Cisco Meraki ログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フォワーダーを使用して Cisco Meraki ログを収集する方法について説明します。

詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CISCO_MERAKI が付加されたパーサーに適用されます。

Cisco Meraki を構成する

  1. Cisco Meraki ダッシュボードにログインします。
  2. Cisco Meraki ダッシュボードで、[Configure] > [Alerts & administration] を選択します。
  3. [Logging] セクションで、次の操作を行います。
    1. [Server IP] フィールドに、Google Security Operations フォワーダーの IP アドレスを指定します。
    2. [Port] フィールドに、ポート値(514 など)を指定します。
    3. [Roles] フィールドで、使用可能な 4 つのオプションを選択してすべてのログを取得するか、要件に応じて任意の組み合わせを選択します。
  4. [変更を保存] をクリックします。

Cisco Meraki ログを取り込むように Google Security Operations フォワーダーと syslog を構成する

  1. [SIEM 設定] > [フォワーダー] に移動します。
  2. [新しいフォワーダーの追加] をクリックします。
  3. [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
  4. [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
  5. [Collector name] フィールドに名前を入力します。
  6. [Log type] で [Cisco Meraki] を選択します。
  7. [Syslog] として [Syslog] を選択します。
  8. 次の必須入力パラメータを構成します。
    • Protocol: プロトコルを指定します。
    • アドレス: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
    • ポート: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
  9. [送信] をクリックします。

Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。

各フォワーダ タイプの要件については、タイプ別のフォワーダー構成をご覧ください。

フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

フィールド マッピング リファレンス

このパーサーは、SYSLOG 形式または JSON 形式の Cisco Meraki(Cisco/Meraki として識別)ログを処理し、UDM に正規化します。grok パターンを使用して syslog メッセージを解析し、eventType フィールドに基づく条件付きロジックを使用して関連情報を抽出します。ネットワーク フロー、URL リクエスト、ファイアウォール イベント、汎用イベントなどのさまざまなイベントタイプを処理し、適切な UDM フィールドにマッピングして、追加のコンテキストでデータを拡充します。入力が syslog でない場合、JSON として解析し、関連するフィールドを UDM にマッピングします。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
action security_result.action 値は大文字に変換されます。値が「deny」の場合、「BLOCK」に置き換えられます。sc_action に「allow」が含まれていると、値は「ALLOW」に置き換えられます。それ以外の場合、decision に「block」が含まれていると、値は「BLOCK」に置き換えられます。それ以外の場合、authorization が「success」の場合は「ALLOW」に設定され、「failure」の場合は「BLOCK」に設定されます。それ以外の場合、pattern が「1 all」、「deny all」、「Group Policy Deny」のいずれかの場合、値は「BLOCK」に設定されます。pattern が「allow all」、「Group Policy Allow」、「0 all」の場合、値は「ALLOW」に設定されます。それ以外の場合は、「UNKNOWN_ACTION」に設定されます。decision に「block」が含まれている場合は、「BLOCK」に設定されます。
adId principal.user.user_display_name JSON ログの adId フィールドから直接マッピングされます。
agent network.http.user_agent アポストロフィは削除されます。agent フィールドから直接マッピングされます。また、parseduseragent フィルタを使用して network.http.parsed_user_agent に変換しました。
aid network.session_id aid フィールドから直接マッピングされます。
appProtocol network.application_protocol 大文字に変換されました。appProtocol フィールドから直接マッピングされます。
attr additional.fields キー「attr」で additional.fields 配列に Key-Value ペアとして追加されます。
authorization security_result.action_details JSON ログの authorization フィールドから直接マッピングされます。
band additional.fields キー「band」で additional.fields 配列に Key-Value ペアとして追加されます。
bssids.bssid principal.mac 小文字に変換されます。principal.mac 配列に統合されます。
bssids.detectedBy.device intermediary.asset.asset_id 「デバイス ID: という形式で表示されます。
bssids.detectedBy.rssi intermediary.asset.product_object_id 文字列に変換されました。
Channel about.resource.attribute.labels キー「Channel」で about.resource.attribute.labels 配列に Key-Value ペアとして追加されます。
clientDescription additional.fields キー「clientDescription」で additional.fields 配列に Key-Value ペアとして追加されます。
clientId additional.fields キー「clientId」で additional.fields 配列に Key-Value ペアとして追加されます。
clientIp principal.ipprincipal.asset.ip clientIp フィールドから直接マッピングされます。
clientMac principal.mac 小文字に変換されます。JSON ログの clientMac フィールドから直接マッピングされます。
client_ip principal.ipprincipal.asset.ip client_ip フィールドから直接マッピングされます。
client_mac principal.mac 小文字に変換されます。client_mac フィールドから直接マッピングされます。
code additional.fields キー「code」で additional.fields 配列に Key-Value ペアとして追加されます。
collection_time metadata.event_timestamp seconds フィールドと nanos フィールドが組み合わされてタイムスタンプが作成されます。
Conditions security_result.about.resource.attribute.labels 改行、改行コード、タブはスペースに置き換えられ、特定の値が置き換えられます。変更された値は、キー「条件」で Key-Value ペアとして security_result.about.resource.attribute.labels 配列に追加されます。
decision security_result.action 値が「blocked」の場合、「BLOCK」に設定されます。
desc metadata.description desc フィールドから直接マッピングされます。
description security_result.description JSON ログの description フィールドから直接マッピングされます。
DestAddress target.iptarget.asset.ip DestAddress フィールドから直接マッピングされます。
DestPort target.port 整数に変換されます。DestPort フィールドから直接マッピングされます。
deviceIp target.ip deviceIp フィールドから直接マッピングされます。
deviceMac target.mac 小文字に変換されます。deviceMac フィールドから直接マッピングされます。
deviceName target.hostnametarget.asset.hostname JSON ログの deviceName フィールドから直接マッピングされます。
deviceSerial target.asset.hardware.serial_number JSON ログの deviceSerial フィールドから直接マッピングされます。
Direction network.direction 特殊文字が削除され、値が network.direction にマッピングされます。
DisabledPrivilegeList target.user.attribute 改行、改行コード、タブが置き換えられ、変更された値が JSON として解析され、target.user.attribute オブジェクトに統合されます。
dport target.port 整数に変換されます。dport フィールドから直接マッピングされます。
dst target.iptarget.asset.ip dst フィールドから直接マッピングされます。
dstIp target.iptarget.asset.ip dstIp フィールドから直接マッピングされます。
dstPort target.port 整数に変換されます。dstPort フィールドから直接マッピングされます。
