本頁面由 Cloud Translation API 翻譯而成。

收集 Cisco ISE 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Google Security Operations 轉送器收集 Cisco Identity Services Engine (ISE) 記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 CISCO_ISE 攝入標籤的剖析器。

設定 Cisco ISE

使用管理員憑證登入 Cisco ISE 控制台。
在 Cisco ISE 控制台中，依序選取「Administration」>「System」>「Logging」>「Remote logging targets」。
在「遠端記錄目標」視窗中，按一下「新增」。系統會顯示「New logging target」(新增記錄目標) 視窗。

在「記錄目標」部分，為下列欄位指定值：

欄位	說明
名稱	Google Security Operations 轉送器的名稱。
說明	Google Security Operations 轉送器說明。
類型	遠端記錄目標的類型，例如系統記錄。
IP 位址	Google Security Operations 轉寄端的 IP 位址。
目標類型	選取 TCP 系統記錄檔或 UDP 系統記錄檔。
通訊埠	使用高通訊埠，例如 10514。
設施代碼	您可以指定下列其中一個值： LOCAL0 (代碼 = 16) LOCAL1 (代碼 = 17) LOCAL2 (代碼 = 18) LOCAL3 (代碼 = 19) LOCAL4 (代碼 = 20) LOCAL5 (代碼 = 21) LOCAL6 (代碼 = 22；預設) LOCAL7 (代碼 = 23)
長度上限	建議值為 1024。

按一下「提交」。「遠端記錄目標」視窗會隨即顯示，其中包含新的 Google Security Operations 轉送器設定。
在 Cisco ISE 控制台中，依序選取「Administration」>「System」>「Logging」>「Logging categories」。
在「記錄類別」視窗中，選取要設定遠端系統記錄目標的類別，然後新增遠端系統記錄目標。

以下是範例類別：AAA 稽核、AAA 診斷、會計、行政和作業稽核、狀態和用戶端佈建稽核、狀態和用戶端佈建診斷、剖析器、系統診斷和系統統計資料。

設定 Google Security Operations 轉送器和系統記錄，以便擷取 Cisco Secure ACS 記錄

依序前往「SIEM 設定」>「轉送器」。
按一下「新增轉寄者」。
在「轉送器名稱」欄位中，輸入轉送器的專屬名稱。
按一下「提交」。轉送器新增完成後，系統會顯示「新增收集器設定」視窗。
在「收集器名稱」欄位中輸入名稱。
選取「Cisco ISE」做為「記錄類型」。
選取「Syslog」做為「收集器類型」。
設定下列必要輸入參數：
- 「通訊協定」：指定通訊協定。
- 地址：指定收集器所在的目標 IP 位址或主機名稱，以及 Syslog 資料的地址。
- 通訊埠：指定收集器所在位置的目標通訊埠，並監聽系統記錄資料。
按一下「提交」。

如要進一步瞭解 Google Security Operations 轉送器，請參閱 Google Security Operations 轉送器說明文件。如要瞭解各轉送器類型的相關規定，請參閱「依類型設定轉送器」。如果在建立轉寄者時遇到問題，請與 Google Security Operations 支援團隊聯絡。

欄位對應參考資料

這個剖析器會從系統記錄訊息中擷取 Cisco ISE 記錄，將資料正規化為 UDM 格式，並透過額外背景資訊擴充事件。可處理各種 ISE 記錄類別，包括驗證成功和失敗、管理稽核、系統統計資料等，並將相關欄位對應至 UDM 結構定義，以及新增特定標籤以進行詳細分析。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`Acct-Authentic`	`sec_result.detection_fields.value`	直接對應。
`Acct-Delay-Time`	`sec_result.detection_fields.value`	直接對應。
`Acct-Input-Octets`	`sec_result.detection_fields.value`	直接對應。
`Acct-Input-Packets`	`sec_result.detection_fields.value`	直接對應。
`Acct-Output-Octets`	`sec_result.detection_fields.value`	直接對應。
`Acct-Output-Packets`	`sec_result.detection_fields.value`	直接對應。
`Acct-Session-Id`	`sec_result.detection_fields.value`	直接對應。
`Acct-Session-Time`	`sec_result.detection_fields.value`	直接對應。
`Acct-Status-Type`	`sec_result.detection_fields.value`	直接對應。
`Acct-Terminate-Cause`	`sec_result.detection_fields.value`	直接對應。
`AcsSessionID`	`sec_result.detection_fields.value`	直接對應為「Acs SessionID」。
`AD-Account-Name`	`principal.user.userid`	直接對應。
`AD-Domain`	`principal.group.group_display_name`	直接對應。
`AD-Domain-Controller`	`target.administrative_domain`	直接對應。
`AD-Error-Details`	`sec_result.description`	直接對應。
`AD-Host-Candidate-Identities`	`sec_result.detection_fields.value`	直接對應。
