Cisco ISE ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して Cisco Identify Services Engine(ISE)ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CISCO_ISE が付加されたパーサーに適用されます。
Cisco ISE を構成する
- 管理者認証情報を使用して Cisco ISE コンソールにログインします。
- Cisco ISE コンソールで、[Administration] > [System] > [Logging] > [Remote logging targets] を選択します。
- [リモート ロギング ターゲット] ウィンドウで、[追加] をクリックします。[新しいロギング ターゲット] ウィンドウが表示されます。
[ロギング ターゲット] セクションで、次のフィールドの値を指定します。
フィールド 説明 名前 Google Security Operations フォワーダーの名前。 説明 Google Security Operations フォワーダーの説明。 タイプ syslog などのリモートログ ターゲットのタイプ。 IP アドレス Google Security Operations フォワーダーの IP アドレス。 ターゲット タイプ [TCP syslog] または [UDP syslog] を選択します。 ポート ハイポート(たとえば 10514)を使用します。 ファシリティ コード 次のいずれかの値を指定できます。 - LOCAL0(コード = 16)
- LOCAL1(コード = 17)
- LOCAL2(コード = 18)
- LOCAL3(コード = 19)
- LOCAL4(コード = 20)
- LOCAL5(コード = 21)
- LOCAL6(コード = 22、デフォルト)
- LOCAL7(コード = 23)
Maximum length 推奨値は 1024 です。 [送信] をクリックします。[リモートログ ターゲット] ウィンドウに、新しい Google Security Operations フォワーダー構成が表示されます。
Cisco ISE コンソールで、[Administration] > [System] > [Logging] > [Logging categories] を選択します。
[ロギング カテゴリ] ウィンドウで、リモート syslog ターゲットを設定するカテゴリを選択し、リモート syslog ターゲットを追加します。
カテゴリの例としては、AAA 監査、AAA 診断、アカウンティング、管理および運用監査、ポスチャーとクライアント プロビジョニング監査、ポスチャーとクライアント プロビジョニング診断、プロファイラ、システム診断、システム統計情報などがあります。
Cisco Secure ACS のログを取り込むように Google Security Operations フォワーダーと syslog を構成する
- [SIEM 設定] > [フォワーダー] に移動します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに名前を入力します。
- [ログタイプ] として [Cisco ISE] を選択します。
- [コレクタ タイプ] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- Protocol: プロトコルを指定します。
- アドレス: コレクタが存在し、Syslog データを待ち受けるターゲット IP アドレスまたはホスト名を指定します。
- Port: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。各フォワーダ タイプの要件については、タイプ別のフォワーダー構成をご覧ください。フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、Syslog メッセージから Cisco ISE ログを抽出し、データを UDM 形式に正規化して、追加のコンテキストでイベントを拡充します。認証の成功と失敗、管理監査、システム統計など、さまざまな ISE ログカテゴリを処理し、関連するフィールドを UDM スキーマにマッピングして、詳細な分析用の特定のラベルを追加します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
Acct-Authentic |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Delay-Time |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Input-Octets |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Input-Packets |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Output-Octets |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Output-Packets |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Session-Id |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Session-Time |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Status-Type |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Terminate-Cause |
sec_result.detection_fields.value |
直接マッピングされます。 |
AcsSessionID |
sec_result.detection_fields.value |
「Acs SessionID」として直接マッピングされます。 |
AD-Account-Name |
principal.user.userid |
直接マッピングされます。 |
AD-Domain |
principal.group.group_display_name |
直接マッピングされます。 |
AD-Domain-Controller |
target.administrative_domain |
直接マッピングされます。 |
AD-Error-Details |
sec_result.description |
直接マッピングされます。 |
AD-Host-Candidate-Identities |
sec_result.detection_fields.value |
直接マッピングされます。 |
AD-IP-Address |
target.ip、target.asset.ip |
直接マッピングされます。 |
AD-Log-Id |
sec_result.detection_fields.value |
「AD-Log-Id」として直接マッピングされます。 |
AD-Operating-System |
principal.asset.platform_software.platform_version |
ad_operating_system として直接マッピングされます。「Windows」が含まれている場合、principal.platform は「WINDOWS」に設定されます。 |
AD-Site |
target.location.name |
直接マッピングされます。 |
AD-Srv-Query |
sec_result.detection_fields.value |
「AD-Srv-Query」として直接マッピングされます。 |
AD-Srv-Record |
sec_result.detection_fields.value |
「AD-Srv-Record」として直接マッピングされます。 |
AD-User-Resolved-Identities |
sec_result.detection_fields.value |
直接マッピングされます。 |
AD-User-SamAccount-Name |
principal.user.attribute.labels.value |
直接マッピングされます。 |
AdminIPAddress |
principal.ip、principal.asset.ip |
