收集 Cisco Meraki 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Google Security Operations 轉送器收集 Cisco Meraki 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 CISCO_MERAKI 攝入標籤的剖析器。
設定 Cisco Meraki
- 登入 Cisco Meraki 資訊主頁。
- 在 Cisco Meraki 資訊主頁中,依序選取「Configure」>「Alerts & administration」。
- 在「記錄」部分執行下列操作:
- 在「伺服器 IP」欄位中,指定 Google Security Operations 轉送器 IP 位址。
- 在「Port」(通訊埠) 欄位中,指定通訊埠值,例如 514。
- 在「Roles」(角色) 欄位中,選取四個可用選項,即可取得所有記錄,或根據需求選取任何組合。
- 按一下 [儲存變更]。
設定 Google Security Operations 轉送器和系統記錄,以便擷取 Cisco Meraki 記錄
- 依序前往「SIEM 設定」>「轉送器」。
- 按一下「新增轉寄者」。
- 在「轉送器名稱」欄位中,輸入轉送器的專屬名稱。
- 按一下「提交」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
- 在「收集器名稱」欄位中輸入名稱。
- 選取「Cisco Meraki」做為「記錄類型」。
- 選取「Syslog」做為「收集器類型」。
- 設定下列必要輸入參數:
- 「通訊協定」:指定通訊協定。
- 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
- 通訊埠:指定收集器所在位置的目標通訊埠,並監聽系統記錄檔資料。
- 按一下「提交」。
如要進一步瞭解 Google Security Operations 轉送器,請參閱 Google Security Operations 轉送器說明文件。
如要瞭解各轉送器類型的相關規定,請參閱「依類型設定轉送器」。
如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。
欄位對應參考資料
這個剖析器會處理 SYSLOG 或 JSON 格式的 Cisco Meraki (識別為 Cisco/Meraki) 記錄,並將其正規化為 UDM。它會使用 grok 模式剖析系統記錄訊息,並根據 eventType 欄位採用條件邏輯,擷取相關資訊、處理各種事件類型 (例如網路流量、網址要求、防火牆事件和一般事件)、將這些事件對應至適當的 UDM 欄位,並提供額外背景資訊來擴充資料。如果輸入內容不是系統記錄,系統會嘗試將其剖析為 JSON,並將相關欄位對應至 UDM。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
action |
security_result.action |
值會轉換為大寫。如果值為「deny」,則會替換為「BLOCK」。如果 sc_action 包含「allow」,系統會將值替換為「ALLOW」。否則,如果 decision 包含「block」,值會替換為「BLOCK」。否則,如果 authorization 為「success」,則設為「ALLOW」;如果為「failure」,則設為「BLOCK」。否則,如果 pattern 是「1 all」、「deny all」或「Group Policy Deny」,則會設為「BLOCK」。如果 pattern 為「允許所有」、「群組政策允許」或「0 all」,則會設為「允許」。否則會設為「UNKNOWN_ACTION」。如果 decision 包含「block」,則會設為「BLOCK」。 |
adId |
principal.user.user_display_name |
直接從 JSON 記錄中的 adId 欄位對應。 |
agent |
network.http.user_agent |
移除所有格符號。直接從「agent」欄位對應。也使用 parseduseragent 篩選器轉換為 network.http.parsed_user_agent。 |
aid |
network.session_id |
直接從「aid」欄位對應。 |
appProtocol |
network.application_protocol |
轉換為大寫。直接從「appProtocol」欄位對應。 |
attr |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「attr」。 |
authorization |
security_result.action_details |
直接從 JSON 記錄中的 authorization 欄位對應。 |
band |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「band」。 |
bssids.bssid |
principal.mac |
轉換為小寫。已合併至 principal.mac 陣列。 |
bssids.detectedBy.device |
intermediary.asset.asset_id |
格式為「裝置 ID: |
bssids.detectedBy.rssi |
intermediary.asset.product_object_id |
轉換為字串。 |
Channel |
about.resource.attribute.labels |
以鍵/值組合的形式新增至 about.resource.attribute.labels 陣列,並使用「Channel」做為鍵。 |
clientDescription |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,並使用「clientDescription」做為鍵。 |
clientId |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,並使用「clientId」鍵。 |
clientIp |
principal.ip、principal.asset.ip |
直接從「clientIp」欄位對應。 |
clientMac |
principal.mac |
轉換為小寫。直接從 JSON 記錄中的 clientMac 欄位對應。 |
client_ip |
principal.ip、principal.asset.ip |
直接從「client_ip」欄位對應。 |
client_mac |
principal.mac |