dvc intermediary.hostname dvc フィールドから直接マッピングされます。
EnabledPrivilegeList target.user.attribute 改行、改行コード、タブが置き換えられ、変更された値が JSON として解析され、target.user.attribute オブジェクトに統合されます。
eventData.aid principal.asset_id 「ASSET_ID:という形式で指定します。
eventData.client_ip principal.ipprincipal.asset.ip JSON ログの eventData.client_ip フィールドから直接マッピングされます。
eventData.client_mac principal.mac 小文字に変換されます。JSON ログの eventData.client_mac フィールドから直接マッピングされます。
eventData.group principal.group.group_display_name JSON ログの eventData.group フィールドから直接マッピングされます。
eventData.identity principal.hostname JSON ログの eventData.identity フィールドから直接マッピングされます。
eventData.ip principal.ipprincipal.asset.ip JSON ログの eventData.ip フィールドから直接マッピングされます。
EventID metadata.product_event_typesecurity_result.rule_name 文字列に変換されました。metadata.product_event_type にマッピングされました。また、「EventID: 」形式の security_result.rule_name の作成にも使用されます。event_typesec_action の決定に使用されます。
eventSummary security_result.summarymetadata.description eventSummary フィールドから直接マッピングされます。一部のイベントの security_result.description でも使用されます。
eventType metadata.product_event_type eventType フィールドから直接マッピングされます。適用する解析ロジックを決定するために使用されます。
filename principal.process.file.full_path filename フィールドから直接マッピングされます。
FilterId target.resource.product_object_id EventID 5447 の FilterId フィールドから直接マッピングされます。
FilterName target.resource.name EventID 5447 の FilterName フィールドから直接マッピングされます。
FilterRTID security_result.detection_fields キー「FilterRTID」で security_result.detection_fields 配列に Key-Value ペアとして追加されます。
firstSeen security_result.detection_fields 文字列に変換されました。キー「firstSeen」で security_result.detection_fields 配列に Key-Value ペアとして追加されます。
gatewayDeviceMac target.mac 小文字に変換されます。target.mac 配列に統合されます。
group additional.fields キー「group」で additional.fields 配列に Key-Value ペアとして追加されます。
GroupMembership target.user 改行、改行コード、タブ、特殊文字は削除されます。変更された値が JSON として解析され、target.user オブジェクトに統合されます。
Hostname principal.hostnameprincipal.asset.hostname Hostname フィールドから直接マッピングされます。
identity target.user.userid identity フィールドから直接マッピングされます。
instigator additional.fields キー「instigator」で additional.fields 配列に Key-Value ペアとして追加されます。
int_ip intermediary.ip int_ip フィールドから直接マッピングされます。
ip_msg principal.resource.attribute.labels キー「IPs」で principal.resource.attribute.labels 配列に Key-Value ペアとして追加されます。
is_8021x additional.fields キー「is_8021x」で additional.fields 配列に Key-Value ペアとして追加されます。
KeyName target.resource.name KeyName フィールドから直接マッピングされます。
KeyFilePath target.file.full_path KeyFilePath フィールドから直接マッピングされます。
lastSeen security_result.detection_fields 文字列に変換されました。キー「lastSeen」で security_result.detection_fields 配列に Key-Value ペアとして追加されます。
last_known_client_ip principal.ipprincipal.asset.ip last_known_client_ip フィールドから直接マッピングされます。
LayerName security_result.detection_fields キー「Layer Name」で security_result.detection_fields 配列に Key-Value ペアとして追加されます。
LayerRTID security_result.detection_fields キー「LayerRTID」で security_result.detection_fields 配列に Key-Value ペアとして追加されます。
localIp principal.ipprincipal.asset.ip localIp フィールドから直接マッピングされます。
login principal.user.email_addresses メールアドレス形式と一致する場合は、JSON ログの login フィールドから直接マッピングされます。
LogonGuid additional.fields キー「LogonGuid」で additional.fields 配列に Key-Value ペアとして追加されます。
LogonType extensions.auth.mechanism 値に基づいて特定の認証メカニズムにマッピングされます。PreAuthType が存在する場合、LogonType はオーバーライドされます。値は次のようにマッピングされます。2 -> USERNAME_PASSWORD、3 -> NETWORK、4 -> BATCH、5 -> SERVICE、7 -> UNLOCK、8 -> NETWORK_CLEAR_TEXT、9 -> NEW_CREDENTIALS、10 -> REMOTE_INTERACTIVE、11 -> CACHED_INTERACTIVE、12 -> CACHED_REMOTE_INTERACTIVE、13 -> CACHED_UNLOCK、その他 -> MECHANISM_UNSPECIFIED。
mac principal.mac 小文字に変換されます。principal.mac 配列に統合されます。
MandatoryLabel additional.fields キー「MandatoryLabel」で additional.fields 配列に Key-Value ペアとして追加されます。Key-Value ペアとして追加されます。