直接マッピングされます。 |
AdminInterface |
principal.user.attribute.labels.value |
「Admin Interface」として直接マッピングされます。 |
AdminName |
principal.user.userid |
直接マッピングされます。タイプ「ADMINISTRATOR」の user.attribute.roles も追加されます。 |
AuthenticationIdentityStore |
sec_result.detection_fields.value |
「Authentication Identity Store」として直接マッピングされます。 |
AuthenticationStatus |
sec_result.action_details |
直接マッピングされます。値が「AuthenticationPassed」と一致する場合、sec_result.action は「ALLOW」に設定されます。それ以外の場合は「BLOCK」に設定されます。 |
AuthorizationPolicyMatchedRule |
sec_result.rule_name |
「AuthorizationPolicyMatchedRule : 」という接頭辞でマッピングされます。 |
BYODRegistration |
sec_result.detection_fields.value |
直接マッピングされます。 |
Called-Station-ID |
sec_result.detection_fields.value |
直接マッピングされます。 |
Calling-Station-ID |
sec_result.detection_fields.value、principal.ip、principal.asset.ip |
直接マッピングされます。IP アドレスの場合は、principal.ip と principal.asset.ip にもマッピングされます。 |
cdpCachePlatform |
principal.asset.hardware.model |
直接マッピングされます。 |
Class |
sec_result.detection_fields.value |
直接マッピングされます。 |
ClientLatency |
sec_result.detection_fields.value |
直接マッピングされます。 |
CmdSet |
target.process.command_line |
角かっことスペースを削除した後、直接マッピングされます。 |
ConfigVersionId |
sec_result.detection_fields.value |
「構成バージョン ID」として直接マッピングされます。 |
ConnectionStatus |
sec_result.detection_fields.value |
[接続ステータス] として直接マッピングされます。 |
CPMSessionID |
sec_result.detection_fields.value |
直接マッピングされます。 |
CreateTime |
principal.asset.attribute.creation_time |
UNIX_MS タイムスタンプとして解析されます。 |
DetailedInfo |
sec_result.description |
バックスラッシュを削除した後、直接マッピングされます。 |
DestinationIPAddress |
target.ip、target.asset.ip |
直接マッピングされます。has_target を「true」に設定します。 |
DestinationPort |
target.port |
数値の場合、直接マッピングされます。 |
Device IP Address |
principal.ip、principal.asset.ip、_intermediary.ip、target.ip、target.asset.ip |
DeviceIPAddress としてマッピングされます。ログカテゴリや他のフィールドに応じて principal.ip、_intermediary.ip、target.ip を入力するさまざまなロジックで使用されます。 |
Device Port |
principal.port、_intermediary.port、target.port |
DevicePort としてマッピングされます。ログカテゴリや他のフィールドに応じて principal.port、_intermediary.port、target.port を入力するさまざまなロジックで使用されます。 |
Device Type |
principal.asset.hardware.model |
device-type として直接マッピングされます。 |
DTLSSupport |
sec_result.detection_fields.value |
直接マッピングされます。 |
EndPointMACAddress |
principal.asset.mac |
小文字に変換し、ハイフンをコロンに置き換えた後、直接マッピングされます。 |
EndPointMatchedProfile |
sec_result.about.labels.value |
直接マッピングされます。 |
EndpointCertainityMetric |
sec_result.detection_fields.value |
「Endpoint Certainity Metric」として直接マッピングされます。 |
EndpointIdentityGroup |
principal.group.group_display_name |
直接マッピングされます。 |
EndpointIPAddress |
principal.asset.ip |
直接マッピングされます。 |
EndpointNADAddress |
sec_result.detection_fields.value |
「Endpoint NAD Address」として直接マッピングされます。 |
EndpointOUI |
sec_result.detection_fields.value |
「Endpoint OUI」として直接マッピングされます。 |
EndpointPolicy |
principal.asset.platform_software.platform_version |
直接マッピングされます。 |
EndpointProperty |
sec_result.detection_fields.value |
「Endpoint Property」として直接マッピングされます。 |
EndpointSourceEvent |
sec_result.detection_fields.value |
直接マッピングされます。 |
EndpointUserAgent |
network.http.user_agent |
直接マッピングされます。 |
EndPointVersion |
sec_result.detection_fields.value |
直接マッピングされます。 |
FailureReason |
sec_result.detection_fields.value、sec_result.summary、sec_result.description |
FailureReason としてマッピングされます。コンテキストに応じて、sec_result.detection_fields を「Failure Reason」、sec_result.summary、または sec_result.description として入力するために使用されます。 |
FirstCollection |
principal.asset.first_discover_time |
UNIX_MS タイムスタンプとして解析されます。 |
Framed-IP-Address |
sec_result.detection_fields.value |
直接マッピングされます。 |
Framed-IPv6-Address |
FramedIPAddress |
直接マッピングされます。 |
Framed-Protocol |
sec_result.detection_fields.value |
直接マッピングされます。 |
IdentityGroup |
principal.group.group_display_name |
直接マッピングされます。 |
IdentityGroupID |
principal.group.product_object_id |
直接マッピングされます。 |
IdentityPolicyMatchedRule |
sec_result.about.labels.value |
直接マッピングされます。 |
IdentitySelectionMatchedRule |
sec_result.detection_fields.value |
直接マッピングされます。 |
IMEI |
target.asset.product_object_id |
直接マッピングされます。 |
ISELocalAddress |
_intermediary.ip、principal.ip、principal.asset.ip、_intermediary.port、principal.port、sec_result.detection_fields.value |
CISE_Administrative_and_Operational_Audit の場合、IP とポートが抽出され、_intermediary と principal にマッピングされます。それ以外の場合は、「ISE Local Address」として sec_result.detection_fields に直接マッピングされます。 |
ISEModuleName |
sec_result.detection_fields.value |
「ISE Module Name」として直接マッピングされます。 |
ISEServiceName |
sec_result.detection_fields.value |
「ISE Service Name」として直接マッピングされます。 |
IsThirdPartyDeviceFlow |
sec_result.detection_fields.value |
直接マッピングされます。 |
Issuer |
about.labels.value |
直接マッピングされます。 |
LastActivity |
principal.asset.last_discover_time |
UNIX_MS タイムスタンプとして解析されます。 |
LastNmapScanTime |
sec_result.detection_fields.value |
直接マッピングされます。 |
lldpChassisId |
target.mac |
MAC アドレスとして解析された後、直接マッピングされます。 |
lldpSystemName |
target.hostname、target.asset.hostname |
直接マッピングされます。 |
Location |
principal.location.country_or_region、target.location.country_or_region |
ログカテゴリに応じて、principal または target のいずれかの場所に直接マッピングされます。 |
Manufacturer |
target.asset.hardware.manufacturer |
直接マッピングされます。 |
MessageCode |
sec_result.detection_fields.value、metadata.event_type |
msg_code として直接マッピングされます。metadata.event_type を決定するロジックで使用されます。 |
Model |
target.asset.hardware.model |
直接マッピングされます。 |
NAS-IP-Address |
principal.nat_ip |
直接マッピングされます。 |
NAS-Identifier |
principal.labels.value |
nas_identifier として直接マッピングされます。 |
NAS-Port |
principal.nat_port、sec_result.detection_fields.value、principal.labels.value |
NASPort としてマッピングされます。数値で 2147483648 未満の場合、principal.nat_port にマッピングされます。それ以外の場合は、sec_result.detection_fields に「NAS Port」として、または principal.labels に「NAS-Port」として文字列にマッピングされます。 |
NAS-Port-Id |
principal.labels.value、sec_result.detection_fields.value |
NASPortId としてマッピングされます。principal.labels を「nas_port_id」として、または sec_result.detection_fields を「nas_port_id」として入力するために使用されます。 |
NAS-Port-Type |
principal.labels.value、sec_result.detection_fields.value |
NASPortType としてマッピングされます。principal.labels を「nas_port_type」として、または sec_result.detection_fields を「Nas-Port-Type」として入力するために使用されます。 |
NetworkDeviceGroups |
sec_result.detection_fields.value |
直接マッピングされます。 |
NetworkDeviceName |
_intermediary.hostname、principal.hostname、principal.asset.hostname、target.hostname、target.asset.hostname |
NetworkDeviceName としてマッピングされます。ログカテゴリや他のフィールドに応じて _intermediary.hostname、principal.hostname、target.hostname を入力するさまざまなロジックで使用されます。 |
NetworkDeviceProfileId |
principal.asset.asset_id |
「Cisco_ISE:」という接頭辞でマッピングされます。 |
NetworkDeviceProfileName |
principal.asset.attribute.labels.value |
直接マッピングされます。 |
ObjectName |
sec_result.about.labels.value |
直接マッピングされます。 |
ObjectType |
sec_result.about.labels.value |
直接マッピングされます。 |
OperatingSystem |
target.asset.platform_software.platform_version、principal.asset.platform_software.platform_version、principal.platform |
OperatingSystem としてマッピングされます。target.asset.platform_software.platform_version または principal.asset.platform_software.platform_version の入力に使用されます。「Win」が含まれている場合、principal.platform は「WINDOWS」に設定されます。「lin」が含まれている場合、principal.platform は「LINUX」に設定されます。「iOS」が含まれている場合、principal.platform は「MAC」に設定されます。 |
OperationMessageText |
sec_result.detection_fields.value、about.labels.value、sec_result.summary |
OperationMessageText としてマッピングされます。コンテキストに応じて、sec_result.detection_fields を「オペレーション メッセージ テキスト」、about.labels を「オペレーション メッセージ テキスト」、または sec_result.summary として入力するために使用されます。接続の詳細が含まれている場合は、抽出されて src と target にマッピングされます。 |
OriginalUserName |
principal.user.userid |
User として直接マッピングされます。 |
PeerAddress |
target.mac |
小文字に変換し、ハイフンをコロンに置き換えた後、直接マッピングされます。 |
PeerName |
target.hostname、target.asset.hostname |
IP とホスト名が抽出され、target.ip と target.hostname にマッピングされます。 |
PhoneID |
principal.user.phone_numbers |
User-Fetch-Telephone として直接マッピングされます。 |
PhoneNumber |
principal.user.phone_numbers |
直接マッピングされます。 |
PolicyVersion |
sec_result.detection_fields.value |
直接マッピングされます。 |
Port |
_intermediary.port、principal.port、target.port |
Port としてマッピングされます。ログカテゴリや他のフィールドに応じて _intermediary.port、principal.port、target.port を入力するさまざまなロジックで使用されます。 |
PostureAssessmentStatus |
sec_result.detection_fields.value |
直接マッピングされます。 |
PostureExpiry |
sec_result.detection_fields.value |
直接マッピングされます。 |
PostureStatus |
sec_result.detection_fields.value |
「Posture Status」として直接マッピングされます。 |
ProfilerServer |
sec_result.detection_fields.value |
直接マッピングされます。 |
Protocol |
sec_result.detection_fields.value |
直接マッピングされます。 |
r_cat_name |
metadata.product_event_type |
直接マッピングされます。 |
r_ip_or_host |
observer.ip、observer.hostname、principal.ip、principal.asset.ip、principal.hostname、principal.asset.hostname、target.ip、target.asset.ip、target.hostname、target.asset.hostname |
IP の場合、observer.ip にマッピングされます。ホスト名の場合は、observer.hostname にマッピングされます。また、ログカテゴリや他のフィールドに応じて principal または target IP/ホスト名を生成するさまざまなロジックでも使用されます。 |
r_msg_id |
sec_result.detection_fields.value、metadata.product_log_id |
「r_msg_id」として直接マッピングされます。sequence_num が利用できない場合は、metadata.product_log_id としても使用されます。 |
r_seg_num |
sec_result.detection_fields.value、metadata.product_log_id |
「r_seg_num」として直接マッピングされます。sequence_num が利用できない場合は、metadata.product_log_id としても使用されます。 |
r_total_seg |
sec_result.detection_fields.value |
直接マッピングされます。 |
RadiusFlowType |
sec_result.detection_fields.value |
直接マッピングされます。 |
RadiusPacketType |
sec_result.detection_fields.value |
「Radius Packet Type」として直接マッピングされます。 |
RegisterStatus |
sec_result.rule_name |
直接マッピングされます。 |
RequestLatency |
sec_result.detection_fields.value |
「リクエスト レイテンシ」として直接マッピングされます。 |
SelectedAccessService |
sec_result.detection_fields.value |
「Selected Access Service」として直接マッピングされます。 |
SelectedAuthorizationProfiles |
sec_result.detection_fields.value |
直接マッピングされます。 |
Serial Number |
network.tls.server.certificate.serial、about.labels.value |
serial_number としてマッピングされます。コンテキストに応じて、network.tls.server.certificate.serial または about.labels を「シリアル番号」として入力するために使用されます。 |
Service-Type |
sec_result.detection_fields.value |
直接マッピングされます。 |
SessionId |
network.session_id |
直接マッピングされます。 |
ShutdownReason |
sec_result.detection_fields.value |
「ShutdownReason」として直接マッピングされます。 |
SSID |
sec_result.detection_fields.value |
直接マッピングされます。 |
StaticGroupAssignment |
sec_result.detection_fields.value |
直接マッピングされます。 |
Subject |
about.labels.value |
直接マッピングされます。 |
Subject Alternative Name |
about.labels.value |
「Subject Alternative Name」として直接マッピングされます。 |
SysStatsCpuCount |
target.asset.hardware.cpu_number_cores |
直接マッピングされます。 |
SysStatsProcessMemoryMB |
target.asset.hardware.ram |
__hardware.ram として直接マッピングされます。 |
SysStatsUtilizationNetwork |
target.resource.name、network.sent_bytes、network.received_bytes |
ネットワーク アダプタ名、送信バイト数、受信バイト数が抽出されてマッピングされます。target.resource.resource_type が「UNSPECIFIED」に設定されています。 |
TimeToProfile |
sec_result.detection_fields.value |
直接マッピングされます。 |
Total Certainty Factor |
sec_result.detection_fields.value |
直接マッピングされます。 |
TotalFailedTime |
sec_result.detection_fields.value |
直接マッピングされます。 |
Tunnel-Client-Endpoint |
sec_result.detection_fields.value |
「Tunnel Client Endpoint」として直接マッピングされます。 |
UniqueConnectionIdentifier |
sec_result.detection_fields.value |
「Unique Connection Identifier」として直接マッピングされます。 |
UpdateTime |
sec_result.detection_fields.value |
直接マッピングされます。 |
User |
principal.user.userid |
直接マッピングされます。 |
User-Fetch-Email |
sec_result.detection_fields.value |
直接マッピングされます。 |
User-Fetch-Last-Name |
principal.user.last_name |
直接マッピングされます。 |
User-Fetch-LocalityName |
sec_result.detection_fields.value |
直接マッピングされます。 |
User-Fetch-StateOrProvinceName |
sec_result.detection_fields.value |
直接マッピングされます。 |
User-Fetch-Telephone |
principal.user.phone_numbers |
PhoneID として直接マッピングされます。 |
UserName |
principal.user.userid |
直接マッピングされます。空ではなく、「」または「unknown」でもない場合は、小文字に変換され、ハイフンがコロンに置き換えられます。また、MAC アドレス パターンと一致する場合は、principal.mac にもマッピングされます。 |
User-Name |
principal.user.userid |
直接マッピングされます。 |
UserType |
principal.user.attribute.labels.value |
直接マッピングされます。 |
(パーサー ロジック)action |
sec_result.action |
msg_text に成功キーワードが含まれている場合は「ALLOW」、失敗キーワードが含まれている場合は「BLOCK」、それ以外の場合は「UNKNOWN_ACTION」に設定されます。 |
(パーサー ロジック)about.hostname |
about.hostname |
StepData=4 または stepdata から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.about |
event.idm.read_only_udm.about |
about.hostname、about.application、about.process.pid などのさまざまなフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.extensions.auth.mechanism |
event.idm.read_only_udm.extensions.auth.mechanism |
CISE_TACACS_Diagnostics カテゴリ内の特定のケースでは [NETWORK] に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.extensions.auth.type |
event.idm.read_only_udm.extensions.auth.type |
さまざまなログイン/ログアウト イベントの場合は「MACHINE」、特定の TACACS イベントの場合は「TACACS」、その他のログイン イベントの場合は「AUTHTYPE_UNSPECIFIED」に設定されます。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.collected_timestamp |
event.idm.read_only_udm.metadata.collected_timestamp |
利用可能な場合は logstash.process.timestamp から解析されます。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
msg_class と msg_text から構築されます。msg_class が使用できない場合は msg_text のみから構築されます。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.event_timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
datetime フィールドから解析されます。このフィールドは、datetime と timezone、または r_datetime のいずれかから派生します。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
r_cat_name、msg_code などのフィールドに基づいて決定されます。GENERIC_EVENT、STATUS_UPDATE、NETWORK_CONNECTION、STATUS_HEARTBEAT、STATUS_STARTUP、STATUS_SHUTDOWN、USER_LOGIN、USER_LOGOUT、USER_RESOURCE_ACCESS、USER_UNCATEGORIZED、RESOURCE_READ、SCAN_NETWORK、STATUS_UNCATEGORIZED、NETWORK_FLOW のいずれかです。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.ingested_timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
利用可能な場合は logstash.ingest.timestamp から解析されます。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
「CISCO_ISE」に設定されます。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
r_cat_name から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
可用性に応じて、sequence_num、r_seg_num、または r_msg_id から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
「ISE」に設定するか、MDMServerName が利用可能な場合は MDMServerName に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
「Cisco」に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
ac-user-agent または EndpointUserAgent から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
特定のイベントタイプでは「TCP」に設定されます。 |
(パーサー ロジック)event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
SessionId から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
TLSCipher から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.network.tls.server.certificate.serial |
event.idm.read_only_udm.network.tls.server.certificate.serial |
Serial Number から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
TLSVersion から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.asset_id |
event.idm.read_only_udm.principal.asset.asset_id |
NetworkDeviceProfileId から派生し、「Cisco_ISE:」という接頭辞が付いています。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.hardware |
event.idm.read_only_udm.principal.asset.hardware |
hardware.manufacturer や hardware.model などのフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
ログカテゴリや他のフィールドに応じて、さまざまな IP アドレス フィールドから派生します。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.mac |
event.idm.read_only_udm.principal.asset.mac |
EndpointMacAddress、parsed_endpoint_mac、またはその他の MAC アドレス フィールドから適切な形式で取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.platform_software.platform_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_version |
OperatingSystem、EndpointPolicy、ad_operating_system から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.group.group_display_name |
event.idm.read_only_udm.principal.group.group_display_name |
AD-Domain、IdentityGroup、EndpointIdentityGroup から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.group.product_object_id |
event.idm.read_only_udm.principal.group.product_object_id |
IdentityGroupID から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
ログカテゴリや他のフィールドに応じて、r_ip_or_host、NetworkDeviceName、または他のホスト名フィールドから派生します。 |
(パーサー ロジック)event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
ログカテゴリや他のフィールドに応じて、さまざまな IP アドレス フィールドから派生します。 |
(パーサー ロジック)event.idm.read_only_udm.principal.labels |
event.idm.read_only_udm.principal.labels |
nas_identifier、nas_port_type、nas_port_id などのフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Location から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.nat_ip |
event.idm.read_only_udm.principal.nat_ip |
NAS-IP-Address から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.nat_port |
event.idm.read_only_udm.principal.nat_port |
数値で 2147483648 より小さい場合は、NAS-Port から派生します。 |
(パーサー ロジック)event.idm.read_only_udm.principal.platform |
event.idm.read_only_udm.principal.platform |
device-platform または OperatingSystem から取得されます。WINDOWS、LINUX、MAC、UNKNOWN_PLATFORM のいずれか。 |
(パーサー ロジック)event.idm.read_only_udm.principal.platform_version |
event.idm.read_only_udm.principal.platform_version |
platform-version から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
数値の場合は Device Port または Port から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.user.attribute.labels |
event.idm.read_only_udm.principal.user.attribute.labels |
「Admin Interface」、「UserType」、「Chargeable-User-Identity」などのフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.user.phone_numbers |
event.idm.read_only_udm.principal.user.phone_numbers |
PhoneID または PhoneNumber から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
ログカテゴリやその他のフィールドに応じて、User、UserName、User-Name、AdminName、OriginalUserName、またはその他のユーザー名フィールドから取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.about.labels |
event.idm.read_only_udm.security_result.about.labels |
「IdentityPolicyMatchedRule」、「EndPointMatchedProfile」、「ObjectType」、「ObjectName」などのフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
msg_text または AuthenticationStatus から取得されます。ALLOW、BLOCK、UNKNOWN_ACTION のいずれか。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
ログカテゴリや他のフィールドに応じて、さまざまなフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.description |
event.idm.read_only_udm.security_result.description |
AD-Error-Details または DetailedInfo から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
AuthorizationPolicyMatchedRule または RegisterStatus から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
msg_sev から取得されます。CRITICAL、ERROR、HIGH、MEDIUM、INFORMATIONAL のいずれか。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
msg_sev から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
msg_text または FailureReason から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.src.ip |
event.idm.read_only_udm.src.ip |
OperationMessageText から抽出された source_ip から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.src.port |
event.idm.read_only_udm.src.port |
数値の場合、OperationMessageText から抽出された source_port から派生します。 |
(パーサー ロジック)event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
AD-Domain-Controller から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.target.asset.hardware |
event.idm.read_only_udm.target.asset.hardware |
_hardware.cpu_number_cores などのフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.target.asset.hostname |
` |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。