Diese Seite wurde von der Cloud Translation API übersetzt.

Cisco Firepower NGFW-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Cisco Firepower Next Generation Firewall-Logs (NGFW) mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert die Logs aus verschiedenen Formaten (Syslog, JSON und Kombinationen davon), normalisiert den Zeitstempel und ordnet relevante Felder dem Unified Data Model (UDM) zu. Es verarbeitet sowohl herkömmliche Syslog-Nachrichten als auch JSON-formatierte Nutzlasten in den Logs. Dabei werden Grok-Muster und bedingte Logik verwendet, um Felder wie Ereignis-ID, Schweregrad und Client-IP zu extrahieren. Anschließend werden die Daten mit Labels basierend auf HTTP-Hostname und URI angereichert.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Privilegierter Zugriff auf ein Cisco Firepower-Gerät

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
- Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_FIREPOWER_FIREWALL'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog auf Cisco FirePower-Gerät konfigurieren

Melden Sie sich in der Web-UI von Firepower Device Manager an.
Gehen Sie zu Systemeinstellungen > Logging-Einstellungen.
Stellen Sie den Schalter Daten-Logging auf Aktivieren.
Klicken Sie unter Syslog-Server auf das Symbol +.
Klicken Sie auf Neuen Syslog-Server erstellen. Alternativ können Sie den Syslog-Server unter Objekte > Syslog-Server erstellen.
Geben Sie die folgenden Konfigurationsdetails an:
- IP-Adresse: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Protokolltyp: Wählen Sie UDP aus.
- Portnummer: Geben Sie die Portnummer des Bindplane-Agents ein.
- Wählen Sie Datenschnittstelle oder Verwaltungsschnittstelle aus.
Klicken Sie auf OK.
Wählen Sie den neu erstellten Syslog-Server aus der Liste aus und klicken Sie auf OK.
Klicken Sie auf Schweregrad zum Filtern aller Ereignisse und wählen Sie in der Liste den Protokollierungsgrad Informationen aus.
Klicken Sie auf Speichern.
Klicken Sie auf das Symbol Neue Einstellungen bereitstellen> Jetzt bereitstellen.
Klicken Sie oben auf dem Bildschirm auf Richtlinien.
Bewegen Sie den Mauszeiger auf die Seite der ACP-Regel und klicken Sie auf Bearbeiten Bearbeiten.
Rufen Sie den Tab Logging auf.
Wählen Sie At End of Connection (Am Ende der Verbindung) aus.
Öffnen Sie die Liste Select a Syslog Alert Configuration (Syslog-Benachrichtigungskonfiguration auswählen).
Wählen Sie den BindPlane-Syslog-Server aus.
Klicken Sie auf OK.
Klicken Sie auf das Symbol Neue Einstellungen bereitstellen> Jetzt bereitstellen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Bemerkung
`act`	`security_result.action_details`	Für Ereignis-IDs `313001`, `746014`.
`Addr`	`principal.ip principal.asset.ip`	Für die Ereignis-ID `734001`.
`address`	`principal.ip principal.asset.ip`	Für die Ereignis-ID `746014`.
`action`	`metadata.ingestion_labels`	Für Ereignis-IDs `313001`, `746014`.
`ap`	`metadata.ingestion_labels`
`api`	`metadata.ingestion_labels`
`Assigned Ip`	`principal.ip principal.asset.ip`	Für die Ereignis-IDs `109201`, `109210`, `109207`.
`assigned_ip`	`principal.ip principal.asset.ip`	Für die Ereignis-IDs `109201`, `109210`, `109207`.
`bytes`	`network.received_bytes`
`centry_addr`	`metadata.ingestion_labels`
`Client`	`network.http.parsed_user_agent`
`client_ip`	`principal.ip principal.asset.ip`
`COMMAND`	`principal.process.command_line`	Für den Logtyp `useradd`, der der Ereignis-ID `199017` entspricht.
`command_line`	`principal.process.command_line`
`connection_type`	`metadata.ingestion_labels`	Für die Ereignis-ID `734001`.
`ConnectionID`	`network.session_id`
`ConnectType`	`metadata.ingestion_labels`
`cribl_pipe`	`additional.fields`
`DE`	`metadata.ingestion_labels`
`desc`	`metadata.description`	Für die Ereignis-IDs `109201`, `109210`, `109207`.
`desc1`	`metadata.description`
`desc_data`	`metadata.description`
`description`	`metadata.description`
`dest_addr`	`target.ip target.asset.ip`	Für die Ereignis-ID `602101`.
`device_uuid`	`metadata.product_log_id`	Aus JSON-Logs abgerufen, in denen Produktdetails angegeben sind.
