Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Cisco ISE

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengumpulkan log Cisco Identity Services Engine (ISE) menggunakan forwarder Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer CISCO_ISE.

Mengonfigurasi Cisco ISE

Login ke konsol Cisco ISE menggunakan kredensial administrator.
Di konsol Cisco ISE, pilih Administration > System > Logging > Remote logging targets.
Di jendela Remote logging targets, klik Add. Jendela New logging target akan muncul.

Di bagian Logging target, tentukan nilai untuk kolom berikut:

Kolom	Deskripsi
Nama	Nama penerusan Google Security Operations.
Deskripsi	Deskripsi penerusan Google Security Operations.
Jenis	Jenis target log jarak jauh, seperti syslog.
Alamat IP	Alamat IP penerusan Google Security Operations.
Jenis target	Pilih syslog TCP atau syslog UDP.
Port	Gunakan port tinggi, seperti 10514.
Kode fasilitas	Anda dapat menentukan salah satu nilai berikut: LOCAL0 (kode = 16) LOCAL1 (kode = 17) LOCAL2 (kode = 18) LOCAL3 (kode = 19) LOCAL4 (kode = 20) LOCAL5 (kode = 21) LOCAL6 (kode = 22; default) LOCAL7 (kode = 23)
Panjang maksimum	Nilai yang direkomendasikan adalah 1024.

Klik Kirim. Jendela Remote log targets akan muncul dengan konfigurasi forwarder Google Security Operations baru.
Di konsol Cisco ISE, pilih Administration > System > Logging > Logging categories.
Di jendela Logging categories, pilih kategori yang ingin Anda tetapkan target syslog jarak jauhnya, lalu tambahkan target syslog jarak jauh.

Berikut adalah contoh kategori: audit AAA, diagnostik AAA, audit akuntansi, administratif, dan operasional, audit penyediaan postur dan klien, diagnostik penyediaan postur dan klien, profiler, diagnostik sistem, dan statistik sistem.

Mengonfigurasi forwarder dan syslog Google Security Operations untuk menyerap log Cisco Secure ACS

Buka Setelan SIEM > Penerus.
Klik Tambahkan penerusan baru.
Di kolom Forwarder Name, masukkan nama unik untuk pengirim.
Klik Kirim. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
Di kolom Nama kolektor, ketik nama.
Pilih Cisco ISE sebagai Jenis log.
Pilih Syslog sebagai Jenis kolektor.
Konfigurasikan parameter input wajib berikut:
- Protocol: menentukan protokol.
- Address: menentukan alamat IP atau nama host target tempat kolektor berada dan alamat ke data syslog.
- Port: menentukan port target tempat kolektor berada dan memproses data syslog.
Klik Kirim.

Untuk informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis forwarder, lihat Konfigurasi forwarder menurut jenis. Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini mengekstrak log Cisco ISE dari pesan syslog, menormalisasi data ke dalam format UDM, dan memperkaya peristiwa dengan konteks tambahan. Fitur ini menangani berbagai kategori log ISE, termasuk keberhasilan dan kegagalan autentikasi, audit administratif, statistik sistem, dan lainnya, dengan memetakan kolom yang relevan ke skema UDM dan menambahkan label tertentu untuk analisis mendetail.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`Acct-Authentic`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Delay-Time`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Input-Octets`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Input-Packets`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Output-Octets`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Output-Packets`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Session-Id`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Session-Time`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Status-Type`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Terminate-Cause`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`AcsSessionID`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Acs SessionID".
`AD-Account-Name`	`principal.user.userid`	Dipetakan secara langsung.
`AD-Domain`	`principal.group.group_display_name`	Dipetakan secara langsung.
`AD-Domain-Controller`	`target.administrative_domain`	Dipetakan secara langsung.
`AD-Error-Details`	`sec_result.description`	Dipetakan secara langsung.
`AD-Host-Candidate-Identities`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`AD-IP-Address`	`target.ip`, `target.asset.ip`	Dipetakan secara langsung.
`AD-Log-Id`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "AD-Log-Id".
`AD-Operating-System`	`principal.asset.platform_software.platform_version`	Dipetakan langsung sebagai `ad_operating_system`. Jika berisi "Windows", `principal.platform` ditetapkan ke "WINDOWS".
`AD-Site`	`target.location.name`	Dipetakan secara langsung.
`AD-Srv-Query`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "AD-Srv-Query".
`AD-Srv-Record`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "AD-Srv-Record".
`AD-User-Resolved-Identities`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`AD-User-SamAccount-Name`	`principal.user.attribute.labels.value`	Dipetakan secara langsung.
`AdminIPAddress`	`principal.ip`, `principal.asset.ip`	Dipetakan secara langsung.
`AdminInterface`	`principal.user.attribute.labels.value`	Dipetakan langsung sebagai "Antarmuka Admin".
`AdminName`	`principal.user.userid`	Dipetakan secara langsung. `user.attribute.roles` dengan jenis "ADMINISTRATOR" juga ditambahkan.
`AuthenticationIdentityStore`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Authentication Identity Store".
`AuthenticationStatus`	`sec_result.action_details`	Dipetakan secara langsung. Jika nilai cocok dengan "AuthenticationPassed", `sec_result.action` ditetapkan ke "ALLOW", jika tidak, "BLOCK".
`AuthorizationPolicyMatchedRule`	`sec_result.rule_name`	Dipetakan dengan awalan "AuthorizationPolicyMatchedRule : ".
`BYODRegistration`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Called-Station-ID`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Calling-Station-ID`	`sec_result.detection_fields.value`, `principal.ip`, `principal.asset.ip`	Dipetakan secara langsung. Jika berupa alamat IP, juga dipetakan ke `principal.ip` dan `principal.asset.ip`.
`cdpCachePlatform`	`principal.asset.hardware.model`	Dipetakan secara langsung.
`Class`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`ClientLatency`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`CmdSet`	`target.process.command_line`	Dipetakan langsung setelah menghapus tanda kurung dan spasi di sekitarnya.
`ConfigVersionId`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "ID Versi Konfigurasi".
`ConnectionStatus`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Status Koneksi".
`CPMSessionID`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`CreateTime`	`principal.asset.attribute.creation_time`	Diurai sebagai stempel waktu UNIX_MS.
`DetailedInfo`	`sec_result.description`	Dipetakan langsung setelah menghapus garis miring terbalik.
`DestinationIPAddress`	`target.ip`, `target.asset.ip`	Dipetakan secara langsung. Menetapkan `has_target` ke "true".
`DestinationPort`	`target.port`	Dipetakan secara langsung jika numerik.
`Device IP Address`	`principal.ip`, `principal.asset.ip`, `_intermediary.ip`, `target.ip`, `target.asset.ip`	Dipetakan sebagai `DeviceIPAddress`. Digunakan dalam berbagai logika untuk mengisi `principal.ip`, `_intermediary.ip`, atau `target.ip`, bergantung pada kategori log dan kolom lainnya.
`Device Port`	`principal.port`, `_intermediary.port`, `target.port`	Dipetakan sebagai `DevicePort`. Digunakan dalam berbagai logika untuk mengisi `principal.port`, `_intermediary.port`, atau `target.port`, bergantung pada kategori log dan kolom lainnya.
