Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Cisco ISE

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log Cisco Identity Services Engine (ISE) menggunakan penerus Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan CISCO_ISE.

Mengonfigurasi Cisco ISE

Login ke konsol Cisco ISE menggunakan kredensial administrator.
Di konsol Cisco ISE, pilih Administration > System > Logging > Remote logging targets.
Di jendela Remote logging targets, klik Add. Jendela New logging target akan muncul.

Di bagian Target logging, tentukan nilai untuk kolom berikut:

Kolom	Deskripsi
Nama	Nama penerusan Google Security Operations.
Deskripsi	Deskripsi penerusan Google Security Operations.
Jenis	Jenis target log jarak jauh, seperti syslog.
Alamat IP	Alamat IP penerusan Google Security Operations.
Jenis target	Pilih syslog TCP atau syslog UDP.
Port	Gunakan port tinggi, seperti 10514.
Kode fasilitas	Anda dapat menentukan salah satu nilai berikut: LOCAL0 (kode = 16) LOCAL1 (kode = 17) LOCAL2 (kode = 18) LOCAL3 (kode = 19) LOCAL4 (kode = 20) LOCAL5 (kode = 21) LOCAL6 (kode = 22; default) LOCAL7 (kode = 23)
Panjang maksimum	Nilai yang direkomendasikan adalah 1024.

Klik Kirim. Jendela Target log jarak jauh akan muncul dengan konfigurasi penerusan Google Security Operations yang baru.
Di konsol Cisco ISE, pilih Administration > System > Logging > Logging categories.
Di jendela Logging categories, pilih kategori yang ingin Anda tetapkan target syslog jarak jauhnya dan tambahkan target syslog jarak jauh.

Berikut adalah contoh kategori: Audit AAA, diagnostik AAA, akuntansi, audit operasional dan administratif, audit penyediaan klien dan postur, diagnostik penyediaan klien dan postur, profiler, diagnostik sistem, dan statistik sistem.

Mengonfigurasi penerusan dan syslog Google Security Operations untuk menyerap log Cisco Secure ACS

Buka Setelan SIEM > Pengirim.
Klik Tambahkan penerusan baru.
Di kolom Forwarder Name, masukkan nama unik untuk penerusan.
Klik Kirim. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
Di kolom Nama pengumpul, ketik nama.
Pilih Cisco ISE sebagai Log type.
Pilih Syslog sebagai Collector type.
Konfigurasikan parameter input wajib berikut:
- Protocol: tentukan protokol.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan alamat ke data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
Klik Kirim.

Untuk mengetahui informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis penerusan, lihat Konfigurasi penerusan menurut jenis. Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Operasi Keamanan Google.