`DeviceUUID`	`principal.resource.product_object_id`	Aus dem Syslog abgerufen, das die Ressourcen-ID enthält.
`direction`	`network.direction`	Für die Ereignis-ID `302020`.
`DNSResponseType`	`network.dns.response_code`
`DNSSICategory`	`security_result.category_details`
`dpt`	`target.port`
`dst management IP`	`target.ip target.asset.ip`	Für die Ereignis-ID `418001`.
`dst management Port`	`target.port`	Für die Ereignis-ID `418001`.
`DstIP`	`target.ip`	Für die Ereignis-ID `713906`.
`dst_ip_range`	`target.network.ip_subnet_range`	Für Ereignis-IDs `418001`. `750001`, `750003`, `751002`, `750014`.
`DstPort`	`target.port`	Für die Ereignis-ID `713906`.
`duration`	`network.session_duration.seconds`	In Sekundenschnelle aufrufbar.
`euid`	`metadata.ingestion_labels`
`event_name`	`metadata.product_event_type`
`eventId`	`metadata.ingestion_labels` `metadata.product_event_type`
`exe`	`principal.process.command_line`
`exitcode`	`metadata.ingestion_labels`
`faddr`	`target.ip` (ausgehend) `principal.ip` (eingehend)	Für die Ereignis-ID `302020`.
`fdqn`	`principal.hostname`	Für die Ereignis-ID `746014`.
`firewall`	`principal.ip` `principal.asset.ip`
`flag`	`metadata.ingestion_labels`	Für die Ereignis-ID `500003`.
`fport`	`target.port` (ausgehend) `principal.port` (eingehend)	Für die Ereignis-ID `302020`.
`from`	`network.email.from`	Für den Logtyp `useradd`, der der Ereignis-ID `199017` entspricht.
`fromIP`	`principal.ip` `principal.asset.ip`	Für die Ereignis-ID `500003`.
`fromPort`	`principal.port`	Für die Ereignis-ID `500003`.
`gaddr`	`target.nat_port` (ausgehend) `principal.nat_port` (eingehend)	Für die Ereignis-ID `302020`.
`GID`	`target.group.product_object_id`	Für den Logtyp `useradd`, der der Ereignis-ID `199017` entspricht.
`group_id`	`target.group.group_display_name`
`hdrlen`	`metadata.ingestion_labels`	Für die Ereignis-ID `500003`.
`home`	`metadata.ingestion_labels`	Für den Logtyp `useradd`, der der Ereignis-ID `199017` entspricht.
`host`	`principal.ip/hostname` `principal.hostname` `principal.asset.hostname`
`host_name`	`principal.hostname`
`HTTP_Hostname`	`target.resource.attribute.labels`
`HTTP_URI`	`target.resource.attribute.labels`
`icmp_code`	`metadata.ingestion_labels`	Für die Ereignis-ID `313001`.
`icmp_type`	`metadata.ingestion_labels`	Für die Ereignis-ID `313001`.
`interface`	`metadata.ingestion_labels`	Für die Ereignis-ID `313004`.
`interface_name`	`metadata.ingestion_labels`	Für Ereignis-IDs `313001`, `500003`.
`intermediary_host`	`intermed.hostname` `intermed.asset.hostname`
`intermediary_ip`	`intermediary.ip`	Für die Ereignis-ID `713906`.
`ipp`	`principal.ip`
`IPReputationSICategory`	`security_result.category_details`
`kernel_value`	`additional.fields`
`laddr`	`principal.ip` (ausgehend) `target.ip` (eingehend)	Für die Ereignis-ID `302020` und basierend auf der Richtung (eingehend oder ausgehend) zugeordnet.
`laddr`	`principal.ip` `principal.asset.ip`	Für die Ereignis-ID `313004`.
`Local`	`principal.ip` `principal.asset.ip`	Für Ereignis-IDs `750001`, `750003`, `751002`, `750014`.
`Local_port`	`principal.port`	Für Ereignis-IDs `750001`, `750003`, `751002`, `750014`.
`mailsize`	`network.sent_bytes`
`msgid`	`metadata.ingestion_labels`
`mtu_size`	`metadata.ingestion_labels`	Für die Ereignis-ID `602101`.
`name`	`target.user.user_display_name`	Für den Logtyp `useradd`, der der Ereignis-ID `199017` entspricht.
`NETWORK_SUSPICIOUS`	`SecCategory` (`security_result.category`)	Für die Ereignis-ID `430001`.
`os`	`principal.platform_version`
`osuser`	`principal.user.user_display_name`
`packet_size`	`metadata.ingestion_labels`	Für die Ereignis-ID `602101`.
`path`	`principal.process.file.full_path`
`pid`	`principal.process.pid`
`pktlen`	`metadata.ingestion_labels`	Für die Ereignis-ID `500003`.
`Policy`	`security_result.rule_labels`
`prin_ip`	`principal.ip` `principal.asset.ip`	Abgerufen von `desc_data` (mit der Logik: `"desc_data" => "(?P<desc>.* %{IP:prin_ip}.*)"`).
`prin_user`	`principal.user.userid`
`product`	`security_result.summary`	Für Ereignis-IDs `430002`, `430003`.
`prot`	`network.ip_protocol`	Für die Ereignis-ID `602101`.