`AD-IP-Address`	`target.ip`、`target.asset.ip`	直接對應。
`AD-Log-Id`	`sec_result.detection_fields.value`	直接對應為「AD-Log-Id」。
`AD-Operating-System`	`principal.asset.platform_software.platform_version`	直接對應為 `ad_operating_system`。如果包含「Windows」，`principal.platform` 會設為「WINDOWS」。
`AD-Site`	`target.location.name`	直接對應。
`AD-Srv-Query`	`sec_result.detection_fields.value`	直接對應為「AD-Srv-Query」。
`AD-Srv-Record`	`sec_result.detection_fields.value`	直接對應為「AD-Srv-Record」。
`AD-User-Resolved-Identities`	`sec_result.detection_fields.value`	直接對應。
`AD-User-SamAccount-Name`	`principal.user.attribute.labels.value`	直接對應。
`AdminIPAddress`	`principal.ip`、`principal.asset.ip`	直接對應。
`AdminInterface`	`principal.user.attribute.labels.value`	直接對應為「管理介面」。
`AdminName`	`principal.user.userid`	直接對應。系統也會新增類型為「ADMINISTRATOR」的 `user.attribute.roles`。
`AuthenticationIdentityStore`	`sec_result.detection_fields.value`	直接對應為「驗證身分識別存放區」。
`AuthenticationStatus`	`sec_result.action_details`	直接對應。如果值與「AuthenticationPassed」相符，`sec_result.action` 會設為「ALLOW」，否則會設為「BLOCK」。
`AuthorizationPolicyMatchedRule`	`sec_result.rule_name`	對應前置字串「AuthorizationPolicyMatchedRule : 」。
`BYODRegistration`	`sec_result.detection_fields.value`	直接對應。
`Called-Station-ID`	`sec_result.detection_fields.value`	直接對應。
`Calling-Station-ID`	`sec_result.detection_fields.value`、`principal.ip`、`principal.asset.ip`	直接對應。如果是 IP 位址，也會對應至 `principal.ip` 和 `principal.asset.ip`。
`cdpCachePlatform`	`principal.asset.hardware.model`	直接對應。
`Class`	`sec_result.detection_fields.value`	直接對應。
`ClientLatency`	`sec_result.detection_fields.value`	直接對應。
`CmdSet`	`target.process.command_line`	移除周圍的方括號和空格後，直接對應。
`ConfigVersionId`	`sec_result.detection_fields.value`	直接對應為「設定版本 ID」。
`ConnectionStatus`	`sec_result.detection_fields.value`	直接對應為「連線狀態」。
`CPMSessionID`	`sec_result.detection_fields.value`	直接對應。
`CreateTime`	`principal.asset.attribute.creation_time`	解析為 UNIX_MS 時間戳記。
`DetailedInfo`	`sec_result.description`	移除反斜線後直接對應。
`DestinationIPAddress`	`target.ip`、`target.asset.ip`	直接對應。將 `has_target` 設為「true」。
`DestinationPort`	`target.port`	如果是數字，則直接對應。
`Device IP Address`	`principal.ip`、`principal.asset.ip`、`_intermediary.ip`、`target.ip`、`target.asset.ip`	已對應為 `DeviceIPAddress`。用於各種邏輯，根據記錄類別和其他欄位填入 `principal.ip`、`_intermediary.ip` 或 `target.ip`。
`Device Port`	`principal.port`、`_intermediary.port`、`target.port`	已對應為 `DevicePort`。用於各種邏輯，根據記錄類別和其他欄位填入 `principal.port`、`_intermediary.port` 或 `target.port`。
`Device Type`	`principal.asset.hardware.model`	直接對應為 `device-type`。
`DTLSSupport`	`sec_result.detection_fields.value`	直接對應。
`EndPointMACAddress`	`principal.asset.mac`	轉換為小寫並將連字號替換為半形冒號後，直接對應。
`EndPointMatchedProfile`	`sec_result.about.labels.value`	直接對應。
