Cisco ISE のログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して Cisco Identify Services Engine(ISE)ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CISCO_ISE が付加されたパーサーに適用されます。
Cisco ISE を構成する
- 管理者認証情報を使用して Cisco ISE コンソールにログインします。
- Cisco ISE コンソールで、[管理] > [システム] > [ロギング] > [リモート ロギング ターゲット] を選択します。
- [リモート ロギング ターゲット] ウィンドウで、[追加] をクリックします。[新しいロギング ターゲット] ウィンドウが表示されます。
[Logging target] セクションで、次のフィールドの値を指定します。
フィールド 説明 名前 Google Security Operations フォワーダーの名前。 説明 Google Security Operations フォワーダーの説明。 タイプ リモート ログ ターゲットのタイプ(syslog など)。 IP アドレス Google Security Operations フォワーダーの IP アドレス。 ターゲット タイプ TCP Syslog または UDP Syslog を選択します。 ポート ハイポート(たとえば 10514)を使用します。 ファシリティ コード 次のいずれかの値を指定できます。 - LOCAL0(コード = 16)
- LOCAL1(コード = 17)
- LOCAL2(コード = 18)
- LOCAL3(コード = 19)
- LOCAL4(コード = 20)
- LOCAL5(コード = 21)
- LOCAL6(コード = 22、デフォルト)
- LOCAL7(コード = 23)
Maximum length 推奨値は 1024 です。 [送信] をクリックします。[リモート ログ ターゲット] ウィンドウが開き、新しい Google Security Operations フォワーダーの構成が表示されます。
Cisco ISE コンソールで、[管理] > [システム] > [ロギング] > [ロギング カテゴリ] を選択します。
[ロギング カテゴリ] ウィンドウで、リモート syslog ターゲットを設定するカテゴリを選択し、リモート syslog ターゲットを追加します。
カテゴリの例: AAA 監査、AAA 診断、アカウンティング、管理、運用監査、ポスチャとクライアントのプロビジョニング監査、ポスチャとクライアントのプロビジョニング診断、プロファイラ、システム診断、システム統計情報。
Cisco Secure ACS ログを取り込むように Google Security Operations フォワーダーと syslog を構成する
- [SIEM 設定] > [フォワーダー] に移動します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに名前を入力します。
- [ログタイプ] として [Cisco ISE] を選択します。
- [コレクタ タイプ] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- Protocol: プロトコルを指定します。
- アドレス: コレクタが存在し、Syslog データを待ち受けるターゲット IP アドレスまたはホスト名を指定します。
- Port: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。各フォワーダー タイプの要件については、タイプ別のフォワーダー構成をご覧ください。フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、Syslog メッセージから Cisco ISE ログを抽出し、データを UDM 形式に正規化して、追加のコンテキストでイベントを拡充します。認証の成功と失敗、管理監査、システム統計情報など、さまざまな ISE ログカテゴリを処理し、関連するフィールドを UDM スキーマにマッピングし、詳細な分析のために特定のラベルを追加します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
Acct-Authentic |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Delay-Time |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Input-Octets |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Input-Packets |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Output-Octets |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Output-Packets |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Session-Id |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Session-Time |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Status-Type |
sec_result.detection_fields.value |
直接マッピングされます。 |
Acct-Terminate-Cause |
sec_result.detection_fields.value |
直接マッピングされます。 |
AcsSessionID |
sec_result.detection_fields.value |
「Acs SessionID」として直接マッピングされます。 |
AD-Account-Name |
principal.user.userid |
直接マッピングされます。 |
AD-Domain |
principal.group.group_display_name |
直接マッピングされます。 |
AD-Domain-Controller |
target.administrative_domain |
直接マッピングされます。 |
AD-Error-Details |
sec_result.description |
直接マッピングされます。 |
AD-Host-Candidate-Identities |
sec_result.detection_fields.value |
直接マッピングされます。 |
AD-IP-Address |
target.ip、target.asset.ip |
直接マッピングされます。 |
AD-Log-Id |
sec_result.detection_fields.value |
「AD-Log-Id」として直接マッピングされます。 |
AD-Operating-System |
principal.asset.platform_software.platform_version |
ad_operating_system として直接マッピングされます。「Windows」が含まれている場合、principal.platform は「WINDOWS」に設定されます。 |
AD-Site |
target.location.name |
直接マッピングされます。 |
AD-Srv-Query |
sec_result.detection_fields.value |
「AD-Srv-Query」として直接マッピングされます。 |
AD-Srv-Record |
sec_result.detection_fields.value |
「AD-Srv-Record」として直接マッピングされます。 |
AD-User-Resolved-Identities |
sec_result.detection_fields.value |
直接マッピングされます。 |
AD-User-SamAccount-Name |
principal.user.attribute.labels.value |
直接マッピングされます。 |
