Recopila registros del NGFW de Cisco Firepower
Se admite en los siguientes sistemas operativos:
Google SecOps
SIEM
En este documento, se explica cómo transferir registros de Cisco Firepower Next Generation Firewall (NGFW) a Google Security Operations con Bindplane. El analizador extrae los registros de varios formatos (syslog, JSON y combinaciones de estos), normaliza la marca de tiempo y asigna los campos pertinentes al modelo de datos unificado (UDM). Maneja tanto los mensajes syslog convencionales como las cargas útiles con formato JSON dentro de los registros, aprovechando los patrones de Grok y la lógica condicional para extraer campos como el ID del evento, la gravedad y la IP del cliente. Luego, enriquece los datos con etiquetas basadas en el nombre de host HTTP y el URI.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps
- Windows 2016 o versiones posteriores, o un host de Linux con
systemd - Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
- Acceso con privilegios a un dispositivo Cisco Firepower
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia.
- Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el comando siguiente:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación en Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el comando siguiente:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
Para obtener más opciones de instalación, consulta la guía de instalación.
Configura el agente de BindPlane para que ingiera Syslog y lo envíe a Google SecOps
- Accede al archivo de configuración:
- Ubica el archivo
config.yaml. Por lo general, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CISCO_FIREPOWER_FIREWALL' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
- Reemplaza
<customer_id>por el ID de cliente real. - Actualiza
/path/to/ingestion-authentication-file.jsona la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de la transferencia de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Cómo configurar Syslog en un dispositivo Cisco Firepower
- Accede a la IU web de Firepower Device Manager.
- Ve a Configuración del sistema > Configuración de registro.
- Cambia el botón de activación de Registro de datos a Habilitar.
- Haz clic en el ícono + en Servidores Syslog.
- Haz clic en Crear un servidor Syslog nuevo. (Como alternativa, puedes crear el servidor Syslog en Objetos > Servidores Syslog).
- Proporciona los siguientes detalles de configuración:
- Dirección IP: Ingresa la dirección IP del agente de Bindplane.
- Tipo de protocolo: Selecciona UDP.
- Número de puerto: Ingresa el número de puerto del agente de Bindplane.
- Selecciona Interfaz de datos o Interfaz de administración.
- Haz clic en Aceptar.
- Selecciona el servidor Syslog recién creado en la lista y haz clic en Aceptar.
- Haz clic en Nivel de gravedad para filtrar todos los eventos y selecciona el nivel de registro Informativo de la lista.
- Haz clic en Guardar.
- Haz clic en el ícono de Deploy New Settings > Deploy Now.
- Haz clic en Políticas en la parte superior de la pantalla.
- Mantén el puntero sobre el costado de la regla de ACP y haz clic en editar Editar.
- Ve a la pestaña Logging.
- Selecciona Al final de la conexión.
- Abre la lista Select a Syslog Alert Configuration.
- Selecciona el servidor Syslog de BindPlane.
- Haz clic en Aceptar.
- Haz clic en el ícono de Deploy New Settings > Deploy Now.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Observación |
|---|---|---|
act |
security_result.action_details |
Para los IDs de eventos 313001 y 746014. |
Addr |
principal.ip principal.asset.ip |
Para el ID de evento 734001. |
address |
principal.ip principal.asset.ip |
Para el ID de evento 746014. |
action |
metadata.ingestion_labels |
Para los IDs de eventos 313001 y 746014. |
ap |
metadata.ingestion_labels |
|
api |
metadata.ingestion_labels |
|
Assigned Ip |
principal.ip principal.asset.ip |
Para los IDs de eventos 109201, 109210 y 109207. |
assigned_ip |
principal.ip principal.asset.ip |
Para los IDs de eventos 109201, 109210 y 109207. |
bytes |
network.received_bytes |
|
centry_addr |
metadata.ingestion_labels |
|
Client |
network.http.parsed_user_agent |
|
client_ip |
principal.ip principal.asset.ip |
|
COMMAND |
principal.process.command_line |
Para el tipo de registro useradd, que es el ID de evento 199017. |
command_line |
principal.process.command_line |
|
connection_type |
metadata.ingestion_labels |
Para el ID de evento 734001. |
ConnectionID |
network.session_id |
|
ConnectType |
metadata.ingestion_labels |
|
cribl_pipe |
additional.fields |
|
DE |
metadata.ingestion_labels |
|
desc |
metadata.description |
Para los IDs de eventos 109201, 109210 y 109207. |
desc1 |
metadata.description |
|
desc_data |
metadata.description |
|
description |
metadata.description |
|
dest_addr |
target.ip target.asset.ip |
Para el ID de evento 602101. |
device_uuid |
metadata.product_log_id |
Se recupera de los registros JSON, en los que indica detalles del ID del producto. |
DeviceUUID |
principal.resource.product_object_id |
Se recuperó del registro del sistema, que tiene el ID del recurso. |
direction |
network.direction |
Para el ID de evento 302020. |
DNSResponseType |
network.dns.response_code |
|
DNSSICategory |
security_result.category_details |
|
dpt |
target.port |
|
dst management IP |
target.ip target.asset.ip |
Para el ID de evento 418001. |
dst management Port |
target.port |
Para el ID de evento 418001. |
DstIP |
target.ip |
Para el ID de evento 713906. |
dst_ip_range |
target.network.ip_subnet_range |
Para los IDs de eventos 418001. 750001, 750003, 751002, 750014. |
DstPort |
target.port |
Para el ID de evento 713906. |
duration |
network.session_duration.seconds |
Se puede acceder en segundos. |
euid |
metadata.ingestion_labels |
|
event_name |
metadata.product_event_type |
|
eventId |
metadata.ingestion_labelsmetadata.product_event_type |
|
exe |
principal.process.command_line |
|
exitcode |
metadata.ingestion_labels |
|
faddr |
target.ip (saliente)principal.ip (entrante) |
Para el ID de evento 302020. |
fdqn |
principal.hostname |
Para el ID de evento 746014. |
firewall |
principal.ipprincipal.asset.ip |
|
flag |
metadata.ingestion_labels |
Para el ID de evento 500003. |
fport |
target.port (saliente)principal.port (entrante) |
Para el ID de evento 302020. |
from |
network.email.from |
Para el tipo de registro useradd, que es el ID de evento 199017. |
fromIP |
principal.ipprincipal.asset.ip |
Para el ID de evento 500003. |
fromPort |
principal.port |
Para el ID de evento 500003. |
gaddr |
target.nat_port (saliente)principal.nat_port (entrante) |
Para el ID de evento 302020. |
GID |
target.group.product_object_id |
Para el tipo de registro useradd, que es el ID de evento 199017. |
group_id |
target.group.group_display_name |
|
hdrlen |
metadata.ingestion_labels |
Para el ID de evento 500003. |
home |
metadata.ingestion_labels |
Para el tipo de registro useradd, que es el ID de evento 199017. |
host |
principal.ip/hostnameprincipal.hostnameprincipal.asset.hostname |
|
host_name |
principal.hostname |
|
HTTP_Hostname |
target.resource.attribute.labels |
|
HTTP_URI |
target.resource.attribute.labels |
|
icmp_code |
metadata.ingestion_labels |
Para el ID de evento 313001. |
icmp_type |
metadata.ingestion_labels |
Para el ID de evento 313001. |
interface |
metadata.ingestion_labels |
Para el ID de evento 313004. |
interface_name |
metadata.ingestion_labels |
Para los IDs de eventos 313001 y 500003. |
intermediary_host |
intermed.hostnameintermed.asset.hostname |
|
intermediary_ip |
intermediary.ip |
Para el ID de evento 713906. |
ipp |
principal.ip |
|
IPReputationSICategory |
security_result.category_details |
|
kernel_value |
additional.fields |
|
laddr |
principal.ip (saliente)target.ip (entrante) |
Para el ID de evento 302020, y se asigna según la dirección (entrada o salida). |
laddr |
principal.ipprincipal.asset.ip |
Para el ID de evento 313004. |
Local |
principal.ipprincipal.asset.ip |
Para los IDs de eventos 750001, 750003, 751002 y 750014. |
Local_port |
principal.port |
Para los IDs de eventos 750001, 750003, 751002 y 750014. |
mailsize |
network.sent_bytes |
|
msgid |
metadata.ingestion_labels |
|
mtu_size |
metadata.ingestion_labels |
Para el ID de evento 602101. |
name |
target.user.user_display_name |
Para el tipo de registro useradd, que es el ID de evento 199017. |
NETWORK_SUSPICIOUS |
SecCategory (security_result.category) |
Para el ID de evento 430001. |
os |
principal.platform_version |
|
osuser |
principal.user.user_display_name |
|
packet_size |
metadata.ingestion_labels |
Para el ID de evento 602101. |
path |
principal.process.file.full_path |
|
pid |
principal.process.pid |
|
pktlen |
metadata.ingestion_labels |
Para el ID de evento 500003. |
Policy |
security_result.rule_labels |
|
prin_ip |
principal.ipprincipal.asset.ip |
Se recuperó de desc_data (con la lógica:"desc_data" => "(?P<desc>.* %{IP:prin_ip}.*)"). |
prin_user |
principal.user.userid |
|
product |
security_result.summary |
Para los IDs de eventos 430002 y 430003. |
prot |
network.ip_protocol |
Para el ID de evento 602101. |
Protocol |
network.ip_protocol |
Para los IDs de eventos 302020, 313001, 313004 y 418001 |
protocol |
network.app_protocol |
Para el ID de evento 713906. |
protocol |
network.ip_protocolnetwork.application_protocol |
Se usa cuando el valor del campo de registro es un protocolo de IP o de aplicación. |
PWD |
principal.process.file.full_path |
Para el tipo de registro useradd, que es el ID de evento 199017. |
reason |
security_result.detection_fields |
|
recipients |
network.email.to |
|
Remote |
target.iptarget.asset.ip |
Para los IDs de eventos 750001, 750003, 751002 y 750014. |
Remote_port |
target.port |
Para los IDs de eventos 750001, 750003, 751002 y 750014. |
Revision |
security_result.detection_fields |
|
sec_desc |
security_result.description |
|
SecIntMatchingIP |
metadata.ingestion_labels |
|
SecRuleName |
security_result.rule_name |
Para el ID de evento 734001. |
seq_num |
security_result.detection_fields |
|
Session |
network.session_id |
Para los IDs de eventos 109201, 109210 y 109207. |
session_id |
network.session_id |
|
severity |
security_result.summary |
Para los IDs de eventos 430002 y 430003. |
shell |
metadata.ingestion_labels |
Para el tipo de registro useradd, que es el ID de evento 199017. |
Sinkhole |
metadata.ingestion_labels |
|
smtpmsg |
network.smtp.server_response |
|
smtpstatus |
network.http.response_code |
|
sourceIpAddress |
principal.ip |
Para el ID de evento 713906. |
source_ip |
principal.ipprincipal.asset.ip |
|
spt |
principal.port |
|
src management IP |
principal.ipprincipal.asset.ip |
Para el ID de evento 418001. |
src management Port |
principal.port |
Para el ID de evento 418001. |
src_addr |
principal.ipprincipal.asset.ip |
Para el ID de evento 602101. |
src_app |
principal.application |
|
src_fwuser |
principal.hostname |
Para cuando src_fwuser está en formato host. |
src_fwuser |
principal.administrative_domainprincipal.hostname |
Para cuando src_fwuser está en formato domain o host. |
src_host |
principal.hostnameprincipal.asset.hostname |
|
src_interface_name |
metadata.ingestion_labels |
|
SrcIP |
principal.ip |
Para el ID de evento 713906. |
src_ip |
principal.ipprincipal.asset.ip |
|
src_ip_range |
principal.network.ip_subnet_range |
Para los IDs de eventos 750001, 750003, 751002 y 750014. |
src_port |
principal.port |
|
SrcPort |
principal.port |
Para el ID de evento 713906. |
srcuser |
principal.user.useridprincipal.user.user_display_name metadata.event_type |
El valor de metadata.event_type es USER_UNCATEGORIZED. |
sshd |
principal.application |
|
syslog_msg_id |
Para el ID de evento 716001. |
|
syslog_msg_text |
security_result.description |
|
tag |
security_result.detection_fields |
|
tar_ip |
target.ip target.asset.ip |
|
tar_port |
target.port |
|
TCPFlags |
metadata.ingestion_labels |
|
thread |
metadata.ingestion_labels |
|
timezoneadjustment |
metadata.ingestion_labels |
|
tls |
network.smtp.is_tls |
|
to |
target.ip target.asset.ip |
Para el ID de evento 313004. |
toIP |
target.ip target.asset.ip |
Para el ID de evento 500003. |
TRUE |
is_significant |
Para el ID de evento 430001. |
toPort |
target.port |
Para el ID de evento 500003. |
ts |
metadate.event_timestamp |
|
ts_year |
metadate.event_timestamp |
Para el ID de evento 430001. |
tty |
metadata.ingestion_labels |
|
TTY |
metadata.ingestion_labels |
Para el tipo de registro useradd, que es el ID de evento 199017. |
uid |
metadata.ingestion_labels |
|
UID |
target.user.userid |
Para el tipo de registro useradd, que es el ID de evento 199017. |
URLSICategory |
security_result.category_details |
|
USER |
target.user.userid |
Para el tipo de registro useradd, que es el ID de evento 199017. |
USER |
principal.user.userid |
Para todos los tipos de registros, excepto el tipo de registro useradd. |
User |
target.user.userid |
Para los IDs de eventos 109201, 109210, 109207 y 734001. |
user |
principal.user.userid |
|
user_name |
principal.user.email_addresses |
|
UserAgent |
network.http.user_agentnetwork.http.parsed_user_agent |
|
Username |
principal.user.userid |
Para los IDs de eventos 750001, 750003, 751002 y 750014. |
username |
target.user.userid |
|
username_Id |
target.user.userid |
|
version |
metadata.ingestion_labels |
Referencia del delta de asignación del UDM
El 6 de noviembre de 2025, Google SecOps lanzó una nueva versión del analizador de NGFW de Cisco Firepower, que incluye cambios significativos en la asignación de campos de registro de NGFW de Cisco Firepower a campos de UDM y cambios en la asignación de tipos de eventos.
Delta de la asignación de campos de registro
En la siguiente tabla, se muestra el delta de asignación para los campos de registro a UDM del NGFW de Cisco Firepower expuestos antes del 6 de noviembre de 2025 y posteriormente (se enumeran en las columnas Asignación anterior y Asignación actual, respectivamente).
| Campo de registro | Asignación anterior | Asignación actual |
|---|---|---|
act |
security_result.description |
security_result.action_details |
action |
product_event_type |
metadata.ingestion_labels |
DeviceUUID |
principal.resource.id |
principal.resource.product_object_id |
dpt |
security_result.detection_fields |
target.port |
flag |
about.labels |
metadata.ingestion_labels |
pid |
principal.port |
principal.process.pid |
Revision |
security_result.about.labels |
security_result.detection_fields |
spt |
security_result.detection_fields |
principal.port |
username |
principal.user.userid |
target.user.userid |
Delta de la asignación de tipos de eventos
Varios eventos que antes se clasificaban como eventos genéricos ahora se clasifican correctamente con tipos de eventos significativos.
En la siguiente tabla, se muestra el delta para el control de los tipos de eventos de NGFW de Cisco Firepower antes del 6 de noviembre de 2025 y después (se enumeran en las columnas Old event_type y Current event-type, respectivamente).
| ID del evento del registro | event_type anterior | event_type actual |
|---|---|---|
113003 |
GENERIC_EVENT |
USER_UNCATEGORIZED |
113009 |
GENERIC_EVENT |
STATUS_UPDATE |
113010 |
GENERIC_EVENT |
USER_LOGIN |
113039 |
GENERIC_EVENT |
USER_LOGIN |
302020 |
STATUS_UPDATE |
NETWORK_CONNECTION |
313001 |
GENERIC_EVENT |
STATUS_UPDATE |
313004 |
GENERIC_EVENT |
NETWORK_CONNECTION |
430002 |
NETWORK_CONNECTION |
NETWORK_DNS |
430003 |
NETWORK_CONNECTION |
NETWORK_DNS |
500003 |
GENERIC_EVENT |
NETWORK_CONNECTION |
602101 |
STATUS_UPDATE |
NETWORK_CONNECTION |
713906 |
STATUS_UPDATE |
NETWORK_CONNECTION |
722051 |
GENERIC_EVENT |
STATUS_UPDATE |
750003 |
STATUS_UPDATE |
NETWORK_CONNECTION |
msmtp |
STATUS_UPDATE |
EMAIL_TRANSACTION |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.