收集 Cisco Secure ACS 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Google Security Operations 轉送器收集 Cisco Secure Access Control Server (ACS) 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 CISCO_ACS 攝入標籤的剖析器。
設定 Cisco Secure ACS
- 使用管理員憑證登入 Cisco Secure ACS 控制台。
- 在 Cisco Secure ACS 控制台中,依序選取「System administration」(系統管理) >「Configuration」(設定) >「Log configuration」(記錄設定) >「Remote log targets」(遠端記錄目標)。
- 點選「建立」。
在「建立」視窗中,為下列欄位指定值:
欄位 說明 名稱 Google Security Operations 轉送器的名稱。 說明 Google Security Operations 轉送器說明。 IP 位址 Google Security Operations 轉寄端的 IP 位址。 使用進階系統記錄選項 選取這個選項即可啟用進階系統記錄選項。 目標類型 選取 TCP 系統記錄檔或 UDP 系統記錄檔。 通訊埠 使用高通訊埠,例如 10514。 設施代碼 LOCAL6 (代碼 = 22;預設值)。 長度上限 建議值為 1024。 按一下「提交」。「遠端記錄目標」視窗會隨即顯示,其中包含新的遠端記錄目標設定。
在 Cisco Secure ACS 控制台中,依序選取「System administration」(系統管理)>「Configuration」(設定) >「Log configuration」(記錄設定) >「Logging categories」(記錄類別) >「Per-Instance」(每個執行個體)。
選取「ACS」,然後按一下「設定」。
在「Per-Instance」視窗中選取記錄類別,然後按一下「編輯」。
在「一般」分頁中,部分記錄類別的記錄嚴重程度必須設為預設值或供應商提供的值。
對於 Cisco Secure ACS,除了無法變更嚴重程度的記錄類別 (例如 AAA 稽核通知、會計通知、管理和作業稽核通知,以及系統統計通知) 之外,所有記錄類別的預設嚴重程度都是「警告」。
按一下「遠端系統記錄目標」分頁標籤,然後將新建立的遠端目標從「可用目標」移至「選取目標」。
按一下「提交」。
如要為其他記錄類別設定遠端目標,請重複執行步驟 8 到 10。
設定 Google Security Operations 轉送器和系統記錄,以便擷取 Cisco Secure ACS 記錄
- 依序前往「SIEM 設定」>「轉送器」。
- 按一下「新增轉寄者」。
- 在「轉送器名稱」欄位中,輸入轉送器的專屬名稱。
- 按一下「提交」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
- 在「收集器名稱」欄位中輸入名稱。
- 選取「Cisco ACS」做為「記錄類型」。
- 選取「Syslog」做為「收集器類型」。
- 設定下列必要輸入參數:
- 「通訊協定」:指定通訊協定。
- 地址:指定收集器所在的目標 IP 位址或主機名稱,以及 Syslog 資料的地址。
- 通訊埠:指定收集器所在位置的目標通訊埠,並監聽系統記錄檔資料。
- 按一下「提交」。
如要進一步瞭解 Google Security Operations 轉送器,請參閱 Google Security Operations 轉送器說明文件。 如要瞭解各轉送器類型的相關規定,請參閱「依類型設定轉送器」。 如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。
欄位對應參考資料
這個剖析器會處理 Cisco ACS 記錄,包括驗證、會計、診斷和系統統計資料。它會使用 grok 模式從各種記錄格式 (SYSLOG + KV、LEEF) 擷取欄位、正規化時間戳記和時區,並將重要欄位對應至 UDM,針對驗證成功/失敗、TACACS+ 帳戶和 RADIUS 事件,以特定邏輯處理不同記錄類型。此外,這項服務還會使用裝置資訊和驗證詳細資料等額外欄位,擴充 UDM。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
Acct-Authentic |
additional.fields[].value.string_value |
值取自 Acct-Authentic 欄位。 |
Acct-Delay-Time |
additional.fields[].value.string_value |
值取自 Acct-Delay-Time 欄位。 |
Acct-Input-Octets |
additional.fields[].value.string_value |
值取自 Acct-Input-Octets 欄位。 |
Acct-Input-Packets |
additional.fields[].value.string_value |
值取自 Acct-Input-Packets 欄位。 |
Acct-Output-Octets |
additional.fields[].value.string_value |
值取自 Acct-Output-Octets 欄位。 |
Acct-Output-Packets |
additional.fields[].value.string_value |
值取自 Acct-Output-Packets 欄位。 |
Acct-Session-Id |
additional.fields[].value.string_value |
值取自 Acct-Session-Id 欄位。 |
Acct-Session-Time |
additional.fields[].value.string_value |
值取自 Acct-Session-Time 欄位。 |
Acct-Status-Type |
additional.fields[].value.string_value |
值取自 Acct-Status-Type 欄位。 |
Acct-Terminate-Cause |
additional.fields[].value.string_value |
值取自 Acct-Terminate-Cause 欄位。 |
ACSVersion |
additional.fields[].value.string_value |
值取自 ACSVersion 欄位。 |
AD-Domain |
principal.group.group_display_name |
值取自 AD-Domain 欄位。 |
AD-IP-Address |
principal.ip |
值取自 AD-IP-Address 欄位。 |
Called-Station-ID |
additional.fields[].value.string_value |
值取自 Called-Station-ID 欄位。 |
Calling-Station-ID |
additional.fields[].value.string_value |
值取自 Calling-Station-ID 欄位。 |
Class |
additional.fields[].value.string_value |
值取自 Class 欄位。 |
CmdSet |
(未對應) | 未對應至 IDM 物件。 |
ConfigVersionId |
additional.fields[].value.number_value |
值取自 ConfigVersionId 欄位,並轉換為浮點數。 |
DestinationIPAddress |
target.ip、intermediary.ip |
值取自 DestinationIPAddress 欄位。intermediary.ip 是從 Device IP Address 衍生而來。 |
DestinationPort |
target.port |
值取自 DestinationPort 欄位,並轉換為整數。 |
Device IP Address |
intermediary.ip |
值取自 Device IP Address 欄位。 |
Device Port |
intermediary.port |
值取自 Device Port 欄位,並轉換為整數。 |
DetailedInfo |
security_result.summary、security_result.description、security_result.action |
如果 DetailedInfo 為「Authentication succeed」(驗證成功)、security_result.summary 為「successful login occurred」(登入成功),且 security_result.action 為 ALLOW,如果 DetailedInfo 包含「Invalid username or password specified」(指定的使用者名稱或密碼無效),則 security_result.summary 為「failed login occurred」(登入失敗),且 security_result.action 為 BLOCK。security_result.description 是從 log_header 衍生而來。 |
Framed-IP-Address |
principal.ip |
值取自 Framed-IP-Address 欄位。 |
Framed-Protocol |
additional.fields[].value.string_value |
值取自 Framed-Protocol 欄位。 |
NAS-IP-Address |
target.ip |
值取自 NAS-IP-Address 欄位。 |
NAS-Port |
additional.fields[].value.string_value |
值取自 NAS-Port 欄位。 |
NAS-Port-Id |
target.port |
值取自 NAS-Port-Id 欄位,並轉換為整數。 |
NAS-Port-Type |
additional.fields[].value.string_value |
值取自 NAS-Port-Type 欄位。 |
NetworkDeviceName |
target.hostname |
值取自 NetworkDeviceName 欄位。 |
Protocol |
additional.fields[].value.string_value |
值取自 Protocol 欄位。 |
RadiusPacketType |
(未對應) | 未對應至 IDM 物件。 |
Remote-Address |
principal.ip、target.ip |
值取自 Remote-Address 欄位,並剖析為 IP 位址。驗證事件會對應至 principal.ip,帳務和診斷事件則會對應至 target.ip。 |
RequestLatency |
additional.fields[].value.string_value |
值取自 RequestLatency 欄位。 |
Response |
principal.user.userid |
如果 Response 包含「User-Name」,系統會擷取使用者名稱並對應至 principal.user.userid。 |
SelectedAccessService |
additional.fields[].value.string_value |
值取自 SelectedAccessService 欄位。 |
SelectedAuthenticationIdentityStores |
security_result.detection_fields[].value |
值取自 SelectedAuthenticationIdentityStores 欄位。 |
SelectedAuthorizationProfiles |
security_result.detection_fields[].value |
值取自 SelectedAuthorizationProfiles 欄位。 |
Service-Type |
additional.fields[].value.string_value |
值取自 Service-Type 欄位。 |
Tunnel-Client-Endpoint |
additional.fields[].value.string_value |
值取自 Tunnel-Client-Endpoint 欄位,並剖析為 IP 位址。 |
User |
target.user.userid |
值取自 User 欄位。 |
UserName |
target.user.userid、principal.mac |
如果 UserName 是 MAC 位址,系統會剖析並對應至 principal.mac。否則會對應至 target.user.userid。 |
ac-user-agent |
network.http.user_agent |
值取自 ac-user-agent 欄位。 |
cat |
metadata.description |
值取自 cat 欄位。 |
device-mac |
principal.mac |
值取自 device-mac 欄位,並加上半形冒號,然後轉換為小寫。如果 device-mac 為「00」,則會替換為「00:00:00:00:00:00」。 |
device-platform |