`EndpointCertainityMetric`	`sec_result.detection_fields.value`	直接對應為「端點確定性指標」。
`EndpointIdentityGroup`	`principal.group.group_display_name`	直接對應。
`EndpointIPAddress`	`principal.asset.ip`	直接對應。
`EndpointNADAddress`	`sec_result.detection_fields.value`	直接對應為「端點 NAD 位址」。
`EndpointOUI`	`sec_result.detection_fields.value`	直接對應為「端點 OUI」。
`EndpointPolicy`	`principal.asset.platform_software.platform_version`	直接對應。
`EndpointProperty`	`sec_result.detection_fields.value`	直接對應為「端點屬性」。
`EndpointSourceEvent`	`sec_result.detection_fields.value`	直接對應。
`EndpointUserAgent`	`network.http.user_agent`	直接對應。
`EndPointVersion`	`sec_result.detection_fields.value`	直接對應。
`FailureReason`	`sec_result.detection_fields.value`、`sec_result.summary`、`sec_result.description`	已對應為 `FailureReason`。視情況用於填入 `sec_result.detection_fields` 做為「失敗原因」、`sec_result.summary` 或 `sec_result.description`。
`FirstCollection`	`principal.asset.first_discover_time`	解析為 UNIX_MS 時間戳記。
`Framed-IP-Address`	`sec_result.detection_fields.value`	直接對應。
`Framed-IPv6-Address`	`FramedIPAddress`	直接對應。
`Framed-Protocol`	`sec_result.detection_fields.value`	直接對應。
`IdentityGroup`	`principal.group.group_display_name`	直接對應。
`IdentityGroupID`	`principal.group.product_object_id`	直接對應。
`IdentityPolicyMatchedRule`	`sec_result.about.labels.value`	直接對應。
`IdentitySelectionMatchedRule`	`sec_result.detection_fields.value`	直接對應。
`IMEI`	`target.asset.product_object_id`	直接對應。
`ISELocalAddress`	`_intermediary.ip`、`principal.ip`、`principal.asset.ip`、`_intermediary.port`、`principal.port`、`sec_result.detection_fields.value`	如果位於 `CISE_Administrative_and_Operational_Audit`，系統會擷取 IP 和通訊埠，並對應至 `_intermediary` 和 `principal`。否則會直接對應為 `sec_result.detection_fields` 的「ISE Local Address」。
`ISEModuleName`	`sec_result.detection_fields.value`	直接對應為「ISE 模組名稱」。
`ISEServiceName`	`sec_result.detection_fields.value`	直接對應為「ISE 服務名稱」。
`IsThirdPartyDeviceFlow`	`sec_result.detection_fields.value`	直接對應。
`Issuer`	`about.labels.value`	直接對應。
`LastActivity`	`principal.asset.last_discover_time`	解析為 UNIX_MS 時間戳記。
`LastNmapScanTime`	`sec_result.detection_fields.value`	直接對應。
`lldpChassisId`	`target.mac`	剖析為 MAC 位址後直接對應。
`lldpSystemName`	`target.hostname`、`target.asset.hostname`	直接對應。
`Location`	`principal.location.country_or_region`、`target.location.country_or_region`	直接對應至 `principal` 或 `target` 位置 (視記錄類別而定)。
`Manufacturer`	`target.asset.hardware.manufacturer`	直接對應。
`MessageCode`	`sec_result.detection_fields.value`、`metadata.event_type`	直接對應為 `msg_code`。用於邏輯，判斷 `metadata.event_type`。
`Model`	`target.asset.hardware.model`	直接對應。
`NAS-IP-Address`	`principal.nat_ip`	直接對應。
`NAS-Identifier`	`principal.labels.value`	直接對應為 `nas_identifier`。