轉換為小寫。直接從「client_mac」欄位對應。 |
code |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「code」。 |
collection_time |
metadata.event_timestamp |
系統會合併 seconds 和 nanos 欄位,建立時間戳記。 |
Conditions |
security_result.about.resource.attribute.labels |
回車、換行和 Tab 鍵會替換為空格,特定值則會替換。修改後的值會以鍵/值組合的形式,新增至 security_result.about.resource.attribute.labels 陣列,並以「Conditions」做為鍵。 |
decision |
security_result.action |
如果值為「blocked」,則會設為「BLOCK」。 |
desc |
metadata.description |
直接從「desc」欄位對應。 |
description |
security_result.description |
直接從 JSON 記錄中的 description 欄位對應。 |
DestAddress |
target.ip、target.asset.ip |
直接從「DestAddress」欄位對應。 |
DestPort |
target.port |
轉換為整數。直接從「DestPort」欄位對應。 |
deviceIp |
target.ip |
直接從「deviceIp」欄位對應。 |
deviceMac |
target.mac |
轉換為小寫。直接從「deviceMac」欄位對應。 |
deviceName |
target.hostname、target.asset.hostname |
直接從 JSON 記錄中的 deviceName 欄位對應。 |
deviceSerial |
target.asset.hardware.serial_number |
直接從 JSON 記錄中的 deviceSerial 欄位對應。 |
Direction |
network.direction |
移除特殊字元,並將值對應至 network.direction。 |
DisabledPrivilegeList |
target.user.attribute |
系統會取代歸位元、換行符和定位點,並將修改後的值剖析為 JSON,然後合併至 target.user.attribute 物件。 |
dport |
target.port |
轉換為整數。直接從「dport」欄位對應。 |
dst |
target.ip、target.asset.ip |
直接從「dst」欄位對應。 |
dstIp |
target.ip、target.asset.ip |
直接從「dstIp」欄位對應。 |
dstPort |
target.port |
轉換為整數。直接從「dstPort」欄位對應。 |
dvc |
intermediary.hostname |
直接從「dvc」欄位對應。 |
EnabledPrivilegeList |
target.user.attribute |
系統會取代歸位元、換行符和定位點,並將修改後的值剖析為 JSON,然後合併至 target.user.attribute 物件。 |
eventData.aid |
principal.asset_id |
格式為「ASSET_ID: |
eventData.client_ip |
principal.ip、principal.asset.ip |
直接從 JSON 記錄中的 eventData.client_ip 欄位對應。 |
eventData.client_mac |
principal.mac |
轉換為小寫。直接從 JSON 記錄中的 eventData.client_mac 欄位對應。 |
eventData.group |
principal.group.group_display_name |
直接從 JSON 記錄中的 eventData.group 欄位對應。 |
eventData.identity |
principal.hostname |
直接從 JSON 記錄中的 eventData.identity 欄位對應。 |
eventData.ip |
principal.ip、principal.asset.ip |
直接從 JSON 記錄中的 eventData.ip 欄位對應。 |
EventID |
metadata.product_event_type、security_result.rule_name |
轉換為字串。已對應至「metadata.product_event_type」。也用於建立「EventID: security_result.rule_name,並決定 event_type 和 sec_action。 |
eventSummary |
security_result.summary、metadata.description |
直接從「eventSummary」欄位對應。也用於部分活動的 security_result.description。 |
eventType |
metadata.product_event_type |
直接從「eventType」欄位對應。用來判斷要套用哪種剖析邏輯。 |
filename |
principal.process.file.full_path |
直接從「filename」欄位對應。 |
FilterId |
target.resource.product_object_id |
直接從 EventID 5447 的 FilterId 欄位對應。 |
FilterName |
target.resource.name |
直接從 EventID 5447 的 FilterName 欄位對應。 |
FilterRTID |
security_result.detection_fields |
以鍵/值組合的形式新增至 security_result.detection_fields 陣列,並以「FilterRTID」做為鍵。 |
firstSeen |
security_result.detection_fields |
轉換為字串。以鍵/值組合的形式新增至 security_result.detection_fields 陣列,鍵為「firstSeen」。 |
gatewayDeviceMac |
target.mac |
轉換為小寫。已合併至 target.mac 陣列。 |
group |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,並使用「group」鍵。 |
GroupMembership |
target.user |
移除回車、換行、Tab 鍵和特殊字元。修改後的值會剖析為 JSON,並合併至 target.user 物件。 |
Hostname |
principal.hostname、principal.asset.hostname |
直接從「Hostname」欄位對應。 |
identity |
target.user.userid |
直接從「identity」欄位對應。 |
instigator |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「instigator」。 |
int_ip |
intermediary.ip |
直接從「int_ip」欄位對應。 |
ip_msg |
principal.resource.attribute.labels |
以鍵/值組合的形式新增至 principal.resource.attribute.labels 陣列,鍵為「IPs」。 |
is_8021x |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「is_8021x」。 |
KeyName |
target.resource.name |
直接從「KeyName」欄位對應。 |
KeyFilePath |
target.file.full_path |
直接從「KeyFilePath」欄位對應。 |
lastSeen |
security_result.detection_fields |
轉換為字串。以鍵/值組合的形式新增至 security_result.detection_fields 陣列,鍵為「lastSeen」。 |
last_known_client_ip |
principal.ip、principal.asset.ip |
直接從「last_known_client_ip」欄位對應。 |
LayerName |
security_result.detection_fields |
以鍵/值組合的形式新增至 security_result.detection_fields 陣列,並以「圖層名稱」做為鍵。 |
LayerRTID |
security_result.detection_fields |
以鍵/值組合的形式新增至 security_result.detection_fields 陣列,鍵為「LayerRTID」。 |
localIp |
principal.ip、principal.asset.ip |
直接從「localIp」欄位對應。 |
login |
principal.user.email_addresses |
如果符合電子郵件地址格式,則直接從 JSON 記錄中的 login 欄位對應。 |
LogonGuid |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「LogonGuid」。 |
LogonType |
extensions.auth.mechanism |
根據其值對應至特定驗證機制。如果 PreAuthType 存在,則會覆寫 LogonType。值對應方式如下:2 -> USERNAME_PASSWORD、3 -> NETWORK、4 -> BATCH、5 -> SERVICE、7 -> UNLOCK、8 -> NETWORK_CLEAR_TEXT、9 -> NEW_CREDENTIALS、10 -> REMOTE_INTERACTIVE、11 -> CACHED_INTERACTIVE、12 -> CACHED_REMOTE_INTERACTIVE、13 -> CACHED_UNLOCK,其他 -> MECHANISM_UNSPECIFIED。 |
mac |
principal.mac |
轉換為小寫。已合併至 principal.mac 陣列。 |
MandatoryLabel |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,並使用「MandatoryLabel」做為鍵。 |
Message |
security_result.description、security_result.summary |
如果存在 AccessReason,則 Message 會對應至 security_result.summary,而 AccessReason 會對應至 security_result.description。否則,Message 會對應至 security_result.description。 |
method |
network.http.method |
直接從「method」欄位對應。 |
msg |
security_result.description |
直接從「msg」欄位對應。 |
name |
principal.user.user_display_name |
直接從 JSON 記錄中的 name 欄位對應。 |
natsrcIp |
principal.nat_ip |
直接從「natsrcIp」欄位對應。 |
natsrcport |
principal.nat_port |
轉換為整數。直接從「natsrcport」欄位對應。 |
network_id |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,並使用「Network ID」做為鍵。 |
NewProcessId |
target.process.pid |
直接從「NewProcessId」欄位對應。 |
NewProcessName |
target.process.file.full_path |
直接從「NewProcessName」欄位對應。 |
NewSd |
target.resource.attribute.labels |
以鍵/值組合的形式新增至 target.resource.attribute.labels 陣列,並使用「New Security Descriptor」鍵。 |
occurredAt |
metadata.event_timestamp |
以 ISO8601 格式剖析為時間戳記。 |
ObjectName |
target.file.full_path、target.registry.registry_key、target.process.file.full_path、additional.fields |
如果 EventID 為 4663,且 ObjectType 為「Process」,則會對應至 target.process.file.full_path。如果 ObjectType 是「Key」,則會對應到 target.registry.registry_key。否則會對應至 target.file.full_path。如果是其他事件,則會以鍵/值組合的形式新增至 additional.fields 陣列,並使用「ObjectName」做為鍵。 |
