Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Cisco ISE

Supportato in:

Google secops SIEM

Questo documento descrive come raccogliere i log di Cisco Identity Services Engine (ISE) utilizzando un forwarder di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione CISCO_ISE.

Configura Cisco ISE

Accedi alla console Cisco ISE utilizzando le credenziali di amministratore.
Nella console Cisco ISE, seleziona Administration (Amministrazione) > System (Sistema) > Logging (Logging) > Remote logging targets (Destinazioni di logging remoto).
Nella finestra Destinazioni di logging remoto, fai clic su Aggiungi. Viene visualizzata la finestra Nuova destinazione di logging.

Nella sezione Destinazione logging, specifica i valori per i seguenti campi:

Campo	Descrizione
Nome	Nome del programma di inoltro di Google Security Operations.
Descrizione	Descrizione del programma di inoltro di Google Security Operations.
Tipo	Tipo di destinazione del log remoto, ad esempio syslog.
Indirizzo IP	L'indirizzo IP del programma di inoltro di Google Security Operations.
Tipo target	Seleziona Syslog TCP o Syslog UDP.
Porta	Utilizza una porta alta, ad esempio 10514.
Codice struttura	Puoi specificare uno dei seguenti valori: LOCAL0 (code = 16) LOCAL1 (code = 17) LOCAL2 (code = 18) LOCAL3 (codice = 19) LOCAL4 (code = 20) LOCAL5 (code = 21) LOCAL6 (codice = 22; predefinito) LOCAL7 (code = 23)
Lunghezza massima	Il valore consigliato è 1024.

Fai clic su Invia. Viene visualizzata la finestra Destinazioni log remoti con la nuova configurazione del programma di inoltro di Google Security Operations.
Nella console Cisco ISE, seleziona Administration > System > Logging > Logging categories.
Nella finestra Categorie di logging, seleziona le categorie per le quali vuoi impostare la destinazione syslog remota e aggiungi la destinazione syslog remota.

Di seguito sono riportate le categorie di esempio: controlli AAA, diagnostica AAA, contabilità, controllo amministrativo e operativo, controllo del provisioning di postura e client, diagnostica del provisioning di postura e client, Profiler, diagnostica del sistema e statistiche del sistema.

Configura il forwarder e syslog di Google Security Operations per importare i log di Cisco Secure ACS

Vai a Impostazioni SIEM > Forwarder.
Fai clic su Aggiungi nuovo inoltro.
Nel campo Nome forwarder, inserisci un nome univoco per il forwarder.
Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
Nel campo Nome del raccoglitore, digita un nome.
Seleziona Cisco ISE come Tipo di log.
Seleziona Syslog come Tipo di raccoglitore.
Configura i seguenti parametri di input obbligatori:
- Protocollo: specifica il protocollo.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui si trova il raccoglitore e gli indirizzi dei dati syslog.
- Porta: specifica la porta di destinazione in cui risiede il raccoglitore e rimane in ascolto dei dati syslog.
Fai clic su Invia.