`NAS-Port`	`principal.nat_port`、`sec_result.detection_fields.value`、`principal.labels.value`	已對應為 `NASPort`。如果是小於 2147483648 的數值，則會對應至 `principal.nat_port`。否則會對應為字串至 `sec_result.detection_fields` (「NAS Port」) 或 `principal.labels` (「NAS-Port」)。
`NAS-Port-Id`	`principal.labels.value`、`sec_result.detection_fields.value`	已對應為 `NASPortId`。用於將 `principal.labels` 填入為「nas_port_id」或 `sec_result.detection_fields` 為「nas_port_id」。
`NAS-Port-Type`	`principal.labels.value`、`sec_result.detection_fields.value`	已對應為 `NASPortType`。用於將 `principal.labels` 填入為「nas_port_type」或 `sec_result.detection_fields` 為「Nas-Port-Type」。
`NetworkDeviceGroups`	`sec_result.detection_fields.value`	直接對應。
`NetworkDeviceName`	`_intermediary.hostname`、`principal.hostname`、`principal.asset.hostname`、`target.hostname`、`target.asset.hostname`	已對應為 `NetworkDeviceName`。用於各種邏輯，根據記錄類別和其他欄位填入 `_intermediary.hostname`、`principal.hostname` 或 `target.hostname`。
`NetworkDeviceProfileId`	`principal.asset.asset_id`	對應前置字元為「Cisco_ISE:」。
`NetworkDeviceProfileName`	`principal.asset.attribute.labels.value`	直接對應。
`ObjectName`	`sec_result.about.labels.value`	直接對應。
`ObjectType`	`sec_result.about.labels.value`	直接對應。
`OperatingSystem`	`target.asset.platform_software.platform_version`、`principal.asset.platform_software.platform_version`、`principal.platform`	已對應為 `OperatingSystem`。用於填入 `target.asset.platform_software.platform_version` 或 `principal.asset.platform_software.platform_version`。如果包含「Win」，`principal.platform` 會設為「WINDOWS」。如果包含「lin」，`principal.platform` 會設為「LINUX」。如果包含「iOS」，`principal.platform` 會設為「MAC」。
`OperationMessageText`	`sec_result.detection_fields.value`、`about.labels.value`、`sec_result.summary`	已對應為 `OperationMessageText`。用於根據內容填入 `sec_result.detection_fields` (「作業訊息文字」)、`about.labels` (「作業訊息文字」) 或 `sec_result.summary`。如果包含連線詳細資料，系統會擷取這些資料並對應至 `src` 和 `target`。
`OriginalUserName`	`principal.user.userid`	直接對應為 `User`。
`PeerAddress`	`target.mac`	轉換為小寫並將連字號替換為半形冒號後，直接對應。
`PeerName`	`target.hostname`、`target.asset.hostname`	系統會擷取 IP 和主機名稱，並對應至 `target.ip` 和 `target.hostname`。
`PhoneID`	`principal.user.phone_numbers`	直接對應為 `User-Fetch-Telephone`。
`PhoneNumber`	`principal.user.phone_numbers`	直接對應。
`PolicyVersion`	`sec_result.detection_fields.value`	直接對應。
`Port`	`_intermediary.port`、`principal.port`、`target.port`	已對應為 `Port`。用於各種邏輯，根據記錄類別和其他欄位填入 `_intermediary.port`、`principal.port` 或 `target.port`。
`PostureAssessmentStatus`	`sec_result.detection_fields.value`	直接對應。
`PostureExpiry`	`sec_result.detection_fields.value`	直接對應。
`PostureStatus`	`sec_result.detection_fields.value`	直接對應為「姿勢狀態」。
`ProfilerServer`	`sec_result.detection_fields.value`	直接對應。
`Protocol`	`sec_result.detection_fields.value`	直接對應。
`r_cat_name`	`metadata.product_event_type`	直接對應。