ObjectType |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「ObjectType」。用於判斷 event_type。 |
OldSd |
target.resource.attribute.labels |
以鍵/值組合的形式新增至 target.resource.attribute.labels 陣列,並使用「原始安全描述元」鍵。 |
organizationId |
principal.resource.id |
直接從 JSON 記錄中的 organizationId 欄位對應。 |
ParentProcessName |
target.process.parent_process.file.full_path |
直接從「ParentProcessName」欄位對應。 |
pattern |
security_result.description |
直接對應至 security_result.description。用於判斷 security_result.action。 |
peer_ident |
target.user.userid |
直接從「peer_ident」欄位對應。 |
PreAuthType |
extensions.auth.mechanism |
如果存在,則用於判斷驗證機制。這會覆寫 LogonType。 |
principalIp |
principal.ip、principal.asset.ip |
直接從「principalIp」欄位對應。 |
principalMac |
principal.mac |
轉換為小寫。已合併至 principal.mac 陣列。 |
principalPort |
principal.port |
轉換為整數。直接從「principalPort」欄位對應。 |
prin_ip2 |
principal.ip、principal.asset.ip |
直接從「prin_ip2」欄位對應。 |
prin_url |
principal.url |
直接從「prin_url」欄位對應。 |
priority |
security_result.priority |
根據值對應至優先順序等級:1 -> HIGH_PRIORITY、2 -> MEDIUM_PRIORITY、3 -> LOW_PRIORITY,其他 -> UNKNOWN_PRIORITY。 |
ProcessID |
principal.process.pid |
轉換為字串。直接從「ProcessID」欄位對應。 |
ProcessName |
principal.process.file.full_path、target.process.file.full_path |
如果 EventID 是 4689,則會對應到 target.process.file.full_path。否則會對應至 principal.process.file.full_path。 |
prod_log_id |
metadata.product_log_id |
直接從「prod_log_id」欄位對應。 |
protocol |
network.ip_protocol |
轉換為大寫。如果是數字,系統會轉換為對應的 IP 通訊協定名稱。如果為「ICMP6」,則會替換為「ICMP」。直接從「protocol」欄位對應。 |
ProviderGuid |
metadata.product_deployment_id |
直接從「ProviderGuid」欄位對應。 |
query |
network.dns.questions.name |
直接從「query」欄位對應。 |
query_type |
network.dns.questions.type |
已重新命名為 question.type,並合併至 network.dns.questions 陣列。根據 DHCP 查詢類型對應至數值。 |
radio |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「radio」。 |
reason |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「reason」。 |
rec_bytes |
network.received_bytes |
轉換為無正負號整數。直接從「rec_bytes」欄位對應。 |
RecordNumber |
metadata.product_log_id |
轉換為字串。直接從「RecordNumber」欄位對應。 |
RelativeTargetName |
target.process.file.full_path |
直接從「RelativeTargetName」欄位對應。 |
response_ip |
principal.ip、principal.asset.ip |
直接從「response_ip」欄位對應。 |
rssi |
intermediary.asset.product_object_id |
直接從「rssi」欄位對應。 |
sc_action |
security_result.action_details |
直接從「sc_action」欄位對應。 |
sec_action |
security_result.action |
已合併至 security_result.action 陣列。 |
server_ip |
client_ip |
直接對應至 client_ip 欄位。 |
Severity |
security_result.severity |
根據值對應至嚴重性等級:「Info」-> INFORMATIONAL、「Error」-> ERROR、「Warning」-> MEDIUM,其他 -> UNKNOWN_SEVERITY。 |
sha256 |
target.file.sha256 |
直接從「sha256」欄位對應。 |
signature |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,並使用「signature」鍵。 |
SourceAddress |
principal.ip、principal.asset.ip |
直接從「SourceAddress」欄位對應。 |
SourceHandleId |
src.resource.id |
直接從「SourceHandleId」欄位對應。 |
SourceModuleName |
observer.labels |
以鍵/值組合的形式新增至 observer.labels 陣列,並使用「SourceModuleName」鍵。 |
