Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Cisco ISE

Compatível com:

Google SecOps SIEM

Neste documento, descrevemos como coletar registros do Cisco Identity Services Engine (ISE) usando um encaminhador do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google Security Operations.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão CISCO_ISE.

Configurar o Cisco ISE

Faça login no console do Cisco ISE usando as credenciais de administrador.
No console do Cisco ISE, selecione Administração > Sistema > Geração de registros > Destinos de geração de registros remotos.
Na janela Destinos de geração de registros remotos, clique em Adicionar. A janela Novo destino de geração de registros será exibida.

Na seção Destino de geração de registros, especifique valores para os seguintes campos:

Campo	Descrição
Nome	Nome do encaminhador do Google Security Operations.
Descrição	Descrição do encaminhador do Google Security Operations.
Tipo	Tipo de destino de registro remoto, como syslog.
Endereço IP	Endereço IP do encaminhador do Google Security Operations.
Tipo de destino	Selecione "Syslog TCP" ou "Syslog UDP".
Porta	Use uma porta alta, como 10514.
Código da unidade	É possível especificar um dos seguintes valores: LOCAL0 (código = 16) LOCAL1 (código = 17) LOCAL2 (código = 18) LOCAL3 (código = 19) LOCAL4 (código = 20) LOCAL5 (código = 21) LOCAL6 (código = 22; padrão) LOCAL7 (código = 23)
Comprimento máximo	O valor recomendado é 1024.

Clique em Enviar. A janela Destinos de registros remotos aparece com a nova configuração de encaminhador do Google Security Operations.
No console do Cisco ISE, selecione Administração > Sistema > Geração de registros > Categorias de geração de registros.
Na janela Categorias de geração de registros, selecione as categorias para as quais você quer definir o destino syslog remoto e adicione o destino syslog remoto.

As categorias de amostra são: auditorias de AAA, diagnósticos de AAA, contabilidade, auditoria administrativa e operacional, auditoria de postura e provisionamento de clientes, diagnósticos de postura e provisionamento de clientes, profiler, diagnósticos de sistema e estatísticas do sistema.

Configurar o encaminhador e o syslog do Google Security Operations para ingerir registros do Cisco Secure ACS

Acesse Configurações do SIEM > Encaminhadores.
Clique em Adicionar novo encaminhador.
No campo Nome do encaminhador, insira um nome exclusivo para ele.
Clique em Enviar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
No campo Nome do coletor, digite um nome.
Selecione Cisco ISE como o Tipo de registro.
Selecione Syslog como o Tipo de coletor.
Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo.
- Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor está localizado e os endereços para os dados do syslog.
- Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
Clique em Enviar.

Para mais informações sobre encaminhadores do Google Security Operations, consulte a documentação sobre encaminhadores do Google Security Operations. Para informações sobre os requisitos de cada tipo de encaminhador, consulte Configuração do encaminhador por tipo. Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google Security Operations.

Referência de mapeamento de campos

Esse analisador extrai registros do Cisco ISE de mensagens syslog, normaliza os dados no formato UDM e enriquece o evento com mais contexto. Ele processa várias categorias de registros do ISE, incluindo sucessos e falhas de autenticação, auditorias administrativas, estatísticas do sistema e muito mais, mapeando campos relevantes para o esquema da UDM e adicionando rótulos específicos para uma análise detalhada.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`Acct-Authentic`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Delay-Time`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Input-Octets`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Input-Packets`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Output-Octets`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Output-Packets`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Session-Id`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Session-Time`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Status-Type`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Acct-Terminate-Cause`	`sec_result.detection_fields.value`	Mapeado diretamente.
`AcsSessionID`	`sec_result.detection_fields.value`	Mapeado diretamente como "Acs SessionID".
`AD-Account-Name`	`principal.user.userid`	Mapeado diretamente.
`AD-Domain`	`principal.group.group_display_name`	Mapeado diretamente.
`AD-Domain-Controller`	`target.administrative_domain`	Mapeado diretamente.
`AD-Error-Details`	`sec_result.description`	Mapeado diretamente.
`AD-Host-Candidate-Identities`	`sec_result.detection_fields.value`	Mapeado diretamente.
`AD-IP-Address`	`target.ip`, `target.asset.ip`	Mapeado diretamente.
`AD-Log-Id`	`sec_result.detection_fields.value`	Mapeado diretamente como "AD-Log-Id".
`AD-Operating-System`	`principal.asset.platform_software.platform_version`	Mapeado diretamente como `ad_operating_system`. Se contiver "Windows", `principal.platform` será definido como "WINDOWS".
`AD-Site`	`target.location.name`	Mapeado diretamente.
`AD-Srv-Query`	`sec_result.detection_fields.value`	Mapeado diretamente como "AD-Srv-Query".
`AD-Srv-Record`	`sec_result.detection_fields.value`	Mapeado diretamente como "AD-Srv-Record".
`AD-User-Resolved-Identities`	`sec_result.detection_fields.value`	Mapeado diretamente.
`AD-User-SamAccount-Name`	`principal.user.attribute.labels.value`	Mapeado diretamente.
`AdminIPAddress`	`principal.ip`, `principal.asset.ip`	Mapeado diretamente.
`AdminInterface`	`principal.user.attribute.labels.value`	Mapeado diretamente como "Interface de administrador".
`AdminName`	`principal.user.userid`	Mapeado diretamente. Um `user.attribute.roles` com o tipo "ADMINISTRATOR" também é adicionado.
`AuthenticationIdentityStore`	`sec_result.detection_fields.value`	Mapeado diretamente como "Authentication Identity Store".
`AuthenticationStatus`	`sec_result.action_details`	Mapeado diretamente. Se o valor corresponder a "AuthenticationPassed", `sec_result.action` será definido como "ALLOW". Caso contrário, será "BLOCK".
`AuthorizationPolicyMatchedRule`	`sec_result.rule_name`	Mapeado com o prefixo "AuthorizationPolicyMatchedRule : ".
`BYODRegistration`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Called-Station-ID`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Calling-Station-ID`	`sec_result.detection_fields.value`, `principal.ip`, `principal.asset.ip`	Mapeado diretamente. Se for um endereço IP, também mapeado para `principal.ip` e `principal.asset.ip`.
`cdpCachePlatform`	`principal.asset.hardware.model`	Mapeado diretamente.
`Class`	`sec_result.detection_fields.value`	Mapeado diretamente.
`ClientLatency`	`sec_result.detection_fields.value`	Mapeado diretamente.
`CmdSet`	`target.process.command_line`	Mapeado diretamente após a remoção de colchetes e espaços ao redor.
`ConfigVersionId`	`sec_result.detection_fields.value`	Mapeado diretamente como "ID da versão da configuração".
`ConnectionStatus`	`sec_result.detection_fields.value`	Mapeado diretamente como "Status da conexão".
`CPMSessionID`	`sec_result.detection_fields.value`	Mapeado diretamente.
`CreateTime`	`principal.asset.attribute.creation_time`	Analisado como carimbo de data/hora UNIX_MS.
`DetailedInfo`	`sec_result.description`	Mapeado diretamente após a remoção das barras invertidas.
`DestinationIPAddress`	`target.ip`, `target.asset.ip`	Mapeado diretamente. Define `has_target` como "true".
`DestinationPort`	`target.port`	Mapeado diretamente se for numérico.
`Device IP Address`	`principal.ip`, `principal.asset.ip`, `_intermediary.ip`, `target.ip`, `target.asset.ip`	Mapeado como `DeviceIPAddress`. Usado em várias lógicas para preencher `principal.ip`, `_intermediary.ip` ou `target.ip`, dependendo da categoria de registro e de outros campos.
`Device Port`	`principal.port`, `_intermediary.port`, `target.port`	Mapeado como `DevicePort`. Usado em várias lógicas para preencher `principal.port`, `_intermediary.port` ou `target.port`, dependendo da categoria de registro e de outros campos.
`Device Type`	`principal.asset.hardware.model`	Mapeado diretamente como `device-type`.
`DTLSSupport`	`sec_result.detection_fields.value`	Mapeado diretamente.
`EndPointMACAddress`	`principal.asset.mac`	Mapeado diretamente após a conversão para letras minúsculas e a substituição de hifens por dois-pontos.
`EndPointMatchedProfile`	`sec_result.about.labels.value`	Mapeado diretamente.
`EndpointCertainityMetric`	`sec_result.detection_fields.value`	Mapeado diretamente como "Métrica de certeza do endpoint".
`EndpointIdentityGroup`	`principal.group.group_display_name`	Mapeado diretamente.
`EndpointIPAddress`	`principal.asset.ip`	Mapeado diretamente.
`EndpointNADAddress`	`sec_result.detection_fields.value`	Mapeado diretamente como "Endereço NAD do endpoint".
`EndpointOUI`	`sec_result.detection_fields.value`	Mapeado diretamente como "OUI do endpoint".
`EndpointPolicy`	`principal.asset.platform_software.platform_version`	Mapeado diretamente.
`EndpointProperty`	`sec_result.detection_fields.value`	Mapeado diretamente como "Propriedade do endpoint".
`EndpointSourceEvent`	`sec_result.detection_fields.value`	Mapeado diretamente.
`EndpointUserAgent`	`network.http.user_agent`	Mapeado diretamente.
`EndPointVersion`	`sec_result.detection_fields.value`	Mapeado diretamente.
`FailureReason`	`sec_result.detection_fields.value`, `sec_result.summary`, `sec_result.description`	Mapeado como `FailureReason`. Usado para preencher `sec_result.detection_fields` como "Motivo da falha", `sec_result.summary` ou `sec_result.description`, dependendo do contexto.
`FirstCollection`	`principal.asset.first_discover_time`	Analisado como carimbo de data/hora UNIX_MS.
`Framed-IP-Address`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Framed-IPv6-Address`	`FramedIPAddress`	Mapeado diretamente.
`Framed-Protocol`	`sec_result.detection_fields.value`	Mapeado diretamente.
`IdentityGroup`	`principal.group.group_display_name`	Mapeado diretamente.
`IdentityGroupID`	`principal.group.product_object_id`	Mapeado diretamente.
`IdentityPolicyMatchedRule`	`sec_result.about.labels.value`	Mapeado diretamente.
`IdentitySelectionMatchedRule`	`sec_result.detection_fields.value`	Mapeado diretamente.
`IMEI`	`target.asset.product_object_id`	Mapeado diretamente.
`ISELocalAddress`	`_intermediary.ip`, `principal.ip`, `principal.asset.ip`, `_intermediary.port`, `principal.port`, `sec_result.detection_fields.value`	Se estiver em `CISE_Administrative_and_Operational_Audit`, o IP e a porta serão extraídos e mapeados para `_intermediary` e `principal`. Caso contrário, mapeado diretamente como "Endereço local do ISE" para `sec_result.detection_fields`.
`ISEModuleName`	`sec_result.detection_fields.value`	Mapeado diretamente como "Nome do módulo ISE".
`ISEServiceName`	`sec_result.detection_fields.value`	Mapeado diretamente como "Nome do serviço ISE".
`IsThirdPartyDeviceFlow`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Issuer`	`about.labels.value`	Mapeado diretamente.
`LastActivity`	`principal.asset.last_discover_time`	Analisado como carimbo de data/hora UNIX_MS.
`LastNmapScanTime`	`sec_result.detection_fields.value`	Mapeado diretamente.
`lldpChassisId`	`target.mac`	Mapeado diretamente após a análise como endereço MAC.
`lldpSystemName`	`target.hostname`, `target.asset.hostname`	Mapeado diretamente.
`Location`	`principal.location.country_or_region`, `target.location.country_or_region`	Mapeado diretamente para o local `principal` ou `target`, dependendo da categoria do registro.
`Manufacturer`	`target.asset.hardware.manufacturer`	Mapeado diretamente.
`MessageCode`	`sec_result.detection_fields.value`, `metadata.event_type`	Mapeado diretamente como `msg_code`. Usado na lógica para determinar `metadata.event_type`.
`Model`	`target.asset.hardware.model`	Mapeado diretamente.
`NAS-IP-Address`	`principal.nat_ip`	Mapeado diretamente.
`NAS-Identifier`	`principal.labels.value`	Mapeado diretamente como `nas_identifier`.
`NAS-Port`	`principal.nat_port`, `sec_result.detection_fields.value`, `principal.labels.value`	Mapeado como `NASPort`. Se for numérico e menor que 2147483648, será mapeado para `principal.nat_port`. Caso contrário, será mapeado como string para `sec_result.detection_fields` como "NAS Port" ou `principal.labels` como "NAS-Port".
`NAS-Port-Id`	`principal.labels.value`, `sec_result.detection_fields.value`	Mapeado como `NASPortId`. Usado para preencher `principal.labels` como "nas_port_id" ou `sec_result.detection_fields` como "nas_port_id".
`NAS-Port-Type`	`principal.labels.value`, `sec_result.detection_fields.value`	Mapeado como `NASPortType`. Usado para preencher `principal.labels` como "nas_port_type" ou `sec_result.detection_fields` como "Nas-Port-Type".
`NetworkDeviceGroups`	`sec_result.detection_fields.value`	Mapeado diretamente.
`NetworkDeviceName`	`_intermediary.hostname`, `principal.hostname`, `principal.asset.hostname`, `target.hostname`, `target.asset.hostname`	Mapeado como `NetworkDeviceName`. Usado em várias lógicas para preencher `_intermediary.hostname`, `principal.hostname` ou `target.hostname`, dependendo da categoria de registro e de outros campos.
`NetworkDeviceProfileId`	`principal.asset.asset_id`	Mapeado com o prefixo "Cisco_ISE:".
`NetworkDeviceProfileName`	`principal.asset.attribute.labels.value`	Mapeado diretamente.
`ObjectName`	`sec_result.about.labels.value`	Mapeado diretamente.
`ObjectType`	`sec_result.about.labels.value`	Mapeado diretamente.
`OperatingSystem`	`target.asset.platform_software.platform_version`, `principal.asset.platform_software.platform_version`, `principal.platform`	Mapeado como `OperatingSystem`. Usado para preencher `target.asset.platform_software.platform_version` ou `principal.asset.platform_software.platform_version`. Se contiver "Win", `principal.platform` será definido como "WINDOWS". Se contiver "lin", `principal.platform` será definido como "LINUX". Se o conteúdo tiver "iOS", `principal.platform` será definido como "MAC".
`OperationMessageText`	`sec_result.detection_fields.value`, `about.labels.value`, `sec_result.summary`	Mapeado como `OperationMessageText`. Usado para preencher `sec_result.detection_fields` como "Texto da mensagem da operação", `about.labels` como "Texto da mensagem da operação" ou `sec_result.summary`, dependendo do contexto. Se ele tiver detalhes de conexão, eles serão extraídos e mapeados para `src` e `target`.
`OriginalUserName`	`principal.user.userid`	Mapeado diretamente como `User`.
`PeerAddress`	`target.mac`	Mapeado diretamente após a conversão para letras minúsculas e a substituição de hifens por dois-pontos.
`PeerName`	`target.hostname`, `target.asset.hostname`	O IP e o nome do host são extraídos e mapeados para `target.ip` e `target.hostname`.
`PhoneID`	`principal.user.phone_numbers`	Mapeado diretamente como `User-Fetch-Telephone`.
`PhoneNumber`	`principal.user.phone_numbers`	Mapeado diretamente.
`PolicyVersion`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Port`	`_intermediary.port`, `principal.port`, `target.port`	Mapeado como `Port`. Usado em várias lógicas para preencher `_intermediary.port`, `principal.port` ou `target.port`, dependendo da categoria de registro e de outros campos.
`PostureAssessmentStatus`	`sec_result.detection_fields.value`	Mapeado diretamente.
`PostureExpiry`	`sec_result.detection_fields.value`	Mapeado diretamente.
`PostureStatus`	`sec_result.detection_fields.value`	Mapeado diretamente como "Status da postura".
`ProfilerServer`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Protocol`	`sec_result.detection_fields.value`	Mapeado diretamente.
`r_cat_name`	`metadata.product_event_type`	Mapeado diretamente.
`r_ip_or_host`	`observer.ip`, `observer.hostname`, `principal.ip`, `principal.asset.ip`, `principal.hostname`, `principal.asset.hostname`, `target.ip`, `target.asset.ip`, `target.hostname`, `target.asset.hostname`	Se um IP mapeado para `observer.ip`. Se um nome de host, mapeado para `observer.hostname`. Também usado em várias lógicas para preencher o IP/nome do host `principal` ou `target`, dependendo da categoria de registro e de outros campos.
`r_msg_id`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Mapeado diretamente como "r_msg_id". Também usado como `metadata.product_log_id` se `sequence_num` não estiver disponível.
`r_seg_num`	`sec_result.detection_fields.value`, `metadata.product_log_id`	Mapeado diretamente como "r_seg_num". Também usado como `metadata.product_log_id` se `sequence_num` não estiver disponível.
`r_total_seg`	`sec_result.detection_fields.value`	Mapeado diretamente.
`RadiusFlowType`	`sec_result.detection_fields.value`	Mapeado diretamente.
`RadiusPacketType`	`sec_result.detection_fields.value`	Mapeado diretamente como "Tipo de pacote Radius".
`RegisterStatus`	`sec_result.rule_name`	Mapeado diretamente.
`RequestLatency`	`sec_result.detection_fields.value`	Mapeado diretamente como "Latência da solicitação".
`SelectedAccessService`	`sec_result.detection_fields.value`	Mapeado diretamente como "Serviço de acesso selecionado".
`SelectedAuthorizationProfiles`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Serial Number`	`network.tls.server.certificate.serial`, `about.labels.value`	Mapeado como `serial_number`. Usado para preencher `network.tls.server.certificate.serial` ou `about.labels` como "Número de série", dependendo do contexto.
`Service-Type`	`sec_result.detection_fields.value`	Mapeado diretamente.
`SessionId`	`network.session_id`	Mapeado diretamente.
`ShutdownReason`	`sec_result.detection_fields.value`	Mapeado diretamente como "ShutdownReason".
`SSID`	`sec_result.detection_fields.value`	Mapeado diretamente.
`StaticGroupAssignment`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Subject`	`about.labels.value`	Mapeado diretamente.
`Subject Alternative Name`	`about.labels.value`	Mapeado diretamente como "Nome alternativo do sujeito".
`SysStatsCpuCount`	`target.asset.hardware.cpu_number_cores`	Mapeado diretamente.
`SysStatsProcessMemoryMB`	`target.asset.hardware.ram`	Mapeado diretamente como `__hardware.ram`.
`SysStatsUtilizationNetwork`	`target.resource.name`, `network.sent_bytes`, `network.received_bytes`	O nome do adaptador de rede, os bytes enviados e os bytes recebidos são extraídos e mapeados. `target.resource.resource_type` está definido como "UNSPECIFIED".
`TimeToProfile`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Total Certainty Factor`	`sec_result.detection_fields.value`	Mapeado diretamente.
`TotalFailedTime`	`sec_result.detection_fields.value`	Mapeado diretamente.
`Tunnel-Client-Endpoint`	`sec_result.detection_fields.value`	Mapeado diretamente como "Endpoint do cliente de túnel".
`UniqueConnectionIdentifier`	`sec_result.detection_fields.value`	Mapeado diretamente como "Identificador exclusivo de conexão".
`UpdateTime`	`sec_result.detection_fields.value`	Mapeado diretamente.
`User`	`principal.user.userid`	Mapeado diretamente.
`User-Fetch-Email`	`sec_result.detection_fields.value`	Mapeado diretamente.
`User-Fetch-Last-Name`	`principal.user.last_name`	Mapeado diretamente.
`User-Fetch-LocalityName`	`sec_result.detection_fields.value`	Mapeado diretamente.
`User-Fetch-StateOrProvinceName`	`sec_result.detection_fields.value`	Mapeado diretamente.
`User-Fetch-Telephone`	`principal.user.phone_numbers`	Mapeado diretamente como `PhoneID`.
`UserName`	`principal.user.userid`	Mapeado diretamente. Se não estiver vazio e não for "" ou "unknown", ele será convertido em minúsculas, os hífens serão substituídos por dois-pontos e, se corresponder a um padrão de endereço MAC, também será mapeado para `principal.mac`.
`User-Name`	`principal.user.userid`	Mapeado diretamente.
`UserType`	`principal.user.attribute.labels.value`	Mapeado diretamente.
(Lógica do analisador) `action`	`sec_result.action`	Definido como "ALLOW" se `msg_text` contiver palavras-chave de sucesso, "BLOCK" se contiver palavras-chave de falha e "UNKNOWN_ACTION" caso contrário.
(Lógica do analisador) `about.hostname`	`about.hostname`	Derivado de `StepData=4` ou `stepdata`.
(Lógica do analisador) `event.idm.read_only_udm.about`	`event.idm.read_only_udm.about`	Preenchido com vários campos, como `about.hostname`, `about.application` e `about.process.pid`.
(Lógica do analisador) `event.idm.read_only_udm.extensions.auth.mechanism`	`event.idm.read_only_udm.extensions.auth.mechanism`	Definido como "NETWORK" em determinados casos na categoria `CISE_TACACS_Diagnostics`.
(Lógica do analisador) `event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	Definido como "MACHINE" para vários eventos de login/logout, "TACACS" para determinados eventos do TACACS e "AUTHTYPE_UNSPECIFIED" para outros eventos de login.
(Lógica do analisador) `event.idm.read_only_udm.metadata.collected_timestamp`	`event.idm.read_only_udm.metadata.collected_timestamp`	Analisado de `logstash.process.timestamp`, se disponível.
(Lógica do analisador) `event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	Construído com `msg_class` e `msg_text` ou apenas `msg_text` se `msg_class` não estiver disponível.
(Lógica do analisador) `event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado do campo `datetime`, que é derivado de `datetime` e `timezone` ou `r_datetime`.
(Lógica do analisador) `event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	Determinado com base em `r_cat_name`, `msg_code` e outros campos. Pode ser GENERIC_EVENT, STATUS_UPDATE, NETWORK_CONNECTION, STATUS_HEARTBEAT, STATUS_STARTUP, STATUS_SHUTDOWN, USER_LOGIN, USER_LOGOUT, USER_RESOURCE_ACCESS, USER_UNCATEGORIZED, RESOURCE_READ, SCAN_NETWORK, STATUS_UNCATEGORIZED, NETWORK_FLOW.
(Lógica do analisador) `event.idm.read_only_udm.metadata.ingested_timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	Analisado de `logstash.ingest.timestamp`, se disponível.
(Lógica do analisador) `event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	Defina como "CISCO_ISE".
(Lógica do analisador) `event.idm.read_only_udm.metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	Derivado de `r_cat_name`.
(Lógica do analisador) `event.idm.read_only_udm.metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Derivado de `sequence_num`, `r_seg_num` ou `r_msg_id`, dependendo da disponibilidade.
(Lógica do analisador) `event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	Defina como "ISE" ou `MDMServerName`, se disponível.
(Lógica do analisador) `event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	Defina como "Cisco".
(Lógica do analisador) `event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Derivado de `ac-user-agent` ou `EndpointUserAgent`.
(Lógica do analisador) `event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	Definido como "TCP" para determinados tipos de evento.
(Lógica do analisador) `event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	Derivado de `SessionId`.
(Lógica do analisador) `event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	Derivado de `TLSCipher`.
(Lógica do analisador) `event.idm.read_only_udm.network.tls.server.certificate.serial`	`event.idm.read_only_udm.network.tls.server.certificate.serial`	Derivado de `Serial Number`.
(Lógica do analisador) `event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	Derivado de `TLSVersion`.
(Lógica do analisador) `event.idm.read_only_udm.principal.asset.asset_id`	`event.idm.read_only_udm.principal.asset.asset_id`	Derivado de `NetworkDeviceProfileId` com o prefixo "Cisco_ISE:".
(Lógica do analisador) `event.idm.read_only_udm.principal.asset.hardware`	`event.idm.read_only_udm.principal.asset.hardware`	Preenchido com campos como `hardware.manufacturer` e `hardware.model`.
(Lógica do analisador) `event.idm.read_only_udm.principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	Derivado de vários campos de endereço IP, dependendo da categoria de registro e de outros campos.
(Lógica do analisador) `event.idm.read_only_udm.principal.asset.mac`	`event.idm.read_only_udm.principal.asset.mac`	Derivado de `EndpointMacAddress`, `parsed_endpoint_mac` ou outros campos de endereço MAC após a formatação adequada.
(Lógica do analisador) `event.idm.read_only_udm.principal.asset.platform_software.platform_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_version`	Derivado de `OperatingSystem`, `EndpointPolicy` ou `ad_operating_system`.
(Lógica do analisador) `event.idm.read_only_udm.principal.group.group_display_name`	`event.idm.read_only_udm.principal.group.group_display_name`	Derivado de `AD-Domain`, `IdentityGroup` ou `EndpointIdentityGroup`.
(Lógica do analisador) `event.idm.read_only_udm.principal.group.product_object_id`	`event.idm.read_only_udm.principal.group.product_object_id`	Derivado de `IdentityGroupID`.