Referensi pemetaan kolom

Parser ini mengekstrak log Cisco ISE dari pesan syslog, menormalisasi data ke dalam format UDM, dan memperkaya peristiwa dengan konteks tambahan. Proses ini menangani berbagai kategori log ISE, termasuk keberhasilan dan kegagalan autentikasi, audit administratif, statistik sistem, dan lainnya, memetakan kolom yang relevan ke skema UDM, dan menambahkan label tertentu untuk analisis mendetail.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`Acct-Authentic`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Delay-Time`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Input-Octets`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Input-Packets`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Output-Octets`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Output-Packets`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Session-Id`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Session-Time`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Status-Type`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Acct-Terminate-Cause`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`AcsSessionID`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Acs SessionID".
`AD-Account-Name`	`principal.user.userid`	Dipetakan secara langsung.
`AD-Domain`	`principal.group.group_display_name`	Dipetakan secara langsung.
`AD-Domain-Controller`	`target.administrative_domain`	Dipetakan secara langsung.
`AD-Error-Details`	`sec_result.description`	Dipetakan secara langsung.
`AD-Host-Candidate-Identities`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`AD-IP-Address`	`target.ip`, `target.asset.ip`	Dipetakan secara langsung.
`AD-Log-Id`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "AD-Log-Id".
`AD-Operating-System`	`principal.asset.platform_software.platform_version`	Dipetakan langsung sebagai `ad_operating_system`. Jika berisi "Windows", `principal.platform` ditetapkan ke "WINDOWS".
`AD-Site`	`target.location.name`	Dipetakan secara langsung.
`AD-Srv-Query`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "AD-Srv-Query".
`AD-Srv-Record`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "AD-Srv-Record".
`AD-User-Resolved-Identities`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`AD-User-SamAccount-Name`	`principal.user.attribute.labels.value`	Dipetakan secara langsung.
`AdminIPAddress`	`principal.ip`, `principal.asset.ip`	Dipetakan secara langsung.
`AdminInterface`	`principal.user.attribute.labels.value`	Dipetakan langsung sebagai "Admin Interface".
`AdminName`	`principal.user.userid`	Dipetakan secara langsung. `user.attribute.roles` dengan jenis "ADMINISTRATOR" juga ditambahkan.
`AuthenticationIdentityStore`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Authentication Identity Store".
`AuthenticationStatus`	`sec_result.action_details`	Dipetakan secara langsung. Jika nilai cocok dengan "AuthenticationPassed", `sec_result.action` ditetapkan ke "ALLOW", jika tidak, "BLOCK".
`AuthorizationPolicyMatchedRule`	`sec_result.rule_name`	Dipetakan dengan awalan "AuthorizationPolicyMatchedRule : ".
`BYODRegistration`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Called-Station-ID`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Calling-Station-ID`	`sec_result.detection_fields.value`, `principal.ip`, `principal.asset.ip`	Dipetakan secara langsung. Jika berupa alamat IP, juga dipetakan ke `principal.ip` dan `principal.asset.ip`.
`cdpCachePlatform`	`principal.asset.hardware.model`	Dipetakan secara langsung.
`Class`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`ClientLatency`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`CmdSet`	`target.process.command_line`	Dipetakan secara langsung setelah menghapus tanda kurung dan spasi di sekitarnya.
`ConfigVersionId`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Config Version Id".
`ConnectionStatus`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Status Koneksi".
`CPMSessionID`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`CreateTime`	`principal.asset.attribute.creation_time`	Diuraikan sebagai stempel waktu UNIX_MS.
`DetailedInfo`	`sec_result.description`	Dipetakan secara langsung setelah menghapus garis miring terbalik.