SourceModuleType |
observer.application |
直接從「SourceModuleType」欄位對應。 |
SourcePort |
principal.port |
轉換為整數。直接從「SourcePort」欄位對應。 |
SourceProcessId |
src.process.pid |
直接從「SourceProcessId」欄位對應。 |
source_client_ip |
client_ip |
直接對應至 client_ip 欄位。 |
sport |
principal.port |
轉換為整數。直接從「sport」欄位對應。 |
src |
principal.ip、principal.asset.ip |
直接從「src」欄位對應。 |
ssid |
network.session_id |
直接從 JSON 記錄中的 ssid 欄位對應。 |
ssidName |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「ssidName」。 |
state |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,並使用「state」做為鍵。 |
Status |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「Status」。 |
status_code |
network.http.response_code |
轉換為整數。直接從「status_code」欄位對應。 |
SubjectDomainName |
principal.administrative_domain |
直接從「SubjectDomainName」欄位對應。 |
SubjectLogonId |
principal.resource.attribute.labels |
以鍵/值組合的形式新增至 principal.resource.attribute.labels 陣列,並使用「SubjectLogonId」鍵。 |
SubjectUserName |
principal.user.userid |
直接從「SubjectUserName」欄位對應。 |
SubjectUserSid |
principal.user.windows_sid |
直接從「SubjectUserSid」欄位對應。 |
targetHost |
target.hostname、target.asset.hostname |
盡可能轉換為 IP 位址。否則,系統會剖析並擷取主機名稱,然後對應至 target.hostname 和 target.asset.hostname。 |
TargetHandleId |
target.resource.id |
直接從「TargetHandleId」欄位對應。 |
TargetLogonId |
principal.resource.attribute.labels |
如果與 SubjectLogonId 不同,則會以鍵/值組合的形式新增至 principal.resource.attribute.labels 陣列,並使用「TargetLogonId」鍵。 |
TargetProcessId |
target.process.pid |
直接從「TargetProcessId」欄位對應。 |
TargetUserName |
target.user.userid |
直接從「TargetUserName」欄位對應。 |
TargetUserSid |
target.user.windows_sid |
直接從「TargetUserSid」欄位對應。 |
Task |
additional.fields |
轉換為字串。以鍵/值組合的形式新增至 additional.fields 陣列,並使用「Task」做為鍵。 |
timestamp |
metadata.event_timestamp |
系統會使用秒數欄位建立時間戳記。 |
ts |
metadata.event_timestamp |
如果 ts 為空,系統會結合 tsDate、tsTime 和 tsTZ 建立該欄位。如果包含「 |
type |
security_result.summary、metadata.product_event_type |
直接從 JSON 記錄中的 type 欄位對應。在某些情況下,也會用來表示 eventSummary 和 metadata.product_event_type。 |
url |
target.url、principal.url |
直接從「url」欄位對應。 |
url1 |
target.url |
直接從「url1」欄位對應。 |
user |
target.user.group_identifiers |
已合併至 target.user.group_identifiers 陣列。 |
user_id |
target.user.userid |
直接從「user_id」欄位對應。 |
UserID |
principal.user.windows_sid |
直接從「UserID」欄位對應。 |
UserName |
principal.user.userid |
直接從「UserName」欄位對應。 |
user_agent |
network.http.user_agent |
直接從「user_agent」欄位對應。 |
userId |
target.user.userid |
直接從「userId」欄位對應。 |
vap |
additional.fields |
以鍵/值組合的形式新增至 additional.fields 陣列,鍵為「vap」。 |
VirtualAccount |
security_result.about.labels |
以鍵/值組合的形式新增至 security_result.about.labels 陣列,並使用「VirtualAccount」做為鍵。 |
wiredLastSeen |
security_result.detection_fields |
轉換為字串。以鍵/值組合的形式新增至 security_result.detection_fields 陣列,鍵為「wiredLastSeen」。 |
wiredMacs |
intermediary.mac |
轉換為小寫。已合併至 intermediary.mac 陣列。 |
WorkstationName |
principal.hostname、principal.asset.hostname |
直接從「WorkstationName」欄位對應。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。