Recoger registros de Cisco ISE

Disponible en:

En este documento se describe cómo puede recoger registros de Cisco Identity Services Engine (ISE) mediante un reenviador de Google Security Operations.

Para obtener más información, consulta Ingestión de datos en Google Security Operations.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión CISCO_ISE.

Configurar Cisco ISE

  1. Inicia sesión en la consola de Cisco ISE con las credenciales de administrador.
  2. En la consola de Cisco ISE, selecciona Administración > Sistema > Registro > Destinos de registro remoto.
  3. En la ventana Destinos de registro remoto, haz clic en Añadir. Aparecerá la ventana Nuevo destino de registro.

  4. En la sección Destino de registro, especifique los valores de los siguientes campos:

    Campo Descripción
    Nombre Nombre del reenviador de Google Security Operations.
    Descripción Descripción del reenviador de Google Security Operations.
    Tipo Tipo de destino del registro remoto, como syslog.
    Dirección IP Dirección IP del reenviador de Google Security Operations.
    Tipo de destino Selecciona Syslog TCP o Syslog UDP.
    Puerto Usa un puerto alto, como 10514.
    Código de centro Puedes especificar uno de los siguientes valores:

    • LOCAL0 (código = 16)
    • LOCAL1 (código = 17)
    • LOCAL2 (code = 18)
    • LOCAL3 (código = 19)
    • LOCAL4 (código = 20)
    • LOCAL5 (código = 21)
    • LOCAL6 (código = 22; valor predeterminado)
    • LOCAL7 (código = 23)
    Longitud máxima El valor recomendado es 1024.

  5. Haz clic en Enviar. Aparecerá la ventana Destinos de registro remotos con la nueva configuración del reenviador de Google Security Operations.

  6. En la consola de Cisco ISE, selecciona Administración > Sistema > Registro > Categorías de registro.

  7. En la ventana Categorías de registro, selecciona las categorías para las que quieras definir el destino syslog remoto y añade el destino syslog remoto.

    Estas son las categorías de ejemplo: auditorías AAA, diagnósticos AAA, contabilidad, auditoría administrativa y operativa, auditoría de postura y aprovisionamiento de clientes, diagnósticos de postura y aprovisionamiento de clientes, creación de perfiles, diagnósticos del sistema y estadísticas del sistema.

Configurar el reenviador de Google Security Operations y syslog para ingerir registros de Cisco Secure ACS

  1. Ve a Configuración de SIEM > Reenviadores.
  2. Haz clic en Añadir nuevo remitente.
  3. En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
  4. Haz clic en Enviar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
  5. En el campo Nombre del recolector, escribe un nombre.
  6. Selecciona Cisco ISE como Tipo de registro.
  7. Seleccione Syslog como Tipo de recogida.
  8. Configure los siguientes parámetros de entrada obligatorios:
    • Protocolo: especifica el protocolo.
    • Dirección: especifica la dirección IP o el nombre de host de destino donde reside el recolector y las direcciones de los datos de syslog.
    • Puerto: especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  9. Haz clic en Enviar.

Para obtener más información sobre los reenviadores de Google Security Operations, consulta la documentación de los reenviadores de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de reenviador, consulta Configuración de reenviadores por tipo. Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de Google Security Operations.

Referencia de asignación de campos

Este analizador extrae los registros de Cisco ISE de los mensajes syslog, normaliza los datos en formato UDM y enriquece el evento con contexto adicional. Gestiona varias categorías de registros de ISE, como los éxitos y los fallos de autenticación, las auditorías administrativas y las estadísticas del sistema, entre otras. Asigna los campos relevantes al esquema de UDM y añade etiquetas específicas para realizar análisis detallados.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
Acct-Authentic sec_result.detection_fields.value Asignación directa.
Acct-Delay-Time sec_result.detection_fields.value Asignación directa.
Acct-Input-Octets sec_result.detection_fields.value Asignación directa.
Acct-Input-Packets sec_result.detection_fields.value Asignación directa.
Acct-Output-Octets sec_result.detection_fields.value Asignación directa.
Acct-Output-Packets sec_result.detection_fields.value Asignación directa.
Acct-Session-Id sec_result.detection_fields.value Asignación directa.
Acct-Session-Time sec_result.detection_fields.value Asignación directa.
Acct-Status-Type sec_result.detection_fields.value Asignación directa.
Acct-Terminate-Cause sec_result.detection_fields.value Asignación directa.
AcsSessionID sec_result.detection_fields.value Se asigna directamente como "Acs SessionID".
AD-Account-Name principal.user.userid Asignación directa.
AD-Domain principal.group.group_display_name Asignación directa.
AD-Domain-Controller target.administrative_domain Asignación directa.
AD-Error-Details sec_result.description Asignación directa.
AD-Host-Candidate-Identities sec_result.detection_fields.value Asignación directa.
AD-IP-Address target.ip, target.asset.ip Asignación directa.
AD-Log-Id sec_result.detection_fields.value Se ha asignado directamente como "AD-Log-Id".
AD-Operating-System principal.asset.platform_software.platform_version Asignado directamente como ad_operating_system. Si contiene "Windows", principal.platform se asigna a "WINDOWS".
AD-Site target.location.name Asignación directa.
AD-Srv-Query sec_result.detection_fields.value Asignado directamente como "AD-Srv-Query".
AD-Srv-Record sec_result.detection_fields.value Asignado directamente como "AD-Srv-Record".
AD-User-Resolved-Identities sec_result.detection_fields.value Asignación directa.
AD-User-SamAccount-Name principal.user.attribute.labels.value Asignación directa.
AdminIPAddress principal.ip, principal.asset.ip Asignación directa.
AdminInterface principal.user.attribute.labels.value Asignado directamente como "Interfaz de administrador".
AdminName principal.user.userid Asignación directa. También se añade un user.attribute.roles de tipo "ADMINISTRATOR".
AuthenticationIdentityStore sec_result.detection_fields.value Se asigna directamente como "Authentication Identity Store".
AuthenticationStatus sec_result.action_details Asignación directa. Si el valor coincide con "AuthenticationPassed", sec_result.action se define como "ALLOW". De lo contrario, se define como "BLOCK".
AuthorizationPolicyMatchedRule sec_result.rule_name Asignado con el prefijo "AuthorizationPolicyMatchedRule : ".
BYODRegistration sec_result.detection_fields.value Asignación directa.
Called-Station-ID sec_result.detection_fields.value Asignación directa.
Calling-Station-ID sec_result.detection_fields.value, principal.ip, principal.asset.ip Asignación directa. Si se trata de una dirección IP, también se asigna a principal.ip y principal.asset.ip.
cdpCachePlatform principal.asset.hardware.model Asignación directa.
Class sec_result.detection_fields.value Asignación directa.
ClientLatency sec_result.detection_fields.value Asignación directa.
CmdSet target.process.command_line Se asigna directamente después de eliminar los corchetes y los espacios circundantes.
ConfigVersionId sec_result.detection_fields.value Se asigna directamente como "ID de versión de configuración".
ConnectionStatus sec_result.detection_fields.value Se asigna directamente como "Estado de la conexión".
CPMSessionID sec_result.detection_fields.value Asignación directa.
CreateTime principal.asset.attribute.creation_time Se analiza como marca de tiempo UNIX_MS.
DetailedInfo sec_result.description Se asigna directamente después de quitar las barras invertidas.
DestinationIPAddress target.ip, target.asset.ip Asignación directa. Asigna el valor "true" a has_target.
DestinationPort target.port Se asigna directamente si es numérico.
Device IP Address principal.ip, principal.asset.ip, _intermediary.ip, target.ip y target.asset.ip Asignado como DeviceIPAddress. Se usa en varias lógicas para rellenar principal.ip, _intermediary.ip o target.ip en función de la categoría del registro y otros campos.
Device Port principal.port, _intermediary.port, target.port Asignado como DevicePort. Se usa en varias lógicas para rellenar principal.port, _intermediary.port o target.port en función de la categoría del registro y otros campos.
Device Type principal.asset.hardware.model Asignado directamente como device-type.
DTLSSupport sec_result.detection_fields.value Asignación directa.
EndPointMACAddress principal.asset.mac Se asigna directamente después de convertirlo a minúsculas y sustituir los guiones por dos puntos.
EndPointMatchedProfile sec_result.about.labels.value Asignación directa.
EndpointCertainityMetric sec_result.detection_fields.value Se asigna directamente como "Métrica de certeza del endpoint".
EndpointIdentityGroup principal.group.group_display_name Asignación directa.
EndpointIPAddress principal.asset.ip Asignación directa.
EndpointNADAddress sec_result.detection_fields.value Se asigna directamente como "Dirección NAD del endpoint".
EndpointOUI sec_result.detection_fields.value Se asigna directamente como "OUI del endpoint".
EndpointPolicy principal.asset.platform_software.platform_version Asignación directa.
EndpointProperty sec_result.detection_fields.value Se ha asignado directamente como "Propiedad de endpoint".
EndpointSourceEvent sec_result.detection_fields.value Asignación directa.
EndpointUserAgent network.http.user_agent Asignación directa.
EndPointVersion sec_result.detection_fields.value Asignación directa.
FailureReason sec_result.detection_fields.value, sec_result.summary, sec_result.description Asignado como FailureReason. Se usa para rellenar sec_result.detection_fields como "Failure Reason", sec_result.summary o sec_result.description, según el contexto.
FirstCollection principal.asset.first_discover_time Se analiza como marca de tiempo UNIX_MS.
Framed-IP-Address sec_result.detection_fields.value Asignación directa.
Framed-IPv6-Address FramedIPAddress Asignación directa.
Framed-Protocol sec_result.detection_fields.value Asignación directa.
IdentityGroup principal.group.group_display_name Asignación directa.
IdentityGroupID principal.group.product_object_id Asignación directa.
IdentityPolicyMatchedRule sec_result.about.labels.value Asignación directa.
IdentitySelectionMatchedRule sec_result.detection_fields.value Asignación directa.
IMEI target.asset.product_object_id Asignación directa.
ISELocalAddress _intermediary.ip, principal.ip, principal.asset.ip, _intermediary.port, principal.port y sec_result.detection_fields.value Si está en CISE_Administrative_and_Operational_Audit, la IP y el puerto se extraen y se asignan a _intermediary y principal. De lo contrario, se asigna directamente como "Dirección local de ISE" a sec_result.detection_fields.
ISEModuleName sec_result.detection_fields.value Se asigna directamente como "Nombre del módulo ISE".
ISEServiceName sec_result.detection_fields.value Se asigna directamente como "Nombre del servicio ISE".
IsThirdPartyDeviceFlow sec_result.detection_fields.value Asignación directa.
Issuer about.labels.value Asignación directa.
LastActivity principal.asset.last_discover_time Se analiza como marca de tiempo UNIX_MS.
LastNmapScanTime sec_result.detection_fields.value Asignación directa.
lldpChassisId target.mac Se asigna directamente después de analizarse como dirección MAC.
lldpSystemName target.hostname, target.asset.hostname Asignación directa.
Location principal.location.country_or_region, target.location.country_or_region Se asigna directamente a la ubicación principal o target en función de la categoría del registro.
Manufacturer target.asset.hardware.manufacturer Asignación directa.
MessageCode sec_result.detection_fields.value, metadata.event_type Asignado directamente como msg_code. Se usa en la lógica para determinar metadata.event_type.
Model target.asset.hardware.model Asignación directa.
NAS-IP-Address principal.nat_ip Asignación directa.
NAS-Identifier principal.labels.value Asignado directamente como nas_identifier.
NAS-Port principal.nat_port, sec_result.detection_fields.value, principal.labels.value Asignado como NASPort. Si es numérico y menor que 2147483648, se asigna a principal.nat_port. De lo contrario, se asigna como cadena a sec_result.detection_fields como "NAS Port" o principal.labels como "NAS-Port".
NAS-Port-Id principal.labels.value, sec_result.detection_fields.value Asignado como NASPortId. Se usa para rellenar principal.labels como "nas_port_id" o sec_result.detection_fields como "nas_port_id".
NAS-Port-Type principal.labels.value, sec_result.detection_fields.value Asignado como NASPortType. Se usa para rellenar principal.labels como "nas_port_type" o sec_result.detection_fields como "Nas-Port-Type".
NetworkDeviceGroups sec_result.detection_fields.value Asignación directa.
NetworkDeviceName _intermediary.hostname, principal.hostname, principal.asset.hostname, target.hostname y target.asset.hostname Asignado como NetworkDeviceName. Se usa en varias lógicas para rellenar _intermediary.hostname, principal.hostname o target.hostname en función de la categoría del registro y otros campos.
NetworkDeviceProfileId principal.asset.asset_id Asignado con el prefijo "Cisco_ISE:".
NetworkDeviceProfileName principal.asset.attribute.labels.value Asignación directa.
ObjectName sec_result.about.labels.value Asignación directa.
ObjectType sec_result.about.labels.value Asignación directa.
OperatingSystem target.asset.platform_software.platform_version, principal.asset.platform_software.platform_version, principal.platform Asignado como OperatingSystem. Se usa para rellenar target.asset.platform_software.platform_version o principal.asset.platform_software.platform_version. Si contiene "Win", principal.platform se asigna a "WINDOWS". Si contiene "lin", principal.platform se asigna a "LINUX". Si contiene "iOS", principal.platform se asigna a "MAC".
OperationMessageText sec_result.detection_fields.value, about.labels.value, sec_result.summary Asignado como OperationMessageText. Se usa para rellenar sec_result.detection_fields como "Texto del mensaje de operación", about.labels como "Texto del mensaje de operación" o sec_result.summary en función del contexto. Si contiene detalles de conexión, se extraen y se asignan a src y target.
OriginalUserName principal.user.userid Asignado directamente como User.
PeerAddress target.mac Se asigna directamente después de convertirlo a minúsculas y sustituir los guiones por dos puntos.
PeerName target.hostname, target.asset.hostname La IP y el nombre de host se extraen y se asignan a target.ip y target.hostname.
PhoneID principal.user.phone_numbers Asignado directamente como User-Fetch-Telephone.
PhoneNumber principal.user.phone_numbers Asignación directa.
PolicyVersion sec_result.detection_fields.value Asignación directa.
Port _intermediary.port, principal.port, target.port Asignado como Port. Se usa en varias lógicas para rellenar _intermediary.port, principal.port o target.port en función de la categoría del registro y otros campos.
PostureAssessmentStatus sec_result.detection_fields.value Asignación directa.
PostureExpiry sec_result.detection_fields.value Asignación directa.
PostureStatus sec_result.detection_fields.value Se asigna directamente como "Estado de la postura".
ProfilerServer sec_result.detection_fields.value Asignación directa.
Protocol sec_result.detection_fields.value Asignación directa.
r_cat_name metadata.product_event_type Asignación directa.
r_ip_or_host observer.ip, observer.hostname, principal.ip, principal.asset.ip, principal.hostname, principal.asset.hostname, target.ip, target.asset.ip, target.hostname, target.asset.hostname Si una IP está asignada a observer.ip. Si un nombre de host se asigna a observer.hostname. También se usa en varias lógicas para rellenar la IP o el nombre de host principal o target en función de la categoría del registro y otros campos.
r_msg_id sec_result.detection_fields.value, metadata.product_log_id Asignado directamente como "r_msg_id". También se usa como metadata.product_log_id si sequence_num no está disponible.
r_seg_num sec_result.detection_fields.value, metadata.product_log_id Se ha asignado directamente como "r_seg_num". También se usa como metadata.product_log_id si sequence_num no está disponible.
r_total_seg sec_result.detection_fields.value Asignación directa.
RadiusFlowType sec_result.detection_fields.value Asignación directa.
RadiusPacketType sec_result.detection_fields.value Se asigna directamente como "Tipo de paquete RADIUS".
RegisterStatus sec_result.rule_name Asignación directa.
RequestLatency sec_result.detection_fields.value Se asigna directamente como "Latencia de solicitud".
SelectedAccessService sec_result.detection_fields.value Se asigna directamente como "Servicio de acceso seleccionado".
SelectedAuthorizationProfiles sec_result.detection_fields.value Asignación directa.
Serial Number network.tls.server.certificate.serial, about.labels.value Asignado como serial_number. Se usa para rellenar network.tls.server.certificate.serial o about.labels como "Número de serie" en función del contexto.
Service-Type sec_result.detection_fields.value Asignación directa.
SessionId network.session_id Asignación directa.
ShutdownReason sec_result.detection_fields.value Se ha asignado directamente como "ShutdownReason".
SSID sec_result.detection_fields.value Asignación directa.
StaticGroupAssignment sec_result.detection_fields.value Asignación directa.
Subject about.labels.value Asignación directa.
Subject Alternative Name about.labels.value Se asigna directamente como "Nombre alternativo de la entidad".
SysStatsCpuCount target.asset.hardware.cpu_number_cores Asignación directa.
SysStatsProcessMemoryMB target.asset.hardware.ram Asignado directamente como __hardware.ram.
SysStatsUtilizationNetwork target.resource.name, network.sent_bytes, network.received_bytes Se extraen y se asignan el nombre del adaptador de red, los bytes enviados y los bytes recibidos. target.resource.resource_type tiene el valor "UNSPECIFIED".
TimeToProfile sec_result.detection_fields.value Asignación directa.
Total Certainty Factor sec_result.detection_fields.value Asignación directa.
TotalFailedTime sec_result.detection_fields.value Asignación directa.
Tunnel-Client-Endpoint sec_result.detection_fields.value Se ha asignado directamente como "Endpoint de cliente de túnel".
UniqueConnectionIdentifier sec_result.detection_fields.value Se asigna directamente como "Identificador de conexión único".
UpdateTime sec_result.detection_fields.value Asignación directa.
User principal.user.userid Asignación directa.
User-Fetch-Email sec_result.detection_fields.value Asignación directa.
User-Fetch-Last-Name principal.user.last_name Asignación directa.
User-Fetch-LocalityName sec_result.detection_fields.value Asignación directa.
User-Fetch-StateOrProvinceName sec_result.detection_fields.value Asignación directa.
User-Fetch-Telephone principal.user.phone_numbers Asignado directamente como PhoneID.
UserName principal.user.userid Asignación directa. Si no está vacío y no es "" o "unknown", se convierte en minúsculas, los guiones se sustituyen por dos puntos y, si coincide con un patrón de dirección MAC, también se asigna a principal.mac.
User-Name principal.user.userid Asignación directa.
UserType principal.user.attribute.labels.value Asignación directa.
(Lógica del analizador) action sec_result.action Se asigna el valor "ALLOW" si msg_text contiene palabras clave de éxito, "BLOCK" si contiene palabras clave de error y "UNKNOWN_ACTION" en los demás casos.
(Lógica del analizador) about.hostname about.hostname Derivado de StepData=4 o stepdata.
(Lógica del analizador) event.idm.read_only_udm.about event.idm.read_only_udm.about Se rellena con varios campos, como about.hostname, about.application y about.process.pid.
(Lógica del analizador) event.idm.read_only_udm.extensions.auth.mechanism event.idm.read_only_udm.extensions.auth.mechanism Se ha definido como "NETWORK" en determinados casos de la categoría CISE_TACACS_Diagnostics.
(Lógica del analizador) event.idm.read_only_udm.extensions.auth.type event.idm.read_only_udm.extensions.auth.type Se asigna el valor "MACHINE" a varios eventos de inicio y cierre de sesión, "TACACS" a determinados eventos de TACACS y "AUTHTYPE_UNSPECIFIED" a otros eventos de inicio de sesión.
(Lógica del analizador) event.idm.read_only_udm.metadata.collected_timestamp event.idm.read_only_udm.metadata.collected_timestamp Se analiza a partir de logstash.process.timestamp, si está disponible.
(Lógica del analizador) event.idm.read_only_udm.metadata.description event.idm.read_only_udm.metadata.description Se construye a partir de msg_class y msg_text, o solo de msg_text si msg_class no está disponible.
(Lógica del analizador) event.idm.read_only_udm.metadata.event_timestamp event.idm.read_only_udm.metadata.event_timestamp Se analiza a partir del campo datetime, que se obtiene de datetime y timezone o de r_datetime.
(Lógica del analizador) event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type Se determina en función de r_cat_name, msg_code y otros campos. Puede ser GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED o NETWORK_FLOW.
(Lógica del analizador) event.idm.read_only_udm.metadata.ingested_timestamp event.idm.read_only_udm.metadata.ingested_timestamp Se analiza a partir de logstash.ingest.timestamp, si está disponible.
(Lógica del analizador) event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type Se ha definido como "CISCO_ISE".
(Lógica del analizador) event.idm.read_only_udm.metadata.product_event_type event.idm.read_only_udm.metadata.product_event_type Derivado de r_cat_name.
(Lógica del analizador) event.idm.read_only_udm.metadata.product_log_id event.idm.read_only_udm.metadata.product_log_id Derivado de sequence_num, r_seg_num o r_msg_id, según la disponibilidad.
(Lógica del analizador) event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name Su valor debe ser "ISE" o MDMServerName si está disponible.
(Lógica del analizador) event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Selecciona "Cisco".
(Lógica del analizador) event.idm.read_only_udm.network.http.user_agent event.idm.read_only_udm.network.http.user_agent Derivado de ac-user-agent o EndpointUserAgent.
(Lógica del analizador) event.idm.read_only_udm.network.ip_protocol event.idm.read_only_udm.network.ip_protocol Se asigna el valor "TCP" a determinados tipos de eventos.
(Lógica del analizador) event.idm.read_only_udm.network.session_id event.idm.read_only_udm.network.session_id Derivado de SessionId.
(Lógica del analizador) event.idm.read_only_udm.network.tls.cipher event.idm.read_only_udm.network.tls.cipher Derivado de TLSCipher.
(Lógica del analizador) event.idm.read_only_udm.network.tls.server.certificate.serial event.idm.read_only_udm.network.tls.server.certificate.serial Derivado de Serial Number.
(Lógica del analizador) event.idm.read_only_udm.network.tls.version event.idm.read_only_udm.network.tls.version Derivado de TLSVersion.
(Lógica del analizador) event.idm.read_only_udm.principal.asset.asset_id event.idm.read_only_udm.principal.asset.asset_id Derivado de NetworkDeviceProfileId con el prefijo "Cisco_ISE:".
(Lógica del analizador) event.idm.read_only_udm.principal.asset.hardware event.idm.read_only_udm.principal.asset.hardware Se rellena con campos como hardware.manufacturer y hardware.model.
(Lógica del analizador) event.idm.read_only_udm.principal.asset.ip event.idm.read_only_udm.principal.asset.ip Se deriva de varios campos de direcciones IP en función de la categoría del registro y de otros campos.
(Lógica del analizador) event.idm.read_only_udm.principal.asset.mac event.idm.read_only_udm.principal.asset.mac Se deriva de los campos EndpointMacAddress, parsed_endpoint_mac u otros campos de dirección MAC después de aplicar el formato adecuado.
(Lógica del analizador) event.idm.read_only_udm.principal.asset.platform_software.platform_version event.idm.read_only_udm.principal.asset.platform_software.platform_version Derivada de OperatingSystem, EndpointPolicy o ad_operating_system.
(Lógica del analizador) event.idm.read_only_udm.principal.group.group_display_name event.idm.read_only_udm.principal.group.group_display_name Derivada de AD-Domain, IdentityGroup o EndpointIdentityGroup.
(Lógica del analizador) event.idm.read_only_udm.principal.group.product_object_id event.idm.read_only_udm.principal.group.product_object_id Derivado de IdentityGroupID.
(Lógica del analizador) event.idm.read_only_udm.principal.hostname event.idm.read_only_udm.principal.hostname Derivado de r_ip_or_host, NetworkDeviceName u otros campos de nombre de host en función de la categoría del registro y otros campos.
(Lógica del analizador) event.idm.read_only_udm.principal.ip event.idm.read_only_udm.principal.ip Se deriva de varios campos de direcciones IP en función de la categoría del registro y de otros campos.
(Lógica del analizador) event.idm.read_only_udm.principal.labels event.idm.read_only_udm.principal.labels Se rellena con campos como nas_identifier, nas_port_type y nas_port_id.
(Lógica del analizador) event.idm.read_only_udm.principal.location.country_or_region event.idm.read_only_udm.principal.location.country_or_region Derivado de Location.
(Lógica del analizador) event.idm.read_only_udm.principal.nat_ip event.idm.read_only_udm.principal.nat_ip Derivado de NAS-IP-Address.
(Lógica del analizador) event.idm.read_only_udm.principal.nat_port event.idm.read_only_udm.principal.nat_port Derivado de NAS-Port si es numérico y menor que 2147483648.
(Lógica del analizador) event.idm.read_only_udm.principal.platform event.idm.read_only_udm.principal.platform Derivado de device-platform o OperatingSystem. Puede ser WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM.
(Lógica del analizador) event.idm.read_only_udm.principal.platform_version event.idm.read_only_udm.principal.platform_version Derivado de platform-version.
(Lógica del analizador) event.idm.read_only_udm.principal.port event.idm.read_only_udm.principal.port Derivado de Device Port o Port si es numérico.
(Lógica del analizador) event.idm.read_only_udm.principal.user.attribute.labels event.idm.read_only_udm.principal.user.attribute.labels Se rellena con campos como "Admin Interface", "UserType" y "Chargeable-User-Identity".
(Lógica del analizador) event.idm.read_only_udm.principal.user.phone_numbers event.idm.read_only_udm.principal.user.phone_numbers Derivado de PhoneID o PhoneNumber.
(Lógica del analizador) event.idm.read_only_udm.principal.user.userid event.idm.read_only_udm.principal.user.userid Derivado de User, UserName, User-Name, AdminName, OriginalUserName u otros campos de nombre de usuario en función de la categoría del registro y otros campos.
(Lógica del analizador) event.idm.read_only_udm.security_result.about.labels event.idm.read_only_udm.security_result.about.labels Se rellena con campos como "IdentityPolicyMatchedRule", "EndPointMatchedProfile", "ObjectType" y "ObjectName".
(Lógica del analizador) event.idm.read_only_udm.security_result.action event.idm.read_only_udm.security_result.action Derivado de msg_text o AuthenticationStatus. Puede ser ALLOW, BLOCK o UNKNOWN_ACTION.
(Lógica del analizador) event.idm.read_only_udm.security_result.detection_fields event.idm.read_only_udm.security_result.detection_fields Se rellena con varios campos en función de la categoría del registro y otros campos.
(Lógica del analizador) event.idm.read_only_udm.security_result.description event.idm.read_only_udm.security_result.description Derivado de AD-Error-Details o DetailedInfo.
(Lógica del analizador) event.idm.read_only_udm.security_result.rule_name event.idm.read_only_udm.security_result.rule_name Derivado de AuthorizationPolicyMatchedRule o RegisterStatus.
(Lógica del analizador) event.idm.read_only_udm.security_result.severity event.idm.read_only_udm.security_result.severity Derivado de msg_sev. Puede ser CRITICAL, ERROR, HIGH, MEDIUM o INFORMATIONAL.
(Lógica del analizador) event.idm.read_only_udm.security_result.severity_details event.idm.read_only_udm.security_result.severity_details Derivado de msg_sev.
(Lógica del analizador) event.idm.read_only_udm.security_result.summary event.idm.read_only_udm.security_result.summary Derivado de msg_text o FailureReason.
(Lógica del analizador) event.idm.read_only_udm.src.ip event.idm.read_only_udm.src.ip Derivado de source_ip extraído de OperationMessageText.
(Lógica del analizador) event.idm.read_only_udm.src.port event.idm.read_only_udm.src.port Derivado de source_port extraído de OperationMessageText si es numérico.
(Lógica del analizador) event.idm.read_only_udm.target.administrative_domain event.idm.read_only_udm.target.administrative_domain Derivado de AD-Domain-Controller.
(Lógica del analizador) event.idm.read_only_udm.target.asset.hardware event.idm.read_only_udm.target.asset.hardware Se rellenan con campos como _hardware.cpu_number_cores.
(Lógica del analizador) event.idm.read_only_udm.target.asset.hostname `

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.