`DestinationIPAddress`	`target.ip`, `target.asset.ip`	Dipetakan secara langsung. Menetapkan `has_target` ke "true".
`DestinationPort`	`target.port`	Dipetakan secara langsung jika berupa angka.
`Device IP Address`	`principal.ip`, `principal.asset.ip`, `_intermediary.ip`, `target.ip`, `target.asset.ip`	Dipetakan sebagai `DeviceIPAddress`. Digunakan dalam berbagai logika untuk mengisi `principal.ip`, `_intermediary.ip`, atau `target.ip`, bergantung pada kategori log dan kolom lainnya.
`Device Port`	`principal.port`, `_intermediary.port`, `target.port`	Dipetakan sebagai `DevicePort`. Digunakan dalam berbagai logika untuk mengisi `principal.port`, `_intermediary.port`, atau `target.port`, bergantung pada kategori log dan kolom lainnya.
`Device Type`	`principal.asset.hardware.model`	Dipetakan langsung sebagai `device-type`.
`DTLSSupport`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`EndPointMACAddress`	`principal.asset.mac`	Dipetakan secara langsung setelah dikonversi menjadi huruf kecil dan mengganti tanda hubung dengan titik dua.
`EndPointMatchedProfile`	`sec_result.about.labels.value`	Dipetakan secara langsung.
`EndpointCertainityMetric`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Endpoint Certainty Metric".
`EndpointIdentityGroup`	`principal.group.group_display_name`	Dipetakan secara langsung.
`EndpointIPAddress`	`principal.asset.ip`	Dipetakan secara langsung.
`EndpointNADAddress`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Endpoint NAD Address".
`EndpointOUI`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Endpoint OUI".
`EndpointPolicy`	`principal.asset.platform_software.platform_version`	Dipetakan secara langsung.
`EndpointProperty`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Properti Endpoint".
`EndpointSourceEvent`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`EndpointUserAgent`	`network.http.user_agent`	Dipetakan secara langsung.
`EndPointVersion`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`FailureReason`	`sec_result.detection_fields.value`, `sec_result.summary`, `sec_result.description`	Dipetakan sebagai `FailureReason`. Digunakan untuk mengisi `sec_result.detection_fields` sebagai "Alasan Kegagalan", `sec_result.summary`, atau `sec_result.description`, bergantung pada konteksnya.
`FirstCollection`	`principal.asset.first_discover_time`	Diuraikan sebagai stempel waktu UNIX_MS.
`Framed-IP-Address`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Framed-IPv6-Address`	`FramedIPAddress`	Dipetakan secara langsung.
`Framed-Protocol`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`IdentityGroup`	`principal.group.group_display_name`	Dipetakan secara langsung.
`IdentityGroupID`	`principal.group.product_object_id`	Dipetakan secara langsung.
`IdentityPolicyMatchedRule`	`sec_result.about.labels.value`	Dipetakan secara langsung.
`IdentitySelectionMatchedRule`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`IMEI`	`target.asset.product_object_id`	Dipetakan secara langsung.
`ISELocalAddress`	`_intermediary.ip`, `principal.ip`, `principal.asset.ip`, `_intermediary.port`, `principal.port`, `sec_result.detection_fields.value`	Jika dalam `CISE_Administrative_and_Operational_Audit`, IP dan port diekstrak dan dipetakan ke `_intermediary` dan `principal`. Jika tidak, dipetakan langsung sebagai "ISE Local Address" ke `sec_result.detection_fields`.
`ISEModuleName`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "ISE Module Name".
`ISEServiceName`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "ISE Service Name".
`IsThirdPartyDeviceFlow`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Issuer`	`about.labels.value`	Dipetakan secara langsung.
`LastActivity`	`principal.asset.last_discover_time`	Diuraikan sebagai stempel waktu UNIX_MS.
`LastNmapScanTime`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`lldpChassisId`	`target.mac`	Dipetakan secara langsung setelah diuraikan sebagai alamat MAC.
`lldpSystemName`	`target.hostname`, `target.asset.hostname`	Dipetakan secara langsung.
`Location`	`principal.location.country_or_region`, `target.location.country_or_region`	Dipetakan langsung ke lokasi `principal` atau `target`, bergantung pada kategori log.
