Diese Seite wurde von der Cloud Translation API übersetzt.

Cisco ISE-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Cisco Identity Services Engine-Protokolle (ISE) mit einem Google Security Operations-Forwarder erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label CISCO_ISE.

Cisco ISE konfigurieren

Melden Sie sich mit Administratoranmeldedaten in der Cisco ISE-Konsole an.
Wählen Sie in der Cisco ISE-Konsole Administration > System > Logging > Remote logging targets aus.
Klicken Sie im Fenster Remote-Logging-Ziele auf Hinzufügen. Das Fenster Neues Protokollierungsziel wird angezeigt.

Geben Sie im Abschnitt Logging target (Ziel für die Protokollierung) Werte für die folgenden Felder an:

Feld	Beschreibung
Name	Name des Google Security Operations-Forwarders.
Beschreibung	Beschreibung des Google Security Operations-Forwarders.
Typ	Typ des Remote-Log-Ziels, z. B. Syslog.
IP-Adresse	IP-Adresse des Google Security Operations-Forwarders.
Zieltyp	Wählen Sie „TCP-Syslog“ oder „UDP-Syslog“ aus.
Port	Verwenden Sie einen hohen Port, z. B. 10514.
Einrichtungscode	Sie können einen der folgenden Werte angeben: LOCAL0 (Code = 16) LOCAL1 (Code = 17) LOCAL2 (Code = 18) LOCAL3 (Code = 19) LOCAL4 (Code = 20) LOCAL5 (Code = 21) LOCAL6 (Code = 22; Standard) LOCAL7 (Code = 23)
Zulässige Höchstlänge	Der empfohlene Wert ist 1024.

Klicken Sie auf Senden. Das Fenster Remote log targets (Remoteprotokollziele) wird mit der neuen Google Security Operations-Forwarder-Konfiguration angezeigt.
Wählen Sie in der Cisco ISE-Konsole Administration > System > Logging > Logging categories aus.
Wählen Sie im Fenster Logging categories (Protokollierungskategorien) die Kategorien aus, für die Sie das Remote-Syslog-Ziel festlegen möchten, und fügen Sie das Remote-Syslog-Ziel hinzu.

Die folgenden Kategorien sind Beispiele: AAA-Audits, AAA-Diagnosen, Abrechnung, administratives und betriebliches Audit, Audit für Sicherheitsstatus und Clientbereitstellung, Diagnosen für Sicherheitsstatus und Clientbereitstellung, Profiler, Systemdiagnosen und Systemstatistiken.

Google Security Operations-Forwarder und Syslog zum Erfassen von Cisco Secure ACS-Protokollen konfigurieren

Rufen Sie die SIEM-Einstellungen > Weiterleitungen auf.
Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
Geben Sie im Feld Name des Forwarders einen eindeutigen Namen für den Forwarder ein.
Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
Geben Sie im Feld Name des Collectors einen Namen ein.
Wählen Sie Cisco ISE als Log type (Protokolltyp) aus.
Wählen Sie Syslog als Collector-Typ aus.
Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Protokoll an.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, auf dem sich der Collector befindet, und die Adressen für die Syslog-Daten.
- Port: Geben Sie den Zielport an, auf dem sich der Collector befindet und auf dem er auf Syslog-Daten wartet.
Klicken Sie auf Senden.

Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen. Informationen zu den Anforderungen für die einzelnen Forwarder-Typen finden Sie unter Forwarder-Konfiguration nach Typ. Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz zur Feldzuordnung

Dieser Parser extrahiert Cisco ISE-Logs aus Syslog-Nachrichten, normalisiert die Daten im UDM-Format und reichert das Ereignis mit zusätzlichem Kontext an. Es verarbeitet verschiedene ISE-Logkategorien, darunter erfolgreiche und fehlgeschlagene Authentifizierungen, administrative Audits und Systemstatistiken. Dabei werden relevante Felder dem UDM-Schema zugeordnet und spezifische Labels für die detaillierte Analyse hinzugefügt.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`Acct-Authentic`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Acct-Delay-Time`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Acct-Input-Octets`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Acct-Input-Packets`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Acct-Output-Octets`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Acct-Output-Packets`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Acct-Session-Id`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Acct-Session-Time`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Acct-Status-Type`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Acct-Terminate-Cause`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`AcsSessionID`	`sec_result.detection_fields.value`	Direkt als „Acs SessionID“ zugeordnet.
`AD-Account-Name`	`principal.user.userid`	Direkt zugeordnet.
`AD-Domain`	`principal.group.group_display_name`	Direkt zugeordnet.
`AD-Domain-Controller`	`target.administrative_domain`	Direkt zugeordnet.
`AD-Error-Details`	`sec_result.description`	Direkt zugeordnet.
`AD-Host-Candidate-Identities`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`AD-IP-Address`	`target.ip`, `target.asset.ip`	Direkt zugeordnet.
`AD-Log-Id`	`sec_result.detection_fields.value`	Direkt als „AD-Log-Id“ zugeordnet.
`AD-Operating-System`	`principal.asset.platform_software.platform_version`	Direkt zugeordnet als `ad_operating_system`. Wenn der Text „Windows“ enthält, wird `principal.platform` auf „WINDOWS“ festgelegt.
`AD-Site`	`target.location.name`	Direkt zugeordnet.
`AD-Srv-Query`	`sec_result.detection_fields.value`	Direkt als „AD-Srv-Query“ zugeordnet.
`AD-Srv-Record`	`sec_result.detection_fields.value`	Direkt als „AD-Srv-Record“ zugeordnet.
`AD-User-Resolved-Identities`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`AD-User-SamAccount-Name`	`principal.user.attribute.labels.value`	Direkt zugeordnet.
`AdminIPAddress`	`principal.ip`, `principal.asset.ip`	Direkt zugeordnet.
`AdminInterface`	`principal.user.attribute.labels.value`	Direkt als „Admin-Oberfläche“ zugeordnet.
`AdminName`	`principal.user.userid`	Direkt zugeordnet. Außerdem wird ein `user.attribute.roles` mit dem Typ „ADMINISTRATOR“ hinzugefügt.
`AuthenticationIdentityStore`	`sec_result.detection_fields.value`	Direkt als „Authentication Identity Store“ zugeordnet.
`AuthenticationStatus`	`sec_result.action_details`	Direkt zugeordnet. Wenn der Wert mit „AuthenticationPassed“ übereinstimmt, wird `sec_result.action` auf „ALLOW“ gesetzt, andernfalls auf „BLOCK“.
`AuthorizationPolicyMatchedRule`	`sec_result.rule_name`	Wird mit dem Präfix „AuthorizationPolicyMatchedRule : “ zugeordnet.
`BYODRegistration`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Called-Station-ID`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Calling-Station-ID`	`sec_result.detection_fields.value`, `principal.ip`, `principal.asset.ip`	Direkt zugeordnet. Wenn es sich um eine IP-Adresse handelt, wird sie auch `principal.ip` und `principal.asset.ip` zugeordnet.
`cdpCachePlatform`	`principal.asset.hardware.model`	Direkt zugeordnet.
`Class`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`ClientLatency`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`CmdSet`	`target.process.command_line`	Direkt zugeordnet, nachdem umgebende Klammern und Leerzeichen entfernt wurden.
`ConfigVersionId`	`sec_result.detection_fields.value`	Direkt als „Config Version Id“ zugeordnet.
`ConnectionStatus`	`sec_result.detection_fields.value`	Direkt zugeordnet als „Verbindungsstatus“.
`CPMSessionID`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`CreateTime`	`principal.asset.attribute.creation_time`	Wird als UNIX_MS-Zeitstempel geparst.