Message security_result.descriptionsecurity_result.summary AccessReason が存在する場合、Messagesecurity_result.summary にマッピングされ、AccessReasonsecurity_result.description にマッピングされます。それ以外の場合は、Messagesecurity_result.description にマッピングされます。
method network.http.method method フィールドから直接マッピングされます。
msg security_result.description msg フィールドから直接マッピングされます。
name principal.user.user_display_name JSON ログの name フィールドから直接マッピングされます。
natsrcIp principal.nat_ip natsrcIp フィールドから直接マッピングされます。
natsrcport principal.nat_port 整数に変換されます。natsrcport フィールドから直接マッピングされます。
network_id additional.fields キー「Network ID」で additional.fields 配列に Key-Value ペアとして追加されます。
NewProcessId target.process.pid NewProcessId フィールドから直接マッピングされます。
NewProcessName target.process.file.full_path NewProcessName フィールドから直接マッピングされます。
NewSd target.resource.attribute.labels キー「New Security Descriptor」で target.resource.attribute.labels 配列に Key-Value ペアとして追加されます。
occurredAt metadata.event_timestamp ISO8601 形式を使用してタイムスタンプとして解析されます。
ObjectName target.file.full_pathtarget.registry.registry_keytarget.process.file.full_pathadditional.fields EventID が 4663 で、ObjectType が「Process」の場合、target.process.file.full_path にマッピングされます。ObjectType が「Key」の場合、target.registry.registry_key にマッピングされます。それ以外の場合は、target.file.full_path にマッピングされます。他のイベントの場合、キー「ObjectName」で Key-Value ペアとして additional.fields 配列に追加されます。
ObjectType additional.fields キー「ObjectType」で additional.fields 配列に Key-Value ペアとして追加されます。event_type の決定に使用されます。
OldSd target.resource.attribute.labels キー「Original Security Descriptor」で target.resource.attribute.labels 配列に Key-Value ペアとして追加されます。
organizationId principal.resource.id JSON ログの organizationId フィールドから直接マッピングされます。
ParentProcessName target.process.parent_process.file.full_path ParentProcessName フィールドから直接マッピングされます。
pattern security_result.description security_result.description に直接マッピングされます。security_result.action の決定に使用されます。
peer_ident target.user.userid peer_ident フィールドから直接マッピングされます。
PreAuthType extensions.auth.mechanism 認証メカニズムが存在する場合に、そのメカニズムを特定するために使用されます。LogonType をオバーライドします。
principalIp principal.ipprincipal.asset.ip principalIp フィールドから直接マッピングされます。
principalMac principal.mac 小文字に変換されます。principal.mac 配列に統合されます。
principalPort principal.port 整数に変換されます。principalPort フィールドから直接マッピングされます。
prin_ip2 principal.ipprincipal.asset.ip prin_ip2 フィールドから直接マッピングされます。
prin_url principal.url prin_url フィールドから直接マッピングされます。
priority security_result.priority 値に基づいて優先度レベルにマッピングされます。1 -> HIGH_PRIORITY、2 -> MEDIUM_PRIORITY、3 -> LOW_PRIORITY、その他 -> UNKNOWN_PRIORITY。
ProcessID principal.process.pid 文字列に変換されました。ProcessID フィールドから直接マッピングされます。
ProcessName principal.process.file.full_pathtarget.process.file.full_path EventID が 4689 の場合、target.process.file.full_path にマッピングされます。それ以外の場合は principal.process.file.full_path にマッピングされます。
prod_log_id metadata.product_log_id prod_log_id フィールドから直接マッピングされます。
protocol network.ip_protocol 大文字に変換されました。数値の場合は、対応する IP プロトコル名に変換されます。「ICMP6」の場合は、「ICMP」に置き換えられます。protocol フィールドから直接マッピングされます。
ProviderGuid metadata.product_deployment_id ProviderGuid フィールドから直接マッピングされます。
query network.dns.questions.name query フィールドから直接マッピングされます。
query_type network.dns.questions.type question.type に名前が変更され、network.dns.questions 配列に統合されます。DHCP クエリタイプに基づいて数値にマッピングされます。
radio additional.fields キー「radio」で additional.fields 配列に Key-Value ペアとして追加されます。
reason additional.fields キー「reason」で additional.fields 配列に Key-Value ペアとして追加されます。
rec_bytes network.received_bytes 符号なし整数に変換されます。rec_bytes フィールドから直接マッピングされます。
RecordNumber metadata.product_log_id 文字列に変換されました。RecordNumber フィールドから直接マッピングされます。
RelativeTargetName target.process.file.full_path RelativeTargetName フィールドから直接マッピングされます。
response_ip principal.ipprincipal.asset.ip response_ip フィールドから直接マッピングされます。
rssi intermediary.asset.product_object_id rssi フィールドから直接マッピングされます。
sc_action security_result.action_details sc_action フィールドから直接マッピングされます。
sec_action security_result.action security_result.action 配列に統合されます。
server_ip client_ip client_ip フィールドに直接マッピングされます。
Severity security_result.severity 値に基づいて重大度レベルにマッピングされます。「Info」-> INFORMATIONAL、「Error」-> ERROR、「Warning」-> MEDIUM、その他 -> UNKNOWN_SEVERITY。
sha256 target.file.sha256 sha256 フィールドから直接マッピングされます。
signature additional.fields キー「signature」で additional.fields 配列に Key-Value ペアとして追加されます。
SourceAddress principal.ipprincipal.asset.ip SourceAddress フィールドから直接マッピングされます。
SourceHandleId src.resource.id SourceHandleId フィールドから直接マッピングされます。
SourceModuleName observer.labels キー「SourceModuleName」で observer.labels 配列に Key-Value ペアとして追加されます。
SourceModuleType observer.application SourceModuleType フィールドから直接マッピングされます。
SourcePort principal.port 整数に変換されます。SourcePort フィールドから直接マッピングされます。
SourceProcessId src.process.pid SourceProcessId フィールドから直接マッピングされます。
source_client_ip client_ip client_ip フィールドに直接マッピングされます。
sport principal.port 整数に変換されます。sport フィールドから直接マッピングされます。
src principal.ipprincipal.asset.ip src フィールドから直接マッピングされます。
ssid network.session_id JSON ログの ssid フィールドから直接マッピングされます。
ssidName additional.fields キー「ssidName」で additional.fields 配列に Key-Value ペアとして追加されます。
state additional.fields キー「state」で additional.fields 配列に Key-Value ペアとして追加されます。
Status additional.fields キー「Status」で additional.fields 配列に Key-Value ペアとして追加されます。
status_code network.http.response_code 整数に変換されます。status_code フィールドから直接マッピングされます。
SubjectDomainName principal.administrative_domain SubjectDomainName フィールドから直接マッピングされます。
SubjectLogonId principal.resource.attribute.labels キー「SubjectLogonId」で principal.resource.attribute.labels 配列に Key-Value ペアとして追加されます。
SubjectUserName principal.user.userid SubjectUserName フィールドから直接マッピングされます。
SubjectUserSid principal.user.windows_sid SubjectUserSid フィールドから直接マッピングされます。
targetHost target.hostnametarget.asset.hostname 可能な場合は IP アドレスに変換されます。それ以外の場合は、解析してホスト名を抽出し、target.hostnametarget.asset.hostname にマッピングされます。
TargetHandleId target.resource.id TargetHandleId フィールドから直接マッピングされます。
TargetLogonId principal.resource.attribute.labels キー「TargetLogonId」で principal.resource.attribute.labels 配列に Key-Value ペアとして追加されます(SubjectLogonId と異なる場合)。
TargetProcessId target.process.pid TargetProcessId フィールドから直接マッピングされます。
TargetUserName target.user.userid TargetUserName フィールドから直接マッピングされます。
TargetUserSid target.user.windows_sid TargetUserSid フィールドから直接マッピングされます。
Task additional.fields 文字列に変換されました。キー「Task」で additional.fields 配列に Key-Value ペアとして追加されます。
timestamp metadata.event_timestamp 秒フィールドは、タイムスタンプの作成に使用されます。
ts metadata.event_timestamp ts が空の場合、tsDatetsTimetsTZ を組み合わせて作成されます。「」が含まれている場合は、解析されて整数値が抽出されます。次に、さまざまな形式を使用してタイムスタンプとして解析されます。
type security_result.summarymetadata.product_event_type JSON ログの type フィールドから直接マッピングされます。場合によっては eventSummarymetadata.product_event_type としても使用されます。
url target.urlprincipal.url url フィールドから直接マッピングされます。
url1 target.url url1 フィールドから直接マッピングされます。
user target.user.group_identifiers target.user.group_identifiers 配列に統合されます。
user_id target.user.userid user_id フィールドから直接マッピングされます。
UserID principal.user.windows_sid UserID フィールドから直接マッピングされます。
UserName principal.user.userid UserName フィールドから直接マッピングされます。
user_agent network.http.user_agent user_agent フィールドから直接マッピングされます。
userId target.user.userid userId フィールドから直接マッピングされます。
vap additional.fields キー「vap」で additional.fields 配列に Key-Value ペアとして追加されます。
VirtualAccount security_result.about.labels キー「VirtualAccount」で security_result.about.labels 配列に Key-Value ペアとして追加されます。
wiredLastSeen security_result.detection_fields 文字列に変換されました。キー「wiredLastSeen」で security_result.detection_fields 配列に Key-Value ペアとして追加されます。
wiredMacs intermediary.mac 小文字に変換されます。intermediary.mac 配列に統合されます。
WorkstationName principal.hostnameprincipal.asset.hostname WorkstationName フィールドから直接マッピングされます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。