AdminIPAddress |
principal.ip、principal.asset.ip |
直接マッピングされます。 |
AdminInterface |
principal.user.attribute.labels.value |
「管理インターフェース」として直接マッピングされます。 |
AdminName |
principal.user.userid |
直接マッピングされます。タイプが「ADMINISTRATOR」の user.attribute.roles も追加されます。 |
AuthenticationIdentityStore |
sec_result.detection_fields.value |
「Authentication Identity Store」として直接マッピングされます。 |
AuthenticationStatus |
sec_result.action_details |
直接マッピングされます。値が「AuthenticationPassed」と一致する場合、sec_result.action は「ALLOW」に設定され、一致しない場合「BLOCK」に設定されます。 |
AuthorizationPolicyMatchedRule |
sec_result.rule_name |
「AuthorizationPolicyMatchedRule : 」の接頭辞でマッピングされます。 |
BYODRegistration |
sec_result.detection_fields.value |
直接マッピングされます。 |
Called-Station-ID |
sec_result.detection_fields.value |
直接マッピングされます。 |
Calling-Station-ID |
sec_result.detection_fields.value、principal.ip、principal.asset.ip |
直接マッピングされます。IP アドレスの場合は、principal.ip と principal.asset.ip にもマッピングされます。 |
cdpCachePlatform |
principal.asset.hardware.model |
直接マッピングされます。 |
Class |
sec_result.detection_fields.value |
直接マッピングされます。 |
ClientLatency |
sec_result.detection_fields.value |
直接マッピングされます。 |
CmdSet |
target.process.command_line |
角かっことスペースを削除した後、直接マッピングされます。 |
ConfigVersionId |
sec_result.detection_fields.value |
「Config Version Id」として直接マッピングされます。 |
ConnectionStatus |
sec_result.detection_fields.value |
「接続ステータス」として直接マッピングされます。 |
CPMSessionID |
sec_result.detection_fields.value |
直接マッピングされます。 |
CreateTime |
principal.asset.attribute.creation_time |
UNIX_MS タイムスタンプとして解析されます。 |
DetailedInfo |
sec_result.description |
バックスラッシュを削除した後、直接マッピングされます。 |
DestinationIPAddress |
target.ip、target.asset.ip |
直接マッピングされます。has_target を「true」に設定します。 |
DestinationPort |
target.port |
数値の場合は直接マッピングされます。 |
Device IP Address |
principal.ip、principal.asset.ip、_intermediary.ip、target.ip、target.asset.ip |
DeviceIPAddress としてマッピングされます。さまざまなロジックで使用され、ログカテゴリやその他のフィールドに応じて principal.ip、_intermediary.ip、target.ip に入力されます。 |
Device Port |
principal.port、_intermediary.port、target.port |
DevicePort としてマッピングされます。さまざまなロジックで使用され、ログカテゴリやその他のフィールドに応じて principal.port、_intermediary.port、target.port に入力されます。 |
Device Type |
principal.asset.hardware.model |
device-type として直接マッピングされます。 |
DTLSSupport |
sec_result.detection_fields.value |
直接マッピングされます。 |
EndPointMACAddress |
principal.asset.mac |
小文字に変換し、ハイフンをコロンに置き換えた後、直接マッピングされます。 |
EndPointMatchedProfile |
sec_result.about.labels.value |
直接マッピングされます。 |
EndpointCertainityMetric |
sec_result.detection_fields.value |
「Endpoint Certainity Metric」として直接マッピングされます。 |
EndpointIdentityGroup |
principal.group.group_display_name |
直接マッピングされます。 |
EndpointIPAddress |
principal.asset.ip |
直接マッピングされます。 |
EndpointNADAddress |
sec_result.detection_fields.value |
「エンドポイント NAD アドレス」として直接マッピングされます。 |
EndpointOUI |
sec_result.detection_fields.value |
「Endpoint OUI」として直接マッピングされます。 |
EndpointPolicy |
principal.asset.platform_software.platform_version |
直接マッピングされます。 |
EndpointProperty |
sec_result.detection_fields.value |
「Endpoint Property」として直接マッピングされます。 |
EndpointSourceEvent |
sec_result.detection_fields.value |
直接マッピングされます。 |
EndpointUserAgent |
network.http.user_agent |
直接マッピングされます。 |
EndPointVersion |
sec_result.detection_fields.value |
直接マッピングされます。 |
FailureReason |
sec_result.detection_fields.value、sec_result.summary、sec_result.description |
FailureReason としてマッピングされます。コンテキストに応じて、sec_result.detection_fields に「Failure Reason」(障害の理由)として sec_result.summary または sec_result.description を入力するために使用されます。 |
FirstCollection |
principal.asset.first_discover_time |
UNIX_MS タイムスタンプとして解析されます。 |
Framed-IP-Address |
sec_result.detection_fields.value |
直接マッピングされます。 |
Framed-IPv6-Address |
FramedIPAddress |
直接マッピングされます。 |
Framed-Protocol |
sec_result.detection_fields.value |