`Device Type`	`principal.asset.hardware.model`	Dipetakan langsung sebagai `device-type`.
`DTLSSupport`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`EndPointMACAddress`	`principal.asset.mac`	Dipetakan langsung setelah dikonversi menjadi huruf kecil dan mengganti tanda hubung dengan titik dua.
`EndPointMatchedProfile`	`sec_result.about.labels.value`	Dipetakan secara langsung.
`EndpointCertainityMetric`	`sec_result.detection_fields.value`	Dipetakan secara langsung sebagai "Endpoint Certainity Metric".
`EndpointIdentityGroup`	`principal.group.group_display_name`	Dipetakan secara langsung.
`EndpointIPAddress`	`principal.asset.ip`	Dipetakan secara langsung.
`EndpointNADAddress`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Alamat NAD Endpoint".
`EndpointOUI`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "OUI Endpoint".
`EndpointPolicy`	`principal.asset.platform_software.platform_version`	Dipetakan secara langsung.
`EndpointProperty`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Properti Endpoint".
`EndpointSourceEvent`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`EndpointUserAgent`	`network.http.user_agent`	Dipetakan secara langsung.
`EndPointVersion`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`FailureReason`	`sec_result.detection_fields.value`, `sec_result.summary`, `sec_result.description`	Dipetakan sebagai `FailureReason`. Digunakan untuk mengisi `sec_result.detection_fields` sebagai "Alasan Kegagalan", `sec_result.summary`, atau `sec_result.description`, bergantung pada konteksnya.
`FirstCollection`	`principal.asset.first_discover_time`	Diurai sebagai stempel waktu UNIX_MS.
`Framed-IP-Address`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Framed-IPv6-Address`	`FramedIPAddress`	Dipetakan secara langsung.
`Framed-Protocol`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`IdentityGroup`	`principal.group.group_display_name`	Dipetakan secara langsung.
`IdentityGroupID`	`principal.group.product_object_id`	Dipetakan secara langsung.
`IdentityPolicyMatchedRule`	`sec_result.about.labels.value`	Dipetakan secara langsung.
`IdentitySelectionMatchedRule`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`IMEI`	`target.asset.product_object_id`	Dipetakan secara langsung.
`ISELocalAddress`	`_intermediary.ip`, `principal.ip`, `principal.asset.ip`, `_intermediary.port`, `principal.port`, `sec_result.detection_fields.value`	Jika di `CISE_Administrative_and_Operational_Audit`, IP dan port diekstrak dan dipetakan ke `_intermediary` dan `principal`. Jika tidak, dipetakan langsung sebagai "Alamat Lokal ISE" ke `sec_result.detection_fields`.
`ISEModuleName`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "ISE Module Name".
`ISEServiceName`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Nama Layanan ISE".
`IsThirdPartyDeviceFlow`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Issuer`	`about.labels.value`	Dipetakan secara langsung.
`LastActivity`	`principal.asset.last_discover_time`	Diurai sebagai stempel waktu UNIX_MS.
`LastNmapScanTime`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`lldpChassisId`	`target.mac`	Dipetakan langsung setelah mengurai sebagai alamat MAC.
`lldpSystemName`	`target.hostname`, `target.asset.hostname`	Dipetakan secara langsung.
`Location`	`principal.location.country_or_region`, `target.location.country_or_region`	Dipetakan langsung ke lokasi `principal` atau `target`, bergantung pada kategori log.
`Manufacturer`	`target.asset.hardware.manufacturer`	Dipetakan secara langsung.
`MessageCode`	`sec_result.detection_fields.value`, `metadata.event_type`	Dipetakan langsung sebagai `msg_code`. Digunakan dalam logika untuk menentukan `metadata.event_type`.
`Model`	`target.asset.hardware.model`	Dipetakan secara langsung.
`NAS-IP-Address`	`principal.nat_ip`	Dipetakan secara langsung.
`NAS-Identifier`	`principal.labels.value`	Dipetakan langsung sebagai `nas_identifier`.
`NAS-Port`	`principal.nat_port`, `sec_result.detection_fields.value`, `principal.labels.value`	Dipetakan sebagai `NASPort`. Jika numerik dan kurang dari 2147483648, dipetakan ke `principal.nat_port`. Jika tidak, dipetakan sebagai string ke `sec_result.detection_fields` sebagai "NAS Port" atau `principal.labels` sebagai "NAS-Port".
`NAS-Port-Id`	`principal.labels.value`, `sec_result.detection_fields.value`	Dipetakan sebagai `NASPortId`. Digunakan untuk mengisi `principal.labels` sebagai "nas_port_id" atau `sec_result.detection_fields` sebagai "nas_port_id".
`NAS-Port-Type`	`principal.labels.value`, `sec_result.detection_fields.value`	Dipetakan sebagai `NASPortType`. Digunakan untuk mengisi `principal.labels` sebagai "nas_port_type" atau `sec_result.detection_fields` sebagai "Nas-Port-Type".
`NetworkDeviceGroups`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`NetworkDeviceName`	`_intermediary.hostname`, `principal.hostname`, `principal.asset.hostname`, `target.hostname`, `target.asset.hostname`	Dipetakan sebagai `NetworkDeviceName`. Digunakan dalam berbagai logika untuk mengisi `_intermediary.hostname`, `principal.hostname`, atau `target.hostname`, bergantung pada kategori log dan kolom lainnya.
`NetworkDeviceProfileId`	`principal.asset.asset_id`	Dipetakan dengan awalan "Cisco_ISE:".
`NetworkDeviceProfileName`	`principal.asset.attribute.labels.value`	Dipetakan secara langsung.
`ObjectName`	`sec_result.about.labels.value`	Dipetakan secara langsung.
`ObjectType`	`sec_result.about.labels.value`	Dipetakan secara langsung.
`OperatingSystem`	`target.asset.platform_software.platform_version`, `principal.asset.platform_software.platform_version`, `principal.platform`	Dipetakan sebagai `OperatingSystem`. Digunakan untuk mengisi `target.asset.platform_software.platform_version` atau `principal.asset.platform_software.platform_version`. Jika berisi "Win", `principal.platform` ditetapkan ke "WINDOWS". Jika berisi "lin", `principal.platform` ditetapkan ke "LINUX". Jika berisi "iOS", `principal.platform` ditetapkan ke "MAC".
`OperationMessageText`	`sec_result.detection_fields.value`, `about.labels.value`, `sec_result.summary`	Dipetakan sebagai `OperationMessageText`. Digunakan untuk mengisi `sec_result.detection_fields` sebagai "Operation Message Text", `about.labels` sebagai "Operation Message Text", atau `sec_result.summary` bergantung pada konteksnya. Jika berisi detail koneksi, detail tersebut akan diekstrak dan dipetakan ke `src` dan `target`.
`OriginalUserName`	`principal.user.userid`	Dipetakan langsung sebagai `User`.
`PeerAddress`	`target.mac`	Dipetakan langsung setelah dikonversi menjadi huruf kecil dan mengganti tanda hubung dengan titik dua.
`PeerName`	`target.hostname`, `target.asset.hostname`	IP dan nama host diekstrak dan dipetakan ke `target.ip` dan `target.hostname`.
`PhoneID`	`principal.user.phone_numbers`	Dipetakan langsung sebagai `User-Fetch-Telephone`.
`PhoneNumber`	`principal.user.phone_numbers`	Dipetakan secara langsung.
`PolicyVersion`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Port`	`_intermediary.port`, `principal.port`, `target.port`	Dipetakan sebagai `Port`. Digunakan dalam berbagai logika untuk mengisi `_intermediary.port`, `principal.port`, atau `target.port`, bergantung pada kategori log dan kolom lainnya.
`PostureAssessmentStatus`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`PostureExpiry`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`PostureStatus`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Status Postur".
`ProfilerServer`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Protocol`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`r_cat_name`	`metadata.product_event_type`	Dipetakan secara langsung.
`r_ip_or_host`	`observer.ip`, `observer.hostname`, `principal.ip`, `principal.asset.ip`, `principal.hostname`, `principal.asset.hostname`, `target.ip`, `target.asset.ip`, `target.hostname`, `target.asset.hostname`	Jika IP, dipetakan ke `observer.ip`. Jika nama host, dipetakan ke `observer.hostname`. Juga digunakan dalam berbagai logika untuk mengisi IP/nama host `principal` atau `target`, bergantung pada kategori log dan kolom lainnya.
`r_msg_id`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Dipetakan langsung sebagai "r_msg_id". Juga digunakan sebagai `metadata.product_log_id` jika `sequence_num` tidak tersedia.
`r_seg_num`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Dipetakan langsung sebagai "r_seg_num". Juga digunakan sebagai `metadata.product_log_id` jika `sequence_num` tidak tersedia.
`r_total_seg`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`RadiusFlowType`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`RadiusPacketType`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Jenis Paket Radius".
`RegisterStatus`	`sec_result.rule_name`	Dipetakan secara langsung.
`RequestLatency`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Request Latency".
`SelectedAccessService`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Layanan Akses yang Dipilih".
`SelectedAuthorizationProfiles`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Serial Number`	`network.tls.server.certificate.serial`, `about.labels.value`	Dipetakan sebagai `serial_number`. Digunakan untuk mengisi `network.tls.server.certificate.serial` atau `about.labels` sebagai "Nomor Seri", bergantung pada konteksnya.
`Service-Type`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`SessionId`	`network.session_id`	Dipetakan secara langsung.
`ShutdownReason`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "ShutdownReason".
`SSID`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`StaticGroupAssignment`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Subject`	`about.labels.value`	Dipetakan secara langsung.
`Subject Alternative Name`	`about.labels.value`	Dipetakan langsung sebagai "Nama Alternatif Subjek".
`SysStatsCpuCount`	`target.asset.hardware.cpu_number_cores`	Dipetakan secara langsung.
`SysStatsProcessMemoryMB`	`target.asset.hardware.ram`	Dipetakan langsung sebagai `__hardware.ram`.
`SysStatsUtilizationNetwork`	`target.resource.name`, `network.sent_bytes`, `network.received_bytes`	Nama adaptor jaringan, byte yang dikirim, dan byte yang diterima diekstrak dan dipetakan. `target.resource.resource_type` ditetapkan ke "UNSPECIFIED".