`Manufacturer`	`target.asset.hardware.manufacturer`	Dipetakan secara langsung.
`MessageCode`	`sec_result.detection_fields.value`, `metadata.event_type`	Dipetakan langsung sebagai `msg_code`. Digunakan dalam logika untuk menentukan `metadata.event_type`.
`Model`	`target.asset.hardware.model`	Dipetakan secara langsung.
`NAS-IP-Address`	`principal.nat_ip`	Dipetakan secara langsung.
`NAS-Identifier`	`principal.labels.value`	Dipetakan langsung sebagai `nas_identifier`.
`NAS-Port`	`principal.nat_port`, `sec_result.detection_fields.value`, `principal.labels.value`	Dipetakan sebagai `NASPort`. Jika numerik dan kurang dari 2147483648, dipetakan ke `principal.nat_port`. Jika tidak, dipetakan sebagai string ke `sec_result.detection_fields` sebagai "NAS Port" atau `principal.labels` sebagai "NAS-Port".
`NAS-Port-Id`	`principal.labels.value`, `sec_result.detection_fields.value`	Dipetakan sebagai `NASPortId`. Digunakan untuk mengisi `principal.labels` sebagai "nas_port_id" atau `sec_result.detection_fields` sebagai "nas_port_id".
`NAS-Port-Type`	`principal.labels.value`, `sec_result.detection_fields.value`	Dipetakan sebagai `NASPortType`. Digunakan untuk mengisi `principal.labels` sebagai "nas_port_type" atau `sec_result.detection_fields` sebagai "Nas-Port-Type".
`NetworkDeviceGroups`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`NetworkDeviceName`	`_intermediary.hostname`, `principal.hostname`, `principal.asset.hostname`, `target.hostname`, `target.asset.hostname`	Dipetakan sebagai `NetworkDeviceName`. Digunakan dalam berbagai logika untuk mengisi `_intermediary.hostname`, `principal.hostname`, atau `target.hostname`, bergantung pada kategori log dan kolom lainnya.
`NetworkDeviceProfileId`	`principal.asset.asset_id`	Dipetakan dengan awalan "Cisco_ISE:".
`NetworkDeviceProfileName`	`principal.asset.attribute.labels.value`	Dipetakan secara langsung.
`ObjectName`	`sec_result.about.labels.value`	Dipetakan secara langsung.
`ObjectType`	`sec_result.about.labels.value`	Dipetakan secara langsung.
`OperatingSystem`	`target.asset.platform_software.platform_version`, `principal.asset.platform_software.platform_version`, `principal.platform`	Dipetakan sebagai `OperatingSystem`. Digunakan untuk mengisi `target.asset.platform_software.platform_version` atau `principal.asset.platform_software.platform_version`. Jika berisi "Win", `principal.platform` ditetapkan ke "WINDOWS". Jika berisi "lin", `principal.platform` ditetapkan ke "LINUX". Jika berisi "iOS", `principal.platform` ditetapkan ke "MAC".
`OperationMessageText`	`sec_result.detection_fields.value`, `about.labels.value`, `sec_result.summary`	Dipetakan sebagai `OperationMessageText`. Digunakan untuk mengisi `sec_result.detection_fields` sebagai "Teks Pesan Operasi", `about.labels` sebagai "Teks Pesan Operasi", atau `sec_result.summary`, bergantung pada konteksnya. Jika berisi detail koneksi, detail tersebut akan diekstrak dan dipetakan ke `src` dan `target`.
`OriginalUserName`	`principal.user.userid`	Dipetakan langsung sebagai `User`.
`PeerAddress`	`target.mac`	Dipetakan secara langsung setelah dikonversi menjadi huruf kecil dan mengganti tanda hubung dengan titik dua.
`PeerName`	`target.hostname`, `target.asset.hostname`	IP dan nama host diekstrak dan dipetakan ke `target.ip` dan `target.hostname`.
`PhoneID`	`principal.user.phone_numbers`	Dipetakan langsung sebagai `User-Fetch-Telephone`.
`PhoneNumber`	`principal.user.phone_numbers`	Dipetakan secara langsung.
`PolicyVersion`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Port`	`_intermediary.port`, `principal.port`, `target.port`	Dipetakan sebagai `Port`. Digunakan dalam berbagai logika untuk mengisi `_intermediary.port`, `principal.port`, atau `target.port`, bergantung pada kategori log dan kolom lainnya.
`PostureAssessmentStatus`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`PostureExpiry`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`PostureStatus`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Status Postur".
`ProfilerServer`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Protocol`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`r_cat_name`	`metadata.product_event_type`	Dipetakan secara langsung.