`Protocol`	`network.ip_protocol`	Für die Ereignis-IDs `302020`, `313001`, `313004`, `418001`
`protocol`	`network.app_protocol`	Für die Ereignis-ID `713906`.
`protocol`	`network.ip_protocol` `network.application_protocol`	Für den Fall, dass der Logfeldwert ein Anwendungs- oder IP-Protokoll ist.
`PWD`	`principal.process.file.full_path`	Für den Logtyp `useradd`, der der Ereignis-ID `199017` entspricht.
`reason`	`security_result.detection_fields`
`recipients`	`network.email.to`
`Remote`	`target.ip` `target.asset.ip`	Für Ereignis-IDs `750001`, `750003`, `751002`, `750014`.
`Remote_port`	`target.port`	Für Ereignis-IDs `750001`, `750003`, `751002`, `750014`.
`Revision`	`security_result.detection_fields`
`sec_desc`	`security_result.description`
`SecIntMatchingIP`	`metadata.ingestion_labels`
`SecRuleName`	`security_result.rule_name`	Für die Ereignis-ID `734001`.
`seq_num`	`security_result.detection_fields`
`Session`	`network.session_id`	Für die Ereignis-IDs `109201`, `109210`, `109207`.
`session_id`	`network.session_id`
`severity`	`security_result.summary`	Für Ereignis-IDs `430002`, `430003`.
`shell`	`metadata.ingestion_labels`	Für den Logtyp `useradd`, der der Ereignis-ID `199017` entspricht.
`Sinkhole`	`metadata.ingestion_labels`
`smtpmsg`	`network.smtp.server_response`
`smtpstatus`	`network.http.response_code`
`sourceIpAddress`	`principal.ip`	Für die Ereignis-ID `713906`.
`source_ip`	`principal.ip` `principal.asset.ip`
`spt`	`principal.port`
`src management IP`	`principal.ip` `principal.asset.ip`	Für die Ereignis-ID `418001`.
`src management Port`	`principal.port`	Für die Ereignis-ID `418001`.
`src_addr`	`principal.ip` `principal.asset.ip`	Für die Ereignis-ID `602101`.
`src_app`	`principal.application`
`src_fwuser`	`principal.hostname`	Wenn `src_fwuser` das Format `host` hat.
`src_fwuser`	`principal.administrative_domain` `principal.hostname`	Für den Fall, dass `src_fwuser` das Format `domain` oder `host` hat.
`src_host`	`principal.hostname` `principal.asset.hostname`
`src_interface_name`	`metadata.ingestion_labels`
`SrcIP`	`principal.ip`	Für die Ereignis-ID `713906`.
`src_ip`	`principal.ip` `principal.asset.ip`
`src_ip_range`	`principal.network.ip_subnet_range`	Für Ereignis-IDs `750001`, `750003`, `751002`, `750014`.
`src_port`	`principal.port`
`SrcPort`	`principal.port`	Für die Ereignis-ID `713906`.
`srcuser`	`principal.user.userid` `principal.user.user_display_name metadata.event_type`	Der Wert für `metadata.event_type` ist `USER_UNCATEGORIZED`.
`sshd`	`principal.application`
`syslog_msg_id`		Für die Ereignis-ID `716001`.
`syslog_msg_text`	`security_result.description`
`tag`	`security_result.detection_fields`
`tar_ip`	`target.ip target.asset.ip`
`tar_port`	`target.port`
`TCPFlags`	`metadata.ingestion_labels`
`thread`	`metadata.ingestion_labels`
`timezoneadjustment`	`metadata.ingestion_labels`
`tls`	`network.smtp.is_tls`
`to`	`target.ip target.asset.ip`	Für die Ereignis-ID `313004`.
`toIP`	`target.ip target.asset.ip`	Für die Ereignis-ID `500003`.
`TRUE`	`is_significant`	Für die Ereignis-ID `430001`.
`toPort`	`target.port`	Für die Ereignis-ID `500003`.
`ts`	`metadate.event_timestamp`
`ts_year`	`metadate.event_timestamp`	Für die Ereignis-ID `430001`.
`tty`	`metadata.ingestion_labels`
`TTY`	`metadata.ingestion_labels`	Für den Logtyp `useradd`, der der Ereignis-ID `199017` entspricht.
`uid`	`metadata.ingestion_labels`
`UID`	`target.user.userid`	Für den Logtyp `useradd`, der der Ereignis-ID `199017` entspricht.
`URLSICategory`	`security_result.category_details`
`USER`	`target.user.userid`	Für den Logtyp `useradd`, der der Ereignis-ID `199017` entspricht.
`USER`	`principal.user.userid`	Für alle Logtypen außer `useradd`.
`User`	`target.user.userid`	Für Ereignis-IDs `109201`, `109210`, `109207`, `734001`.
`user`	`principal.user.userid`
`user_name`	`principal.user.email_addresses`
`UserAgent`	`network.http.user_agent` `network.http.parsed_user_agent`
`Username`	`principal.user.userid`	Für Ereignis-IDs `750001`, `750003`, `751002`, `750014`.
`username`	`target.user.userid`
`username_Id`	`target.user.userid`
`version`	`metadata.ingestion_labels`