`r_ip_or_host`	`observer.ip`、`observer.hostname`、`principal.ip`、`principal.asset.ip`、`principal.hostname`、`principal.asset.hostname`、`target.ip`、`target.asset.ip`、`target.hostname`、`target.asset.hostname`	如果 IP 對應至 `observer.ip`，如果主機名稱對應至 `observer.hostname`，此外，系統也會根據記錄類別和其他欄位，在各種邏輯中填入 `principal` 或 `target` IP/主機名稱。
`r_msg_id`	`sec_result.detection_fields.value`、`metadata.product_log_id`	直接對應為「r_msg_id」。如果 `sequence_num` 無法使用，也會當做 `metadata.product_log_id` 使用。
`r_seg_num`	`sec_result.detection_fields.value`、`metadata.product_log_id`	直接對應為「r_seg_num」。如果 `sequence_num` 無法使用，也會當做 `metadata.product_log_id` 使用。
`r_total_seg`	`sec_result.detection_fields.value`	直接對應。
`RadiusFlowType`	`sec_result.detection_fields.value`	直接對應。
`RadiusPacketType`	`sec_result.detection_fields.value`	直接對應為「Radius 封包類型」。
`RegisterStatus`	`sec_result.rule_name`	直接對應。
`RequestLatency`	`sec_result.detection_fields.value`	直接對應為「要求延遲時間」。
`SelectedAccessService`	`sec_result.detection_fields.value`	直接對應為「選取的存取服務」。
`SelectedAuthorizationProfiles`	`sec_result.detection_fields.value`	直接對應。
`Serial Number`	`network.tls.server.certificate.serial`、`about.labels.value`	已對應為 `serial_number`。視情境而定，用於填入 `network.tls.server.certificate.serial` 或 `about.labels` 做為「序號」。
`Service-Type`	`sec_result.detection_fields.value`	直接對應。
`SessionId`	`network.session_id`	直接對應。
`ShutdownReason`	`sec_result.detection_fields.value`	直接對應為「ShutdownReason」。
`SSID`	`sec_result.detection_fields.value`	直接對應。
`StaticGroupAssignment`	`sec_result.detection_fields.value`	直接對應。
`Subject`	`about.labels.value`	直接對應。
`Subject Alternative Name`	`about.labels.value`	直接對應為「主體別名」。
`SysStatsCpuCount`	`target.asset.hardware.cpu_number_cores`	直接對應。
`SysStatsProcessMemoryMB`	`target.asset.hardware.ram`	直接對應為 `__hardware.ram`。
`SysStatsUtilizationNetwork`	`target.resource.name`、`network.sent_bytes`、`network.received_bytes`	系統會擷取並對應網路介面卡名稱、傳送的位元組和接收的位元組。`target.resource.resource_type` 設為「UNSPECIFIED」。
`TimeToProfile`	`sec_result.detection_fields.value`	直接對應。
`Total Certainty Factor`	`sec_result.detection_fields.value`	直接對應。
`TotalFailedTime`	`sec_result.detection_fields.value`	直接對應。
`Tunnel-Client-Endpoint`	`sec_result.detection_fields.value`	直接對應為「通道用戶端端點」。
`UniqueConnectionIdentifier`	`sec_result.detection_fields.value`	直接對應為「專屬連線 ID」。
`UpdateTime`	`sec_result.detection_fields.value`	直接對應。
`User`	`principal.user.userid`	直接對應。
`User-Fetch-Email`	`sec_result.detection_fields.value`	直接對應。
`User-Fetch-Last-Name`	`principal.user.last_name`	直接對應。
`User-Fetch-LocalityName`	`sec_result.detection_fields.value`	直接對應。
`User-Fetch-StateOrProvinceName`	`sec_result.detection_fields.value`	直接對應。
`User-Fetch-Telephone`	`principal.user.phone_numbers`	直接對應為 `PhoneID`。
`UserName`	`principal.user.userid`	直接對應。如果不是空白，也不是「」或「unknown」，系統會將其轉換為小寫，並將連字號替換為半形冒號。如果符合 MAC 位址模式，也會對應至 `principal.mac`。
`User-Name`	`principal.user.userid`	直接對應。
`UserType`	`principal.user.attribute.labels.value`	直接對應。
(剖析器邏輯) `action`	`sec_result.action`	如果 `msg_text` 包含成功關鍵字，請設為「ALLOW」；如果包含失敗關鍵字，請設為「BLOCK」；否則請設為「UNKNOWN_ACTION」。
(剖析器邏輯) `about.hostname`	`about.hostname`	衍生自 `StepData=4` 或 `stepdata`。
(剖析器邏輯) `event.idm.read_only_udm.about`	`event.idm.read_only_udm.about`	填入各種欄位，例如 `about.hostname`、`about.application` 和 `about.process.pid`。
(剖析器邏輯) `event.idm.read_only_udm.extensions.auth.mechanism`	`event.idm.read_only_udm.extensions.auth.mechanism`	在 `CISE_TACACS_Diagnostics` 類別中，某些情況下請設為「NETWORK」。
(剖析器邏輯) `event.idm.read_only_udm.extensions.auth.type`	`event.idm.read_only_udm.extensions.auth.type`	針對各種登入/登出事件設為「MACHINE」，針對特定 TACACS 事件設為「TACACS」，針對其他登入事件設為「AUTHTYPE_UNSPECIFIED」。
(剖析器邏輯) `event.idm.read_only_udm.metadata.collected_timestamp`	`event.idm.read_only_udm.metadata.collected_timestamp`	如果有的話，會從 `logstash.process.timestamp` 剖析。
(剖析器邏輯) `event.idm.read_only_udm.metadata.description`	`event.idm.read_only_udm.metadata.description`	如果 `msg_class` 無法使用，則會由 `msg_class` 和 `msg_text` 或僅 `msg_text` 建構。
(剖析器邏輯) `event.idm.read_only_udm.metadata.event_timestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	從 `datetime` 欄位剖析，該欄位衍生自 `datetime` 和 `timezone` 或 `r_datetime`。
(剖析器邏輯) `event.idm.read_only_udm.metadata.event_type`	`event.idm.read_only_udm.metadata.event_type`	系統會根據 `r_cat_name`、`msg_code` 和其他欄位判斷。可以是 GENERIC_EVENT、STATUS_UPDATE、NETWORK_CONNECTION、STATUS_HEARTBEAT、STATUS_STARTUP、STATUS_SHUTDOWN、USER_LOGIN、USER_LOGOUT、USER_RESOURCE_ACCESS、USER_UNCATEGORIZED、RESOURCE_READ、SCAN_NETWORK、STATUS_UNCATEGORIZED、NETWORK_FLOW。
(剖析器邏輯) `event.idm.read_only_udm.metadata.ingested_timestamp`	`event.idm.read_only_udm.metadata.ingested_timestamp`	如果有的話，會從 `logstash.ingest.timestamp` 剖析。
(剖析器邏輯) `event.idm.read_only_udm.metadata.log_type`	`event.idm.read_only_udm.metadata.log_type`	設為「CISCO_ISE」。
(剖析器邏輯) `event.idm.read_only_udm.metadata.product_event_type`	`event.idm.read_only_udm.metadata.product_event_type`	衍生自 `r_cat_name`。
(剖析器邏輯) `event.idm.read_only_udm.metadata.product_log_id`	`event.idm.read_only_udm.metadata.product_log_id`	視供應情形而定，衍生自 `sequence_num`、`r_seg_num` 或 `r_msg_id`。
(剖析器邏輯) `event.idm.read_only_udm.metadata.product_name`	`event.idm.read_only_udm.metadata.product_name`	設為「ISE」，或設為 `MDMServerName` (如有)。
(剖析器邏輯) `event.idm.read_only_udm.metadata.vendor_name`	`event.idm.read_only_udm.metadata.vendor_name`	設為「Cisco」。
(剖析器邏輯) `event.idm.read_only_udm.network.http.user_agent`	`event.idm.read_only_udm.network.http.user_agent`	衍生自 `ac-user-agent` 或 `EndpointUserAgent`。
(剖析器邏輯) `event.idm.read_only_udm.network.ip_protocol`	`event.idm.read_only_udm.network.ip_protocol`	針對特定事件類型，請設為「TCP」。
(剖析器邏輯) `event.idm.read_only_udm.network.session_id`	`event.idm.read_only_udm.network.session_id`	衍生自 `SessionId`。
(剖析器邏輯) `event.idm.read_only_udm.network.tls.cipher`	`event.idm.read_only_udm.network.tls.cipher`	衍生自 `TLSCipher`。
(剖析器邏輯) `event.idm.read_only_udm.network.tls.server.certificate.serial`	`event.idm.read_only_udm.network.tls.server.certificate.serial`	衍生自 `Serial Number`。
(剖析器邏輯) `event.idm.read_only_udm.network.tls.version`	`event.idm.read_only_udm.network.tls.version`	衍生自 `TLSVersion`。
(剖析器邏輯) `event.idm.read_only_udm.principal.asset.asset_id`	`event.idm.read_only_udm.principal.asset.asset_id`	衍生自 `NetworkDeviceProfileId`，前置字元為「Cisco_ISE:」。
(剖析器邏輯) `event.idm.read_only_udm.principal.asset.hardware`	`event.idm.read_only_udm.principal.asset.hardware`	填入 `hardware.manufacturer` 和 `hardware.model` 等欄位。
(剖析器邏輯) `event.idm.read_only_udm.principal.asset.ip`	`event.idm.read_only_udm.principal.asset.ip`	視記錄類別和其他欄位而定，衍生自各種 IP 位址欄位。
(剖析器邏輯) `event.idm.read_only_udm.principal.asset.mac`	`event.idm.read_only_udm.principal.asset.mac`	經過適當格式化後，從 `EndpointMacAddress`、`parsed_endpoint_mac` 或其他 MAC 位址欄位衍生而來。
(剖析器邏輯) `event.idm.read_only_udm.principal.asset.platform_software.platform_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_version`	衍生自 `OperatingSystem`、`EndpointPolicy` 或 `ad_operating_system`。
(剖析器邏輯) `event.idm.read_only_udm.principal.group.group_display_name`	`event.idm.read_only_udm.principal.group.group_display_name`	衍生自 `AD-Domain`、`IdentityGroup` 或 `EndpointIdentityGroup`。
(剖析器邏輯) `event.idm.read_only_udm.principal.group.product_object_id`	`event.idm.read_only_udm.principal.group.product_object_id`	衍生自 `IdentityGroupID`。
(剖析器邏輯) `event.idm.read_only_udm.principal.hostname`	`event.idm.read_only_udm.principal.hostname`	視記錄類別和其他欄位而定，衍生自 `r_ip_or_host`、`NetworkDeviceName` 或其他主機名稱欄位。
(剖析器邏輯) `event.idm.read_only_udm.principal.ip`	`event.idm.read_only_udm.principal.ip`	視記錄類別和其他欄位而定，衍生自各種 IP 位址欄位。
(剖析器邏輯) `event.idm.read_only_udm.principal.labels`	`event.idm.read_only_udm.principal.labels`	填入 `nas_identifier`、`nas_port_type` 和 `nas_port_id` 等欄位。
(剖析器邏輯) `event.idm.read_only_udm.principal.location.country_or_region`	`event.idm.read_only_udm.principal.location.country_or_region`	衍生自 `Location`。
(剖析器邏輯) `event.idm.read_only_udm.principal.nat_ip`	`event.idm.read_only_udm.principal.nat_ip`	衍生自 `NAS-IP-Address`。
(剖析器邏輯) `event.idm.read_only_udm.principal.nat_port`	`event.idm.read_only_udm.principal.nat_port`	如果為數值且小於 2147483648，則衍生自 `NAS-Port`。
(剖析器邏輯) `event.idm.read_only_udm.principal.platform`	`event.idm.read_only_udm.principal.platform`	衍生自 `device-platform` 或 `OperatingSystem`。可以是 WINDOWS、LINUX、MAC 或 UNKNOWN_PLATFORM。