`r_ip_or_host`	`observer.ip`, `observer.hostname`, `principal.ip`, `principal.asset.ip`, `principal.hostname`, `principal.asset.hostname`, `target.ip`, `target.asset.ip`, `target.hostname`, `target.asset.hostname`	Jika IP, dipetakan ke `observer.ip`. Jika nama host, dipetakan ke `observer.hostname`. Juga digunakan dalam berbagai logika untuk mengisi IP/nama host `principal` atau `target`, bergantung pada kategori log dan kolom lainnya.
`r_msg_id`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Dipetakan langsung sebagai "r_msg_id". Juga digunakan sebagai `metadata.product_log_id` jika `sequence_num` tidak tersedia.
`r_seg_num`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Dipetakan langsung sebagai "r_seg_num". Juga digunakan sebagai `metadata.product_log_id` jika `sequence_num` tidak tersedia.
`r_total_seg`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`RadiusFlowType`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`RadiusPacketType`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Radius Packet Type".
`RegisterStatus`	`sec_result.rule_name`	Dipetakan secara langsung.
`RequestLatency`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Latensi Permintaan".
`SelectedAccessService`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Layanan Akses yang Dipilih".
`SelectedAuthorizationProfiles`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Serial Number`	`network.tls.server.certificate.serial`, `about.labels.value`	Dipetakan sebagai `serial_number`. Digunakan untuk mengisi `network.tls.server.certificate.serial` atau `about.labels` sebagai "Nomor Seri" bergantung pada konteksnya.
`Service-Type`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`SessionId`	`network.session_id`	Dipetakan secara langsung.
`ShutdownReason`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "ShutdownReason".
`SSID`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`StaticGroupAssignment`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Subject`	`about.labels.value`	Dipetakan secara langsung.
`Subject Alternative Name`	`about.labels.value`	Dipetakan langsung sebagai "Nama Alternatif Subjek".
`SysStatsCpuCount`	`target.asset.hardware.cpu_number_cores`	Dipetakan secara langsung.
`SysStatsProcessMemoryMB`	`target.asset.hardware.ram`	Dipetakan langsung sebagai `__hardware.ram`.
`SysStatsUtilizationNetwork`	`target.resource.name`, `network.sent_bytes`, `network.received_bytes`	Nama adaptor jaringan, byte yang dikirim, dan byte yang diterima diekstrak dan dipetakan. `target.resource.resource_type` ditetapkan ke "UNSPECIFIED".
`TimeToProfile`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Total Certainty Factor`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`TotalFailedTime`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`Tunnel-Client-Endpoint`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "Tunnel Client Endpoint".
`UniqueConnectionIdentifier`	`sec_result.detection_fields.value`	Dipetakan langsung sebagai "ID Koneksi Unik".
`UpdateTime`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`User`	`principal.user.userid`	Dipetakan secara langsung.
`User-Fetch-Email`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`User-Fetch-Last-Name`	`principal.user.last_name`	Dipetakan secara langsung.
`User-Fetch-LocalityName`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`User-Fetch-StateOrProvinceName`	`sec_result.detection_fields.value`	Dipetakan secara langsung.
`User-Fetch-Telephone`	`principal.user.phone_numbers`	Dipetakan langsung sebagai `PhoneID`.
`UserName`	`principal.user.userid`	Dipetakan secara langsung. Jika tidak kosong, dan bukan "" atau "unknown", string akan dikonversi menjadi huruf kecil, tanda hubung diganti dengan titik dua, dan jika cocok dengan pola alamat MAC, string juga dipetakan ke `principal.mac`.
`User-Name`	`principal.user.userid`	Dipetakan secara langsung.
`UserType`	`principal.user.attribute.labels.value`	Dipetakan secara langsung.
(Parser Logic) `action`	`sec_result.action`	Ditetapkan ke "ALLOW" jika `msg_text` berisi kata kunci keberhasilan, "BLOCK" jika berisi kata kunci kegagalan, dan "UNKNOWN_ACTION" jika tidak.
(Parser Logic) `about.hostname`	`about.hostname`	Berasal dari `StepData=4` atau `stepdata`.