直接マッピングされます。 |
IdentityGroup |
principal.group.group_display_name |
直接マッピングされます。 |
IdentityGroupID |
principal.group.product_object_id |
直接マッピングされます。 |
IdentityPolicyMatchedRule |
sec_result.about.labels.value |
直接マッピングされます。 |
IdentitySelectionMatchedRule |
sec_result.detection_fields.value |
直接マッピングされます。 |
IMEI |
target.asset.product_object_id |
直接マッピングされます。 |
ISELocalAddress |
_intermediary.ip、principal.ip、principal.asset.ip、_intermediary.port、principal.port、sec_result.detection_fields.value |
CISE_Administrative_and_Operational_Audit の場合、IP とポートが抽出され、_intermediary と principal にマッピングされます。それ以外の場合は、「ISE Local Address」として直接 sec_result.detection_fields にマッピングされます。 |
ISEModuleName |
sec_result.detection_fields.value |
「ISE Module Name」として直接マッピングされます。 |
ISEServiceName |
sec_result.detection_fields.value |
「ISE Service Name」として直接マッピングされます。 |
IsThirdPartyDeviceFlow |
sec_result.detection_fields.value |
直接マッピングされます。 |
Issuer |
about.labels.value |
直接マッピングされます。 |
LastActivity |
principal.asset.last_discover_time |
UNIX_MS タイムスタンプとして解析されます。 |
LastNmapScanTime |
sec_result.detection_fields.value |
直接マッピングされます。 |
lldpChassisId |
target.mac |
解析後に MAC アドレスとして直接マッピングされます。 |
lldpSystemName |
target.hostname、target.asset.hostname |
直接マッピングされます。 |
Location |
principal.location.country_or_region、target.location.country_or_region |
ログのカテゴリに応じて、principal または target のいずれかのロケーションに直接マッピングされます。 |
Manufacturer |
target.asset.hardware.manufacturer |
直接マッピングされます。 |
MessageCode |
sec_result.detection_fields.value、metadata.event_type |
msg_code として直接マッピングされます。metadata.event_type を決定するロジックで使用されます。 |
Model |
target.asset.hardware.model |
直接マッピングされます。 |
NAS-IP-Address |
principal.nat_ip |
直接マッピングされます。 |
NAS-Identifier |
principal.labels.value |
nas_identifier として直接マッピングされます。 |
NAS-Port |
principal.nat_port、sec_result.detection_fields.value、principal.labels.value |
NASPort としてマッピングされます。数値で 2147483648 未満の場合は、principal.nat_port にマッピングされます。それ以外の場合は、文字列として sec_result.detection_fields(NAS ポート)または principal.labels(NAS-Port)にマッピングされます。 |
NAS-Port-Id |
principal.labels.value、sec_result.detection_fields.value |
NASPortId としてマッピングされます。principal.labels を「nas_port_id」として、または sec_result.detection_fields を「nas_port_id」として入力するために使用されます。 |
NAS-Port-Type |
principal.labels.value、sec_result.detection_fields.value |
NASPortType としてマッピングされます。principal.labels を「nas_port_type」として、または sec_result.detection_fields を「Nas-Port-Type」として入力するために使用されます。 |
NetworkDeviceGroups |
sec_result.detection_fields.value |
直接マッピングされます。 |
NetworkDeviceName |
_intermediary.hostname、principal.hostname、principal.asset.hostname、target.hostname、target.asset.hostname |
NetworkDeviceName としてマッピングされます。さまざまなロジックで使用され、ログカテゴリやその他のフィールドに応じて _intermediary.hostname、principal.hostname、target.hostname に入力されます。 |
NetworkDeviceProfileId |
principal.asset.asset_id |
接頭辞「Cisco_ISE:」でマッピングされています。 |
NetworkDeviceProfileName |
principal.asset.attribute.labels.value |
直接マッピングされます。 |
ObjectName |
sec_result.about.labels.value |
直接マッピングされます。 |
ObjectType |
sec_result.about.labels.value |
直接マッピングされます。 |
OperatingSystem |
target.asset.platform_software.platform_version、principal.asset.platform_software.platform_version、principal.platform |
OperatingSystem としてマッピングされます。target.asset.platform_software.platform_version または principal.asset.platform_software.platform_version の入力に使用します。「Win」が含まれている場合、principal.platform は「WINDOWS」に設定されます。「lin」が含まれている場合、principal.platform は「LINUX」に設定されます。「iOS」が含まれている場合、principal.platform は「MAC」に設定されます。 |
OperationMessageText |
sec_result.detection_fields.value、about.labels.value、sec_result.summary |
OperationMessageText としてマッピングされます。コンテキストに応じて、sec_result.detection_fields を「オペレーション メッセージ テキスト」として、about.labels を「オペレーション メッセージ テキスト」として、または sec_result.summary として入力するために使用されます。接続の詳細が含まれている場合、それらは抽出され、src と target にマッピングされます。 |
OriginalUserName |
principal.user.userid |
User として直接マッピングされます。 |
PeerAddress |
target.mac |
小文字に変換し、ハイフンをコロンに置き換えた後、直接マッピングされます。 |
PeerName |
target.hostname、target.asset.hostname |
IP とホスト名が抽出され、target.ip と target.hostname にマッピングされます。 |
PhoneID |
principal.user.phone_numbers |
User-Fetch-Telephone として直接マッピングされます。 |
PhoneNumber |
principal.user.phone_numbers |
直接マッピングされます。 |
PolicyVersion |
sec_result.detection_fields.value |
直接マッピングされます。 |
Port |
_intermediary.port、principal.port、target.port |
Port としてマッピングされます。さまざまなロジックで使用され、ログカテゴリやその他のフィールドに応じて _intermediary.port、principal.port、target.port に入力されます。 |
PostureAssessmentStatus |
sec_result.detection_fields.value |
直接マッピングされます。 |
PostureExpiry |
sec_result.detection_fields.value |
直接マッピングされます。 |
PostureStatus |
sec_result.detection_fields.value |
「Posture Status」として直接マッピングされます。 |
ProfilerServer |
sec_result.detection_fields.value |
直接マッピングされます。 |
Protocol |
sec_result.detection_fields.value |
直接マッピングされます。 |
r_cat_name |
metadata.product_event_type |
直接マッピングされます。 |
r_ip_or_host |
observer.ip、observer.hostname、principal.ip、principal.asset.ip、principal.hostname、principal.asset.hostname、target.ip、target.asset.ip、target.hostname、target.asset.hostname |
IP の場合は、observer.ip にマッピングされます。ホスト名の場合は observer.hostname にマッピングされます。また、ログカテゴリや他のフィールドに応じて、principal または target の IP/ホスト名を入力するさまざまなロジックでも使用されます。 |
r_msg_id |
sec_result.detection_fields.value、metadata.product_log_id |
「r_msg_id」として直接マッピングされます。sequence_num を使用できない場合は metadata.product_log_id としても使用されます。 |
r_seg_num |
sec_result.detection_fields.value、metadata.product_log_id |
「r_seg_num」として直接マッピングされます。sequence_num を使用できない場合は metadata.product_log_id としても使用されます。 |
r_total_seg |
sec_result.detection_fields.value |
直接マッピングされます。 |
RadiusFlowType |
sec_result.detection_fields.value |
直接マッピングされます。 |
RadiusPacketType |
sec_result.detection_fields.value |
「Radius Packet Type」として直接マッピングされます。 |
RegisterStatus |
sec_result.rule_name |
直接マッピングされます。 |
RequestLatency |
sec_result.detection_fields.value |
「Request Latency」として直接マッピングされます。 |
SelectedAccessService |
sec_result.detection_fields.value |
「Selected Access Service」として直接マッピングされます。 |
SelectedAuthorizationProfiles |
sec_result.detection_fields.value |
直接マッピングされます。 |
Serial Number |
network.tls.server.certificate.serial、about.labels.value |
serial_number としてマッピングされます。コンテキストに応じて、network.tls.server.certificate.serial または about.labels に「シリアル番号」として入力するために使用されます。 |
Service-Type |
sec_result.detection_fields.value |
直接マッピングされます。 |
SessionId |
network.session_id |
直接マッピングされます。 |
ShutdownReason |
sec_result.detection_fields.value |
「ShutdownReason」として直接マッピングされます。 |
SSID |
sec_result.detection_fields.value |
直接マッピングされます。 |
StaticGroupAssignment |
sec_result.detection_fields.value |
直接マッピングされます。 |
Subject |
about.labels.value |
直接マッピングされます。 |
Subject Alternative Name |
about.labels.value |
「Subject Alternative Name」として直接マッピングされます。 |
SysStatsCpuCount |
target.asset.hardware.cpu_number_cores |
直接マッピングされます。 |
SysStatsProcessMemoryMB |
target.asset.hardware.ram |
__hardware.ram として直接マッピングされます。 |
SysStatsUtilizationNetwork |
target.resource.name、network.sent_bytes、network.received_bytes |
ネットワーク アダプタ名、送信バイト数、受信バイト数が抽出され、マッピングされます。target.resource.resource_type は「UNSPECIFIED」に設定されています。 |
TimeToProfile |
sec_result.detection_fields.value |
直接マッピングされます。 |
Total Certainty Factor |
sec_result.detection_fields.value |
直接マッピングされます。 |
TotalFailedTime |
sec_result.detection_fields.value |
直接マッピングされます。 |
Tunnel-Client-Endpoint |
sec_result.detection_fields.value |
「Tunnel Client Endpoint」として直接マッピングされます。 |
UniqueConnectionIdentifier |
sec_result.detection_fields.value |
