Collecter les journaux Cisco ISE

Compatible avec :

Ce document explique comment collecter les journaux Cisco Identity Services Engine (ISE) à l'aide d'un transmetteur Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion CISCO_ISE.

Configurer Cisco ISE

  1. Connectez-vous à la console Cisco ISE à l'aide d'identifiants d'administrateur.
  2. Dans la console Cisco ISE, sélectionnez Administration > System (Système)> Logging (Journalisation)> Remote logging targets (Cibles de journalisation à distance).
  3. Dans la fenêtre Cibles de journalisation à distance, cliquez sur Ajouter. La fenêtre Nouvelle cible de journalisation s'affiche.

  4. Dans la section Cible de journalisation, spécifiez les valeurs des champs suivants :

    Champ Description
    Nom Nom du redirecteur Google Security Operations.
    Description Description du transmetteur Google Security Operations.
    Type Type de la cible de journal à distance, comme syslog.
    Adresse IP Adresse IP du redirecteur Google Security Operations.
    Type de cible Sélectionnez "Syslog TCP" ou "Syslog UDP".
    Port Utilisez un port élevé, tel que 10514.
    Code de l'établissement Vous pouvez spécifier l'une des valeurs suivantes :

    • LOCAL0 (code = 16)
    • LOCAL1 (code = 17)
    • LOCAL2 (code = 18)
    • LOCAL3 (code = 19)
    • LOCAL4 (code = 20)
    • LOCAL5 (code = 21)
    • LOCAL6 (code = 22 ; par défaut)
    • LOCAL7 (code = 23)
    Longueur maximale La valeur recommandée est 1 024.

  5. Cliquez sur Envoyer. La fenêtre Cibles de journaux à distance s'affiche avec la nouvelle configuration de l'agent de transfert Google Security Operations.

  6. Dans la console Cisco ISE, sélectionnez Administration > System > Logging > Logging categories (Administration > Système > Journalisation > Catégories de journalisation).

  7. Dans la fenêtre Catégories de journalisation, sélectionnez les catégories pour lesquelles vous souhaitez définir la cible syslog distante, puis ajoutez-la.

    Voici les catégories d'exemples : audits AAA, diagnostics AAA, comptabilité, audit administratif et opérationnel, audit de provisionnement de posture et de client, diagnostics de provisionnement de posture et de client, profileur, diagnostics système et statistiques système.

Configurer le redirecteur Google Security Operations et Syslog pour ingérer les journaux Cisco Secure ACS

  1. Accédez à Paramètres SIEM > Transférateurs.
  2. Cliquez sur Ajouter un nouveau transfert.
  3. Dans le champ Nom du transitaire, saisissez un nom unique pour le transitaire.
  4. Cliquez sur Envoyer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
  5. Dans le champ Nom du collecteur, saisissez un nom.
  6. Sélectionnez Cisco ISE comme Type de journal.
  7. Sélectionnez Syslog comme type de collecteur.
  8. Configurez les paramètres d'entrée obligatoires suivants :
    • Protocole : spécifiez le protocole.
    • Adresse : spécifiez l'adresse IP ou le nom d'hôte cibles où réside le collecteur et les adresses des données syslog.
    • Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
  9. Cliquez sur Envoyer.

Pour en savoir plus sur les redirecteurs Google Security Operations, consultez la documentation sur les redirecteurs Google Security Operations. Pour en savoir plus sur les exigences de chaque type de redirecteur, consultez Configuration des redirecteurs par type. Si vous rencontrez des problèmes lors de la création de transferts, contactez l'assistance Google Security Operations.

Référence du mappage de champs

Cet analyseur extrait les journaux Cisco ISE des messages syslog, normalise les données au format UDM et enrichit l'événement avec un contexte supplémentaire. Il gère différentes catégories de journaux ISE, y compris les réussites et les échecs d'authentification, les audits administratifs, les statistiques système, etc. Il mappe les champs pertinents au schéma UDM et ajoute des libellés spécifiques pour une analyse détaillée.