(Parser Logic) `event.idm.read_only_udm.about`	`event.idm.read_only_udm.about`	Diisi dengan berbagai kolom seperti `about.hostname`, `about.application`, dan `about.process.pid`.
(Parser Logic) `event.idm.read_only_udm.extensions.auth.mechanism`	`event.idm.read_only_udm.extensions.auth.mechanism`	Ditetapkan ke "NETWORK" dalam kasus tertentu dalam kategori `CISE_TACACS_Diagnostics`.
(Parser Logic) `event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	Disetel ke "MACHINE" untuk berbagai peristiwa login/logout, "TACACS" untuk peristiwa TACACS tertentu, dan "AUTHTYPE_UNSPECIFIED" untuk peristiwa login lainnya.
(Parser Logic) `event.idm.read_only_udm.metadata.collected_timestamp`	`event.idm.read_only_udm.metadata.collected_timestamp`	Diuraikan dari `logstash.process.timestamp` jika tersedia.
(Parser Logic) `event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	Dibuat dari `msg_class` dan `msg_text` atau hanya `msg_text` jika `msg_class` tidak tersedia.
(Parser Logic) `event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Diuraikan dari kolom `datetime`, yang berasal dari `datetime` dan `timezone` atau `r_datetime`.
(Parser Logic) `event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	Ditentukan berdasarkan `r_cat_name`, `msg_code`, dan kolom lainnya. Dapat berupa GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED, NETWORK_FLOW.
(Parser Logic) `event.idm.read_only_udm.metadata.ingested_timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Diuraikan dari `logstash.ingest.timestamp` jika tersedia.
(Parser Logic) `event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	Tetapkan ke "CISCO_ISE".
(Parser Logic) `event.idm.read_only_udm.metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Diperoleh dari `r_cat_name`.
(Parser Logic) `event.idm.read_only_udm.metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Diperoleh dari `sequence_num`, `r_seg_num`, atau `r_msg_id`, bergantung pada ketersediaan.
(Parser Logic) `event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	Setel ke "ISE", atau ke `MDMServerName` jika tersedia.
(Parser Logic) `event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Setel ke "Cisco".
(Parser Logic) `event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Berasal dari `ac-user-agent` atau `EndpointUserAgent`.
(Parser Logic) `event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	Setel ke "TCP" untuk jenis peristiwa tertentu.
(Parser Logic) `event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	Diperoleh dari `SessionId`.
(Parser Logic) `event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	Diperoleh dari `TLSCipher`.
(Parser Logic) `event.idm.read_only_udm.network.tls.server.certificate.serial`	`event.idm.read_only_udm.network.tls.server.certificate.serial`	Diperoleh dari `Serial Number`.
(Parser Logic) `event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	Diperoleh dari `TLSVersion`.
(Parser Logic) `event.idm.read_only_udm.principal.asset.asset_id`	`event.idm.read_only_udm.principal.asset.asset_id`	Diperoleh dari `NetworkDeviceProfileId` dengan awalan "Cisco_ISE:".
(Parser Logic) `event.idm.read_only_udm.principal.asset.hardware`	`event.idm.read_only_udm.principal.asset.hardware`	Diisi dengan kolom seperti `hardware.manufacturer` dan `hardware.model`.
(Parser Logic) `event.idm.read_only_udm.principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	Diperoleh dari berbagai kolom alamat IP, bergantung pada kategori log dan kolom lainnya.
(Parser Logic) `event.idm.read_only_udm.principal.asset.mac`	`event.idm.read_only_udm.principal.asset.mac`	Diperoleh dari `EndpointMacAddress`, `parsed_endpoint_mac`, atau kolom alamat MAC lainnya setelah diformat dengan tepat.
(Parser Logic) `event.idm.read_only_udm.principal.asset.platform_software.platform_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_version`	Berasal dari `OperatingSystem`, `EndpointPolicy`, atau `ad_operating_system`.
(Parser Logic) `event.idm.read_only_udm.principal.group.group_display_name`	`event.idm.read_only_udm.principal.group.group_display_name`	Berasal dari `AD-Domain`, `IdentityGroup`, atau `EndpointIdentityGroup`.
(Parser Logic) `event.idm.read_only_udm.principal.group.product_object_id`	`event.idm.read_only_udm.principal.group.product_object_id`	Diperoleh dari `IdentityGroupID`.