UDM-Abgleichsdelta-Referenz

Am 6. November 2025 hat Google SecOps eine neue Version des Cisco Firepower NGFW-Parsers veröffentlicht, die erhebliche Änderungen bei der Zuordnung von Cisco Firepower NGFW-Logfeldern zu UDM-Feldern und Änderungen bei der Zuordnung von Ereignistypen enthält.

Delta der Zuordnung von Log-Feldern

In der folgenden Tabelle ist das Zuordnungsdelta für Cisco Firepower NGFW-Log-zu-UDM-Felder aufgeführt, die vor dem 6. November 2025 und danach verfügbar waren (in den Spalten Alte Zuordnung bzw. Aktuelle Zuordnung).

Logfeld	Alte Zuordnung	Aktuelle Zuordnung
`act`	`security_result.description`	`security_result.action_details`
`action`	`product_event_type`	`metadata.ingestion_labels`
`DeviceUUID`	`principal.resource.id`	`principal.resource.product_object_id`
`dpt`	`security_result.detection_fields`	`target.port`
`flag`	`about.labels`	`metadata.ingestion_labels`
`pid`	`principal.port`	`principal.process.pid`
`Revision`	`security_result.about.labels`	`security_result.detection_fields`
`spt`	`security_result.detection_fields`	`principal.port`
`username`	`principal.user.userid`	`target.user.userid`

Delta der Ereignistypzuordnung

Mehrere Ereignisse, die zuvor als generisches Ereignis klassifiziert wurden, werden jetzt korrekt mit aussagekräftigen Ereignistypen klassifiziert.

In der folgenden Tabelle ist die Änderung bei der Verarbeitung von Cisco Firepower NGFW-Ereignistypen vor dem 6. November 2025 und danach aufgeführt (in den Spalten Old event_type und Current event_type).

Ereignis-ID aus dem Protokoll	Alter event_type	Aktueller event_type
`113003`	`GENERIC_EVENT`	`USER_UNCATEGORIZED`
`113009`	`GENERIC_EVENT`	`STATUS_UPDATE`
`113010`	`GENERIC_EVENT`	`USER_LOGIN`
`113039`	`GENERIC_EVENT`	`USER_LOGIN`
`302020`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`313001`	`GENERIC_EVENT`	`STATUS_UPDATE`
`313004`	`GENERIC_EVENT`	`NETWORK_CONNECTION`
`430002`	`NETWORK_CONNECTION`	`NETWORK_DNS`
`430003`	`NETWORK_CONNECTION`	`NETWORK_DNS`
`500003`	`GENERIC_EVENT`	`NETWORK_CONNECTION`
`602101`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`713906`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`722051`	`GENERIC_EVENT`	`STATUS_UPDATE`
`750003`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`msmtp`	`STATUS_UPDATE`	`EMAIL_TRANSACTION`

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten