このページは Cloud Translation API によって翻訳されました。

Cisco Secure ACS のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google Security Operations フォワーダーを使用して Cisco Secure Access Control Server（ACS）ログを収集する方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CISCO_ACS が付加されたパーサーに適用されます。

Cisco Secure ACS を構成する

管理者認証情報を使用して Cisco Secure ACS コンソールにログインします。
Cisco Secure ACS コンソールで、[System administration] > [Configuration] > [Log configuration] > [Remote log targets] を選択します。
[作成] をクリックします。

[作成] ウィンドウで、次のフィールドの値を指定します。

フィールド	説明
名前	Google Security Operations フォワーダーの名前。
説明	Google Security Operations フォワーダーの説明。
IP アドレス	Google Security Operations フォワーダーの IP アドレス。
高度な syslog オプションを使用する	高度な syslog オプションを有効にするには、このオプションを選択します。
ターゲットタイプ	[TCP syslog] または [UDP syslog] を選択します。
ポート	ハイポート（たとえば 10514）を使用します。
ファシリティコード	LOCAL6（コード = 22、デフォルト）。
最大の長さ	推奨値は 1024 です。

[送信] をクリックします。新しいリモートログターゲット構成を含む [リモートログターゲット] ウィンドウが表示されます。
Cisco Secure ACS コンソールで、[System administration] > [Configuration] > [Log configuration] > [Logging categories] > [Per-Instance] を選択します。
[ACS] を選択し、[構成] をクリックします。
[インスタンスごと] ウィンドウで、ロギングカテゴリを選択し、[編集] をクリックします。

[全般] タブで、一部のロギングカテゴリについては、ロギング重大度がデフォルトに、またはベンダーから提供されたとおりに設定されている必要があります。

Cisco Secure ACS の場合、重大度を変更できないログカテゴリ（AAA 監査通知、アカウンティング通知、管理および運用監査通知、システム統計情報通知など）を除くすべてのログカテゴリのデフォルトの重大度は [警告] です。
[Remote syslog target] タブをクリックし、新しく作成したリモートターゲットを [Available targets] から [Selected targets] に移動します。
[送信] をクリックします。
他のロギングカテゴリのリモートターゲットを構成するには、手順 8 ～ 10 を繰り返します。

Cisco Secure ACS のログを取り込むように Google Security Operations フォワーダーと syslog を構成する

[SIEM 設定] > [フォワーダー] に移動します。
[新しいフォワーダーの追加] をクリックします。
[フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
[送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
[コレクタ名] フィールドに名前を入力します。
[Log type] として [Cisco ACS] を選択します。
[コレクタタイプ] として [Syslog] を選択します。
次の必須入力パラメータを構成します。
- Protocol: プロトコルを指定します。
- アドレス: コレクタが存在し、Syslog データを待ち受けるターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、syslog データをリッスンするターゲットポートを指定します。
[送信] をクリックします。

Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。各フォワーダタイプの要件については、タイプ別のフォワーダー構成をご覧ください。フォワーダーの作成時に問題が発生した場合は、Google Security Operations　サポートにお問い合わせください。

フィールドマッピングリファレンス

このパーサーは、認証、アカウンティング、診断、システム統計情報など、Cisco ACS ログを処理します。Grok パターンを使用してさまざまなログ形式（SYSLOG + KV、LEEF）からフィールドを抽出し、タイムスタンプとタイムゾーンを正規化し、キーフィールドを UDM にマッピングします。さまざまなログタイプを扱うことができ、認証の成功/失敗、TACACS+ アカウンティング、RADIUS イベントに固有のロジックを備えています。また、デバイス情報や認証の詳細などの追加フィールドで UDM を拡充します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`Acct-Authentic`	`additional.fields[].value.string_value`	値は `Acct-Authentic` フィールドから取得されます。
`Acct-Delay-Time`	`additional.fields[].value.string_value`	値は `Acct-Delay-Time` フィールドから取得されます。
`Acct-Input-Octets`	`additional.fields[].value.string_value`	値は `Acct-Input-Octets` フィールドから取得されます。
`Acct-Input-Packets`	`additional.fields[].value.string_value`	値は `Acct-Input-Packets` フィールドから取得されます。
`Acct-Output-Octets`	`additional.fields[].value.string_value`	値は `Acct-Output-Octets` フィールドから取得されます。
`Acct-Output-Packets`	`additional.fields[].value.string_value`	値は `Acct-Output-Packets` フィールドから取得されます。
`Acct-Session-Id`	`additional.fields[].value.string_value`	値は `Acct-Session-Id` フィールドから取得されます。
`Acct-Session-Time`	`additional.fields[].value.string_value`	値は `Acct-Session-Time` フィールドから取得されます。
`Acct-Status-Type`	`additional.fields[].value.string_value`	値は `Acct-Status-Type` フィールドから取得されます。
`Acct-Terminate-Cause`	`additional.fields[].value.string_value`	値は `Acct-Terminate-Cause` フィールドから取得されます。
`ACSVersion`	`additional.fields[].value.string_value`	値は `ACSVersion` フィールドから取得されます。
`AD-Domain`	`principal.group.group_display_name`	値は `AD-Domain` フィールドから取得されます。
`AD-IP-Address`	`principal.ip`	値は `AD-IP-Address` フィールドから取得されます。
`Called-Station-ID`	`additional.fields[].value.string_value`	値は `Called-Station-ID` フィールドから取得されます。
`Calling-Station-ID`	`additional.fields[].value.string_value`	値は `Calling-Station-ID` フィールドから取得されます。
`Class`	`additional.fields[].value.string_value`	値は `Class` フィールドから取得されます。
`CmdSet`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`ConfigVersionId`	`additional.fields[].value.number_value`	値は `ConfigVersionId` フィールドから取得され、浮動小数点数に変換されます。
`DestinationIPAddress`	`target.ip`、`intermediary.ip`	値は `DestinationIPAddress` フィールドから取得されます。`intermediary.ip` は `Device IP Address` から導出されます。
`DestinationPort`	`target.port`	値は `DestinationPort` フィールドから取得され、整数に変換されます。
`Device IP Address`	`intermediary.ip`	値は `Device IP Address` フィールドから取得されます。
`Device Port`	`intermediary.port`	値は `Device Port` フィールドから取得され、整数に変換されます。
`DetailedInfo`	`security_result.summary`、`security_result.description`、`security_result.action`	`DetailedInfo` が「Authentication succeed」の場合は `security_result.summary` は「successful login occurred」、`security_result.action` は ALLOW です。`DetailedInfo` に「Invalid username or password specified」が含まれている場合は、`security_result.summary` は「failed login occurred」、`security_result.action` は BLOCK です。`security_result.description` は `log_header` から導出されます。
`Framed-IP-Address`	`principal.ip`	値は `Framed-IP-Address` フィールドから取得されます。
`Framed-Protocol`	`additional.fields[].value.string_value`	値は `Framed-Protocol` フィールドから取得されます。
`NAS-IP-Address`	`target.ip`	値は `NAS-IP-Address` フィールドから取得されます。
`NAS-Port`	`additional.fields[].value.string_value`	値は `NAS-Port` フィールドから取得されます。
`NAS-Port-Id`	`target.port`	値は `NAS-Port-Id` フィールドから取得され、整数に変換されます。
`NAS-Port-Type`	`additional.fields[].value.string_value`	値は `NAS-Port-Type` フィールドから取得されます。
`NetworkDeviceName`	`target.hostname`	値は `NetworkDeviceName` フィールドから取得されます。
`Protocol`	`additional.fields[].value.string_value`	値は `Protocol` フィールドから取得されます。
`RadiusPacketType`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`Remote-Address`	`principal.ip`、`target.ip`	値は `Remote-Address` フィールドから取得され、IP アドレスとして解析されます。認証イベントの場合は `principal.ip` に、アカウンティングイベントと診断イベントの場合は `target.ip` にマッピングされます。
`RequestLatency`	`additional.fields[].value.string_value`	値は `RequestLatency` フィールドから取得されます。
`Response`	`principal.user.userid`	`Response` に「User-Name」が含まれている場合、ユーザー名が抽出され、`principal.user.userid` にマッピングされます。
`SelectedAccessService`	`additional.fields[].value.string_value`	値は `SelectedAccessService` フィールドから取得されます。
`SelectedAuthenticationIdentityStores`	`security_result.detection_fields[].value`	値は `SelectedAuthenticationIdentityStores` フィールドから取得されます。
`SelectedAuthorizationProfiles`	`security_result.detection_fields[].value`	値は `SelectedAuthorizationProfiles` フィールドから取得されます。
`Service-Type`	`additional.fields[].value.string_value`	値は `Service-Type` フィールドから取得されます。
`Tunnel-Client-Endpoint`	`additional.fields[].value.string_value`	値は `Tunnel-Client-Endpoint` フィールドから取得され、IP アドレスとして解析されます。
`User`	`target.user.userid`	値は `User` フィールドから取得されます。
`UserName`	`target.user.userid`、`principal.mac`	`UserName` が MAC アドレスの場合、解析されて `principal.mac` にマッピングされます。それ以外の場合は `target.user.userid` にマッピングされます。
`ac-user-agent`	`network.http.user_agent`	値は `ac-user-agent` フィールドから取得されます。
`cat`	`metadata.description`	値は `cat` フィールドから取得されます。
`device-mac`	`principal.mac`	値は `device-mac` フィールドから取得され、コロンが追加され、値は小文字に変換されます。`device-mac` が「00」の場合、「00:00:00:00:00:00」に置き換えられます。
`device-platform`	`principal.asset.platform_software.platform`	`device-platform` が「win」の場合、値「WINDOWS」が `principal.asset.platform_software.platform` に割り当てられます。
`device-platform-version`	`principal.asset.platform_software.platform_version`	値は `device-platform-version` フィールドから取得されます。
`device-public-mac`	`principal.mac`	値は `device-public-mac` フィールドから取得され、ハイフンはコロンに置き換えられ、値は小文字に変換されます。
`device-type`	`principal.asset.hardware.model`	値は `device-type` フィールドから取得されます。
`device-uid`	`principal.asset.asset_id`	値は `device-uid` フィールドから取得され、「ASSET ID: 」という接頭辞が付加されます。
`device-uid-global`	`principal.asset.product_object_id`	値は `device-uid-global` フィールドから取得されます。
`hostname`	`principal.hostname`	値は `hostname` フィールドから取得されます。
`ip:source-ip`	`principal.ip`	値は `ip:source-ip` フィールドから取得されます。
`kv.ADDomain`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.Airespace-Wlan-Id`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.AuthenticationIdentityStore`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.AVPair`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.CVPN3000/ASA/PIX7.x-DAP-Tunnel-Group-Name`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.CVPN3000/ASA/PIX7.x-Group-Based-Address-Pools`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.ExternalGroups`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.FailureReason`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.IdentityAccessRestricted`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.IdentityGroup`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.NAS-Identifier`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.SelectedShellProfile`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.ServiceSelectionMatchedRule`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.State`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.Step`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.Tunnel-Medium-Type`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.Tunnel-Private-Group-ID`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.Tunnel-Type`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.UseCase`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.UserIdentityGroup`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.VendorSpecific`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.attribute-131`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.attribute-89`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.cisco-av-pair`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`kv.cisco-av-pair:CiscoSecure-Group-Id`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`leef_version`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`log_header`	`metadata.description`	値は `log_header` フィールドから取得されます。
`log_id`	`metadata.product_log_id`	値は `log_id` フィールドから取得されます。
`log_type`	`metadata.product_event_type`	値は `log_type` フィールドから取得されます。
`message_severity`	（マッピングされません）	IDM オブジェクトにはマッピングされません。
`product`	`metadata.product_name`	値は `product` フィールドから取得されます。
`product_version`	`metadata.product_version`	値は `product_version` フィールドから取得されます。
`server_host`	`target.hostname`	値は `server_host` フィールドから取得されます。
`timestamp`	`metadata.event_timestamp`	値は `timestamp` フィールドと `timezone` フィールドから取得されます（コロンを削除した後）。結合された値はタイムスタンプとして解析されます。
`url`	`network.dns.questions[].name`	値は `url` フィールドから取得されます。
`vendor`	`metadata.vendor_name`	値は `vendor` フィールドから取得されます。最初は「GENERIC_EVENT」に設定されますが、`log_type` と解析されたフィールドに基づいて上書きされる可能性があります。「USER_LOGIN」、「USER_UNCATEGORIZED」、「NETWORK_DNS」、「NETWORK_CONNECTION」、「STATUS_UPDATE」、「STATUS_UNCATEGORIZED」のいずれかです。最初は「Cisco」に設定されますが、`vendor` フィールドによって上書きされる可能性があります。最初は「ACS」に設定されますが、`product` フィールドによって上書きされる可能性があります。「CISCO_ACS」に設定されます。「USERNAME_PASSWORD」に設定されます。「TACACS」に設定されます。RADIUS アカウンティングイベントと診断イベントの場合は「UDP」に設定されます。DNS イベントの場合は「DNS」に設定されます。ログインが成功したかどうかに基づいて設定される `security_action` フィールドから導出されます。ログインが成功した場合は「successful login occurred」に、ログインが失敗した場合は「failed login occurred」に設定されます。特定の ID ストアの診断イベントでは、「passed」に設定されることもあります。ログイン試行が失敗した場合は「LOW」に設定されます。`device-uid` フィールドの先頭に「ASSET ID: 」を付加して作成されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。