`DetailedInfo`	`sec_result.description`	Direkt zugeordnet, nachdem die Backslashes entfernt wurden.
`DestinationIPAddress`	`target.ip`, `target.asset.ip`	Direkt zugeordnet. Legt `has_target` auf „true“ fest.
`DestinationPort`	`target.port`	Direkt zugeordnet, wenn numerisch.
`Device IP Address`	`principal.ip`: `principal.asset.ip`, `_intermediary.ip`, `target.ip`, `target.asset.ip`	Als `DeviceIPAddress` zugeordnet. Wird in verschiedenen Logiken verwendet, um `principal.ip`, `_intermediary.ip` oder `target.ip` basierend auf der Protokollkategorie und anderen Feldern auszufüllen.
`Device Port`	`principal.port`, `_intermediary.port`, `target.port`	Als `DevicePort` zugeordnet. Wird in verschiedenen Logiken verwendet, um `principal.port`, `_intermediary.port` oder `target.port` basierend auf der Protokollkategorie und anderen Feldern auszufüllen.
`Device Type`	`principal.asset.hardware.model`	Direkt zugeordnet als `device-type`.
`DTLSSupport`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`EndPointMACAddress`	`principal.asset.mac`	Direkt zugeordnet nach Umwandlung in Kleinbuchstaben und Ersetzung von Bindestrichen durch Doppelpunkte.
`EndPointMatchedProfile`	`sec_result.about.labels.value`	Direkt zugeordnet.
`EndpointCertainityMetric`	`sec_result.detection_fields.value`	Direkt als „Endpoint Certainity Metric“ zugeordnet.
`EndpointIdentityGroup`	`principal.group.group_display_name`	Direkt zugeordnet.
`EndpointIPAddress`	`principal.asset.ip`	Direkt zugeordnet.
`EndpointNADAddress`	`sec_result.detection_fields.value`	Direkt als „Endpoint NAD Address“ zugeordnet.
`EndpointOUI`	`sec_result.detection_fields.value`	Direkt als „Endpoint OUI“ zugeordnet.
`EndpointPolicy`	`principal.asset.platform_software.platform_version`	Direkt zugeordnet.
`EndpointProperty`	`sec_result.detection_fields.value`	Direkt als „Endpunkteigenschaft“ zugeordnet.
`EndpointSourceEvent`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`EndpointUserAgent`	`network.http.user_agent`	Direkt zugeordnet.
`EndPointVersion`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`FailureReason`	`sec_result.detection_fields.value`, `sec_result.summary`, `sec_result.description`	Als `FailureReason` zugeordnet. Wird verwendet, um `sec_result.detection_fields` je nach Kontext als „Fehlergrund“, `sec_result.summary` oder `sec_result.description` zu füllen.
`FirstCollection`	`principal.asset.first_discover_time`	Wird als UNIX_MS-Zeitstempel geparst.
`Framed-IP-Address`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Framed-IPv6-Address`	`FramedIPAddress`	Direkt zugeordnet.
`Framed-Protocol`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`IdentityGroup`	`principal.group.group_display_name`	Direkt zugeordnet.
`IdentityGroupID`	`principal.group.product_object_id`	Direkt zugeordnet.
`IdentityPolicyMatchedRule`	`sec_result.about.labels.value`	Direkt zugeordnet.
`IdentitySelectionMatchedRule`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`IMEI`	`target.asset.product_object_id`	Direkt zugeordnet.
`ISELocalAddress`	`_intermediary.ip`, `principal.ip`, `principal.asset.ip`, `_intermediary.port`, `principal.port`, `sec_result.detection_fields.value`	Wenn in `CISE_Administrative_and_Operational_Audit`, werden IP-Adresse und Port extrahiert und `_intermediary` und `principal` zugeordnet. Andernfalls wird sie direkt als „ISE Local Address“ (Lokale ISE-Adresse) `sec_result.detection_fields` zugeordnet.