(剖析器邏輯) `event.idm.read_only_udm.principal.platform_version`	`event.idm.read_only_udm.principal.platform_version`	衍生自 `platform-version`。
(剖析器邏輯) `event.idm.read_only_udm.principal.port`	`event.idm.read_only_udm.principal.port`	如果為數字，則衍生自 `Device Port` 或 `Port`。
(剖析器邏輯) `event.idm.read_only_udm.principal.user.attribute.labels`	`event.idm.read_only_udm.principal.user.attribute.labels`	其中會填入「管理介面」、「UserType」和「Chargeable-User-Identity」等欄位。
(剖析器邏輯) `event.idm.read_only_udm.principal.user.phone_numbers`	`event.idm.read_only_udm.principal.user.phone_numbers`	衍生自 `PhoneID` 或 `PhoneNumber`。
(剖析器邏輯) `event.idm.read_only_udm.principal.user.userid`	`event.idm.read_only_udm.principal.user.userid`	視記錄類別和其他欄位而定，衍生自 `User`、`UserName`、`User-Name`、`AdminName`、`OriginalUserName` 或其他使用者名稱欄位。
(剖析器邏輯) `event.idm.read_only_udm.security_result.about.labels`	`event.idm.read_only_udm.security_result.about.labels`	填入「IdentityPolicyMatchedRule」、「EndPointMatchedProfile」、「ObjectType」和「ObjectName」等欄位。
(剖析器邏輯) `event.idm.read_only_udm.security_result.action`	`event.idm.read_only_udm.security_result.action`	衍生自 `msg_text` 或 `AuthenticationStatus`。可以是 ALLOW、BLOCK 或 UNKNOWN_ACTION。
(剖析器邏輯) `event.idm.read_only_udm.security_result.detection_fields`	`event.idm.read_only_udm.security_result.detection_fields`	視記錄類別和其他欄位而定，會填入各種欄位。
(剖析器邏輯) `event.idm.read_only_udm.security_result.description`	`event.idm.read_only_udm.security_result.description`	衍生自 `AD-Error-Details` 或 `DetailedInfo`。
(剖析器邏輯) `event.idm.read_only_udm.security_result.rule_name`	`event.idm.read_only_udm.security_result.rule_name`	衍生自 `AuthorizationPolicyMatchedRule` 或 `RegisterStatus`。
(剖析器邏輯) `event.idm.read_only_udm.security_result.severity`	`event.idm.read_only_udm.security_result.severity`	衍生自 `msg_sev`。可以是 CRITICAL、ERROR、HIGH、MEDIUM 或 INFORMATIONAL。
(剖析器邏輯) `event.idm.read_only_udm.security_result.severity_details`	`event.idm.read_only_udm.security_result.severity_details`	衍生自 `msg_sev`。
(剖析器邏輯) `event.idm.read_only_udm.security_result.summary`	`event.idm.read_only_udm.security_result.summary`	衍生自 `msg_text` 或 `FailureReason`。
(剖析器邏輯) `event.idm.read_only_udm.src.ip`	`event.idm.read_only_udm.src.ip`	衍生自從 `OperationMessageText` 擷取的 `source_ip`。
(剖析器邏輯) `event.idm.read_only_udm.src.port`	`event.idm.read_only_udm.src.port`	如果為數字，則衍生自從 `OperationMessageText` 擷取的 `source_port`。
(剖析器邏輯) `event.idm.read_only_udm.target.administrative_domain`	`event.idm.read_only_udm.target.administrative_domain`	衍生自 `AD-Domain-Controller`。
(剖析器邏輯) `event.idm.read_only_udm.target.asset.hardware`	`event.idm.read_only_udm.target.asset.hardware`	填入 `_hardware.cpu_number_cores` 等欄位。
(剖析器邏輯) `event.idm.read_only_udm.target.asset.hostname`	`

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。