name」對應至「target.hostname」。
- 當「msg_text」包含「failed|dropped|stop|rejected|down|abandoned|block|blocking|invalid」時,已將「security_result.action」的對應項目從「FAIL」變更為「BLOCK」。
2023-07-18
- 改善項目:
- 將「cisco-av-pair=dhcp-option=host-name」對應至「target.hostname」。
- 將「User-Name」的對應項目從「target.user.userid」變更為「principal.user.userid」。
- 將「UserName」的對應項目從「target.user.userid」變更為「principal.user.userid」。
- 將「User」的對應項目從「target.user.userid」變更為「principal.user.userid」。
- 將「PhoneNumber」的對應項目從「target.user.phone_numbers」變更為「principal.user.phone_numbers」。
- 為剖析器事件類型 80002、80006 將「FramedIPAddress」對應至「security_result.detection_fields」。
- 修改日期對應項目,以便使用「EASTERN」時區剖析日期。
- 新增 Grok 模式,以便比對「PeerAddress」。
2023-06-07
- Enhancement-
- 新增 Grok 模式,用於剖析新的記錄模式。
2023-05-26
- Enhancement-
- 修改日期對應,以便使用「BJ」時區剖析日期。
2023-04-18
- Enhancement-
- 新增了「json」區塊,用於處理 JSON 記錄。
- 已將「logstash.irm_region」對應至「additional.fields」。
- 已將「logstash.irm_environment」對應至「additional.fields」。
- 已將「logstash.irm_site」對應至「additional.fields」。
- 將「logstash.ingest.timestamp」對應至「metadata.ingested_timestamp」。
- 將「logstash.process.timestamp」對應至「metadata.collected_timestamp」。
2023-03-01
- Enhancement-
- 只要「Calling-Station-ID」是 IP 位址,就會對應至「principal.ip」。
- 新增規則運算式限制條件,在對應至「principal.mac」之前,先驗證「device-mac」欄位的 MAC 位址。
2022-12-08
- Enhancement-
- 將「assetDeviceType」對應至「principal.resource.name」。
- 已將「assetIncidentScore」對應至「security_result.detection_fields」。
- 將「PostureAssessmentStatus」對應至「security_result.detection_fields」。
- 將「PolicyVersion」對應至「security_result.detection_fields」。
- 將「EndPointVersion」對應至「security_result.detection_fields」。
- 將「EndPointPolicyID」對應至「security_result.detection_fields」。
2022-10-13
- 改善項目:修正 SYSLOGTIMESTAMP 日期格式的日期對應。
2022-08-10
- 改善功能:將下列欄位的對應項目從「additional.fields」修改為「security_result.detection_fields」。
- 'CPMSessionID', 'NASPort', 'AD-Log-Id', 'AD-Srv-Query', 'AD-Srv-Record', 'Tunnel-Client-Endpoint', 'IsThirdPartyDeviceFlow', 'PostureStatus', 'OperationMessageText', 'AcsSessionID', 'SelectedAccessService', 'RadiusPacketType', 'ISELocalAddress', 'ISEModuleName', 'ISEServiceName', 'ConnectionStatus', 'UniqueConnectionIdentifier', 'Audit_session_id', 'EndpointCertainityMetric', 'EndpointNADAddress', 'EndpointOUI', 'EndpointProperty', 'AuthenticationIdentityStore', 'AD-Host-Candidate-Identities', 'PostureExpiry', 'allowEasyWiredSession', 'ConfigVersionId', 'RequestLatency', 'Service-Type', 'Framed-Protocol', 'Class', 'Called-Station-ID', 'Calling-Station-ID', 'Acct-Status-Type', 'Acct-Delay-Time', 'Acct-Input-Octets', 'Acct-Output-Octets', 'Acct-Session-Id', 'Acct-Authentic', 'Acct-Session-Time', 'Acct-Input-Packets', 'Acct-Output-Packets', 'Acct-Terminate-Cause', 'Protocol'。
2022-08-12
- 修正錯誤 -
- 將「prinicipal.asset.hostname」欄位修改為「intermediary.hostname」。
- 將 event_type 從 GENERIC_EVENT 修改為 STATUS_UPDATE 或 NETWORK_CONNECTION。
2022-07-11
- 修正錯誤 - 將 NetworkDeviceName 對應至「event.idm.read_only_udm.principal.hostname」,其中 Product_event_type 為 5440 RADIUS。
- 將 r_ip_or_host 對應至 observer.ip 或 observer.hostname。
- 捨棄格式錯誤/編碼的記錄。
2022-05-02
- 錯誤修正:修正「security_result.action」的對應項目,從「ALLOW」改為「FAIL」,其中 log_type 為「CISE_Failed_Attempts」。
2022-04-21
- 強化功能:使用 log_type='CISE_Profiler' 剖析記錄檔
- 針對 log_type='CISE_TACACS_Accounting 變更了 event_type 從 'GENERIC_EVENT'變更為 'USER_UNCATEGORIZED'
- 為「NASPort」欄位和「Port」欄位新增適當的條件。
2022-04-18
- 將「foreign_ip」對應至「intermediary.ip」
- 使用 log_type='CISE_TACACS_Accounting' 和 'CISE_RADIUS_Accounting' 剖析記錄
- 針對 log_type='CISE_TACACS_Accounting 變更了 event_type 從 'GENERIC_EVENT'變更為 'USER_UNCATEGORIZED'
- 為「NASPort」欄位新增適當的條件。
2022-04-13
- 事件中已對應 NAS-Port-Id:5200。
- 事件中已對應的主機名稱:60188、60125、60116、60115、60081、60080、51021、51020、51003、51002、51001、51000、52000、52001、52002。
- 事件中 about.labels 中的對應運算訊息文字:52000。
- 事件中已對應的額外欄位序號:5200。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。