`ISEModuleName`	`sec_result.detection_fields.value`	Direkt zugeordnet als „ISE Module Name“ (ISE-Modulname).
`ISEServiceName`	`sec_result.detection_fields.value`	Direkt zugeordnet als „ISE Service Name“.
`IsThirdPartyDeviceFlow`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Issuer`	`about.labels.value`	Direkt zugeordnet.
`LastActivity`	`principal.asset.last_discover_time`	Wird als UNIX_MS-Zeitstempel geparst.
`LastNmapScanTime`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`lldpChassisId`	`target.mac`	Wird nach dem Parsen als MAC-Adresse direkt zugeordnet.
`lldpSystemName`	`target.hostname`, `target.asset.hostname`	Direkt zugeordnet.
`Location`	`principal.location.country_or_region`, `target.location.country_or_region`	Je nach Logkategorie direkt dem Speicherort `principal` oder `target` zugeordnet.
`Manufacturer`	`target.asset.hardware.manufacturer`	Direkt zugeordnet.
`MessageCode`	`sec_result.detection_fields.value`, `metadata.event_type`	Direkt zugeordnet als `msg_code`. Wird in der Logik verwendet, um `metadata.event_type` zu bestimmen.
`Model`	`target.asset.hardware.model`	Direkt zugeordnet.
`NAS-IP-Address`	`principal.nat_ip`	Direkt zugeordnet.
`NAS-Identifier`	`principal.labels.value`	Direkt zugeordnet als `nas_identifier`.
`NAS-Port`	`principal.nat_port`, `sec_result.detection_fields.value`, `principal.labels.value`	Als `NASPort` zugeordnet. Wenn numerisch und kleiner als 2147483648, wird `principal.nat_port` zugeordnet. Andernfalls wird er als String `sec_result.detection_fields` als „NAS Port“ oder `principal.labels` als „NAS-Port“ zugeordnet.
`NAS-Port-Id`	`principal.labels.value`, `sec_result.detection_fields.value`	Als `NASPortId` zugeordnet. Wird verwendet, um `principal.labels` als „nas_port_id“ oder `sec_result.detection_fields` als „nas_port_id“ zu füllen.
`NAS-Port-Type`	`principal.labels.value`, `sec_result.detection_fields.value`	Als `NASPortType` zugeordnet. Wird verwendet, um `principal.labels` als „nas_port_type“ oder `sec_result.detection_fields` als „Nas-Port-Type“ zu füllen.
`NetworkDeviceGroups`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`NetworkDeviceName`	`_intermediary.hostname`: `principal.hostname`, `principal.asset.hostname`, `target.hostname`, `target.asset.hostname`	Als `NetworkDeviceName` zugeordnet. Wird in verschiedenen Logiken verwendet, um `_intermediary.hostname`, `principal.hostname` oder `target.hostname` basierend auf der Protokollkategorie und anderen Feldern auszufüllen.
`NetworkDeviceProfileId`	`principal.asset.asset_id`	Mit dem Präfix „Cisco_ISE:“ zugeordnet.
`NetworkDeviceProfileName`	`principal.asset.attribute.labels.value`	Direkt zugeordnet.
`ObjectName`	`sec_result.about.labels.value`	Direkt zugeordnet.
`ObjectType`	`sec_result.about.labels.value`	Direkt zugeordnet.
`OperatingSystem`	`target.asset.platform_software.platform_version`, `principal.asset.platform_software.platform_version`, `principal.platform`	Als `OperatingSystem` zugeordnet. Wird verwendet, um `target.asset.platform_software.platform_version` oder `principal.asset.platform_software.platform_version` auszufüllen. Wenn der String „Win“ enthält, wird `principal.platform` auf „WINDOWS“ festgelegt. Wenn „lin“ enthalten ist, wird `principal.platform` auf „LINUX“ festgelegt. Wenn „iOS“ enthalten ist, wird `principal.platform` auf „MAC“ festgelegt.