Per saperne di più sui forwarder di Google Security Operations, consulta la documentazione sui forwarder di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di forwarder, consulta Configurazione del forwarder per tipo. Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser estrae i log Cisco ISE dai messaggi syslog, normalizza i dati in formato UDM e arricchisce l'evento con un contesto aggiuntivo. Gestisce varie categorie di log ISE, tra cui autenticazioni riuscite e non riuscite, audit amministrativi, statistiche di sistema e altro ancora, mappando i campi pertinenti allo schema UDM e aggiungendo etichette specifiche per un'analisi dettagliata.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`Acct-Authentic`	`sec_result.detection_fields.value`	Mappato direttamente.
`Acct-Delay-Time`	`sec_result.detection_fields.value`	Mappato direttamente.
`Acct-Input-Octets`	`sec_result.detection_fields.value`	Mappato direttamente.
`Acct-Input-Packets`	`sec_result.detection_fields.value`	Mappato direttamente.
`Acct-Output-Octets`	`sec_result.detection_fields.value`	Mappato direttamente.
`Acct-Output-Packets`	`sec_result.detection_fields.value`	Mappato direttamente.
`Acct-Session-Id`	`sec_result.detection_fields.value`	Mappato direttamente.
`Acct-Session-Time`	`sec_result.detection_fields.value`	Mappato direttamente.
`Acct-Status-Type`	`sec_result.detection_fields.value`	Mappato direttamente.
`Acct-Terminate-Cause`	`sec_result.detection_fields.value`	Mappato direttamente.
`AcsSessionID`	`sec_result.detection_fields.value`	Mappato direttamente come "ID sessione ACS".
`AD-Account-Name`	`principal.user.userid`	Mappato direttamente.
`AD-Domain`	`principal.group.group_display_name`	Mappato direttamente.
`AD-Domain-Controller`	`target.administrative_domain`	Mappato direttamente.
`AD-Error-Details`	`sec_result.description`	Mappato direttamente.
`AD-Host-Candidate-Identities`	`sec_result.detection_fields.value`	Mappato direttamente.
`AD-IP-Address`	`target.ip`, `target.asset.ip`	Mappato direttamente.
`AD-Log-Id`	`sec_result.detection_fields.value`	Mappato direttamente come "ID log annuncio".
`AD-Operating-System`	`principal.asset.platform_software.platform_version`	Mappato direttamente come `ad_operating_system`. Se contiene "Windows", `principal.platform` è impostato su "WINDOWS".
`AD-Site`	`target.location.name`	Mappato direttamente.
`AD-Srv-Query`	`sec_result.detection_fields.value`	Mappato direttamente come "AD-Srv-Query".
`AD-Srv-Record`	`sec_result.detection_fields.value`	Mappato direttamente come "AD-Srv-Record".
`AD-User-Resolved-Identities`	`sec_result.detection_fields.value`	Mappato direttamente.
`AD-User-SamAccount-Name`	`principal.user.attribute.labels.value`	Mappato direttamente.
`AdminIPAddress`	`principal.ip`, `principal.asset.ip`	Mappato direttamente.
`AdminInterface`	`principal.user.attribute.labels.value`	Mappato direttamente come "Interfaccia di amministrazione".
`AdminName`	`principal.user.userid`	Mappato direttamente. Viene aggiunto anche un `user.attribute.roles` di tipo "ADMINISTRATOR".
`AuthenticationIdentityStore`	`sec_result.detection_fields.value`	Mappato direttamente come "Archivio identità di autenticazione".
`AuthenticationStatus`	`sec_result.action_details`	Mappato direttamente. Se il valore corrisponde a "AuthenticationPassed", `sec_result.action` è impostato su "ALLOW", altrimenti su "BLOCK".
`AuthorizationPolicyMatchedRule`	`sec_result.rule_name`	Mappato con il prefisso "AuthorizationPolicyMatchedRule : ".
`BYODRegistration`	`sec_result.detection_fields.value`	Mappato direttamente.
`Called-Station-ID`	`sec_result.detection_fields.value`	Mappato direttamente.
`Calling-Station-ID`	`sec_result.detection_fields.value`, `principal.ip`, `principal.asset.ip`	Mappato direttamente. Se si tratta di un indirizzo IP, mappato anche su `principal.ip` e `principal.asset.ip`.
`cdpCachePlatform`	`principal.asset.hardware.model`	Mappato direttamente.
`Class`	`sec_result.detection_fields.value`	Mappato direttamente.
`ClientLatency`	`sec_result.detection_fields.value`	Mappato direttamente.
`CmdSet`	`target.process.command_line`	Mappato direttamente dopo aver rimosso parentesi e spazi circostanti.
`ConfigVersionId`	`sec_result.detection_fields.value`	Mappato direttamente come "ID versione configurazione".