principal.asset.platform_software.platform |
如果 device-platform 為「win」,則系統會將「WINDOWS」值指派給 principal.asset.platform_software.platform。 |
device-platform-version |
principal.asset.platform_software.platform_version |
值取自 device-platform-version 欄位。 |
device-public-mac |
principal.mac |
值取自 device-public-mac 欄位,連字號會替換為半形冒號,且值會轉換為小寫。 |
device-type |
principal.asset.hardware.model |
值取自 device-type 欄位。 |
device-uid |
principal.asset.asset_id |
值取自 device-uid 欄位,並在開頭加上「ASSET ID: 」。 |
device-uid-global |
principal.asset.product_object_id |
值取自 device-uid-global 欄位。 |
hostname |
principal.hostname |
值取自 hostname 欄位。 |
ip:source-ip |
principal.ip |
值取自 ip:source-ip 欄位。 |
kv.ADDomain |
(未對應) | 未對應至 IDM 物件。 |
kv.Airespace-Wlan-Id |
(未對應) | 未對應至 IDM 物件。 |
kv.AuthenticationIdentityStore |
(未對應) | 未對應至 IDM 物件。 |
kv.AVPair |
(未對應) | 未對應至 IDM 物件。 |
kv.CVPN3000/ASA/PIX7.x-DAP-Tunnel-Group-Name |
(未對應) | 未對應至 IDM 物件。 |
kv.CVPN3000/ASA/PIX7.x-Group-Based-Address-Pools |
(未對應) | 未對應至 IDM 物件。 |
kv.ExternalGroups |
(未對應) | 未對應至 IDM 物件。 |
kv.FailureReason |
(未對應) | 未對應至 IDM 物件。 |
kv.IdentityAccessRestricted |
(未對應) | 未對應至 IDM 物件。 |
kv.IdentityGroup |
(未對應) | 未對應至 IDM 物件。 |
kv.NAS-Identifier |
(未對應) | 未對應至 IDM 物件。 |
kv.SelectedShellProfile |
(未對應) | 未對應至 IDM 物件。 |
kv.ServiceSelectionMatchedRule |
(未對應) | 未對應至 IDM 物件。 |
kv.State |
(未對應) | 未對應至 IDM 物件。 |
kv.Step |
(未對應) | 未對應至 IDM 物件。 |
kv.Tunnel-Medium-Type |
(未對應) | 未對應至 IDM 物件。 |
kv.Tunnel-Private-Group-ID |
(未對應) | 未對應至 IDM 物件。 |
kv.Tunnel-Type |
(未對應) | 未對應至 IDM 物件。 |
kv.UseCase |
(未對應) | 未對應至 IDM 物件。 |
kv.UserIdentityGroup |
(未對應) | 未對應至 IDM 物件。 |
kv.VendorSpecific |
(未對應) | 未對應至 IDM 物件。 |
kv.attribute-131 |
(未對應) | 未對應至 IDM 物件。 |
kv.attribute-89 |
(未對應) | 未對應至 IDM 物件。 |
kv.cisco-av-pair |
(未對應) | 未對應至 IDM 物件。 |
kv.cisco-av-pair:CiscoSecure-Group-Id |
(未對應) | 未對應至 IDM 物件。 |
leef_version |
(未對應) | 未對應至 IDM 物件。 |
log_header |
metadata.description |
值取自 log_header 欄位。 |
log_id |
metadata.product_log_id |
值取自 log_id 欄位。 |
log_type |
metadata.product_event_type |
值取自 log_type 欄位。 |
message_severity |
(未對應) | 未對應至 IDM 物件。 |
product |
metadata.product_name |
值取自 product 欄位。 |
product_version |
metadata.product_version |
值取自 product_version 欄位。 |
server_host |
target.hostname |
值取自 server_host 欄位。 |
timestamp |
metadata.event_timestamp |
值取自 timestamp 欄位和 timezone 欄位 (移除半形冒號後)。系統會將合併值剖析為時間戳記。 |
url |
network.dns.questions[].name |
值取自 url 欄位。 |
vendor |
metadata.vendor_name |
值取自 vendor 欄位。一開始請設為「GENERIC_EVENT」,然後根據 log_type 和剖析的欄位覆寫。可以是「USER_LOGIN」、「USER_UNCATEGORIZED」、「NETWORK_DNS」、「NETWORK_CONNECTION」、「STATUS_UPDATE」或「STATUS_UNCATEGORIZED」。一開始會設為「Cisco」,但可能會由 vendor 欄位覆寫。一開始會設為「ACS」,但可能會由 product 欄位覆寫。設為「CISCO_ACS」。設為「USERNAME_PASSWORD」。設為「TACACS」。針對 RADIUS 帳務和診斷事件,請設為「UDP」。如果是 DNS 事件,請設為「DNS」。衍生自 security_action 欄位,該欄位會根據登入是否成功而設定。成功登入時設為「successful login occurred」,登入失敗時設為「failed login occurred」。對於特定身分識別資訊儲存庫診斷事件,也可能設為「已通過」。如果嘗試登入失敗,請設為「低」。在「device-uid」欄位前面加上「ASSET ID: 」即可。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。