`OperationMessageText`	`sec_result.detection_fields.value`, `about.labels.value`, `sec_result.summary`	Als `OperationMessageText` zugeordnet. Wird verwendet, um `sec_result.detection_fields` als „Operation Message Text“ (Text für Vorgangsnachricht), `about.labels` als „Operation Message Text“ (Text für Vorgangsnachricht) oder `sec_result.summary` je nach Kontext zu füllen. Wenn sie Verbindungsdetails enthält, werden diese extrahiert und `src` und `target` zugeordnet.
`OriginalUserName`	`principal.user.userid`	Direkt zugeordnet als `User`.
`PeerAddress`	`target.mac`	Direkt zugeordnet nach Umwandlung in Kleinbuchstaben und Ersetzung von Bindestrichen durch Doppelpunkte.
`PeerName`	`target.hostname`, `target.asset.hostname`	IP-Adresse und Hostname werden extrahiert und `target.ip` und `target.hostname` zugeordnet.
`PhoneID`	`principal.user.phone_numbers`	Direkt zugeordnet als `User-Fetch-Telephone`.
`PhoneNumber`	`principal.user.phone_numbers`	Direkt zugeordnet.
`PolicyVersion`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Port`	`_intermediary.port`, `principal.port`, `target.port`	Als `Port` zugeordnet. Wird in verschiedenen Logiken verwendet, um `_intermediary.port`, `principal.port` oder `target.port` basierend auf der Protokollkategorie und anderen Feldern auszufüllen.
`PostureAssessmentStatus`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`PostureExpiry`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`PostureStatus`	`sec_result.detection_fields.value`	Direkt als „Haltungsstatus“ zugeordnet.
`ProfilerServer`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Protocol`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`r_cat_name`	`metadata.product_event_type`	Direkt zugeordnet.
`r_ip_or_host`	`observer.ip`, `observer.hostname`, `principal.ip`, `principal.asset.ip`, `principal.hostname`, `principal.asset.hostname`, `target.ip`, `target.asset.ip`, `target.hostname`, `target.asset.hostname`	Wenn eine IP-Adresse `observer.ip` zugeordnet ist. Wenn ein Hostname `observer.hostname` zugeordnet ist. Wird auch in verschiedenen Logiken verwendet, um `principal`- oder `target`-IP/Hostname basierend auf der Protokollkategorie und anderen Feldern zu füllen.
`r_msg_id`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Direkt als „r_msg_id“ zugeordnet. Wird auch als `metadata.product_log_id` verwendet, wenn `sequence_num` nicht verfügbar ist.
`r_seg_num`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Direkt als „r_seg_num“ zugeordnet. Wird auch als `metadata.product_log_id` verwendet, wenn `sequence_num` nicht verfügbar ist.
`r_total_seg`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`RadiusFlowType`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`RadiusPacketType`	`sec_result.detection_fields.value`	Direkt als „Radius Packet Type“ zugeordnet.
`RegisterStatus`	`sec_result.rule_name`	Direkt zugeordnet.
`RequestLatency`	`sec_result.detection_fields.value`	Direkt als „Anfragelatenz“ zugeordnet.
`SelectedAccessService`	`sec_result.detection_fields.value`	Direkt als „Ausgewählter Zugriffsdienst“ zugeordnet.
`SelectedAuthorizationProfiles`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Serial Number`	`network.tls.server.certificate.serial`, `about.labels.value`	Als `serial_number` zugeordnet. Wird verwendet, um `network.tls.server.certificate.serial` oder `about.labels` je nach Kontext als „Seriennummer“ einzufügen.
`Service-Type`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`SessionId`	`network.session_id`	Direkt zugeordnet.
`ShutdownReason`	`sec_result.detection_fields.value`	Direkt als „ShutdownReason“ zugeordnet.
`SSID`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`StaticGroupAssignment`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Subject`	`about.labels.value`	Direkt zugeordnet.
`Subject Alternative Name`	`about.labels.value`	Direkt zugeordnet als „Alternativer Eigentümername“.
`SysStatsCpuCount`	`target.asset.hardware.cpu_number_cores`	Direkt zugeordnet.
`SysStatsProcessMemoryMB`	`target.asset.hardware.ram`	Direkt zugeordnet als `__hardware.ram`.
`SysStatsUtilizationNetwork`	`target.resource.name`, `network.sent_bytes`, `network.received_bytes`	Der Name des Netzwerkadapters, die gesendeten Byte und die empfangenen Byte werden extrahiert und zugeordnet. `target.resource.resource_type` ist auf „UNSPECIFIED“ festgelegt.
`TimeToProfile`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Total Certainty Factor`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`TotalFailedTime`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`Tunnel-Client-Endpoint`	`sec_result.detection_fields.value`	Direkt als „Tunnel Client Endpoint“ zugeordnet.
`UniqueConnectionIdentifier`	`sec_result.detection_fields.value`	Direkt als „Eindeutige Verbindungs-ID“ zugeordnet.
`UpdateTime`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`User`	`principal.user.userid`	Direkt zugeordnet.
`User-Fetch-Email`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`User-Fetch-Last-Name`	`principal.user.last_name`	Direkt zugeordnet.
`User-Fetch-LocalityName`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`User-Fetch-StateOrProvinceName`	`sec_result.detection_fields.value`	Direkt zugeordnet.
`User-Fetch-Telephone`	`principal.user.phone_numbers`	Direkt zugeordnet als `PhoneID`.
`UserName`	`principal.user.userid`	Direkt zugeordnet. Wenn das Feld nicht leer ist und nicht „“ oder „unknown“ enthält, wird es in Kleinbuchstaben umgewandelt, Bindestriche werden durch Doppelpunkte ersetzt und wenn es einem MAC-Adressmuster entspricht, wird es auch `principal.mac` zugeordnet.
`User-Name`	`principal.user.userid`	Direkt zugeordnet.
`UserType`	`principal.user.attribute.labels.value`	Direkt zugeordnet.
(Parser-Logik) `action`	`sec_result.action`	Auf „ALLOW“ gesetzt, wenn `msg_text` Erfolgs-Keywords enthält, auf „BLOCK“, wenn es Fehler-Keywords enthält, und andernfalls auf „UNKNOWN_ACTION“.
(Parser-Logik) `about.hostname`	`about.hostname`	Abgeleitet von `StepData=4` oder `stepdata`.
(Parser-Logik) `event.idm.read_only_udm.about`	`event.idm.read_only_udm.about`	Enthält verschiedene Felder wie `about.hostname`, `about.application` und `about.process.pid`.
(Parser-Logik) `event.idm.read_only_udm.extensions.auth.mechanism`	`event.idm.read_only_udm.extensions.auth.mechanism`	In bestimmten Fällen in der Kategorie `CISE_TACACS_Diagnostics` auf „NETWORK“ festgelegt.
(Parser-Logik) `event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	Auf „MACHINE“ für verschiedene An- und Abmeldeereignisse, „TACACS“ für bestimmte TACACS-Ereignisse und „AUTHTYPE_UNSPECIFIED“ für andere Anmeldeereignisse festgelegt.
(Parser-Logik) `event.idm.read_only_udm.metadata.collected_timestamp`	`event.idm.read_only_udm.metadata.collected_timestamp`	Wird aus `logstash.process.timestamp` geparst, falls verfügbar.
(Parser-Logik) `event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	Wird aus `msg_class` und `msg_text` oder nur aus `msg_text` erstellt, wenn `msg_class` nicht verfügbar ist.
(Parser-Logik) `event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Wird aus dem Feld `datetime` geparst, das entweder aus `datetime` und `timezone` oder aus `r_datetime` abgeleitet wird.
(Parser-Logik) `event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	Wird anhand von `r_cat_name`, `msg_code` und anderen Feldern bestimmt. Mögliche Werte: GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED, NETWORK_FLOW.
(Parser-Logik) `event.idm.read_only_udm.metadata.ingested_timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Wird aus `logstash.ingest.timestamp` geparst, falls verfügbar.
(Parser-Logik) `event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	Legen Sie diesen Wert auf „CISCO_ISE“ fest.
(Parser-Logik) `event.idm.read_only_udm.metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Abgeleitet von `r_cat_name`.
(Parser-Logik) `event.idm.read_only_udm.metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Abgeleitet von `sequence_num`, `r_seg_num` oder `r_msg_id`, je nach Verfügbarkeit.
(Parser-Logik) `event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	Legen Sie „ISE“ oder `MDMServerName` fest, falls verfügbar.
(Parser-Logik) `event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Legen Sie diesen Wert auf „Cisco“ fest.
(Parser-Logik) `event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Abgeleitet von `ac-user-agent` oder `EndpointUserAgent`.
(Parser-Logik) `event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	Für bestimmte Ereignistypen auf „TCP“ festlegen.
(Parser-Logik) `event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	Abgeleitet von `SessionId`.
(Parser-Logik) `event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	Abgeleitet von `TLSCipher`.
(Parser-Logik) `event.idm.read_only_udm.network.tls.server.certificate.serial`	`event.idm.read_only_udm.network.tls.server.certificate.serial`	Abgeleitet von `Serial Number`.
(Parser-Logik) `event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	Abgeleitet von `TLSVersion`.
(Parser-Logik) `event.idm.read_only_udm.principal.asset.asset_id`	`event.idm.read_only_udm.principal.asset.asset_id`	Abgeleitet von `NetworkDeviceProfileId` mit dem Präfix „Cisco_ISE:“
(Parser-Logik) `event.idm.read_only_udm.principal.asset.hardware`	`event.idm.read_only_udm.principal.asset.hardware`	Felder wie `hardware.manufacturer` und `hardware.model` sind ausgefüllt.
(Parser-Logik) `event.idm.read_only_udm.principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	Abgeleitet aus verschiedenen IP-Adressfeldern, je nach Protokollkategorie und anderen Feldern.
(Parser-Logik) `event.idm.read_only_udm.principal.asset.mac`	`event.idm.read_only_udm.principal.asset.mac`	Abgeleitet von `EndpointMacAddress`, `parsed_endpoint_mac` oder anderen MAC-Adressfeldern nach entsprechender Formatierung.
(Parser-Logik) `event.idm.read_only_udm.principal.asset.platform_software.platform_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_version`	Abgeleitet von `OperatingSystem`, `EndpointPolicy` oder `ad_operating_system`.
(Parser-Logik) `event.idm.read_only_udm.principal.group.group_display_name`	`event.idm.read_only_udm.principal.group.group_display_name`	Abgeleitet von `AD-Domain`, `IdentityGroup` oder `EndpointIdentityGroup`.
(Parser-Logik) `event.idm.read_only_udm.principal.group.product_object_id`	`event.idm.read_only_udm.principal.group.product_object_id`	Abgeleitet von `IdentityGroupID`.
(Parser-Logik) `event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	Abgeleitet von `r_ip_or_host`, `NetworkDeviceName` oder anderen Hostname-Feldern, je nach Protokollkategorie und anderen Feldern.
(Parser-Logik) `event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	Abgeleitet aus verschiedenen IP-Adressfeldern, je nach Protokollkategorie und anderen Feldern.
(Parser-Logik) `event.idm.read_only_udm.principal.labels`	`event.idm.read_only_udm.principal.labels`	Sie werden mit Feldern wie `nas_identifier`, `nas_port_type` und `nas_port_id` gefüllt.
(Parser-Logik) `event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	Abgeleitet von `Location`.
