Recopila registros de Cisco ISE

Compatible con:

En este documento, se describe cómo recopilar registros de Cisco Identity Services Engine (ISE) con un reenvío de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia CISCO_ISE.

Configura Cisco ISE

  1. Accede a la consola de Cisco ISE con las credenciales de administrador.
  2. En la consola de Cisco ISE, selecciona Administration > System > Logging > Remote logging targets.
  3. En la ventana Destinos de registro remoto, haz clic en Agregar. Aparecerá la ventana New logging target.

  4. En la sección Destino del registro, especifica valores para los siguientes campos:

    Campo Descripción
    Nombre Nombre del reenvío de Google Security Operations.
    Descripción Es la descripción del agente de reenvío de Google Security Operations.
    Tipo Es el tipo de destino de registro remoto, como syslog.
    Dirección IP Es la dirección IP del reenviador de Google Security Operations.
    Tipo de objetivo Selecciona Syslog TCP o Syslog UDP.
    Puerto Usa un puerto alto, como 10514.
    Código de la instalación Puedes especificar uno de los siguientes valores:

    • LOCAL0 (código = 16)
    • LOCAL1 (código = 17)
    • LOCAL2 (código = 18)
    • LOCAL3 (código = 19)
    • LOCAL4 (código = 20)
    • LOCAL5 (código = 21)
    • LOCAL6 (código = 22; predeterminado)
    • LOCAL7 (código = 23)
    Longitud máxima El valor recomendado es de 1024.

  5. Haz clic en Enviar. Aparecerá la ventana Destinos de registro remotos con la nueva configuración del reenvío de Google Security Operations.

  6. En la consola de Cisco ISE, selecciona Administration > System > Logging > Logging categories.

  7. En la ventana Categorías de registro, selecciona las categorías para las que deseas establecer el destino syslog remoto y agrega el destino syslog remoto.

    Las siguientes son las categorías de muestra: auditorías de AAA, diagnósticos de AAA, contabilidad, auditoría administrativa y operativa, auditoría de aprovisionamiento de postura y cliente, diagnósticos de aprovisionamiento de postura y cliente, generador de perfiles, diagnósticos del sistema y estadísticas del sistema.

Configura el reenvío y el syslog de Google Security Operations para transferir los registros de Cisco Secure ACS

  1. Ve a Configuración del SIEM > Reenviadores.
  2. Haz clic en Agregar un nuevo reenvío.
  3. En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
  4. Haz clic en Enviar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
  5. En el campo Nombre del recopilador, escribe un nombre.
  6. Selecciona Cisco ISE como el Tipo de registro.
  7. Selecciona Syslog como el Tipo de recopilador.
  8. Configura los siguientes parámetros de entrada obligatorios:
    • Protocolo: Especifica el protocolo.
    • Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y al que se dirigen los datos de syslog.
    • Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de Syslog.
  9. Haz clic en Enviar.

Para obtener más información sobre los retransmisores de Google Security Operations, consulta la documentación de los retransmisores de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de reenvío, consulta Configuración del reenvío por tipo. Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador extrae los registros de Cisco ISE de los mensajes de syslog, normaliza los datos en formato UDM y enriquece el evento con contexto adicional. Maneja varias categorías de registros de ISE, incluidos los éxitos y errores de autenticación, las auditorías administrativas, las estadísticas del sistema y mucho más, asignando los campos pertinentes al esquema del UDM y agregando etiquetas específicas para un análisis detallado.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
Acct-Authentic sec_result.detection_fields.value Se asigna directamente.
Acct-Delay-Time sec_result.detection_fields.value Se asigna directamente.
Acct-Input-Octets sec_result.detection_fields.value Se asigna directamente.
Acct-Input-Packets sec_result.detection_fields.value Se asigna directamente.
Acct-Output-Octets sec_result.detection_fields.value Se asigna directamente.
Acct-Output-Packets sec_result.detection_fields.value Se asigna directamente.
Acct-Session-Id sec_result.detection_fields.value Se asigna directamente.
Acct-Session-Time sec_result.detection_fields.value Se asigna directamente.
Acct-Status-Type sec_result.detection_fields.value Se asigna directamente.
Acct-Terminate-Cause sec_result.detection_fields.value Se asigna directamente.
AcsSessionID sec_result.detection_fields.value Se asigna directamente como "Acs SessionID".
AD-Account-Name principal.user.userid Se asigna directamente.
AD-Domain principal.group.group_display_name Se asigna directamente.
AD-Domain-Controller target.administrative_domain Se asigna directamente.
AD-Error-Details sec_result.description Se asigna directamente.
AD-Host-Candidate-Identities sec_result.detection_fields.value Se asigna directamente.
AD-IP-Address target.ip, target.asset.ip Se asigna directamente.
AD-Log-Id sec_result.detection_fields.value Se asigna directamente como "AD-Log-Id".
AD-Operating-System principal.asset.platform_software.platform_version Se asigna directamente como ad_operating_system. Si contiene "Windows", principal.platform se establece en "WINDOWS".
AD-Site target.location.name Se asigna directamente.
AD-Srv-Query sec_result.detection_fields.value Se asigna directamente como "AD-Srv-Query".
AD-Srv-Record sec_result.detection_fields.value Se asigna directamente como "AD-Srv-Record".
AD-User-Resolved-Identities sec_result.detection_fields.value Se asigna directamente.
AD-User-SamAccount-Name principal.user.attribute.labels.value Se asigna directamente.
AdminIPAddress principal.ip, principal.asset.ip Se asigna directamente.
AdminInterface principal.user.attribute.labels.value Se asigna directamente como "Interfaz de administrador".
AdminName principal.user.userid Se asigna directamente. También se agrega un user.attribute.roles con el tipo "ADMINISTRATOR".
AuthenticationIdentityStore sec_result.detection_fields.value Se asigna directamente como "Almacén de identidades de autenticación".
AuthenticationStatus sec_result.action_details Se asigna directamente. Si el valor coincide con "AuthenticationPassed", sec_result.action se establece en "ALLOW"; de lo contrario, se establece en "BLOCK".
AuthorizationPolicyMatchedRule sec_result.rule_name Se asigna con el prefijo "AuthorizationPolicyMatchedRule : ".
BYODRegistration sec_result.detection_fields.value Se asigna directamente.
Called-Station-ID sec_result.detection_fields.value Se asigna directamente.
Calling-Station-ID sec_result.detection_fields.value, principal.ip, principal.asset.ip Se asigna directamente. Si es una dirección IP, también se asigna a principal.ip y principal.asset.ip.
cdpCachePlatform principal.asset.hardware.model Se asigna directamente.
Class sec_result.detection_fields.value Se asigna directamente.
ClientLatency sec_result.detection_fields.value Se asigna directamente.
CmdSet target.process.command_line Se asigna directamente después de quitar los corchetes y los espacios circundantes.
ConfigVersionId sec_result.detection_fields.value Se asigna directamente como "ID de versión de configuración".
ConnectionStatus sec_result.detection_fields.value Se asigna directamente como "Estado de conexión".
CPMSessionID sec_result.detection_fields.value Se asigna directamente.
CreateTime principal.asset.attribute.creation_time Se analiza como una marca de tiempo de UNIX_MS.
DetailedInfo sec_result.description Se asigna directamente después de quitar las barras inversas.
DestinationIPAddress target.ip, target.asset.ip Se asigna directamente. Establece has_target en "true".
DestinationPort target.port Se asigna directamente si es numérico.
Device IP Address principal.ip, principal.asset.ip, _intermediary.ip, target.ip, target.asset.ip Se asigna como DeviceIPAddress. Se usa en varias lógicas para propagar principal.ip, _intermediary.ip o target.ip según la categoría de registro y otros campos.
Device Port principal.port, _intermediary.port, target.port Se asigna como DevicePort. Se usa en varias lógicas para propagar principal.port, _intermediary.port o target.port según la categoría de registro y otros campos.
Device Type principal.asset.hardware.model Se asigna directamente como device-type.
DTLSSupport sec_result.detection_fields.value Se asigna directamente.
EndPointMACAddress principal.asset.mac Se asigna directamente después de convertir a minúsculas y reemplazar los guiones por dos puntos.
EndPointMatchedProfile sec_result.about.labels.value Se asigna directamente.
EndpointCertainityMetric sec_result.detection_fields.value Se asigna directamente como "Métrica de certeza del extremo".
EndpointIdentityGroup principal.group.group_display_name Se asigna directamente.
EndpointIPAddress principal.asset.ip Se asigna directamente.
EndpointNADAddress sec_result.detection_fields.value Se asigna directamente como "Dirección NAD del extremo".
EndpointOUI sec_result.detection_fields.value Se asigna directamente como "OUI del extremo".
EndpointPolicy principal.asset.platform_software.platform_version Se asigna directamente.
EndpointProperty sec_result.detection_fields.value Se asigna directamente como "Propiedad del extremo".
EndpointSourceEvent sec_result.detection_fields.value Se asigna directamente.
EndpointUserAgent network.http.user_agent Se asigna directamente.
EndPointVersion sec_result.detection_fields.value Se asigna directamente.
FailureReason sec_result.detection_fields.value, sec_result.summary, sec_result.description Se asigna como FailureReason. Se usa para completar sec_result.detection_fields como "Motivo del error", sec_result.summary o sec_result.description según el contexto.
FirstCollection principal.asset.first_discover_time Se analiza como una marca de tiempo de UNIX_MS.
Framed-IP-Address sec_result.detection_fields.value Se asigna directamente.
Framed-IPv6-Address FramedIPAddress Se asigna directamente.
Framed-Protocol sec_result.detection_fields.value Se asigna directamente.
IdentityGroup principal.group.group_display_name Se asigna directamente.
IdentityGroupID principal.group.product_object_id Se asigna directamente.
IdentityPolicyMatchedRule sec_result.about.labels.value Se asigna directamente.
IdentitySelectionMatchedRule sec_result.detection_fields.value Se asigna directamente.
IMEI target.asset.product_object_id Se asigna directamente.
ISELocalAddress _intermediary.ip, principal.ip, principal.asset.ip, _intermediary.port, principal.port, sec_result.detection_fields.value Si está en CISE_Administrative_and_Operational_Audit, se extraen la IP y el puerto, y se asignan a _intermediary y principal. De lo contrario, se asigna directamente como "Dirección local del ISE" a sec_result.detection_fields.
ISEModuleName sec_result.detection_fields.value Se asigna directamente como "Nombre del módulo de ISE".
ISEServiceName sec_result.detection_fields.value Se asigna directamente como "Nombre del servicio de ISE".
IsThirdPartyDeviceFlow sec_result.detection_fields.value Se asigna directamente.
Issuer about.labels.value Se asigna directamente.
LastActivity principal.asset.last_discover_time Se analiza como una marca de tiempo de UNIX_MS.
LastNmapScanTime sec_result.detection_fields.value Se asigna directamente.
lldpChassisId target.mac Se asigna directamente después del análisis como dirección MAC.
lldpSystemName target.hostname, target.asset.hostname Se asigna directamente.
Location principal.location.country_or_region, target.location.country_or_region Se asigna directamente a la ubicación de principal o target, según la categoría del registro.
Manufacturer target.asset.hardware.manufacturer Se asigna directamente.
MessageCode sec_result.detection_fields.value, metadata.event_type Se asigna directamente como msg_code. Se usa en la lógica para determinar metadata.event_type.
Model target.asset.hardware.model Se asigna directamente.
NAS-IP-Address principal.nat_ip Se asigna directamente.
NAS-Identifier principal.labels.value Se asigna directamente como nas_identifier.
NAS-Port principal.nat_port, sec_result.detection_fields.value, principal.labels.value Se asigna como NASPort. Si es numérico y menor que 2147483648, se asigna a principal.nat_port. De lo contrario, se asigna como una cadena a sec_result.detection_fields como "NAS Port" o a principal.labels como "NAS-Port".
NAS-Port-Id principal.labels.value, sec_result.detection_fields.value Se asigna como NASPortId. Se usa para completar principal.labels como "nas_port_id" o sec_result.detection_fields como "nas_port_id".
NAS-Port-Type principal.labels.value, sec_result.detection_fields.value Se asigna como NASPortType. Se usa para completar principal.labels como "nas_port_type" o sec_result.detection_fields como "Nas-Port-Type".
NetworkDeviceGroups sec_result.detection_fields.value Se asigna directamente.
NetworkDeviceName _intermediary.hostname, principal.hostname, principal.asset.hostname, target.hostname, target.asset.hostname Se asigna como NetworkDeviceName. Se usa en varias lógicas para propagar _intermediary.hostname, principal.hostname o target.hostname según la categoría de registro y otros campos.
NetworkDeviceProfileId principal.asset.asset_id Se asigna con el prefijo "Cisco_ISE:".
NetworkDeviceProfileName principal.asset.attribute.labels.value Se asigna directamente.
ObjectName sec_result.about.labels.value Se asigna directamente.
ObjectType sec_result.about.labels.value Se asigna directamente.
OperatingSystem target.asset.platform_software.platform_version, principal.asset.platform_software.platform_version, principal.platform Se asigna como OperatingSystem. Se usa para propagar target.asset.platform_software.platform_version o principal.asset.platform_software.platform_version. Si contiene "Win", principal.platform se establece en "WINDOWS". Si contiene "lin", principal.platform se establece en "LINUX". Si contiene "iOS", principal.platform se establece en "MAC".
OperationMessageText sec_result.detection_fields.value, about.labels.value, sec_result.summary Se asigna como OperationMessageText. Se usa para completar sec_result.detection_fields como "Texto del mensaje de operación", about.labels como "Texto del mensaje de operación" o sec_result.summary según el contexto. Si contiene detalles de conexión, se extraen y se asignan a src y target.
OriginalUserName principal.user.userid Se asigna directamente como User.
PeerAddress target.mac Se asigna directamente después de convertir a minúsculas y reemplazar los guiones por dos puntos.
PeerName target.hostname, target.asset.hostname La IP y el nombre de host se extraen y se asignan a target.ip y target.hostname.
PhoneID principal.user.phone_numbers Se asigna directamente como User-Fetch-Telephone.
PhoneNumber principal.user.phone_numbers Se asigna directamente.
PolicyVersion sec_result.detection_fields.value Se asigna directamente.
Port _intermediary.port, principal.port, target.port Se asigna como Port. Se usa en varias lógicas para propagar _intermediary.port, principal.port o target.port según la categoría de registro y otros campos.
PostureAssessmentStatus sec_result.detection_fields.value Se asigna directamente.
PostureExpiry sec_result.detection_fields.value Se asigna directamente.
PostureStatus sec_result.detection_fields.value Se asigna directamente como "Estado de la postura".
ProfilerServer sec_result.detection_fields.value Se asigna directamente.
Protocol sec_result.detection_fields.value Se asigna directamente.
r_cat_name metadata.product_event_type Se asigna directamente.
r_ip_or_host observer.ip, observer.hostname, principal.ip, principal.asset.ip, principal.hostname, principal.asset.hostname, target.ip, target.asset.ip, target.hostname, target.asset.hostname Si es una IP, se asigna a observer.ip. Si es un nombre de host, se asigna a observer.hostname. También se usa en varias lógicas para completar la IP o el nombre de host de principal o target según la categoría de registro y otros campos.
r_msg_id sec_result.detection_fields.value, metadata.product_log_id Se asigna directamente como "r_msg_id". También se usa como metadata.product_log_id si sequence_num no está disponible.
r_seg_num sec_result.detection_fields.value, metadata.product_log_id Se asigna directamente como "r_seg_num". También se usa como metadata.product_log_id si sequence_num no está disponible.
r_total_seg sec_result.detection_fields.value Se asigna directamente.
RadiusFlowType sec_result.detection_fields.value Se asigna directamente.
RadiusPacketType sec_result.detection_fields.value Se asigna directamente como "Tipo de paquete de radio".
RegisterStatus sec_result.rule_name Se asigna directamente.
RequestLatency sec_result.detection_fields.value Se asigna directamente como "Latencia de la solicitud".
SelectedAccessService sec_result.detection_fields.value Se asigna directamente como "Servicio de acceso seleccionado".
SelectedAuthorizationProfiles sec_result.detection_fields.value Se asigna directamente.
Serial Number network.tls.server.certificate.serial, about.labels.value Se asigna como serial_number. Se usa para completar network.tls.server.certificate.serial o about.labels como "Número de serie" según el contexto.
Service-Type sec_result.detection_fields.value Se asigna directamente.
SessionId network.session_id Se asigna directamente.
ShutdownReason sec_result.detection_fields.value Se asigna directamente como "ShutdownReason".
SSID sec_result.detection_fields.value Se asigna directamente.
StaticGroupAssignment sec_result.detection_fields.value Se asigna directamente.
Subject about.labels.value Se asigna directamente.
Subject Alternative Name about.labels.value Se asigna directamente como "Nombre alternativo del asunto".
SysStatsCpuCount target.asset.hardware.cpu_number_cores Se asigna directamente.
SysStatsProcessMemoryMB target.asset.hardware.ram Se asigna directamente como __hardware.ram.
SysStatsUtilizationNetwork target.resource.name, network.sent_bytes, network.received_bytes Se extraen y se asignan el nombre del adaptador de red, los bytes enviados y los bytes recibidos. target.resource.resource_type se establece como "UNSPECIFIED".
TimeToProfile sec_result.detection_fields.value Se asigna directamente.
Total Certainty Factor sec_result.detection_fields.value Se asigna directamente.
TotalFailedTime sec_result.detection_fields.value Se asigna directamente.
Tunnel-Client-Endpoint sec_result.detection_fields.value Se asigna directamente como "Extremo del cliente de túnel".
UniqueConnectionIdentifier sec_result.detection_fields.value Se asigna directamente como "Identificador de conexión único".
UpdateTime sec_result.detection_fields.value Se asigna directamente.
User principal.user.userid Se asigna directamente.
User-Fetch-Email sec_result.detection_fields.value Se asigna directamente.
User-Fetch-Last-Name principal.user.last_name Se asigna directamente.
User-Fetch-LocalityName sec_result.detection_fields.value Se asigna directamente.
User-Fetch-StateOrProvinceName sec_result.detection_fields.value Se asigna directamente.
User-Fetch-Telephone principal.user.phone_numbers Se asigna directamente como PhoneID.
UserName principal.user.userid Se asigna directamente. Si no está vacío y no es "" o "unknown", se convierte a minúsculas, los guiones se reemplazan por dos puntos y, si coincide con un patrón de dirección MAC, también se asigna a principal.mac.
User-Name principal.user.userid Se asigna directamente.
UserType principal.user.attribute.labels.value Se asigna directamente.
(Lógica del analizador) action sec_result.action Se establece en "ALLOW" si msg_text contiene palabras clave de éxito, en "BLOCK" si contiene palabras clave de falla y en "UNKNOWN_ACTION" en los demás casos.
(Lógica del analizador) about.hostname about.hostname Se deriva de StepData=4 o stepdata.
(Lógica del analizador) event.idm.read_only_udm.about event.idm.read_only_udm.about Se completa con varios campos, como about.hostname, about.application y about.process.pid.
(Lógica del analizador) event.idm.read_only_udm.extensions.auth.mechanism event.idm.read_only_udm.extensions.auth.mechanism Se establece en "NETWORK" en ciertos casos dentro de la categoría CISE_TACACS_Diagnostics.
(Lógica del analizador) event.idm.read_only_udm.extensions.auth.type event.idm.read_only_udm.extensions.auth.type Se establece en "MACHINE" para varios eventos de acceso y salida, "TACACS" para ciertos eventos de TACACS y "AUTHTYPE_UNSPECIFIED" para otros eventos de acceso.
(Lógica del analizador) event.idm.read_only_udm.metadata.collected_timestamp event.idm.read_only_udm.metadata.collected_timestamp Se analiza a partir de logstash.process.timestamp si está disponible.
(Lógica del analizador) event.idm.read_only_udm.metadata.description event.idm.read_only_udm.metadata.description Se construye a partir de msg_class y msg_text, o solo msg_text si msg_class no está disponible.
(Lógica del analizador) event.idm.read_only_udm.metadata.event_timestamp event.idm.read_only_udm.metadata.event_timestamp Se analizó a partir del campo datetime, que se deriva de datetime y timezone, o bien de r_datetime.
(Lógica del analizador) event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type Se determina en función de r_cat_name, msg_code y otros campos. Puede ser GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED o NETWORK_FLOW.
(Lógica del analizador) event.idm.read_only_udm.metadata.ingested_timestamp event.idm.read_only_udm.metadata.ingested_timestamp Se analiza a partir de logstash.ingest.timestamp si está disponible.
(Lógica del analizador) event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type Se debe establecer en "CISCO_ISE".
(Lógica del analizador) event.idm.read_only_udm.metadata.product_event_type event.idm.read_only_udm.metadata.product_event_type Derivado de r_cat_name.
(Lógica del analizador) event.idm.read_only_udm.metadata.product_log_id event.idm.read_only_udm.metadata.product_log_id Se deriva de sequence_num, r_seg_num o r_msg_id según la disponibilidad.
(Lógica del analizador) event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name Se establece en "ISE" o en MDMServerName si está disponible.
(Lógica del analizador) event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Se establece en "Cisco".
(Lógica del analizador) event.idm.read_only_udm.network.http.user_agent event.idm.read_only_udm.network.http.user_agent Se deriva de ac-user-agent o EndpointUserAgent.
(Lógica del analizador) event.idm.read_only_udm.network.ip_protocol event.idm.read_only_udm.network.ip_protocol Se establece en "TCP" para ciertos tipos de eventos.
(Lógica del analizador) event.idm.read_only_udm.network.session_id event.idm.read_only_udm.network.session_id Derivado de SessionId.
(Lógica del analizador) event.idm.read_only_udm.network.tls.cipher event.idm.read_only_udm.network.tls.cipher Derivado de TLSCipher.
(Lógica del analizador) event.idm.read_only_udm.network.tls.server.certificate.serial event.idm.read_only_udm.network.tls.server.certificate.serial Derivado de Serial Number.
(Lógica del analizador) event.idm.read_only_udm.network.tls.version event.idm.read_only_udm.network.tls.version Derivado de TLSVersion.
(Lógica del analizador) event.idm.read_only_udm.principal.asset.asset_id event.idm.read_only_udm.principal.asset.asset_id Se deriva de NetworkDeviceProfileId con el prefijo "Cisco_ISE:".
(Lógica del analizador) event.idm.read_only_udm.principal.asset.hardware event.idm.read_only_udm.principal.asset.hardware Se propaga con campos como hardware.manufacturer y hardware.model.
(Lógica del analizador) event.idm.read_only_udm.principal.asset.ip event.idm.read_only_udm.principal.asset.ip Se deriva de varios campos de direcciones IP según la categoría del registro y otros campos.
(Lógica del analizador) event.idm.read_only_udm.principal.asset.mac event.idm.read_only_udm.principal.asset.mac Se deriva de EndpointMacAddress, parsed_endpoint_mac o de otros campos de dirección MAC después del formato adecuado.
(Lógica del analizador) event.idm.read_only_udm.principal.asset.platform_software.platform_version event.idm.read_only_udm.principal.asset.platform_software.platform_version Se deriva de OperatingSystem, EndpointPolicy o ad_operating_system.
(Lógica del analizador) event.idm.read_only_udm.principal.group.group_display_name event.idm.read_only_udm.principal.group.group_display_name Se deriva de AD-Domain, IdentityGroup o EndpointIdentityGroup.
(Lógica del analizador) event.idm.read_only_udm.principal.group.product_object_id event.idm.read_only_udm.principal.group.product_object_id Derivado de IdentityGroupID.
(Lógica del analizador) event.idm.read_only_udm.principal.hostname event.idm.read_only_udm.principal.hostname Se deriva de r_ip_or_host, NetworkDeviceName o de otros campos de nombre de host, según la categoría del registro y otros campos.
(Lógica del analizador) event.idm.read_only_udm.principal.ip event.idm.read_only_udm.principal.ip Se deriva de varios campos de direcciones IP según la categoría del registro y otros campos.
(Lógica del analizador) event.idm.read_only_udm.principal.labels event.idm.read_only_udm.principal.labels Se completa con campos como nas_identifier, nas_port_type y nas_port_id.
(Lógica del analizador) event.idm.read_only_udm.principal.location.country_or_region event.idm.read_only_udm.principal.location.country_or_region Derivado de Location.
(Lógica del analizador) event.idm.read_only_udm.principal.nat_ip event.idm.read_only_udm.principal.nat_ip Derivado de NAS-IP-Address.
(Lógica del analizador) event.idm.read_only_udm.principal.nat_port event.idm.read_only_udm.principal.nat_port Se deriva de NAS-Port si es numérico y menor que 2147483648.
(Lógica del analizador) event.idm.read_only_udm.principal.platform event.idm.read_only_udm.principal.platform Se deriva de device-platform o OperatingSystem. Puede ser WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM.
(Lógica del analizador) event.idm.read_only_udm.principal.platform_version event.idm.read_only_udm.principal.platform_version Derivado de platform-version.
(Lógica del analizador) event.idm.read_only_udm.principal.port event.idm.read_only_udm.principal.port Se deriva de Device Port o Port si es numérico.
(Lógica del analizador) event.idm.read_only_udm.principal.user.attribute.labels event.idm.read_only_udm.principal.user.attribute.labels Se completa con campos como "Admin Interface", "UserType" y "Chargeable-User-Identity".
(Lógica del analizador) event.idm.read_only_udm.principal.user.phone_numbers event.idm.read_only_udm.principal.user.phone_numbers Se deriva de PhoneID o PhoneNumber.
(Lógica del analizador) event.idm.read_only_udm.principal.user.userid event.idm.read_only_udm.principal.user.userid Se deriva de User, UserName, User-Name, AdminName, OriginalUserName o de otros campos de nombre de usuario, según la categoría del registro y otros campos.
(Lógica del analizador) event.idm.read_only_udm.security_result.about.labels event.idm.read_only_udm.security_result.about.labels Se completa con campos como "IdentityPolicyMatchedRule", "EndPointMatchedProfile", "ObjectType" y "ObjectName".
(Lógica del analizador) event.idm.read_only_udm.security_result.action event.idm.read_only_udm.security_result.action Se deriva de msg_text o AuthenticationStatus. Puede ser ALLOW, BLOCK o UNKNOWN_ACTION.
(Lógica del analizador) event.idm.read_only_udm.security_result.detection_fields event.idm.read_only_udm.security_result.detection_fields Se completa con varios campos según la categoría del registro y otros campos.
(Lógica del analizador) event.idm.read_only_udm.security_result.description event.idm.read_only_udm.security_result.description Se deriva de AD-Error-Details o DetailedInfo.
(Lógica del analizador) event.idm.read_only_udm.security_result.rule_name event.idm.read_only_udm.security_result.rule_name Se deriva de AuthorizationPolicyMatchedRule o RegisterStatus.
(Lógica del analizador) event.idm.read_only_udm.security_result.severity event.idm.read_only_udm.security_result.severity Derivado de msg_sev. Puede ser CRITICAL, ERROR, HIGH, MEDIUM o INFORMATIONAL.
(Lógica del analizador) event.idm.read_only_udm.security_result.severity_details event.idm.read_only_udm.security_result.severity_details Derivado de msg_sev.
(Lógica del analizador) event.idm.read_only_udm.security_result.summary event.idm.read_only_udm.security_result.summary Se deriva de msg_text o FailureReason.
(Lógica del analizador) event.idm.read_only_udm.src.ip event.idm.read_only_udm.src.ip Se deriva de source_ip extraído de OperationMessageText.
(Lógica del analizador) event.idm.read_only_udm.src.port event.idm.read_only_udm.src.port Se deriva de source_port extraído de OperationMessageText si es numérico.
(Lógica del analizador) event.idm.read_only_udm.target.administrative_domain event.idm.read_only_udm.target.administrative_domain Derivado de AD-Domain-Controller.
(Lógica del analizador) event.idm.read_only_udm.target.asset.hardware event.idm.read_only_udm.target.asset.hardware Se propaga con campos como _hardware.cpu_number_cores.
(Lógica del analizador) event.idm.read_only_udm.target.asset.hostname `

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.