(Lógica do analisador) `event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	Derivado de `r_ip_or_host`, `NetworkDeviceName` ou outros campos de nome do host, dependendo da categoria de registro e de outros campos.
(Lógica do analisador) `event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	Derivado de vários campos de endereço IP, dependendo da categoria de registro e de outros campos.
(Lógica do analisador) `event.idm.read_only_udm.principal.labels`	`event.idm.read_only_udm.principal.labels`	Preenchido com campos como `nas_identifier`, `nas_port_type` e `nas_port_id`.
(Lógica do analisador) `event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	Derivado de `Location`.
(Lógica do analisador) `event.idm.read_only_udm.principal.nat_ip`	`event.idm.read_only_udm.principal.nat_ip`	Derivado de `NAS-IP-Address`.
(Lógica do analisador) `event.idm.read_only_udm.principal.nat_port`	`event.idm.read_only_udm.principal.nat_port`	Derivado de `NAS-Port` se for numérico e menor que 2147483648.
(Lógica do analisador) `event.idm.read_only_udm.principal.platform`	`event.idm.read_only_udm.principal.platform`	Derivado de `device-platform` ou `OperatingSystem`. Pode ser WINDOWS, LINUX, MAC ou UNKNOWN_PLATFORM.
(Lógica do analisador) `event.idm.read_only_udm.principal.platform_version`	`event.idm.read_only_udm.principal.platform_version`	Derivado de `platform-version`.
(Lógica do analisador) `event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	Derivado de `Device Port` ou `Port` se for numérico.
(Lógica do analisador) `event.idm.read_only_udm.principal.user.attribute.labels`	`event.idm.read_only_udm.principal.user.attribute.labels`	Preenchido com campos como "Admin Interface", "UserType" e "Chargeable-User-Identity".
(Lógica do analisador) `event.idm.read_only_udm.principal.user.phone_numbers`	`event.idm.read_only_udm.principal.user.phone_numbers`	Derivado de `PhoneID` ou `PhoneNumber`.
(Lógica do analisador) `event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	Derivado de `User`, `UserName`, `User-Name`, `AdminName`, `OriginalUserName` ou outros campos de nome de usuário, dependendo da categoria de registro e de outros campos.
(Lógica do analisador) `event.idm.read_only_udm.security_result.about.labels`	`event.idm.read_only_udm.security_result.about.labels`	Preenchido com campos como "IdentityPolicyMatchedRule", "EndPointMatchedProfile", "ObjectType" e "ObjectName".
(Lógica do analisador) `event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	Derivado de `msg_text` ou `AuthenticationStatus`. Pode ser ALLOW, BLOCK ou UNKNOWN_ACTION.
(Lógica do analisador) `event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	Preenchido com vários campos, dependendo da categoria de registro e de outros campos.
(Lógica do analisador) `event.idm.read_only_udm.security_result.description`	`event.idm.read_only_udm.security_result.description`	Derivado de `AD-Error-Details` ou `DetailedInfo`.
(Lógica do analisador) `event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Derivado de `AuthorizationPolicyMatchedRule` ou `RegisterStatus`.
(Lógica do analisador) `event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	Derivado de `msg_sev`. Pode ser CRITICAL, ERROR, HIGH, MEDIUM ou INFORMATIONAL.
(Lógica do analisador) `event.idm.read_only_udm.security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	Derivado de `msg_sev`.
(Lógica do analisador) `event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	Derivado de `msg_text` ou `FailureReason`.
(Lógica do analisador) `event.idm.read_only_udm.src.ip`	`event.idm.read_only_udm.src.ip`	Derivado de `source_ip` extraído de `OperationMessageText`.
(Lógica do analisador) `event.idm.read_only_udm.src.port`	`event.idm.read_only_udm.src.port`	Derivado de `source_port` extraído de `OperationMessageText`, se for numérico.
(Lógica do analisador) `event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	Derivado de `AD-Domain-Controller`.
(Lógica do analisador) `event.idm.read_only_udm.target.asset.hardware`	`event.idm.read_only_udm.target.asset.hardware`	Preenchido com campos como `_hardware.cpu_number_cores`.
(Lógica do analisador) `event.idm.read_only_udm.target.asset.hostname`	`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.