(Parser-Logik) `event.idm.read_only_udm.principal.nat_ip`	`event.idm.read_only_udm.principal.nat_ip`	Abgeleitet von `NAS-IP-Address`.
(Parser-Logik) `event.idm.read_only_udm.principal.nat_port`	`event.idm.read_only_udm.principal.nat_port`	Abgeleitet von `NAS-Port`, wenn numerisch und kleiner als 2147483648.
(Parser-Logik) `event.idm.read_only_udm.principal.platform`	`event.idm.read_only_udm.principal.platform`	Abgeleitet von `device-platform` oder `OperatingSystem`. Kann WINDOWS, LINUX, MAC oder UNKNOWN_PLATFORM sein.
(Parser-Logik) `event.idm.read_only_udm.principal.platform_version`	`event.idm.read_only_udm.principal.platform_version`	Abgeleitet von `platform-version`.
(Parser-Logik) `event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	Wird aus `Device Port` oder `Port` abgeleitet, wenn numerisch.
(Parser-Logik) `event.idm.read_only_udm.principal.user.attribute.labels`	`event.idm.read_only_udm.principal.user.attribute.labels`	Enthält Felder wie „Admin Interface“, „UserType“ und „Chargeable-User-Identity“.
(Parser-Logik) `event.idm.read_only_udm.principal.user.phone_numbers`	`event.idm.read_only_udm.principal.user.phone_numbers`	Abgeleitet von `PhoneID` oder `PhoneNumber`.
(Parser-Logik) `event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	Abgeleitet von `User`, `UserName`, `User-Name`, `AdminName`, `OriginalUserName` oder anderen Feldern für Nutzernamen, je nach Protokollkategorie und anderen Feldern.
(Parser-Logik) `event.idm.read_only_udm.security_result.about.labels`	`event.idm.read_only_udm.security_result.about.labels`	Wird mit Feldern wie „IdentityPolicyMatchedRule“, „EndPointMatchedProfile“, „ObjectType“ und „ObjectName“ gefüllt.
(Parser-Logik) `event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	Abgeleitet von `msg_text` oder `AuthenticationStatus`. Mögliche Werte: ALLOW, BLOCK oder UNKNOWN_ACTION.
(Parser-Logik) `event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	Je nach Protokollkategorie und anderen Feldern werden verschiedene Felder ausgefüllt.
(Parser-Logik) `event.idm.read_only_udm.security_result.description`	`event.idm.read_only_udm.security_result.description`	Abgeleitet von `AD-Error-Details` oder `DetailedInfo`.
(Parser-Logik) `event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Abgeleitet von `AuthorizationPolicyMatchedRule` oder `RegisterStatus`.
(Parser-Logik) `event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Abgeleitet von `msg_sev`. Kann CRITICAL, ERROR, HIGH, MEDIUM oder INFORMATIONAL sein.
(Parser-Logik) `event.idm.read_only_udm.security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	Abgeleitet von `msg_sev`.
(Parser-Logik) `event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	Abgeleitet von `msg_text` oder `FailureReason`.
(Parser-Logik) `event.idm.read_only_udm.src.ip`	`event.idm.read_only_udm.src.ip`	Abgeleitet von `source_ip`, extrahiert aus `OperationMessageText`.
(Parser-Logik) `event.idm.read_only_udm.src.port`	`event.idm.read_only_udm.src.port`	Wird aus `source_port` abgeleitet, das aus `OperationMessageText` extrahiert wird, sofern es sich um eine Zahl handelt.
(Parser-Logik) `event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	Abgeleitet von `AD-Domain-Controller`.
(Parser-Logik) `event.idm.read_only_udm.target.asset.hardware`	`event.idm.read_only_udm.target.asset.hardware`	Sie enthält Felder wie `_hardware.cpu_number_cores`.
(Parser-Logik) `event.idm.read_only_udm.target.asset.hostname`	`

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten