Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Cisco Firepower NGFW

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux Cisco Firepower Next Generation Firewall (NGFW) dans Google Security Operations à l'aide de Bindplane. L'analyseur extrait les journaux de différents formats (syslog, JSON et combinaisons de ces formats), normalise le code temporel et mappe les champs pertinents au modèle de données unifié (UDM). Il gère à la fois les messages syslog conventionnels et les charges utiles au format JSON dans les journaux, en tirant parti des modèles grok et de la logique conditionnelle pour extraire des champs tels que l'ID d'événement, la gravité et l'adresse IP du client. Il enrichit ensuite les données avec des libellés basés sur le nom d'hôte HTTP et l'URI.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Instance Google SecOps
Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Accès privilégié à un appareil Cisco Firepower

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
- Enregistrez le fichier de manière sécurisée sur le système sur lequel BindPlane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Autres ressources d'installation

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
- Recherchez le fichier config.yaml. Il se trouve généralement dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
- Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_FIREPOWER_FIREWALL'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog sur un appareil Cisco FirePower

Connectez-vous à l'interface utilisateur Web de Firepower Device Manager.
Accédez à Paramètres système > Paramètres de journalisation.
Basculez le bouton Journalisation des données sur Activer.
Cliquez sur l'icône + sous Syslog Servers (Serveurs Syslog).
Cliquez sur Créer un serveur Syslog. (Vous pouvez également créer le serveur Syslog dans Objets > Serveurs Syslog.)
Fournissez les informations de configuration suivantes :
- Adresse IP : saisissez l'adresse IP de l'agent Bindplane.
- Type de protocole : sélectionnez UDP.
- Numéro de port : saisissez le numéro de port de l'agent Bindplane.
- Sélectionnez Interface de données ou Interface de gestion.
Cliquez sur OK.
Sélectionnez le serveur Syslog que vous venez de créer dans la liste, puis cliquez sur OK.
Cliquez sur Niveau de gravité pour filtrer tous les événements, puis sélectionnez le niveau de journalisation Informations dans la liste.
Cliquez sur Enregistrer.
Cliquez sur l'icône Déployer de nouveaux paramètres > Déployer maintenant.
Cliquez sur Règles en haut de l'écran.
Pointez sur le côté de la règle de l'ACP, puis cliquez sur Modifier Modifier.
Accédez à l'onglet Logging.
Sélectionnez À la fin de la connexion.
Ouvrez la liste Sélectionner une configuration d'alerte Syslog.
sélectionnez le serveur Syslog Bindplane.
Cliquez sur OK.
Cliquez sur l'icône Déployer de nouveaux paramètres > Déployer maintenant.

Table de mappage UDM

Champ du journal	Mappage UDM	Remarque
`act`	`security_result.action_details`	Pour les ID d'événement `313001` et `746014`.
`Addr`	`principal.ip principal.asset.ip`	Pour l'ID d'événement `734001`.
`address`	`principal.ip principal.asset.ip`	Pour l'ID d'événement `746014`.
`action`	`metadata.ingestion_labels`	Pour les ID d'événement `313001` et `746014`.
`ap`	`metadata.ingestion_labels`
`api`	`metadata.ingestion_labels`
`Assigned Ip`	`principal.ip principal.asset.ip`	Pour les ID d'événement `109201`, `109210` et `109207`.
`assigned_ip`	`principal.ip principal.asset.ip`	Pour les ID d'événement `109201`, `109210` et `109207`.
`bytes`	`network.received_bytes`
`centry_addr`	`metadata.ingestion_labels`
`Client`	`network.http.parsed_user_agent`
`client_ip`	`principal.ip principal.asset.ip`
`COMMAND`	`principal.process.command_line`	Pour le type de journal `useradd`, qui correspond à l'ID d'événement `199017`.
`command_line`	`principal.process.command_line`
`connection_type`	`metadata.ingestion_labels`	Pour l'ID d'événement `734001`.
`ConnectionID`	`network.session_id`
`ConnectType`	`metadata.ingestion_labels`
`cribl_pipe`	`additional.fields`
`DE`	`metadata.ingestion_labels`
`desc`	`metadata.description`	Pour les ID d'événement `109201`, `109210` et `109207`.
`desc1`	`metadata.description`
`desc_data`	`metadata.description`
`description`	`metadata.description`
`dest_addr`	`target.ip target.asset.ip`	Pour l'ID d'événement `602101`.
`device_uuid`	`metadata.product_log_id`	Récupéré à partir des journaux JSON, où il indique les informations détaillées sur l'ID du produit.
`DeviceUUID`	`principal.resource.product_object_id`	Récupéré à partir de syslog, qui possède l'ID de ressource.
`direction`	`network.direction`	Pour l'ID d'événement `302020`.
`DNSResponseType`	`network.dns.response_code`
`DNSSICategory`	`security_result.category_details`
`dpt`	`target.port`
`dst management IP`	`target.ip target.asset.ip`	Pour l'ID d'événement `418001`.
`dst management Port`	`target.port`	Pour l'ID d'événement `418001`.
`DstIP`	`target.ip`	Pour l'ID d'événement `713906`.
`dst_ip_range`	`target.network.ip_subnet_range`	Pour les ID d'événement `418001`. `750001`, `750003`, `751002`, `750014`.
`DstPort`	`target.port`	Pour l'ID d'événement `713906`.
`duration`	`network.session_duration.seconds`	Accessible en quelques secondes.
`euid`	`metadata.ingestion_labels`
`event_name`	`metadata.product_event_type`
`eventId`	`metadata.ingestion_labels` `metadata.product_event_type`
`exe`	`principal.process.command_line`
`exitcode`	`metadata.ingestion_labels`
`faddr`	`target.ip` (sortant) `principal.ip` (entrant)	Pour l'ID d'événement `302020`.
`fdqn`	`principal.hostname`	Pour l'ID d'événement `746014`.
`firewall`	`principal.ip` `principal.asset.ip`
`flag`	`metadata.ingestion_labels`	Pour l'ID d'événement `500003`.
`fport`	`target.port` (sortant) `principal.port` (entrant)	Pour l'ID d'événement `302020`.
`from`	`network.email.from`	Pour le type de journal `useradd`, qui correspond à l'ID d'événement `199017`.
`fromIP`	`principal.ip` `principal.asset.ip`	Pour l'ID d'événement `500003`.
`fromPort`	`principal.port`	Pour l'ID d'événement `500003`.
`gaddr`	`target.nat_port` (sortant) `principal.nat_port` (entrant)	Pour l'ID d'événement `302020`.
`GID`	`target.group.product_object_id`	Pour le type de journal `useradd`, qui correspond à l'ID d'événement `199017`.
`group_id`	`target.group.group_display_name`
`hdrlen`	`metadata.ingestion_labels`	Pour l'ID d'événement `500003`.
`home`	`metadata.ingestion_labels`	Pour le type de journal `useradd`, qui correspond à l'ID d'événement `199017`.
`host`	`principal.ip/hostname` `principal.hostname` `principal.asset.hostname`
`host_name`	`principal.hostname`
`HTTP_Hostname`	`target.resource.attribute.labels`
`HTTP_URI`	`target.resource.attribute.labels`
`icmp_code`	`metadata.ingestion_labels`	Pour l'ID d'événement `313001`.
`icmp_type`	`metadata.ingestion_labels`	Pour l'ID d'événement `313001`.
`interface`	`metadata.ingestion_labels`	Pour l'ID d'événement `313004`.
`interface_name`	`metadata.ingestion_labels`	Pour les ID d'événement `313001` et `500003`.
`intermediary_host`	`intermed.hostname` `intermed.asset.hostname`
`intermediary_ip`	`intermediary.ip`	Pour l'ID d'événement `713906`.
`ipp`	`principal.ip`
`IPReputationSICategory`	`security_result.category_details`
`kernel_value`	`additional.fields`
`laddr`	`principal.ip` (sortant) `target.ip` (entrant)	Pour l'ID d'événement `302020`, et mappé en fonction de la direction (entrant ou sortant).
`laddr`	`principal.ip` `principal.asset.ip`	Pour l'ID d'événement `313004`.
`Local`	`principal.ip` `principal.asset.ip`	Pour les ID d'événement `750001`, `750003`, `751002`, `750014`.
`Local_port`	`principal.port`	Pour les ID d'événement `750001`, `750003`, `751002`, `750014`.
`mailsize`	`network.sent_bytes`
`msgid`	`metadata.ingestion_labels`
`mtu_size`	`metadata.ingestion_labels`	Pour l'ID d'événement `602101`.
`name`	`target.user.user_display_name`	Pour le type de journal `useradd`, qui correspond à l'ID d'événement `199017`.
`NETWORK_SUSPICIOUS`	`SecCategory` (`security_result.category`)	Pour l'ID d'événement `430001`.
`os`	`principal.platform_version`
`osuser`	`principal.user.user_display_name`
`packet_size`	`metadata.ingestion_labels`	Pour l'ID d'événement `602101`.
`path`	`principal.process.file.full_path`
`pid`	`principal.process.pid`
`pktlen`	`metadata.ingestion_labels`	Pour l'ID d'événement `500003`.
`Policy`	`security_result.rule_labels`
`prin_ip`	`principal.ip` `principal.asset.ip`	Extrait de `desc_data` (en utilisant la logique : `"desc_data" => "(?P<desc>.* %{IP:prin_ip}.*)"`).
`prin_user`	`principal.user.userid`
`product`	`security_result.summary`	Pour les ID d'événement `430002` et `430003`.
`prot`	`network.ip_protocol`	Pour l'ID d'événement `602101`.
`Protocol`	`network.ip_protocol`	Pour les ID d'événement `302020`, `313001`, `313004`, `418001`,
`protocol`	`network.app_protocol`	Pour l'ID d'événement `713906`.
`protocol`	`network.ip_protocol` `network.application_protocol`	Lorsque la valeur du champ de journal est un protocole d'application ou IP.
`PWD`	`principal.process.file.full_path`	Pour le type de journal `useradd`, qui correspond à l'ID d'événement `199017`.
`reason`	`security_result.detection_fields`
`recipients`	`network.email.to`
`Remote`	`target.ip` `target.asset.ip`	Pour les ID d'événement `750001`, `750003`, `751002`, `750014`.
`Remote_port`	`target.port`	Pour les ID d'événement `750001`, `750003`, `751002`, `750014`.
`Revision`	`security_result.detection_fields`
`sec_desc`	`security_result.description`
`SecIntMatchingIP`	`metadata.ingestion_labels`
`SecRuleName`	`security_result.rule_name`	Pour l'ID d'événement `734001`.
`seq_num`	`security_result.detection_fields`
`Session`	`network.session_id`	Pour les ID d'événement `109201`, `109210` et `109207`.
`session_id`	`network.session_id`
`severity`	`security_result.summary`	Pour les ID d'événement `430002` et `430003`.
`shell`	`metadata.ingestion_labels`	Pour le type de journal `useradd`, qui correspond à l'ID d'événement `199017`.
`Sinkhole`	`metadata.ingestion_labels`
`smtpmsg`	`network.smtp.server_response`
`smtpstatus`	`network.http.response_code`
`sourceIpAddress`	`principal.ip`	Pour l'ID d'événement `713906`.
`source_ip`	`principal.ip` `principal.asset.ip`
`spt`	`principal.port`
`src management IP`	`principal.ip` `principal.asset.ip`	Pour l'ID d'événement `418001`.
`src management Port`	`principal.port`	Pour l'ID d'événement `418001`.
`src_addr`	`principal.ip` `principal.asset.ip`	Pour l'ID d'événement `602101`.
`src_app`	`principal.application`
`src_fwuser`	`principal.hostname`	Lorsque `src_fwuser` est au format `host`.
`src_fwuser`	`principal.administrative_domain` `principal.hostname`	Lorsque `src_fwuser` est au format `domain` ou `host`.
`src_host`	`principal.hostname` `principal.asset.hostname`
`src_interface_name`	`metadata.ingestion_labels`
`SrcIP`	`principal.ip`	Pour l'ID d'événement `713906`.
`src_ip`	`principal.ip` `principal.asset.ip`
`src_ip_range`	`principal.network.ip_subnet_range`	Pour les ID d'événement `750001`, `750003`, `751002`, `750014`.
`src_port`	`principal.port`
`SrcPort`	`principal.port`	Pour l'ID d'événement `713906`.
`srcuser`	`principal.user.userid` `principal.user.user_display_name metadata.event_type`	La valeur de `metadata.event_type` est `USER_UNCATEGORIZED`.
`sshd`	`principal.application`
`syslog_msg_id`		Pour l'ID d'événement `716001`.
`syslog_msg_text`	`security_result.description`
`tag`	`security_result.detection_fields`
`tar_ip`	`target.ip target.asset.ip`
`tar_port`	`target.port`
`TCPFlags`	`metadata.ingestion_labels`
`thread`	`metadata.ingestion_labels`
`timezoneadjustment`	`metadata.ingestion_labels`
`tls`	`network.smtp.is_tls`
`to`	`target.ip target.asset.ip`	Pour l'ID d'événement `313004`.
`toIP`	`target.ip target.asset.ip`	Pour l'ID d'événement `500003`.
`TRUE`	`is_significant`	Pour l'ID d'événement `430001`.
`toPort`	`target.port`	Pour l'ID d'événement `500003`.
`ts`	`metadate.event_timestamp`
`ts_year`	`metadate.event_timestamp`	Pour l'ID d'événement `430001`.
`tty`	`metadata.ingestion_labels`
`TTY`	`metadata.ingestion_labels`	Pour le type de journal `useradd`, qui correspond à l'ID d'événement `199017`.
`uid`	`metadata.ingestion_labels`
`UID`	`target.user.userid`	Pour le type de journal `useradd`, qui correspond à l'ID d'événement `199017`.
`URLSICategory`	`security_result.category_details`
`USER`	`target.user.userid`	Pour le type de journal `useradd`, qui correspond à l'ID d'événement `199017`.
`USER`	`principal.user.userid`	Pour tous les types de journaux autres que le type de journal `useradd`.
`User`	`target.user.userid`	Pour les ID d'événement `109201`, `109210`, `109207`, `734001`.
`user`	`principal.user.userid`
`user_name`	`principal.user.email_addresses`
`UserAgent`	`network.http.user_agent` `network.http.parsed_user_agent`
`Username`	`principal.user.userid`	Pour les ID d'événement `750001`, `750003`, `751002`, `750014`.
`username`	`target.user.userid`
`username_Id`	`target.user.userid`
`version`	`metadata.ingestion_labels`

Référence du delta de mappage UDM

Le 6 novembre 2025, Google SecOps a publié une nouvelle version du parser Cisco Firepower NGFW, qui inclut des modifications importantes concernant le mappage des champs de journaux Cisco Firepower NGFW vers les champs UDM et le mappage des types d'événements.

Delta de mappage des champs de journaux

Le tableau suivant répertorie le delta de mappage pour les champs de journaux Cisco Firepower NGFW vers UDM exposés avant le 6 novembre 2025 et après (respectivement listés dans les colonnes Ancien mappage et Mappage actuel).

Champ du journal	Ancienne correspondance	Mappage actuel
`act`	`security_result.description`	`security_result.action_details`
`action`	`product_event_type`	`metadata.ingestion_labels`
`DeviceUUID`	`principal.resource.id`	`principal.resource.product_object_id`
`dpt`	`security_result.detection_fields`	`target.port`
`flag`	`about.labels`	`metadata.ingestion_labels`
`pid`	`principal.port`	`principal.process.pid`
`Revision`	`security_result.about.labels`	`security_result.detection_fields`
`spt`	`security_result.detection_fields`	`principal.port`
`username`	`principal.user.userid`	`target.user.userid`

Delta de mappage des types d'événements

Plusieurs événements qui étaient auparavant classés comme des événements génériques sont désormais correctement classés avec des types d'événements pertinents.

Le tableau suivant répertorie le delta pour la gestion des types d'événements Cisco Firepower NGFW avant le 6 novembre 2025 et après (respectivement listés dans les colonnes Ancien event_type et event_type actuel).

ID de l'événement du journal	Ancien event_type	Current event_type
`113003`	`GENERIC_EVENT`	`USER_UNCATEGORIZED`
`113009`	`GENERIC_EVENT`	`STATUS_UPDATE`
`113010`	`GENERIC_EVENT`	`USER_LOGIN`
`113039`	`GENERIC_EVENT`	`USER_LOGIN`
`302020`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`313001`	`GENERIC_EVENT`	`STATUS_UPDATE`
`313004`	`GENERIC_EVENT`	`NETWORK_CONNECTION`
`430002`	`NETWORK_CONNECTION`	`NETWORK_DNS`
`430003`	`NETWORK_CONNECTION`	`NETWORK_DNS`
`500003`	`GENERIC_EVENT`	`NETWORK_CONNECTION`
`602101`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`713906`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`722051`	`GENERIC_EVENT`	`STATUS_UPDATE`
`750003`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`msmtp`	`STATUS_UPDATE`	`EMAIL_TRANSACTION`

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.