Table de mappage UDM

Champ de journal Mappage UDM Logique
Acct-Authentic sec_result.detection_fields.value Mappé directement.
Acct-Delay-Time sec_result.detection_fields.value Mappé directement.
Acct-Input-Octets sec_result.detection_fields.value Mappé directement.
Acct-Input-Packets sec_result.detection_fields.value Mappé directement.
Acct-Output-Octets sec_result.detection_fields.value Mappé directement.
Acct-Output-Packets sec_result.detection_fields.value Mappé directement.
Acct-Session-Id sec_result.detection_fields.value Mappé directement.
Acct-Session-Time sec_result.detection_fields.value Mappé directement.
Acct-Status-Type sec_result.detection_fields.value Mappé directement.
Acct-Terminate-Cause sec_result.detection_fields.value Mappé directement.
AcsSessionID sec_result.detection_fields.value Directement mappé en tant que "Acs SessionID".
AD-Account-Name principal.user.userid Mappé directement.
AD-Domain principal.group.group_display_name Mappé directement.
AD-Domain-Controller target.administrative_domain Mappé directement.
AD-Error-Details sec_result.description Mappé directement.
AD-Host-Candidate-Identities sec_result.detection_fields.value Mappé directement.
AD-IP-Address target.ip, target.asset.ip Mappé directement.
AD-Log-Id sec_result.detection_fields.value Mappé directement en tant que "AD-Log-Id".
AD-Operating-System principal.asset.platform_software.platform_version Mappé directement en tant que ad_operating_system. Si la valeur contient "Windows", principal.platform est défini sur "WINDOWS".
AD-Site target.location.name Mappé directement.
AD-Srv-Query sec_result.detection_fields.value Mappé directement en tant que "AD-Srv-Query".
AD-Srv-Record sec_result.detection_fields.value Mappé directement en tant que "AD-Srv-Record".
AD-User-Resolved-Identities sec_result.detection_fields.value Mappé directement.
AD-User-SamAccount-Name principal.user.attribute.labels.value Mappé directement.
AdminIPAddress principal.ip, principal.asset.ip Mappé directement.
AdminInterface principal.user.attribute.labels.value Directement mappé en tant qu'"Interface d'administration".
AdminName principal.user.userid Mappé directement. Un user.attribute.roles de type "ADMINISTRATOR" est également ajouté.
AuthenticationIdentityStore sec_result.detection_fields.value Directement mappé en tant que "Authentication Identity Store".
AuthenticationStatus sec_result.action_details Mappé directement. Si la valeur correspond à "AuthenticationPassed", sec_result.action est défini sur "ALLOW" (AUTORISER), sinon sur "BLOCK" (BLOQUER).
AuthorizationPolicyMatchedRule sec_result.rule_name Mappé avec le préfixe "AuthorizationPolicyMatchedRule : ".
BYODRegistration sec_result.detection_fields.value Mappé directement.
Called-Station-ID sec_result.detection_fields.value Mappé directement.
Calling-Station-ID sec_result.detection_fields.value, principal.ip, principal.asset.ip Mappé directement. S'il s'agit d'une adresse IP, elle est également mappée sur principal.ip et principal.asset.ip.
cdpCachePlatform principal.asset.hardware.model Mappé directement.
Class sec_result.detection_fields.value Mappé directement.
ClientLatency sec_result.detection_fields.value Mappé directement.
CmdSet target.process.command_line Mappé directement après suppression des crochets et des espaces environnants.
ConfigVersionId sec_result.detection_fields.value Directement mappé en tant que "ID de version de configuration".
ConnectionStatus sec_result.detection_fields.value Directement mappé en tant que "État de la connexion".
CPMSessionID sec_result.detection_fields.value Mappé directement.
CreateTime principal.asset.attribute.creation_time Analysé en tant que code temporel UNIX_MS.
DetailedInfo sec_result.description Mappé directement après la suppression des barres obliques inverses.
DestinationIPAddress target.ip, target.asset.ip Mappé directement. Définit has_target sur "true".
DestinationPort target.port Mappé directement s'il est numérique.
Device IP Address principal.ip, principal.asset.ip, _intermediary.ip, target.ip et target.asset.ip Mappé en tant que DeviceIPAddress. Utilisé dans diverses logiques pour remplir principal.ip, _intermediary.ip ou target.ip en fonction de la catégorie de journal et d'autres champs.
Device Port principal.port, _intermediary.port, target.port Mappé en tant que DevicePort. Utilisé dans diverses logiques pour remplir principal.port, _intermediary.port ou target.port en fonction de la catégorie de journal et d'autres champs.
Device Type principal.asset.hardware.model Mappé directement en tant que device-type.
DTLSSupport sec_result.detection_fields.value Mappé directement.
EndPointMACAddress principal.asset.mac Mappé directement après avoir été converti en minuscules et les tirets remplacés par des deux-points.
EndPointMatchedProfile sec_result.about.labels.value Mappé directement.
EndpointCertainityMetric sec_result.detection_fields.value Directement mappé en tant que "métrique de certitude du point de terminaison".
EndpointIdentityGroup principal.group.group_display_name Mappé directement.
EndpointIPAddress principal.asset.ip Mappé directement.
EndpointNADAddress sec_result.detection_fields.value Directement mappé en tant que "Adresse NAD du point de terminaison".
EndpointOUI sec_result.detection_fields.value Directement mappé en tant que "OUI du point de terminaison".
EndpointPolicy principal.asset.platform_software.platform_version Mappé directement.
EndpointProperty sec_result.detection_fields.value Mappé directement en tant que "Propriété du point de terminaison".
EndpointSourceEvent sec_result.detection_fields.value Mappé directement.
EndpointUserAgent network.http.user_agent Mappé directement.
EndPointVersion sec_result.detection_fields.value Mappé directement.
FailureReason sec_result.detection_fields.value, sec_result.summary, sec_result.description Mappé en tant que FailureReason. Permet de renseigner sec_result.detection_fields en tant que "Raison de l'échec", sec_result.summary ou sec_result.description selon le contexte.
FirstCollection principal.asset.first_discover_time Analysé en tant que code temporel UNIX_MS.
Framed-IP-Address sec_result.detection_fields.value Mappé directement.
Framed-IPv6-Address FramedIPAddress Mappé directement.
Framed-Protocol sec_result.detection_fields.value Mappé directement.
IdentityGroup principal.group.group_display_name Mappé directement.
IdentityGroupID principal.group.product_object_id Mappé directement.
IdentityPolicyMatchedRule sec_result.about.labels.value Mappé directement.
IdentitySelectionMatchedRule sec_result.detection_fields.value Mappé directement.
IMEI target.asset.product_object_id Mappé directement.
ISELocalAddress _intermediary.ip, principal.ip, principal.asset.ip, _intermediary.port, principal.port, sec_result.detection_fields.value Si la valeur est CISE_Administrative_and_Operational_Audit, l'adresse IP et le port sont extraits et mappés sur _intermediary et principal. Sinon, il est mappé directement en tant que "Adresse locale ISE" sur sec_result.detection_fields.
ISEModuleName sec_result.detection_fields.value Mappé directement en tant que "Nom du module ISE".
ISEServiceName sec_result.detection_fields.value Mappé directement en tant que "Nom du service ISE".
IsThirdPartyDeviceFlow sec_result.detection_fields.value Mappé directement.
Issuer about.labels.value Mappé directement.
LastActivity principal.asset.last_discover_time Analysé en tant que code temporel UNIX_MS.
LastNmapScanTime sec_result.detection_fields.value Mappé directement.
lldpChassisId target.mac Mappé directement après l'analyse en tant qu'adresse MAC.
lldpSystemName target.hostname, target.asset.hostname Mappé directement.
Location principal.location.country_or_region, target.location.country_or_region Directement mappé sur l'emplacement principal ou target en fonction de la catégorie du journal.
Manufacturer target.asset.hardware.manufacturer Mappé directement.
MessageCode sec_result.detection_fields.value, metadata.event_type Mappé directement en tant que msg_code. Utilisé dans la logique pour déterminer metadata.event_type.
Model target.asset.hardware.model Mappé directement.
NAS-IP-Address principal.nat_ip Mappé directement.
NAS-Identifier principal.labels.value Mappé directement en tant que nas_identifier.
NAS-Port principal.nat_port, sec_result.detection_fields.value, principal.labels.value Mappé en tant que NASPort. Si la valeur est numérique et inférieure à 2147483648, elle est mappée sur principal.nat_port. Sinon, elle est mappée en tant que chaîne sur sec_result.detection_fields ("NAS Port") ou principal.labels ("NAS-Port").
NAS-Port-Id principal.labels.value, sec_result.detection_fields.value Mappé en tant que NASPortId. Utilisé pour renseigner principal.labels en tant que "nas_port_id" ou sec_result.detection_fields en tant que "nas_port_id".
NAS-Port-Type principal.labels.value, sec_result.detection_fields.value Mappé en tant que NASPortType. Utilisé pour remplir principal.labels en tant que "nas_port_type" ou sec_result.detection_fields en tant que "Nas-Port-Type".
NetworkDeviceGroups sec_result.detection_fields.value Mappé directement.
NetworkDeviceName _intermediary.hostname, principal.hostname, principal.asset.hostname, target.hostname et target.asset.hostname Mappé en tant que NetworkDeviceName. Utilisé dans diverses logiques pour remplir _intermediary.hostname, principal.hostname ou target.hostname en fonction de la catégorie de journal et d'autres champs.
NetworkDeviceProfileId principal.asset.asset_id Mappé avec le préfixe "Cisco_ISE:".
NetworkDeviceProfileName principal.asset.attribute.labels.value Mappé directement.
ObjectName sec_result.about.labels.value Mappé directement.
ObjectType sec_result.about.labels.value Mappé directement.
OperatingSystem target.asset.platform_software.platform_version, principal.asset.platform_software.platform_version, principal.platform Mappé en tant que OperatingSystem. Permet de renseigner target.asset.platform_software.platform_version ou principal.asset.platform_software.platform_version. Si la chaîne contient "Win", principal.platform est défini sur "WINDOWS". Si la chaîne contient "lin", principal.platform est défini sur "LINUX". Si la valeur contient "iOS", principal.platform est défini sur "MAC".
OperationMessageText sec_result.detection_fields.value, about.labels.value, sec_result.summary Mappé en tant que OperationMessageText. Utilisé pour remplir sec_result.detection_fields en tant que "Texte du message d'opération", about.labels en tant que "Texte du message d'opération" ou sec_result.summary selon le contexte. S'il contient des informations de connexion, celles-ci sont extraites et mappées sur src et target.
OriginalUserName principal.user.userid Mappé directement en tant que User.
PeerAddress target.mac Mappé directement après avoir été converti en minuscules et les tirets remplacés par des deux-points.
PeerName target.hostname, target.asset.hostname L'adresse IP et le nom d'hôte sont extraits et mappés sur target.ip et target.hostname.
PhoneID principal.user.phone_numbers Mappé directement en tant que User-Fetch-Telephone.
PhoneNumber principal.user.phone_numbers Mappé directement.
PolicyVersion sec_result.detection_fields.value Mappé directement.
Port _intermediary.port, principal.port, target.port Mappé en tant que Port. Utilisé dans diverses logiques pour remplir _intermediary.port, principal.port ou target.port en fonction de la catégorie de journal et d'autres champs.
PostureAssessmentStatus sec_result.detection_fields.value Mappé directement.
PostureExpiry sec_result.detection_fields.value Mappé directement.
PostureStatus sec_result.detection_fields.value Mappé directement en tant que "État de la posture".
ProfilerServer sec_result.detection_fields.value Mappé directement.
Protocol sec_result.detection_fields.value Mappé directement.
r_cat_name metadata.product_event_type Mappé directement.
r_ip_or_host observer.ip, observer.hostname, principal.ip, principal.asset.ip, principal.hostname, principal.asset.hostname, target.ip, target.asset.ip, target.hostname, target.asset.hostname Si une adresse IP est mappée sur observer.ip. Si un nom d'hôte est mappé sur observer.hostname. Également utilisé dans diverses logiques pour remplir l'adresse IP/le nom d'hôte principal ou target en fonction de la catégorie de journal et d'autres champs.
r_msg_id sec_result.detection_fields.value, metadata.product_log_id Directement mappé en tant que "r_msg_id". Également utilisé comme metadata.product_log_id si sequence_num n'est pas disponible.
r_seg_num sec_result.detection_fields.value, metadata.product_log_id Mappé directement en tant que "r_seg_num". Également utilisé comme metadata.product_log_id si sequence_num n'est pas disponible.
r_total_seg sec_result.detection_fields.value Mappé directement.
RadiusFlowType sec_result.detection_fields.value Mappé directement.
RadiusPacketType sec_result.detection_fields.value Mappé directement en tant que "Type de paquet Radius".
RegisterStatus sec_result.rule_name Mappé directement.
RequestLatency sec_result.detection_fields.value Directement mappé en tant que "Latence des requêtes".
SelectedAccessService sec_result.detection_fields.value Mappé directement en tant que "Service d'accès sélectionné".
SelectedAuthorizationProfiles sec_result.detection_fields.value Mappé directement.
Serial Number network.tls.server.certificate.serial, about.labels.value Mappé en tant que serial_number. Permet de renseigner network.tls.server.certificate.serial ou about.labels en tant que "Numéro de série" selon le contexte.
Service-Type sec_result.detection_fields.value Mappé directement.
SessionId network.session_id Mappé directement.
ShutdownReason sec_result.detection_fields.value Directement mappé en tant que "ShutdownReason".
SSID sec_result.detection_fields.value Mappé directement.
StaticGroupAssignment sec_result.detection_fields.value Mappé directement.
Subject about.labels.value Mappé directement.
Subject Alternative Name about.labels.value Mappé directement en tant que "Autre nom du sujet".
SysStatsCpuCount target.asset.hardware.cpu_number_cores Mappé directement.
SysStatsProcessMemoryMB target.asset.hardware.ram Mappé directement en tant que __hardware.ram.
SysStatsUtilizationNetwork target.resource.name, network.sent_bytes, network.received_bytes Le nom de l'adaptateur réseau, les octets envoyés et les octets reçus sont extraits et mappés. target.resource.resource_type est défini sur "UNSPECIFIED".
TimeToProfile sec_result.detection_fields.value Mappé directement.
Total Certainty Factor sec_result.detection_fields.value Mappé directement.
TotalFailedTime sec_result.detection_fields.value Mappé directement.
Tunnel-Client-Endpoint sec_result.detection_fields.value Mappé directement en tant que "Point de terminaison du client de tunnel".
UniqueConnectionIdentifier sec_result.detection_fields.value Directement mappé en tant qu'"Identifiant de connexion unique".
UpdateTime sec_result.detection_fields.value Mappé directement.
User principal.user.userid Mappé directement.
User-Fetch-Email sec_result.detection_fields.value Mappé directement.
User-Fetch-Last-Name principal.user.last_name Mappé directement.
User-Fetch-LocalityName sec_result.detection_fields.value Mappé directement.
User-Fetch-StateOrProvinceName sec_result.detection_fields.value Mappé directement.
User-Fetch-Telephone principal.user.phone_numbers Mappé directement en tant que PhoneID.
UserName principal.user.userid Mappé directement. Si elle n'est pas vide et n'est pas "" ni "unknown", elle est convertie en minuscules, les tirets sont remplacés par des deux-points et, si elle correspond à un modèle d'adresse MAC, elle est également mappée sur principal.mac.
User-Name principal.user.userid Mappé directement.
UserType principal.user.attribute.labels.value Mappé directement.
(Logique de l'analyseur) action sec_result.action Définissez la valeur sur "ALLOW" (AUTORISER) si msg_text contient des mots clés de réussite, sur "BLOCK" (BLOQUER) s'il contient des mots clés d'échec et sur "UNKNOWN_ACTION" (ACTION_INCONNUE) dans le cas contraire.
(Logique de l'analyseur) about.hostname about.hostname Dérivé de StepData=4 ou stepdata.
(Logique de l'analyseur) event.idm.read_only_udm.about event.idm.read_only_udm.about Il est renseigné avec différents champs tels que about.hostname, about.application et about.process.pid.
(Logique de l'analyseur) event.idm.read_only_udm.extensions.auth.mechanism event.idm.read_only_udm.extensions.auth.mechanism Dans certains cas, la valeur "NETWORK" est définie dans la catégorie CISE_TACACS_Diagnostics.
(Logique de l'analyseur) event.idm.read_only_udm.extensions.auth.type event.idm.read_only_udm.extensions.auth.type Définissez la valeur sur "MACHINE" pour divers événements de connexion/déconnexion, sur "TACACS" pour certains événements TACACS et sur "AUTHTYPE_UNSPECIFIED" pour d'autres événements de connexion.
(Logique de l'analyseur) event.idm.read_only_udm.metadata.collected_timestamp event.idm.read_only_udm.metadata.collected_timestamp Analysé à partir de logstash.process.timestamp, si disponible.
(Logique de l'analyseur) event.idm.read_only_udm.metadata.description event.idm.read_only_udm.metadata.description Construit à partir de msg_class et msg_text, ou uniquement à partir de msg_text si msg_class n'est pas disponible.
(Logique de l'analyseur) event.idm.read_only_udm.metadata.event_timestamp event.idm.read_only_udm.metadata.event_timestamp Analysé à partir du champ datetime, qui est dérivé de datetime et timezone ou de r_datetime.
(Logique de l'analyseur) event.idm.read_only_udm.metadata.event_type event.idm.read_only_udm.metadata.event_type Déterminé en fonction de r_cat_name, msg_code et d'autres champs. Il peut s'agir de GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED ou NETWORK_FLOW.
(Logique de l'analyseur) event.idm.read_only_udm.metadata.ingested_timestamp event.idm.read_only_udm.metadata.ingested_timestamp Analysé à partir de logstash.ingest.timestamp, si disponible.
(Logique de l'analyseur) event.idm.read_only_udm.metadata.log_type event.idm.read_only_udm.metadata.log_type Définissez-le sur "CISCO_ISE".
(Logique de l'analyseur) event.idm.read_only_udm.metadata.product_event_type event.idm.read_only_udm.metadata.product_event_type Dérivé de r_cat_name.
(Logique de l'analyseur) event.idm.read_only_udm.metadata.product_log_id event.idm.read_only_udm.metadata.product_log_id Dérivé de sequence_num, r_seg_num ou r_msg_id selon la disponibilité.
(Logique de l'analyseur) event.idm.read_only_udm.metadata.product_name event.idm.read_only_udm.metadata.product_name Définissez-le sur "ISE" ou sur MDMServerName si cette option est disponible.
(Logique de l'analyseur) event.idm.read_only_udm.metadata.vendor_name event.idm.read_only_udm.metadata.vendor_name Défini sur "Cisco".
(Logique de l'analyseur) event.idm.read_only_udm.network.http.user_agent event.idm.read_only_udm.network.http.user_agent Dérivé de ac-user-agent ou EndpointUserAgent.
(Logique de l'analyseur) event.idm.read_only_udm.network.ip_protocol event.idm.read_only_udm.network.ip_protocol Définissez la valeur sur "TCP" pour certains types d'événements.
(Logique de l'analyseur) event.idm.read_only_udm.network.session_id event.idm.read_only_udm.network.session_id Dérivé de SessionId.
(Logique de l'analyseur) event.idm.read_only_udm.network.tls.cipher event.idm.read_only_udm.network.tls.cipher Dérivé de TLSCipher.
(Logique de l'analyseur) event.idm.read_only_udm.network.tls.server.certificate.serial event.idm.read_only_udm.network.tls.server.certificate.serial Dérivé de Serial Number.
(Logique de l'analyseur) event.idm.read_only_udm.network.tls.version event.idm.read_only_udm.network.tls.version Dérivé de TLSVersion.
(Logique de l'analyseur) event.idm.read_only_udm.principal.asset.asset_id event.idm.read_only_udm.principal.asset.asset_id Dérivé de NetworkDeviceProfileId avec le préfixe "Cisco_ISE:".
(Logique de l'analyseur) event.idm.read_only_udm.principal.asset.hardware event.idm.read_only_udm.principal.asset.hardware Il contient des champs tels que hardware.manufacturer et hardware.model.
(Logique de l'analyseur) event.idm.read_only_udm.principal.asset.ip event.idm.read_only_udm.principal.asset.ip Dérivée de différents champs d'adresse IP en fonction de la catégorie de journal et d'autres champs.
(Logique de l'analyseur) event.idm.read_only_udm.principal.asset.mac event.idm.read_only_udm.principal.asset.mac Dérivé des champs EndpointMacAddress, parsed_endpoint_mac ou d'autres champs d'adresse MAC après une mise en forme appropriée.
(Logique de l'analyseur) event.idm.read_only_udm.principal.asset.platform_software.platform_version event.idm.read_only_udm.principal.asset.platform_software.platform_version Dérivé de OperatingSystem, EndpointPolicy ou ad_operating_system.
(Logique de l'analyseur) event.idm.read_only_udm.principal.group.group_display_name event.idm.read_only_udm.principal.group.group_display_name Dérivé de AD-Domain, IdentityGroup ou EndpointIdentityGroup.
(Logique de l'analyseur) event.idm.read_only_udm.principal.group.product_object_id event.idm.read_only_udm.principal.group.product_object_id Dérivé de IdentityGroupID.
(Logique de l'analyseur) event.idm.read_only_udm.principal.hostname event.idm.read_only_udm.principal.hostname Dérivé de r_ip_or_host, NetworkDeviceName ou d'autres champs de nom d'hôte en fonction de la catégorie de journal et d'autres champs.
(Logique de l'analyseur) event.idm.read_only_udm.principal.ip event.idm.read_only_udm.principal.ip Dérivée de différents champs d'adresse IP en fonction de la catégorie de journal et d'autres champs.
(Logique de l'analyseur) event.idm.read_only_udm.principal.labels event.idm.read_only_udm.principal.labels Il est renseigné avec des champs tels que nas_identifier, nas_port_type et nas_port_id.
(Logique de l'analyseur) event.idm.read_only_udm.principal.location.country_or_region event.idm.read_only_udm.principal.location.country_or_region Dérivé de Location.
(Logique de l'analyseur) event.idm.read_only_udm.principal.nat_ip event.idm.read_only_udm.principal.nat_ip Dérivé de NAS-IP-Address.
(Logique de l'analyseur) event.idm.read_only_udm.principal.nat_port event.idm.read_only_udm.principal.nat_port Dérivé de NAS-Port s'il s'agit d'une valeur numérique inférieure à 2147483648.
(Logique de l'analyseur) event.idm.read_only_udm.principal.platform event.idm.read_only_udm.principal.platform Dérivé de device-platform ou OperatingSystem. Il peut s'agir de WINDOWS, LINUX, MAC ou UNKNOWN_PLATFORM.
(Logique de l'analyseur) event.idm.read_only_udm.principal.platform_version event.idm.read_only_udm.principal.platform_version Dérivé de platform-version.
(Logique de l'analyseur) event.idm.read_only_udm.principal.port event.idm.read_only_udm.principal.port Dérivé de Device Port ou Port si la valeur est numérique.
(Logique de l'analyseur) event.idm.read_only_udm.principal.user.attribute.labels event.idm.read_only_udm.principal.user.attribute.labels Il contient des champs tels que "Admin Interface", "UserType" et "Chargeable-User-Identity".
(Logique de l'analyseur) event.idm.read_only_udm.principal.user.phone_numbers event.idm.read_only_udm.principal.user.phone_numbers Dérivé de PhoneID ou PhoneNumber.
(Logique de l'analyseur) event.idm.read_only_udm.principal.user.userid event.idm.read_only_udm.principal.user.userid Dérivé des champs User, UserName, User-Name, AdminName, OriginalUserName ou d'autres champs de nom d'utilisateur en fonction de la catégorie de journal et d'autres champs.
(Logique de l'analyseur) event.idm.read_only_udm.security_result.about.labels event.idm.read_only_udm.security_result.about.labels Contient des champs tels que "IdentityPolicyMatchedRule", "EndPointMatchedProfile", "ObjectType" et "ObjectName".
(Logique de l'analyseur) event.idm.read_only_udm.security_result.action event.idm.read_only_udm.security_result.action Dérivé de msg_text ou AuthenticationStatus. Les valeurs possibles sont ALLOW, BLOCK ou UNKNOWN_ACTION.
(Logique de l'analyseur) event.idm.read_only_udm.security_result.detection_fields event.idm.read_only_udm.security_result.detection_fields Contient différents champs en fonction de la catégorie de journal et d'autres champs.
(Logique de l'analyseur) event.idm.read_only_udm.security_result.description event.idm.read_only_udm.security_result.description Dérivé de AD-Error-Details ou DetailedInfo.
(Logique de l'analyseur) event.idm.read_only_udm.security_result.rule_name event.idm.read_only_udm.security_result.rule_name Dérivé de AuthorizationPolicyMatchedRule ou RegisterStatus.
(Logique de l'analyseur) event.idm.read_only_udm.security_result.severity event.idm.read_only_udm.security_result.severity Dérivé de msg_sev. Les valeurs possibles sont CRITICAL, ERROR, HIGH, MEDIUM ou INFORMATIONAL.
(Logique de l'analyseur) event.idm.read_only_udm.security_result.severity_details event.idm.read_only_udm.security_result.severity_details Dérivé de msg_sev.
(Logique de l'analyseur) event.idm.read_only_udm.security_result.summary event.idm.read_only_udm.security_result.summary Dérivé de msg_text ou FailureReason.
(Logique de l'analyseur) event.idm.read_only_udm.src.ip event.idm.read_only_udm.src.ip Dérivé de source_ip extrait de OperationMessageText.
(Logique de l'analyseur) event.idm.read_only_udm.src.port event.idm.read_only_udm.src.port Dérivé de source_port extrait de OperationMessageText s'il est numérique.
(Logique de l'analyseur) event.idm.read_only_udm.target.administrative_domain event.idm.read_only_udm.target.administrative_domain Dérivé de AD-Domain-Controller.
(Logique de l'analyseur) event.idm.read_only_udm.target.asset.hardware event.idm.read_only_udm.target.asset.hardware Rempli avec des champs tels que _hardware.cpu_number_cores.
(Logique de l'analyseur) event.idm.read_only_udm.target.asset.hostname `

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.