「一意の接続識別子」として直接マッピングされます。 |
UpdateTime |
sec_result.detection_fields.value |
直接マッピングされます。 |
User |
principal.user.userid |
直接マッピングされます。 |
User-Fetch-Email |
sec_result.detection_fields.value |
直接マッピングされます。 |
User-Fetch-Last-Name |
principal.user.last_name |
直接マッピングされます。 |
User-Fetch-LocalityName |
sec_result.detection_fields.value |
直接マッピングされます。 |
User-Fetch-StateOrProvinceName |
sec_result.detection_fields.value |
直接マッピングされます。 |
User-Fetch-Telephone |
principal.user.phone_numbers |
PhoneID として直接マッピングされます。 |
UserName |
principal.user.userid |
直接マッピングされます。空でない場合、また「""」または「unknown」でない場合、小文字に変換され、ハイフンはコロンに置き換えられます。また、MAC アドレス パターンと一致する場合は、principal.mac にマッピングされます。 |
User-Name |
principal.user.userid |
直接マッピングされます。 |
UserType |
principal.user.attribute.labels.value |
直接マッピングされます。 |
(パーサー ロジック)action |
sec_result.action |
msg_text に成功キーワードが含まれている場合は「ALLOW」、失敗キーワードが含まれている場合は「BLOCK」、それ以外の場合は「UNKNOWN_ACTION」に設定されます。 |
(パーサー ロジック)about.hostname |
about.hostname |
StepData=4 または stepdata から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.about |
event.idm.read_only_udm.about |
about.hostname、about.application、about.process.pid などのさまざまなフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.extensions.auth.mechanism |
event.idm.read_only_udm.extensions.auth.mechanism |
CISE_TACACS_Diagnostics カテゴリ内の特定のケースでは、「NETWORK」に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.extensions.auth.type |
event.idm.read_only_udm.extensions.auth.type |
さまざまなログイン/ログアウト イベントの場合は「MACHINE」、特定の TACACS イベントの場合は「TACACS」、その他のログイン イベントの場合は「AUTHTYPE_UNSPECIFIED」に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.collected_timestamp |
event.idm.read_only_udm.metadata.collected_timestamp |
logstash.process.timestamp から解析されます(利用可能な場合)。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.description |
event.idm.read_only_udm.metadata.description |
msg_class と msg_text から作成されます。msg_class を使用できない場合は msg_text のみを使用します。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.event_timestamp |
event.idm.read_only_udm.metadata.event_timestamp |
datetime フィールドから解析されます。datetime フィールドは、datetime と timezone または r_datetime から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.event_type |
event.idm.read_only_udm.metadata.event_type |
r_cat_name、msg_code などのフィールドに基づいて決定されます。GENERIC_EVENT、STATUS_UPDATE、NETWORK_CONNECTION、STATUS_HEARTBEAT、STATUS_STARTUP、STATUS_SHUTDOWN、USER_LOGIN、USER_LOGOUT、USER_RESOURCE_ACCESS、USER_UNCATEGORIZED、RESOURCE_READ、SCAN_NETWORK、STATUS_UNCATEGORIZED、NETWORK_FLOW のいずれかです。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.ingested_timestamp |
event.idm.read_only_udm.metadata.ingested_timestamp |
logstash.ingest.timestamp から解析されます(利用可能な場合)。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.log_type |
event.idm.read_only_udm.metadata.log_type |
「CISCO_ISE」に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.product_event_type |
event.idm.read_only_udm.metadata.product_event_type |
r_cat_name から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.product_log_id |
event.idm.read_only_udm.metadata.product_log_id |
可用性に応じて、sequence_num、r_seg_num、r_msg_id から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.product_name |
event.idm.read_only_udm.metadata.product_name |
「ISE」に設定します。利用可能な場合は MDMServerName に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.metadata.vendor_name |
event.idm.read_only_udm.metadata.vendor_name |
「Cisco」に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.network.http.user_agent |
event.idm.read_only_udm.network.http.user_agent |
ac-user-agent または EndpointUserAgent から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.network.ip_protocol |
event.idm.read_only_udm.network.ip_protocol |
特定のイベントタイプの場合は「TCP」に設定します。 |
(パーサー ロジック)event.idm.read_only_udm.network.session_id |
event.idm.read_only_udm.network.session_id |
SessionId から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.network.tls.cipher |
event.idm.read_only_udm.network.tls.cipher |
TLSCipher から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.network.tls.server.certificate.serial |
event.idm.read_only_udm.network.tls.server.certificate.serial |
Serial Number から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.network.tls.version |
event.idm.read_only_udm.network.tls.version |
TLSVersion から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.asset_id |
event.idm.read_only_udm.principal.asset.asset_id |
NetworkDeviceProfileId から派生し、接頭辞は「Cisco_ISE:」です。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.hardware |
event.idm.read_only_udm.principal.asset.hardware |
hardware.manufacturer や hardware.model などのフィールドが設定されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.ip |
event.idm.read_only_udm.principal.asset.ip |
ログカテゴリや他のフィールドに応じて、さまざまな IP アドレス フィールドから派生します。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.mac |
event.idm.read_only_udm.principal.asset.mac |
EndpointMacAddress、parsed_endpoint_mac、または他の MAC アドレス フィールドから適切な形式に変換された値。 |
(パーサー ロジック)event.idm.read_only_udm.principal.asset.platform_software.platform_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_version |
OperatingSystem、EndpointPolicy、ad_operating_system から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.group.group_display_name |
event.idm.read_only_udm.principal.group.group_display_name |
AD-Domain、IdentityGroup、EndpointIdentityGroup から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.group.product_object_id |
event.idm.read_only_udm.principal.group.product_object_id |
IdentityGroupID から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.hostname |
event.idm.read_only_udm.principal.hostname |
ログカテゴリと他のフィールドに応じて、r_ip_or_host、NetworkDeviceName、または他のホスト名フィールドから派生します。 |
(パーサー ロジック)event.idm.read_only_udm.principal.ip |
event.idm.read_only_udm.principal.ip |
ログカテゴリや他のフィールドに応じて、さまざまな IP アドレス フィールドから派生します。 |
(パーサー ロジック)event.idm.read_only_udm.principal.labels |
event.idm.read_only_udm.principal.labels |
nas_identifier、nas_port_type、nas_port_id などのフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.location.country_or_region |
event.idm.read_only_udm.principal.location.country_or_region |
Location から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.nat_ip |
event.idm.read_only_udm.principal.nat_ip |
NAS-IP-Address から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.nat_port |
event.idm.read_only_udm.principal.nat_port |
数値で 2147483648 未満の場合、NAS-Port から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.platform |
event.idm.read_only_udm.principal.platform |
device-platform または OperatingSystem から取得されます。WINDOWS、LINUX、MAC、UNKNOWN_PLATFORM のいずれか。 |
(パーサー ロジック)event.idm.read_only_udm.principal.platform_version |
event.idm.read_only_udm.principal.platform_version |
platform-version から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.port |
event.idm.read_only_udm.principal.port |
数値の場合は Device Port または Port から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.user.attribute.labels |
event.idm.read_only_udm.principal.user.attribute.labels |
「Admin Interface」、「UserType」、「Chargeable-User-Identity」などのフィールドが入力されています。 |
(パーサー ロジック)event.idm.read_only_udm.principal.user.phone_numbers |
event.idm.read_only_udm.principal.user.phone_numbers |
PhoneID または PhoneNumber から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.principal.user.userid |
event.idm.read_only_udm.principal.user.userid |
ログのカテゴリと他のフィールドに応じて、User、UserName、User-Name、AdminName、OriginalUserName、または他のユーザー名フィールドから取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.about.labels |
event.idm.read_only_udm.security_result.about.labels |
「IdentityPolicyMatchedRule」、「EndPointMatchedProfile」、「ObjectType」、「ObjectName」などのフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.action |
event.idm.read_only_udm.security_result.action |
msg_text または AuthenticationStatus から取得されます。ALLOW、BLOCK、UNKNOWN_ACTION のいずれか。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.detection_fields |
event.idm.read_only_udm.security_result.detection_fields |
ログのカテゴリや他のフィールドに応じて、さまざまなフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.description |
event.idm.read_only_udm.security_result.description |
AD-Error-Details または DetailedInfo から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.rule_name |
event.idm.read_only_udm.security_result.rule_name |
AuthorizationPolicyMatchedRule または RegisterStatus から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.severity |
event.idm.read_only_udm.security_result.severity |
msg_sev から取得されます。CRITICAL、ERROR、HIGH、MEDIUM、INFORMATIONAL のいずれか。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.severity_details |
event.idm.read_only_udm.security_result.severity_details |
msg_sev から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.security_result.summary |
event.idm.read_only_udm.security_result.summary |
msg_text または FailureReason から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.src.ip |
event.idm.read_only_udm.src.ip |
OperationMessageText から抽出された source_ip から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.src.port |
event.idm.read_only_udm.src.port |
数値の場合は、OperationMessageText から抽出された source_port から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.target.administrative_domain |
event.idm.read_only_udm.target.administrative_domain |
AD-Domain-Controller から取得されます。 |
(パーサー ロジック)event.idm.read_only_udm.target.asset.hardware |
event.idm.read_only_udm.target.asset.hardware |
_hardware.cpu_number_cores などのフィールドが入力されます。 |
(パーサー ロジック)event.idm.read_only_udm.target.asset.hostname |
` |
変更点
2024-05-10
- 「ExternalGroups」を「additional.fields」にマッピングしました。
2024-05-09
- 「CISE_Profiler」の新しい形式を解析するための Grok パターンを追加しました。
- 「CISE_Administrative_and_Operational_Audit」と「CISE_Alarm」の一部フィールドをマッピングしました。
2024-04-18
- 「msg_sev」を「security_result.severity_details」にマッピングしました。
- 「r_total_seg」、「r_seg_num」、「msg_code」、「r_msg_id」を「security_result.detection_fields」にマッピングしました。
- 「r_cat_name」を「security_result.category_details」にマッピングしました。
- 「msg_text」と「msg_class」を「metadata.description」にマッピングしました。
- 「target.ip」と「target.asset.ip」のマッピングを揃えました。
- 「target.hostname」と「target.asset.hostname」のマッピングを揃えました。
- 「principal.ip」と「principal.asset.ip」のマッピングを揃えました。
- 「principal.hostname」と「principal.asset.hostname」のマッピングを揃えました。
- 「msg_attrs」を解析するための Grok パターンを追加しました。
2024-04-10
- バグの修正:
- 「PeerName」の新しい形式を解析するための Grok パターンを追加しました。
2023-11-20
- 失敗した Syslog を解析するための新しい Grok パターンを追加しました。
- 「msg_code」が同じログを解析するために、「msg_code」5412 を追加しました。
2023-09-29
- JSON ログの新しいパターンに対応しました。
- 80002 ログと 80006 ログの「EndpointSourceEvent」、「NASIdentifier」、「NAS-Port-Type」、「NAS-Port-Id」、「ProfilerServer」を「security_result.detection_fields」にマッピングしました。
- 80002 ログと 80006 ログの「Location」のマッピングを「principal.location」から「target.location」に変更しました。
- 関数の置換と統合に on_error チェックを追加しました。
- 日付マッピングを変更し、「MEST」と「MESZ」のタイムゾーンで日付を解析できるようにしました。
2023-08-02
- 機能強化 -
- KV マッピングを追加して、「cisco-av-pair=dhcp-option=host-name」を解析し、「target.hostname」にマッピングしました。
- 「msg_text」に「failed|dropped|stop|rejected|down|abandoned|block|blocking|invalid」が含まれている場合に、「security_result.action」のマッピングを「FAIL」から「BLOCK」に変更しました。
2023-07-18
- 機能強化 -
- 「cisco-av-pair=dhcp-option=host-name」を「target.hostname」にマッピングしました。
- 「User-Name」のマッピングを「target.user.userid」から「principal.user.userid」に変更しました。
- 「UserName」のマッピングを「target.user.userid」から「principal.user.userid」に変更しました。
- 「User」のマッピングを「target.user.userid」から「principal.user.userid」に変更しました。
- 「PhoneNumber」のマッピングを「target.user.phone_numbers」から「principal.user.phone_numbers」に変更しました。
- プロファイラ イベントタイプ 80002、80006 の「FramedIPAddress」を「security_result.detection_fields」にマッピングしました。
- 日付マッピングを変更し、「EASTERN」タイムゾーンで日付を解析するようにしました。
- 「PeerAddress」に一致する Grok パターンを追加しました。
2023-06-07
- 機能強化 -
- 新しいログパターンを解析するための Grok パターンを追加しました。
2023-05-26
- 機能強化 -
- 日付マッピングを変更し、「BJ」タイムゾーンで日付を解析するようにしました。
2023-04-18
- 機能強化 -
- JSON ログを処理する「json」ブロックを追加しました。
- 「logstash.irm_region」を「additional.fields」にマッピングしました。
- 「logstash.irm_environment」を「additional.fields」にマッピングしました。
- 「logstash.irm_site」を「additional.fields」にマッピングしました。
- 「logstash.ingest.timestamp」を「metadata.ingested_timestamp」にマッピングしました。
- 「logstash.process.timestamp」を「metadata.collected_timestamp」にマッピングしました。
2023-03-01
- 機能強化 -
- 「Calling-Station-ID」が IP アドレスの場合は、それを「principal.ip」にマッピングします。
- 正規表現の条件を追加し、principal.mac にマッピングする前に、device-mac フィールドの MAC アドレスを検証できるようにしました。
2022-12-08
- 機能強化 -
- 「assetDeviceType」を「principal.resource.name」にマッピングしました。
- 「assetIncidentScore」を「security_result.detection_fields」にマッピングしました。
- 「PostureAssessmentStatus」を「security_result.detection_fields」にマッピングしました。
- 「PolicyVersion」を「security_result.detection_fields」にマッピングしました。
- 「EndPointVersion」を「security_result.detection_fields」にマッピングしました。
- 「EndPointPolicyID」を「security_result.detection_fields」にマッピングしました。
2022-10-13
- 機能強化 - SYSLOGTIMESTAMP の日付形式の日付マッピングを修正しました。
2022-08-10
- 機能強化 - 次のフィールドのマッピングを「additional.fields」から「security_result.detection_fields」に変更しました。
- 'CPMSessionID', 'NASPort', 'AD-Log-Id', 'AD-Srv-Query', 'AD-Srv-Record', 'Tunnel-Client-Endpoint', 'IsThirdPartyDeviceFlow', 'PostureStatus', 'OperationMessageText', 'AcsSessionID', 'SelectedAccessService', 'RadiusPacketType', 'ISELocalAddress', 'ISEModuleName', 'ISEServiceName', 'ConnectionStatus', 'UniqueConnectionIdentifier', 'Audit_session_id', 'EndpointCertainityMetric', 'EndpointNADAddress', 'EndpointOUI', 'EndpointProperty', 'AuthenticationIdentityStore', 'AD-Host-Candidate-Identities', 'PostureExpiry', 'allowEasyWiredSession', 'ConfigVersionId', 'RequestLatency', 'Service-Type', 'Framed-Protocol', 'Class', 'Called-Station-ID', 'Calling-Station-ID', 'Acct-Status-Type', 'Acct-Delay-Time', 'Acct-Input-Octets', 'Acct-Output-Octets', 'Acct-Session-Id', 'Acct-Authentic', 'Acct-Session-Time', 'Acct-Input-Packets', 'Acct-Output-Packets', 'Acct-Terminate-Cause', 'Protocol'.
2022-08-12
- バグの修正 -
- フィールド「prinicipal.asset.hostname」のマッピングを「intermediary.hostname」に変更しました。
- event_type を GENERIC_EVENT から STATUS_UPDATE または NETWORK_CONNECTION に変更しました。
2022-07-11
- バグの修正 - Product_event_type が 5440 RADIUS の場合に、NetworkDeviceName を「event.idm.read_only_udm.principal.hostname」にマッピングしました。
- r_ip_or_host を observer.ip または observer.hostname にマッピングしました。
- 不正な形式またはエンコードされたログを破棄しました。
2022-05-02
- バグの修正 - log_type が「CISE_Failed_Attempts」の場合の「security_result.action」のマッピングを「ALLOW」から「FAIL」に修正しました。
2022-04-21
- 機能拡張 - log_type='CISE_Profiler' のログを解析しました
- log_type='CISE_TACACS_Accounting で event_type を「GENERIC_EVENT」から「USER_UNCATEGORIZED」に変更しました
- 「NASPort」フィールドと「Port」フィールドに適切な条件を追加しました。
2022-04-18
- 「foreign_ip」を「intermediary.ip」にマッピングしました
- log_type='CISE_TACACS_Accounting' と 'CISE_RADIUS_Accounting' のログを解析しました。
- log_type='CISE_TACACS_Accounting で event_type を「GENERIC_EVENT」から「USER_UNCATEGORIZED」に変更しました
- 「NASPort」フィールドに適切な条件を追加しました。
2022-04-13
- イベントの NAS-Port-Id をマッピング: 5200。
- イベント 60188、60125、60116、60115、60081、60080、51021、51020、51003、51002、51001、51000、52000、52001、52002 のホスト名をマッピングしました。
- イベントの about.labels 内のオペレーション メッセージのテキストをマッピングしました(52000)。
- イベントの additional_fields のシリアル番号を 5200 にマッピングしました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。