`TimeToProfile`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Total Certainty Factor`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`TotalFailedTime`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Tunnel-Client-Endpoint`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Endpoint Klien Tunnel".
`UniqueConnectionIdentifier`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "ID Koneksi Unik".
`UpdateTime`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`User`	`principal.user.userid`	Dipetakan secara langsung.
`User-Fetch-Email`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`User-Fetch-Last-Name`	`principal.user.last_name`	Dipetakan secara langsung.
`User-Fetch-LocalityName`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`User-Fetch-StateOrProvinceName`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`User-Fetch-Telephone`	`principal.user.phone_numbers`	Dipetakan langsung sebagai `PhoneID`.
`UserName`	`principal.user.userid`	Dipetakan secara langsung. Jika tidak kosong, dan bukan "" atau "unknown", alamat akan dikonversi ke huruf kecil, tanda hubung akan diganti dengan titik dua, dan jika cocok dengan pola alamat MAC, alamat tersebut juga akan dipetakan ke `principal.mac`.
`User-Name`	`principal.user.userid`	Dipetakan secara langsung.
`UserType`	`principal.user.attribute.labels.value`	Dipetakan secara langsung.
(Logika Parser) `action`	`sec_result.action`	Tetapkan ke "ALLOW" jika `msg_text` berisi kata kunci sukses, "BLOCK" jika berisi kata kunci kegagalan, dan "UNKNOWN_ACTION" jika tidak.
(Logika Parser) `about.hostname`	`about.hostname`	Berasal dari `StepData=4` atau `stepdata`.
(Logika Parser) `event.idm.read_only_udm.about`	`event.idm.read_only_udm.about`	Diisi dengan berbagai kolom seperti `about.hostname`, `about.application`, dan `about.process.pid`.
(Logika Parser) `event.idm.read_only_udm.extensions.auth.mechanism`	`event.idm.read_only_udm.extensions.auth.mechanism`	Tetapkan ke "NETWORK" dalam kasus tertentu dalam kategori `CISE_TACACS_Diagnostics`.
(Logika Parser) `event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	Tetapkan ke "MACHINE" untuk berbagai peristiwa login/logout, "TACACS" untuk peristiwa TACACS tertentu, dan "AUTHTYPE_UNSPECIFIED" untuk peristiwa login lainnya.
(Logika Parser) `event.idm.read_only_udm.metadata.collected_timestamp`	`event.idm.read_only_udm.metadata.collected_timestamp`	Diurai dari `logstash.process.timestamp` jika tersedia.
(Logika Parser) `event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	Dibuat dari `msg_class` dan `msg_text` atau hanya `msg_text` jika `msg_class` tidak tersedia.
(Logika Parser) `event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Diurai dari kolom `datetime`, yang berasal dari `datetime` dan `timezone` atau `r_datetime`.
(Logika Parser) `event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	Ditentukan berdasarkan `r_cat_name`, `msg_code`, dan kolom lainnya. Dapat berupa GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED, NETWORK_FLOW.
(Logika Parser) `event.idm.read_only_udm.metadata.ingested_timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Diurai dari `logstash.ingest.timestamp` jika tersedia.
(Logika Parser) `event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	Tetapkan ke "CISCO_ISE".
(Logika Parser) `event.idm.read_only_udm.metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Berasal dari `r_cat_name`.
(Logika Parser) `event.idm.read_only_udm.metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Berasal dari `sequence_num`, `r_seg_num`, atau `r_msg_id`, bergantung pada ketersediaan.
(Logika Parser) `event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	Tetapkan ke "ISE", atau ke `MDMServerName` jika tersedia.
(Logika Parser) `event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Tetapkan ke "Cisco".
(Logika Parser) `event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Berasal dari `ac-user-agent` atau `EndpointUserAgent`.
(Logika Parser) `event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	Tetapkan ke "TCP" untuk jenis peristiwa tertentu.
(Logika Parser) `event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	Berasal dari `SessionId`.
(Logika Parser) `event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	Berasal dari `TLSCipher`.
(Logika Parser) `event.idm.read_only_udm.network.tls.server.certificate.serial`	`event.idm.read_only_udm.network.tls.server.certificate.serial`	Berasal dari `Serial Number`.
(Logika Parser) `event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	Berasal dari `TLSVersion`.
(Logika Parser) `event.idm.read_only_udm.principal.asset.asset_id`	`event.idm.read_only_udm.principal.asset.asset_id`	Berasal dari `NetworkDeviceProfileId` dengan awalan "Cisco_ISE:".
(Logika Parser) `event.idm.read_only_udm.principal.asset.hardware`	`event.idm.read_only_udm.principal.asset.hardware`	Diisi dengan kolom seperti `hardware.manufacturer` dan `hardware.model`.
(Logika Parser) `event.idm.read_only_udm.principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	Berasal dari berbagai kolom alamat IP, bergantung pada kategori log dan kolom lainnya.
(Logika Parser) `event.idm.read_only_udm.principal.asset.mac`	`event.idm.read_only_udm.principal.asset.mac`	Berasal dari kolom alamat MAC `EndpointMacAddress`, `parsed_endpoint_mac`, atau yang lainnya setelah pemformatan yang sesuai.
(Logika Parser) `event.idm.read_only_udm.principal.asset.platform_software.platform_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_version`	Berasal dari `OperatingSystem`, `EndpointPolicy`, atau `ad_operating_system`.
(Logika Parser) `event.idm.read_only_udm.principal.group.group_display_name`	`event.idm.read_only_udm.principal.group.group_display_name`	Berasal dari `AD-Domain`, `IdentityGroup`, atau `EndpointIdentityGroup`.
(Logika Parser) `event.idm.read_only_udm.principal.group.product_object_id`	`event.idm.read_only_udm.principal.group.product_object_id`	Berasal dari `IdentityGroupID`.
(Logika Parser) `event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	Berasal dari kolom `r_ip_or_host`, `NetworkDeviceName`, atau nama host lainnya, bergantung pada kategori log dan kolom lainnya.
(Logika Parser) `event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	Berasal dari berbagai kolom alamat IP, bergantung pada kategori log dan kolom lainnya.
(Logika Parser) `event.idm.read_only_udm.principal.labels`	`event.idm.read_only_udm.principal.labels`	Diisi dengan kolom seperti `nas_identifier`, `nas_port_type`, dan `nas_port_id`.
(Logika Parser) `event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	Berasal dari `Location`.
(Logika Parser) `event.idm.read_only_udm.principal.nat_ip`	`event.idm.read_only_udm.principal.nat_ip`	Berasal dari `NAS-IP-Address`.
(Logika Parser) `event.idm.read_only_udm.principal.nat_port`	`event.idm.read_only_udm.principal.nat_port`	Berasal dari `NAS-Port` jika numerik dan kurang dari 2147483648.
(Logika Parser) `event.idm.read_only_udm.principal.platform`	`event.idm.read_only_udm.principal.platform`	Berasal dari `device-platform` atau `OperatingSystem`. Dapat berupa WINDOWS, LINUX, MAC, atau UNKNOWN_PLATFORM.
(Logika Parser) `event.idm.read_only_udm.principal.platform_version`	`event.idm.read_only_udm.principal.platform_version`	Berasal dari `platform-version`.
(Logika Parser) `event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	Berasal dari `Device Port` atau `Port` jika numerik.
(Logika Parser) `event.idm.read_only_udm.principal.user.attribute.labels`	`event.idm.read_only_udm.principal.user.attribute.labels`	Diisi dengan kolom seperti "Admin Interface", "UserType", dan "Chargeable-User-Identity".
(Logika Parser) `event.idm.read_only_udm.principal.user.phone_numbers`	`event.idm.read_only_udm.principal.user.phone_numbers`	Berasal dari `PhoneID` atau `PhoneNumber`.
(Logika Parser) `event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	Berasal dari kolom `User`, `UserName`, `User-Name`, `AdminName`, `OriginalUserName`, atau nama pengguna lainnya, bergantung pada kategori log dan kolom lainnya.
(Logika Parser) `event.idm.read_only_udm.security_result.about.labels`	`event.idm.read_only_udm.security_result.about.labels`	Diisi dengan kolom seperti "IdentityPolicyMatchedRule", "EndPointMatchedProfile", "ObjectType", dan "ObjectName".
(Logika Parser) `event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	Berasal dari `msg_text` atau `AuthenticationStatus`. Dapat berupa ALLOW, BLOCK, atau UNKNOWN_ACTION.
(Logika Parser) `event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	Diisi dengan berbagai kolom bergantung pada kategori log dan kolom lainnya.
(Logika Parser) `event.idm.read_only_udm.security_result.description`	`event.idm.read_only_udm.security_result.description`	Berasal dari `AD-Error-Details` atau `DetailedInfo`.
(Logika Parser) `event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Berasal dari `AuthorizationPolicyMatchedRule` atau `RegisterStatus`.
(Logika Parser) `event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Berasal dari `msg_sev`. Dapat berupa CRITICAL, ERROR, HIGH, MEDIUM, atau INFORMATIONAL.
(Logika Parser) `event.idm.read_only_udm.security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	Berasal dari `msg_sev`.
(Logika Parser) `event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	Berasal dari `msg_text` atau `FailureReason`.
(Logika Parser) `event.idm.read_only_udm.src.ip`	`event.idm.read_only_udm.src.ip`	Berasal dari `source_ip` yang diekstrak dari `OperationMessageText`.
(Logika Parser) `event.idm.read_only_udm.src.port`	`event.idm.read_only_udm.src.port`	Berasal dari `source_port` yang diekstrak dari `OperationMessageText` jika numerik.
(Logika Parser) `event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	Berasal dari `AD-Domain-Controller`.
(Logika Parser) `event.idm.read_only_udm.target.asset.hardware`	`event.idm.read_only_udm.target.asset.hardware`	Diisi dengan kolom seperti `_hardware.cpu_number_cores`.
(Logika Parser) `event.idm.read_only_udm.target.asset.hostname`	`

Perubahan

2024-05-10

Memetakan "ExternalGroups" ke "additional.fields".

2024-05-09

Menambahkan pola Grok untuk mengurai format baru "CISE_Profiler".
Memetakan beberapa kolom untuk "CISE_Administrative_and_Operational_Audit" dan "CISE_Alarm".

2024-04-18

Memetakan "msg_sev" ke "security_result.severity_details".
Memetakan "r_total_seg", "r_seg_num", "msg_code", dan "r_msg_id" ke "security_result.detection_fields".
Memetakan "r_cat_name" ke "security_result.category_details".
Memetakan "msg_text" dan "msg_class" ke "metadata.description".
Pemetaan "target.ip" dan "target.asset.ip" yang diselaraskan.
Pemetaan "target.hostname" dan "target.asset.hostname" yang diselaraskan.
Menyelaraskan pemetaan "principal.ip" dan "principal.asset.ip".
Pemetaan "principal.hostname" dan "principal.asset.hostname" yang diselaraskan.
Menambahkan pola Grok untuk mengurai "msg_attrs".

2024-04-10

Perbaikan Bug:
Menambahkan pola Grok untuk mengurai format baru "PeerName".

2023-11-20

Menambahkan pola Grok baru untuk mengurai Syslog yang gagal.
Menambahkan "msg_code" "5412" untuk mengurai log yang memiliki "msg_code" yang sama.

2023-09-29

Menambahkan dukungan untuk pola log JSON baru.
Memetakan "EndpointSourceEvent", "NASIdentifier", "NAS-Port-Type", "NAS-Port-Id", "ProfilerServer" ke "security_result.detection_fields" untuk log 80002 dan 80006.
Mengubah pemetaan "Location" dari "principal.location" menjadi "target.location" untuk log 80002 dan 80006.
Menambahkan pemeriksaan on_error untuk mengganti dan menggabungkan fungsi.
Pemetaan tanggal yang diubah untuk mengurai tanggal dengan zona waktu "MEST" dan "MESZ".

2023-08-02

Peningkatan -
Menambahkan pemetaan KV untuk mengurai dan memetakan "cisco-av-pair=dhcp-option=host-name" ke "target.hostname".
Mengubah pemetaan "security_result.action" dari "FAIL" menjadi "BLOCK" saat "msg_text" berisi "failed|dropped|stop|rejected|down|abandoned|block|blocking|invalid".

2023-07-18

Peningkatan -
Memetakan "cisco-av-pair=dhcp-option=host-name" ke "target.hostname".
Mengubah pemetaan "Nama Pengguna" dari "target.user.userid" menjadi "principal.user.userid".
Mengubah pemetaan "UserName" dari "target.user.userid" menjadi "principal.user.userid".
Mengubah pemetaan "Pengguna" dari "target.user.userid" menjadi "principal.user.userid".
Mengubah pemetaan "PhoneNumber" dari "target.user.phone_numbers" menjadi "principal.user.phone_numbers".
Memetakan "FramedIPAddress" ke "security_result.detection_fields" untuk jenis peristiwa Profiler 80002, 80006.
Mengubah pemetaan tanggal untuk mengurai tanggal dengan zona waktu "EASTERN".
Menambahkan pola Grok agar cocok dengan "PeerAddress".

2023-06-07

Enhancement-
Menambahkan pola Grok untuk mengurai pola log baru.

2023-05-26

Enhancement-
Mengubah pemetaan tanggal untuk mengurai tanggal dengan zona waktu 'BJ'.

2023-04-18

Enhancement-
Menambahkan blok 'json' untuk menangani log JSON.
Memetakan "logstash.irm_region" ke "additional.fields".
Memetakan "logstash.irm_environment" ke "additional.fields".
Memetakan "logstash.irm_site" ke "additional.fields".
Memetakan "logstash.ingest.timestamp" ke "metadata.ingested_timestamp".
Memetakan "logstash.process.timestamp" ke "metadata.collected_timestamp".

2023-03-01

Enhancement-
Setiap kali 'Calling-Station-ID' adalah alamat IP, petakan ke 'principal.ip'.
Menambahkan kondisi ekspresi reguler untuk memvalidasi alamat MAC untuk kolom 'device-mac' sebelum memetakan ke 'principal.mac'.

2022-12-08

Enhancement-
Memetakan 'assetDeviceType' ke 'principal.resource.name'.
Memetakan 'assetIncidentScore' ke 'security_result.detection_fields'.
Memetakan 'PostureAssessmentStatus' ke 'security_result.detection_fields'.
Memetakan 'PolicyVersion' ke 'security_result.detection_fields'.
Memetakan 'EndPointVersion' ke 'security_result.detection_fields'.
Memetakan 'EndPointPolicyID' ke 'security_result.detection_fields'.

2022-10-13

Peningkatan- Memperbaiki pemetaan tanggal untuk format tanggal SYSLOGTIMESTAMP.

2022-08-10

Peningkatan- Pemetaan yang diubah untuk kolom berikut dari 'additional.fields' menjadi 'security_result.detection_fields'.
'CPMSessionID', 'NASPort', 'AD-Log-Id', 'AD-Srv-Query', 'AD-Srv-Record', 'Tunnel-Client-Endpoint', 'IsThirdPartyDeviceFlow', 'PostureStatus', 'OperationMessageText', 'AcsSessionID', 'SelectedAccessService', 'RadiusPacketType', 'ISELocalAddress', 'ISEModuleName', 'ISEServiceName', 'ConnectionStatus', 'UniqueConnectionIdentifier', 'Audit_session_id', 'EndpointCertainityMetric', 'EndpointNADAddress', 'EndpointOUI', 'EndpointProperty', 'AuthenticationIdentityStore', 'AD-Host-Candidate-Identities', 'PostureExpiry', 'allowEasyWiredSession', 'ConfigVersionId', 'RequestLatency', 'Service-Type', 'Framed-Protocol', 'Class', 'Called-Station-ID', 'Calling-Station-ID', 'Acct-Status-Type', 'Acct-Delay-Time', 'Acct-Input-Octets', 'Acct-Output-Octets', 'Acct-Session-Id', 'Acct-Authentic', 'Acct-Session-Time', 'Acct-Input-Packets', 'Acct-Output-Packets', 'Acct-Terminate-Cause', 'Protocol'.

2022-08-12

Perbaikan bug -
Pemetaan yang diubah untuk kolom 'prinicipal.asset.hostname' menjadi 'intermediary.hostname'.
Mengubah event_type dari GENERIC_EVENT menjadi STATUS_UPDATE atau NETWORK_CONNECTION.

2022-07-11

Perbaikan bug - Memetakan NetworkDeviceName ke "event.idm.read_only_udm.principal.hostname" dengan Product_event_type adalah 5440 RADIUS.
Memetakan r_ip_or_host ke observer.ip atau observer.hostname.
Menghapus log yang salah format/encoding.

2022-05-02

Perbaikan bug - Memperbaiki pemetaan untuk 'security_result.action' dari 'ALLOW' menjadi 'FAIL' dengan log_type 'CISE_Failed_Attempts'.

2022-04-21

Peningkatan-Menguraikan log dengan log_type='CISE_Profiler'
Untuk log_type='CISE_TACACS_Accounting, event_type diubah dari 'GENERIC_EVENT' menjadi 'USER_UNCATEGORIZED'
Menambahkan kondisi yang tepat untuk kolom 'NASPort' dan kolom 'Port'.

18-04-2022

Memetakan 'foreign_ip' ke 'intermediary.ip'
Mengurai log dengan log_type='CISE_TACACS_Accounting' dan 'CISE_RADIUS_Accounting'
Untuk log_type='CISE_TACACS_Accounting, event_type diubah dari 'GENERIC_EVENT' menjadi 'USER_UNCATEGORIZED'
Menambahkan kondisi yang tepat untuk kolom 'NASPort'.

13-04-2022

NAS-Port-Id yang dipetakan dalam peristiwa: 5200.
Nama host yang dipetakan dalam peristiwa: 60188, 60125, 60116, 60115, 60081, 60080, 51021, 51020, 51003, 51002, 51001, 51000, 52000, 52001, 52002.
Teks Pesan Operasi yang dipetakan di about.labels dalam peristiwa: 52000.
Nomor Seri yang Dipetakan di additional_fields dalam peristiwa: 5200.