(Parser Logic) `event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	Diperoleh dari `r_ip_or_host`, `NetworkDeviceName`, atau kolom nama host lainnya, bergantung pada kategori log dan kolom lainnya.
(Parser Logic) `event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	Diperoleh dari berbagai kolom alamat IP, bergantung pada kategori log dan kolom lainnya.
(Parser Logic) `event.idm.read_only_udm.principal.labels`	`event.idm.read_only_udm.principal.labels`	Diisi dengan kolom seperti `nas_identifier`, `nas_port_type`, dan `nas_port_id`.
(Parser Logic) `event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	Diperoleh dari `Location`.
(Parser Logic) `event.idm.read_only_udm.principal.nat_ip`	`event.idm.read_only_udm.principal.nat_ip`	Diperoleh dari `NAS-IP-Address`.
(Parser Logic) `event.idm.read_only_udm.principal.nat_port`	`event.idm.read_only_udm.principal.nat_port`	Diperoleh dari `NAS-Port` jika berupa angka dan kurang dari 2147483648.
(Parser Logic) `event.idm.read_only_udm.principal.platform`	`event.idm.read_only_udm.principal.platform`	Berasal dari `device-platform` atau `OperatingSystem`. Dapat berupa WINDOWS, LINUX, MAC, atau UNKNOWN_PLATFORM.
(Parser Logic) `event.idm.read_only_udm.principal.platform_version`	`event.idm.read_only_udm.principal.platform_version`	Diperoleh dari `platform-version`.
(Parser Logic) `event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	Diperoleh dari `Device Port` atau `Port` jika berupa angka.
(Parser Logic) `event.idm.read_only_udm.principal.user.attribute.labels`	`event.idm.read_only_udm.principal.user.attribute.labels`	Diisi dengan kolom seperti "Admin Interface", "UserType", dan "Chargeable-User-Identity".
(Parser Logic) `event.idm.read_only_udm.principal.user.phone_numbers`	`event.idm.read_only_udm.principal.user.phone_numbers`	Berasal dari `PhoneID` atau `PhoneNumber`.
(Parser Logic) `event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	Diperoleh dari kolom `User`, `UserName`, `User-Name`, `AdminName`, `OriginalUserName`, atau kolom nama pengguna lainnya, bergantung pada kategori log dan kolom lainnya.
(Parser Logic) `event.idm.read_only_udm.security_result.about.labels`	`event.idm.read_only_udm.security_result.about.labels`	Diisi dengan kolom seperti "IdentityPolicyMatchedRule", "EndPointMatchedProfile", "ObjectType", dan "ObjectName".
(Parser Logic) `event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	Berasal dari `msg_text` atau `AuthenticationStatus`. Dapat berupa ALLOW, BLOCK, atau UNKNOWN_ACTION.
(Parser Logic) `event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	Diisi dengan berbagai kolom, bergantung pada kategori log dan kolom lainnya.
(Parser Logic) `event.idm.read_only_udm.security_result.description`	`event.idm.read_only_udm.security_result.description`	Berasal dari `AD-Error-Details` atau `DetailedInfo`.
(Parser Logic) `event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Berasal dari `AuthorizationPolicyMatchedRule` atau `RegisterStatus`.
(Parser Logic) `event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Diperoleh dari `msg_sev`. Dapat berupa CRITICAL, ERROR, HIGH, MEDIUM, atau INFORMATIONAL.
(Parser Logic) `event.idm.read_only_udm.security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	Diperoleh dari `msg_sev`.
(Parser Logic) `event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	Berasal dari `msg_text` atau `FailureReason`.
(Parser Logic) `event.idm.read_only_udm.src.ip`	`event.idm.read_only_udm.src.ip`	Diperoleh dari `source_ip` yang diekstrak dari `OperationMessageText`.
(Parser Logic) `event.idm.read_only_udm.src.port`	`event.idm.read_only_udm.src.port`	Diperoleh dari `source_port` yang diekstrak dari `OperationMessageText` jika berupa numerik.
(Parser Logic) `event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	Diperoleh dari `AD-Domain-Controller`.
(Parser Logic) `event.idm.read_only_udm.target.asset.hardware`	`event.idm.read_only_udm.target.asset.hardware`	Diisi dengan kolom seperti `_hardware.cpu_number_cores`.
(Parser Logic) `event.idm.read_only_udm.target.asset.hostname`	`

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.