`ConnectionStatus`	`sec_result.detection_fields.value`	Mappato direttamente come "Stato del collegamento".
`CPMSessionID`	`sec_result.detection_fields.value`	Mappato direttamente.
`CreateTime`	`principal.asset.attribute.creation_time`	Analizzato come timestamp UNIX_MS.
`DetailedInfo`	`sec_result.description`	Mappato direttamente dopo la rimozione delle barre rovesciate.
`DestinationIPAddress`	`target.ip`, `target.asset.ip`	Mappato direttamente. Imposta `has_target` su "true".
`DestinationPort`	`target.port`	Mappato direttamente se numerico.
`Device IP Address`	`principal.ip`, `principal.asset.ip`, `_intermediary.ip`, `target.ip`, `target.asset.ip`	Mappato come `DeviceIPAddress`. Utilizzato in varie logiche per compilare `principal.ip`, `_intermediary.ip` o `target.ip` a seconda della categoria di log e di altri campi.
`Device Port`	`principal.port`, `_intermediary.port`, `target.port`	Mappato come `DevicePort`. Utilizzato in varie logiche per compilare `principal.port`, `_intermediary.port` o `target.port` a seconda della categoria di log e di altri campi.
`Device Type`	`principal.asset.hardware.model`	Mappato direttamente come `device-type`.
`DTLSSupport`	`sec_result.detection_fields.value`	Mappato direttamente.
`EndPointMACAddress`	`principal.asset.mac`	Mappato direttamente dopo la conversione in lettere minuscole e la sostituzione dei trattini con i due punti.
`EndPointMatchedProfile`	`sec_result.about.labels.value`	Mappato direttamente.
`EndpointCertainityMetric`	`sec_result.detection_fields.value`	Mappato direttamente come "Metrica di certezza dell'endpoint".
`EndpointIdentityGroup`	`principal.group.group_display_name`	Mappato direttamente.
`EndpointIPAddress`	`principal.asset.ip`	Mappato direttamente.
`EndpointNADAddress`	`sec_result.detection_fields.value`	Mappato direttamente come "Indirizzo NAD endpoint".
`EndpointOUI`	`sec_result.detection_fields.value`	Mappato direttamente come "Endpoint OUI".
`EndpointPolicy`	`principal.asset.platform_software.platform_version`	Mappato direttamente.
`EndpointProperty`	`sec_result.detection_fields.value`	Mappato direttamente come "Proprietà endpoint".
`EndpointSourceEvent`	`sec_result.detection_fields.value`	Mappato direttamente.
`EndpointUserAgent`	`network.http.user_agent`	Mappato direttamente.
`EndPointVersion`	`sec_result.detection_fields.value`	Mappato direttamente.
`FailureReason`	`sec_result.detection_fields.value`, `sec_result.summary`, `sec_result.description`	Mappato come `FailureReason`. Utilizzato per compilare `sec_result.detection_fields` come "Motivo dell'errore", `sec_result.summary` o `sec_result.description` a seconda del contesto.
`FirstCollection`	`principal.asset.first_discover_time`	Analizzato come timestamp UNIX_MS.
`Framed-IP-Address`	`sec_result.detection_fields.value`	Mappato direttamente.
`Framed-IPv6-Address`	`FramedIPAddress`	Mappato direttamente.
`Framed-Protocol`	`sec_result.detection_fields.value`	Mappato direttamente.
`IdentityGroup`	`principal.group.group_display_name`	Mappato direttamente.
`IdentityGroupID`	`principal.group.product_object_id`	Mappato direttamente.
`IdentityPolicyMatchedRule`	`sec_result.about.labels.value`	Mappato direttamente.
`IdentitySelectionMatchedRule`	`sec_result.detection_fields.value`	Mappato direttamente.
`IMEI`	`target.asset.product_object_id`	Mappato direttamente.
`ISELocalAddress`	`_intermediary.ip`, `principal.ip`, `principal.asset.ip`, `_intermediary.port`, `principal.port`, `sec_result.detection_fields.value`	Se in `CISE_Administrative_and_Operational_Audit`, l'IP e la porta vengono estratti e mappati a `_intermediary` e `principal`. In caso contrario, viene mappato direttamente come "Indirizzo locale ISE" su `sec_result.detection_fields`.
`ISEModuleName`	`sec_result.detection_fields.value`	Mappato direttamente come "Nome modulo ISE".
`ISEServiceName`	`sec_result.detection_fields.value`	Mappato direttamente come "Nome servizio ISE".
`IsThirdPartyDeviceFlow`	`sec_result.detection_fields.value`	Mappato direttamente.
`Issuer`	`about.labels.value`	Mappato direttamente.
`LastActivity`	`principal.asset.last_discover_time`	Analizzato come timestamp UNIX_MS.
`LastNmapScanTime`	`sec_result.detection_fields.value`	Mappato direttamente.
`lldpChassisId`	`target.mac`	Mappato direttamente dopo l'analisi come indirizzo MAC.
`lldpSystemName`	`target.hostname`, `target.asset.hostname`	Mappato direttamente.
`Location`	`principal.location.country_or_region`, `target.location.country_or_region`	Mappato direttamente alla posizione `principal` o `target` a seconda della categoria di log.
`Manufacturer`	`target.asset.hardware.manufacturer`	Mappato direttamente.
`MessageCode`	`sec_result.detection_fields.value`, `metadata.event_type`	Mappato direttamente come `msg_code`. Utilizzato nella logica per determinare `metadata.event_type`.
`Model`	`target.asset.hardware.model`	Mappato direttamente.
`NAS-IP-Address`	`principal.nat_ip`	Mappato direttamente.
`NAS-Identifier`	`principal.labels.value`	Mappato direttamente come `nas_identifier`.
`NAS-Port`	`principal.nat_port`, `sec_result.detection_fields.value`, `principal.labels.value`	Mappato come `NASPort`. Se numerico e inferiore a 2147483648, mappato a `principal.nat_port`. In caso contrario, viene mappato come stringa su `sec_result.detection_fields` come "Porta NAS" o su `principal.labels` come "NAS-Port".
`NAS-Port-Id`	`principal.labels.value`, `sec_result.detection_fields.value`	Mappato come `NASPortId`. Utilizzato per compilare `principal.labels` come "nas_port_id" o `sec_result.detection_fields` come "nas_port_id".
`NAS-Port-Type`	`principal.labels.value`, `sec_result.detection_fields.value`	Mappato come `NASPortType`. Utilizzato per compilare `principal.labels` come "nas_port_type" o `sec_result.detection_fields` come "Nas-Port-Type".
`NetworkDeviceGroups`	`sec_result.detection_fields.value`	Mappato direttamente.
`NetworkDeviceName`	`_intermediary.hostname`, `principal.hostname`, `principal.asset.hostname`, `target.hostname`, `target.asset.hostname`	Mappato come `NetworkDeviceName`. Utilizzato in varie logiche per compilare `_intermediary.hostname`, `principal.hostname` o `target.hostname` a seconda della categoria di log e di altri campi.
`NetworkDeviceProfileId`	`principal.asset.asset_id`	Mappato con il prefisso "Cisco_ISE:".
`NetworkDeviceProfileName`	`principal.asset.attribute.labels.value`	Mappato direttamente.
`ObjectName`	`sec_result.about.labels.value`	Mappato direttamente.
`ObjectType`	`sec_result.about.labels.value`	Mappato direttamente.
`OperatingSystem`	`target.asset.platform_software.platform_version`, `principal.asset.platform_software.platform_version`, `principal.platform`	Mappato come `OperatingSystem`. Utilizzato per compilare `target.asset.platform_software.platform_version` o `principal.asset.platform_software.platform_version`. Se contiene "Win", `principal.platform` è impostato su "WINDOWS". Se contiene "lin", `principal.platform` è impostato su "LINUX". Se contiene "iOS", `principal.platform` è impostato su "MAC".
`OperationMessageText`	`sec_result.detection_fields.value`, `about.labels.value`, `sec_result.summary`	Mappato come `OperationMessageText`. Utilizzato per compilare `sec_result.detection_fields` come "Testo del messaggio dell'operazione", `about.labels` come "Testo del messaggio dell'operazione" o `sec_result.summary` a seconda del contesto. Se contiene dettagli di connessione, questi vengono estratti e mappati su `src` e `target`.
`OriginalUserName`	`principal.user.userid`	Mappato direttamente come `User`.
`PeerAddress`	`target.mac`	Mappato direttamente dopo la conversione in lettere minuscole e la sostituzione dei trattini con i due punti.
`PeerName`	`target.hostname`, `target.asset.hostname`	L'IP e il nome host vengono estratti e mappati a `target.ip` e `target.hostname`.
`PhoneID`	`principal.user.phone_numbers`	Mappato direttamente come `User-Fetch-Telephone`.
`PhoneNumber`	`principal.user.phone_numbers`	Mappato direttamente.
`PolicyVersion`	`sec_result.detection_fields.value`	Mappato direttamente.
`Port`	`_intermediary.port`, `principal.port`, `target.port`	Mappato come `Port`. Utilizzato in varie logiche per compilare `_intermediary.port`, `principal.port` o `target.port` a seconda della categoria di log e di altri campi.
`PostureAssessmentStatus`	`sec_result.detection_fields.value`	Mappato direttamente.
`PostureExpiry`	`sec_result.detection_fields.value`	Mappato direttamente.
`PostureStatus`	`sec_result.detection_fields.value`	Mappato direttamente come "Stato della postura".
`ProfilerServer`	`sec_result.detection_fields.value`	Mappato direttamente.
`Protocol`	`sec_result.detection_fields.value`	Mappato direttamente.
`r_cat_name`	`metadata.product_event_type`	Mappato direttamente.
`r_ip_or_host`	`observer.ip`, `observer.hostname`, `principal.ip`, `principal.asset.ip`, `principal.hostname`, `principal.asset.hostname`, `target.ip`, `target.asset.ip`, `target.hostname`, `target.asset.hostname`	Se un IP, mappato a `observer.ip`. Se un nome host, mappato a `observer.hostname`. Utilizzato anche in varie logiche per compilare l'indirizzo IP/il nome host `principal` o `target` a seconda della categoria di log e di altri campi.
`r_msg_id`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Mappato direttamente come "r_msg_id". Utilizzato anche come `metadata.product_log_id` se `sequence_num` non è disponibile.
`r_seg_num`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Mappato direttamente come "r_seg_num". Utilizzato anche come `metadata.product_log_id` se `sequence_num` non è disponibile.
`r_total_seg`	`sec_result.detection_fields.value`	Mappato direttamente.
`RadiusFlowType`	`sec_result.detection_fields.value`	Mappato direttamente.
`RadiusPacketType`	`sec_result.detection_fields.value`	Mappato direttamente come "Tipo di pacchetto Radius".
`RegisterStatus`	`sec_result.rule_name`	Mappato direttamente.
`RequestLatency`	`sec_result.detection_fields.value`	Mappato direttamente come "Latenza richiesta".
`SelectedAccessService`	`sec_result.detection_fields.value`	Mappato direttamente come "Servizio di accesso selezionato".
`SelectedAuthorizationProfiles`	`sec_result.detection_fields.value`	Mappato direttamente.
`Serial Number`	`network.tls.server.certificate.serial`, `about.labels.value`	Mappato come `serial_number`. Utilizzato per compilare `network.tls.server.certificate.serial` o `about.labels` come "Numero di serie" a seconda del contesto.
`Service-Type`	`sec_result.detection_fields.value`	Mappato direttamente.
`SessionId`	`network.session_id`	Mappato direttamente.
`ShutdownReason`	`sec_result.detection_fields.value`	Mappato direttamente come "ShutdownReason".
`SSID`	`sec_result.detection_fields.value`	Mappato direttamente.
`StaticGroupAssignment`	`sec_result.detection_fields.value`	Mappato direttamente.
`Subject`	`about.labels.value`	Mappato direttamente.
`Subject Alternative Name`	`about.labels.value`	Mappato direttamente come "Nome alternativo del soggetto".
`SysStatsCpuCount`	`target.asset.hardware.cpu_number_cores`	Mappato direttamente.
`SysStatsProcessMemoryMB`	`target.asset.hardware.ram`	Mappato direttamente come `__hardware.ram`.
`SysStatsUtilizationNetwork`	`target.resource.name`, `network.sent_bytes`, `network.received_bytes`	Il nome della scheda di rete, i byte inviati e i byte ricevuti vengono estratti e mappati. `target.resource.resource_type` è impostato su "UNSPECIFIED".
`TimeToProfile`	`sec_result.detection_fields.value`	Mappato direttamente.
`Total Certainty Factor`	`sec_result.detection_fields.value`	Mappato direttamente.
`TotalFailedTime`	`sec_result.detection_fields.value`	Mappato direttamente.
`Tunnel-Client-Endpoint`	`sec_result.detection_fields.value`	Mappato direttamente come "Endpoint client tunnel".
`UniqueConnectionIdentifier`	`sec_result.detection_fields.value`	Mappato direttamente come "Identificatore univoco della connessione".
`UpdateTime`	`sec_result.detection_fields.value`	Mappato direttamente.
`User`	`principal.user.userid`	Mappato direttamente.
`User-Fetch-Email`	`sec_result.detection_fields.value`	Mappato direttamente.
`User-Fetch-Last-Name`	`principal.user.last_name`	Mappato direttamente.
`User-Fetch-LocalityName`	`sec_result.detection_fields.value`	Mappato direttamente.
`User-Fetch-StateOrProvinceName`	`sec_result.detection_fields.value`	Mappato direttamente.
`User-Fetch-Telephone`	`principal.user.phone_numbers`	Mappato direttamente come `PhoneID`.
`UserName`	`principal.user.userid`	Mappato direttamente. Se non è vuoto e non è "" o "unknown", viene convertito in minuscolo, i trattini vengono sostituiti con i due punti e, se corrisponde a un pattern di indirizzo MAC, viene anche mappato a `principal.mac`.
`User-Name`	`principal.user.userid`	Mappato direttamente.
`UserType`	`principal.user.attribute.labels.value`	Mappato direttamente.
(Parser Logic) `action`	`sec_result.action`	Imposta "ALLOW" se `msg_text` contiene parole chiave di successo, "BLOCK" se contiene parole chiave di errore e "UNKNOWN_ACTION" in caso contrario.
(Parser Logic) `about.hostname`	`about.hostname`	Derivato da `StepData=4` o `stepdata`.
(Parser Logic) `event.idm.read_only_udm.about`	`event.idm.read_only_udm.about`	Compilato con vari campi, come `about.hostname`, `about.application` e `about.process.pid`.
(Parser Logic) `event.idm.read_only_udm.extensions.auth.mechanism`	`event.idm.read_only_udm.extensions.auth.mechanism`	Impostato su "RETE" in alcuni casi all'interno della categoria `CISE_TACACS_Diagnostics`.
(Parser Logic) `event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	Imposta "MACHINE" per vari eventi di accesso/disconnessione, "TACACS" per determinati eventi TACACS e "AUTHTYPE_UNSPECIFIED" per altri eventi di accesso.
(Parser Logic) `event.idm.read_only_udm.metadata.collected_timestamp`	`event.idm.read_only_udm.metadata.collected_timestamp`	Analizzato da `logstash.process.timestamp`, se disponibile.
(Parser Logic) `event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	Costruito a partire da `msg_class` e `msg_text` o solo da `msg_text` se `msg_class` non è disponibile.
(Parser Logic) `event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Analizzato dal campo `datetime`, che deriva da `datetime` e `timezone` o da `r_datetime`.
(Parser Logic) `event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	Determinato in base a `r_cat_name`, `msg_code` e altri campi. Può essere GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED, NETWORK_FLOW.
(Parser Logic) `event.idm.read_only_udm.metadata.ingested_timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Analizzato da `logstash.ingest.timestamp`, se disponibile.
(Parser Logic) `event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	Imposta il valore su "CISCO_ISE".
(Parser Logic) `event.idm.read_only_udm.metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Derivato da `r_cat_name`.
(Parser Logic) `event.idm.read_only_udm.metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Derivato da `sequence_num`, `r_seg_num` o `r_msg_id` a seconda della disponibilità.
(Parser Logic) `event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	Imposta "ISE" o `MDMServerName` se disponibile.
(Parser Logic) `event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Imposta su "Cisco".
(Parser Logic) `event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Derivato da `ac-user-agent` o `EndpointUserAgent`.
(Parser Logic) `event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	Imposta "TCP" per determinati tipi di eventi.
(Parser Logic) `event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	Derivato da `SessionId`.
(Parser Logic) `event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	Derivato da `TLSCipher`.
(Parser Logic) `event.idm.read_only_udm.network.tls.server.certificate.serial`	`event.idm.read_only_udm.network.tls.server.certificate.serial`	Derivato da `Serial Number`.
(Parser Logic) `event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	Derivato da `TLSVersion`.
(Parser Logic) `event.idm.read_only_udm.principal.asset.asset_id`	`event.idm.read_only_udm.principal.asset.asset_id`	Derivato da `NetworkDeviceProfileId` con il prefisso "Cisco_ISE:".
(Parser Logic) `event.idm.read_only_udm.principal.asset.hardware`	`event.idm.read_only_udm.principal.asset.hardware`	Popolato con campi come `hardware.manufacturer` e `hardware.model`.
(Parser Logic) `event.idm.read_only_udm.principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	Derivato da vari campi dell'indirizzo IP a seconda della categoria di log e di altri campi.
(Parser Logic) `event.idm.read_only_udm.principal.asset.mac`	`event.idm.read_only_udm.principal.asset.mac`	Derivato da `EndpointMacAddress`, `parsed_endpoint_mac` o altri campi dell'indirizzo MAC dopo la formattazione appropriata.
(Parser Logic) `event.idm.read_only_udm.principal.asset.platform_software.platform_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_version`	Derivato da `OperatingSystem`, `EndpointPolicy` o `ad_operating_system`.
(Parser Logic) `event.idm.read_only_udm.principal.group.group_display_name`	`event.idm.read_only_udm.principal.group.group_display_name`	Derivato da `AD-Domain`, `IdentityGroup` o `EndpointIdentityGroup`.
(Parser Logic) `event.idm.read_only_udm.principal.group.product_object_id`	`event.idm.read_only_udm.principal.group.product_object_id`	Derivato da `IdentityGroupID`.
(Parser Logic) `event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	Derivato da `r_ip_or_host`, `NetworkDeviceName` o altri campi del nome host a seconda della categoria di log e di altri campi.
(Parser Logic) `event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	Derivato da vari campi dell'indirizzo IP a seconda della categoria di log e di altri campi.
(Parser Logic) `event.idm.read_only_udm.principal.labels`	`event.idm.read_only_udm.principal.labels`	Compilato con campi come `nas_identifier`, `nas_port_type` e `nas_port_id`.
(Parser Logic) `event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	Derivato da `Location`.
(Parser Logic) `event.idm.read_only_udm.principal.nat_ip`	`event.idm.read_only_udm.principal.nat_ip`	Derivato da `NAS-IP-Address`.
(Parser Logic) `event.idm.read_only_udm.principal.nat_port`	`event.idm.read_only_udm.principal.nat_port`	Derivato da `NAS-Port` se numerico e inferiore a 2147483648.
(Parser Logic) `event.idm.read_only_udm.principal.platform`	`event.idm.read_only_udm.principal.platform`	Derivato da `device-platform` o `OperatingSystem`. Può essere WINDOWS, LINUX, MAC o UNKNOWN_PLATFORM.
(Parser Logic) `event.idm.read_only_udm.principal.platform_version`	`event.idm.read_only_udm.principal.platform_version`	Derivato da `platform-version`.
(Parser Logic) `event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	Derivato da `Device Port` o `Port` se numerico.
(Parser Logic) `event.idm.read_only_udm.principal.user.attribute.labels`	`event.idm.read_only_udm.principal.user.attribute.labels`	Compilato con campi come "Interfaccia amministratore", "UserType" e "Chargeable-User-Identity".
(Parser Logic) `event.idm.read_only_udm.principal.user.phone_numbers`	`event.idm.read_only_udm.principal.user.phone_numbers`	Derivato da `PhoneID` o `PhoneNumber`.
(Parser Logic) `event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	Derivato da `User`, `UserName`, `User-Name`, `AdminName`, `OriginalUserName` o altri campi del nome utente a seconda della categoria di log e di altri campi.
(Parser Logic) `event.idm.read_only_udm.security_result.about.labels`	`event.idm.read_only_udm.security_result.about.labels`	Compilato con campi come "IdentityPolicyMatchedRule", "EndPointMatchedProfile", "ObjectType" e "ObjectName".
(Parser Logic) `event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	Derivato da `msg_text` o `AuthenticationStatus`. Può essere ALLOW, BLOCK o UNKNOWN_ACTION.
(Parser Logic) `event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	Compilato con vari campi a seconda della categoria di log e di altri campi.
(Parser Logic) `event.idm.read_only_udm.security_result.description`	`event.idm.read_only_udm.security_result.description`	Derivato da `AD-Error-Details` o `DetailedInfo`.
(Parser Logic) `event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Derivato da `AuthorizationPolicyMatchedRule` o `RegisterStatus`.
(Parser Logic) `event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Derivato da `msg_sev`. Può essere CRITICAL, ERROR, HIGH, MEDIUM o INFORMATIONAL.
(Parser Logic) `event.idm.read_only_udm.security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	Derivato da `msg_sev`.
(Parser Logic) `event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	Derivato da `msg_text` o `FailureReason`.
(Parser Logic) `event.idm.read_only_udm.src.ip`	`event.idm.read_only_udm.src.ip`	Derivato da `source_ip` estratto da `OperationMessageText`.
(Parser Logic) `event.idm.read_only_udm.src.port`	`event.idm.read_only_udm.src.port`	Derivato da `source_port` estratto da `OperationMessageText` se numerico.
(Parser Logic) `event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	Derivato da `AD-Domain-Controller`.
(Parser Logic) `event.idm.read_only_udm.target.asset.hardware`	`event.idm.read_only_udm.target.asset.hardware`	Compilato con campi come `_hardware.cpu_number_cores`.
(Parser Logic) `event.idm.read_only_udm.target.asset.hostname`	`

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.