收集 Cisco Firepower NGFW 記錄

支援的國家/地區:

本文說明如何使用 Bindplane,將 Cisco Firepower Next Generation Firewall (NGFW) 記錄擷取至 Google Security Operations。剖析器會從各種格式 (系統記錄、JSON 和兩者組合) 擷取記錄,將時間戳記標準化,並將相關欄位對應至統合式資料模型 (UDM)。這個函式會處理傳統的系統記錄訊息和記錄中的 JSON 格式酬載,運用 Grok 模式和條件邏輯擷取事件 ID、嚴重程度和用戶端 IP 等欄位,然後根據 HTTP 主機名稱和 URI,使用標籤擴充資料。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Windows 2016 以上版本,或搭載 systemd 的 Linux 主機
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟
  • Cisco Firepower 裝置的特殊存取權

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案
    • 將檔案安全地儲存在要安裝 BindPlane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

  1. 以管理員身分開啟「命令提示字元」或「PowerShell」

  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

  1. 開啟具備根層級或 sudo 權限的終端機。

  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項,請參閱安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:
    • 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    • 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_FIREPOWER_FIREWALL'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • 視基礎架構需求,替換通訊埠和 IP 位址。
    • <customer_id> 替換為實際的客戶 ID。
    • /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」部分中驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent

  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」主控台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Cisco FirePower 裝置上設定系統記錄

  1. 登入 Firepower Device Manager 網頁 UI。
  2. 依序前往「系統設定」>「記錄設定」
  3. 將「資料記錄」切換鈕切換為「啟用」
  4. 按一下「Syslog 伺服器」下方的「+」圖示
  5. 按一下「Create new Syslog Server」(建立新的 Syslog 伺服器)。(或者,您也可以在「Objects」> Syslog Servers」中建立 Syslog Server)。
  6. 提供下列設定詳細資料:
    • IP 位址:輸入 Bindplane 代理程式 IP 位址。
    • 通訊協定類型:選取「UDP」
    • 「通訊埠編號」:輸入 Bindplane 代理程式通訊埠編號。
    • 選取「資料介面」或「管理介面」
  7. 按一下 [確定]
  8. 從清單中選取新建立的「Syslog 伺服器」,然後按一下「確定」
  9. 按一下「篩選所有事件的嚴重程度等級」,然後從清單中選取「資訊」記錄等級。
  10. 按一下 [儲存]
  11. 依序點選「部署新設定」圖示 >「立即部署」
  12. 按一下畫面頂端的「政策」
  13. 將游標懸停在 ACP 規則側邊,然後按一下「編輯」
  14. 前往「記錄」分頁。
  15. 選取「連線結束時」
  16. 開啟「Select a Syslog Alert Configuration」(選取 Syslog 警報設定) 清單。
  17. 選取 Bindplane Syslog 伺服器
  18. 按一下 [確定]
  19. 依序點選「部署新設定」圖示 >「立即部署」

UDM 對應表

記錄欄位 UDM 對應 備註
act security_result.action_details 活動 ID 313001746014
Addr principal.ip principal.asset.ip 事件 ID 為 734001
address principal.ip principal.asset.ip 事件 ID 為 746014
action metadata.ingestion_labels 活動 ID 313001746014
ap metadata.ingestion_labels
api metadata.ingestion_labels
Assigned Ip principal.ip principal.asset.ip 適用於事件 ID 109201109210109207
assigned_ip principal.ip principal.asset.ip 適用於事件 ID 109201109210109207
bytes network.received_bytes
centry_addr metadata.ingestion_labels
Client network.http.parsed_user_agent
client_ip principal.ip principal.asset.ip
COMMAND principal.process.command_line 適用於 useradd 記錄類型,也就是事件 ID 199017
command_line principal.process.command_line
connection_type metadata.ingestion_labels 事件 ID 為 734001
ConnectionID network.session_id
ConnectType metadata.ingestion_labels
cribl_pipe additional.fields
DE metadata.ingestion_labels
desc metadata.description 適用於事件 ID 109201109210109207
desc1 metadata.description
desc_data metadata.description
description metadata.description
dest_addr target.ip target.asset.ip 事件 ID 為 602101
device_uuid metadata.product_log_id 從 JSON 記錄中擷取,其中會指出產品 ID 詳細資料。
DeviceUUID principal.resource.product_object_id 從系統記錄檔擷取,其中包含資源 ID。
direction network.direction 事件 ID 為 302020
DNSResponseType network.dns.response_code
DNSSICategory security_result.category_details
dpt target.port
dst management IP target.ip target.asset.ip 事件 ID 為 418001
dst management Port target.port 事件 ID 為 418001
DstIP target.ip 事件 ID 為 713906
dst_ip_range target.network.ip_subnet_range 事件 ID 418001750001750003751002750014
DstPort target.port 事件 ID 為 713906
duration network.session_duration.seconds 幾秒內即可存取。
euid metadata.ingestion_labels
event_name metadata.product_event_type
eventId metadata.ingestion_labels
metadata.product_event_type
exe principal.process.command_line
exitcode metadata.ingestion_labels
faddr target.ip (外送)
principal.ip (內送)		 事件 ID 為 302020
fdqn principal.hostname 事件 ID 為 746014
firewall principal.ip
principal.asset.ip
flag metadata.ingestion_labels 事件 ID 為 500003
fport target.port (外送)
principal.port (內送)		 事件 ID 為 302020
from network.email.from 適用於 useradd 記錄類型,也就是事件 ID 199017
fromIP principal.ip
principal.asset.ip		 事件 ID 為 500003
fromPort principal.port 事件 ID 為 500003
gaddr target.nat_port (外送)
principal.nat_port (內送)		 事件 ID 為 302020
GID target.group.product_object_id 適用於 useradd 記錄類型,也就是事件 ID 199017
group_id target.group.group_display_name
hdrlen metadata.ingestion_labels 事件 ID 為 500003
home metadata.ingestion_labels 適用於 useradd 記錄類型,也就是事件 ID 199017
host principal.ip/hostname
principal.hostname
principal.asset.hostname
host_name principal.hostname
HTTP_Hostname target.resource.attribute.labels
HTTP_URI target.resource.attribute.labels
icmp_code metadata.ingestion_labels 事件 ID 為 313001
icmp_type metadata.ingestion_labels 事件 ID 為 313001
interface metadata.ingestion_labels 事件 ID 為 313004
interface_name metadata.ingestion_labels 活動 ID 313001500003
intermediary_host intermed.hostname
intermed.asset.hostname
intermediary_ip intermediary.ip 事件 ID 為 713906
ipp principal.ip
IPReputationSICategory security_result.category_details
kernel_value additional.fields
laddr principal.ip (外送)
target.ip (內送)		 事件 ID 為 302020,並根據方向 (進站或出站) 對應。
laddr principal.ip
principal.asset.ip		 事件 ID 為 313004
Local principal.ip
principal.asset.ip		 適用於事件 ID 750001750003751002750014
Local_port principal.port 適用於事件 ID 750001750003751002750014
mailsize network.sent_bytes
msgid metadata.ingestion_labels
mtu_size metadata.ingestion_labels 事件 ID 為 602101
name target.user.user_display_name 適用於 useradd 記錄類型,也就是事件 ID 199017
NETWORK_SUSPICIOUS SecCategory (security_result.category) 事件 ID 為 430001
os principal.platform_version
osuser principal.user.user_display_name
packet_size metadata.ingestion_labels 事件 ID 為 602101
path principal.process.file.full_path
pid principal.process.pid
pktlen metadata.ingestion_labels 事件 ID 為 500003
Policy security_result.rule_labels
prin_ip principal.ip
principal.asset.ip		 desc_data 擷取 (使用以下邏輯:
"desc_data" => "(?P<desc>.* %{IP:prin_ip}.*)")。
prin_user principal.user.userid
product security_result.summary 活動 ID 430002430003
prot network.ip_protocol 事件 ID 為 602101
Protocol network.ip_protocol 如為事件 ID 302020313001313004418001
protocol network.app_protocol 事件 ID 為 713906
protocol network.ip_protocol
network.application_protocol		 適用於記錄欄位值為應用程式或 IP 通訊協定的情況。
PWD principal.process.file.full_path 適用於 useradd 記錄類型,也就是事件 ID 199017
reason security_result.detection_fields
recipients network.email.to
Remote target.ip
target.asset.ip		 適用於事件 ID 750001750003751002750014
Remote_port target.port 適用於事件 ID 750001750003751002750014
Revision security_result.detection_fields
sec_desc security_result.description
SecIntMatchingIP metadata.ingestion_labels
SecRuleName security_result.rule_name 事件 ID 為 734001
seq_num security_result.detection_fields
Session network.session_id 適用於事件 ID 109201109210109207
session_id network.session_id
severity security_result.summary 活動 ID 430002430003
shell metadata.ingestion_labels 適用於 useradd 記錄類型,也就是事件 ID 199017
Sinkhole metadata.ingestion_labels
smtpmsg network.smtp.server_response
smtpstatus network.http.response_code
sourceIpAddress principal.ip 事件 ID 為 713906
source_ip principal.ip
principal.asset.ip
spt principal.port
src management IP principal.ip
principal.asset.ip		 事件 ID 為 418001
src management Port principal.port 事件 ID 為 418001
src_addr principal.ip
principal.asset.ip		 事件 ID 為 602101
src_app principal.application
src_fwuser principal.hostname 適用於 src_fwuser 採用 host 格式的情況。
src_fwuser principal.administrative_domain
principal.hostname		 如果 src_fwuser 採用 domainhost 格式,請使用這個屬性。
src_host principal.hostname
principal.asset.hostname
src_interface_name metadata.ingestion_labels
SrcIP principal.ip 事件 ID 為 713906
src_ip principal.ip
principal.asset.ip
src_ip_range principal.network.ip_subnet_range 適用於事件 ID 750001750003751002750014
src_port principal.port
SrcPort principal.port 事件 ID 為 713906
srcuser principal.user.userid
principal.user.user_display_name metadata.event_type		 metadata.event_type 的值為 USER_UNCATEGORIZED
sshd principal.application
syslog_msg_id 事件 ID 為 716001
syslog_msg_text security_result.description
tag security_result.detection_fields
tar_ip target.ip target.asset.ip
tar_port target.port
TCPFlags metadata.ingestion_labels
thread metadata.ingestion_labels
timezoneadjustment metadata.ingestion_labels
tls network.smtp.is_tls
to target.ip target.asset.ip 事件 ID 為 313004
toIP target.ip target.asset.ip 事件 ID 為 500003
TRUE is_significant 事件 ID 為 430001
toPort target.port 事件 ID 為 500003
ts metadate.event_timestamp
ts_year metadate.event_timestamp 事件 ID 為 430001
tty metadata.ingestion_labels
TTY metadata.ingestion_labels 適用於 useradd 記錄類型,也就是事件 ID 199017
uid metadata.ingestion_labels
UID target.user.userid 適用於 useradd 記錄類型,也就是事件 ID 199017
URLSICategory security_result.category_details
USER target.user.userid 適用於 useradd 記錄類型,也就是事件 ID 199017
USER principal.user.userid 適用於 useradd 記錄類型以外的所有記錄類型。
User target.user.userid 適用於事件 ID 109201109210109207734001
user principal.user.userid
user_name principal.user.email_addresses
UserAgent network.http.user_agent
network.http.parsed_user_agent
Username principal.user.userid 適用於事件 ID 750001750003751002750014
username target.user.userid
username_Id target.user.userid
version metadata.ingestion_labels

UDM 對應差異參考資料

Google SecOps 於 2025 年 11 月 6 日發布新版 Cisco Firepower NGFW 剖析器,其中包含 Cisco Firepower NGFW 記錄欄位對應至 UDM 欄位的重大變更,以及事件類型對應的變更。

記錄欄位對應差異

下表列出 2025 年 11 月 6 日前後,Cisco Firepower NGFW 記錄檔對應至 UDM 欄位的差異 (分別列於「舊版對應」和「目前對應」欄位)。

記錄欄位 舊對應 目前對應
act security_result.description security_result.action_details
action product_event_type metadata.ingestion_labels
DeviceUUID principal.resource.id principal.resource.product_object_id
dpt security_result.detection_fields target.port
flag about.labels metadata.ingestion_labels
pid principal.port principal.process.pid
Revision security_result.about.labels security_result.detection_fields
spt security_result.detection_fields principal.port
username principal.user.userid target.user.userid

事件類型對應差異

先前分類為一般事件的多個事件,現在會正確分類為有意義的事件類型。

下表列出 2025 年 11 月 6 日前後,Cisco Firepower NGFW 事件類型處理方式的差異 (分別列於「舊版 event_type」和「目前 event_type」欄中)。

記錄中的事件 ID 舊 event_type 目前 event_type
113003 GENERIC_EVENT USER_UNCATEGORIZED
113009 GENERIC_EVENT STATUS_UPDATE
113010 GENERIC_EVENT USER_LOGIN
113039 GENERIC_EVENT USER_LOGIN
302020 STATUS_UPDATE NETWORK_CONNECTION
313001 GENERIC_EVENT STATUS_UPDATE
313004 GENERIC_EVENT NETWORK_CONNECTION
430002 NETWORK_CONNECTION NETWORK_DNS
430003 NETWORK_CONNECTION NETWORK_DNS
500003 GENERIC_EVENT NETWORK_CONNECTION
602101 STATUS_UPDATE NETWORK_CONNECTION
713906 STATUS_UPDATE NETWORK_CONNECTION
722051 GENERIC_EVENT STATUS_UPDATE
750003 STATUS_UPDATE NETWORK_CONNECTION
msmtp STATUS_UPDATE EMAIL_TRANSACTION

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。