Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Cisco Firepower NGFW

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log Cisco Firepower Next Generation Firewall (NGFW) ke Google Security Operations menggunakan Bindplane. Parser mengekstrak log dari berbagai format (syslog, JSON, dan kombinasinya), menormalisasi stempel waktu, dan memetakan kolom yang relevan ke Model Data Terpadu (UDM). Proses ini menangani pesan syslog konvensional dan payload berformat JSON dalam log, memanfaatkan pola grok dan logika bersyarat untuk mengekstrak kolom seperti ID peristiwa, tingkat keparahan, dan IP klien, lalu memperkaya data dengan label berdasarkan Nama Host dan URI HTTP.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru, atau host Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka
Akses istimewa ke perangkat Cisco Firepower

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka SIEM Settings > Collection Agents.
Download file autentikasi penyerapan.
- Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_FIREPOWER_FIREWALL'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Ganti /path/to/ingestion-authentication-file.json dengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog di Perangkat Cisco FirePower

Login ke UI web Firepower Device Manager.
Buka System Settings > Logging Settings.
Alihkan tombol Logging Data ke Aktifkan.
Klik ikon + di bagian Syslog Servers.
Klik Create new Syslog Server. (Atau, Anda dapat membuat Server Syslog di Objek > Server Syslog).
Berikan detail konfigurasi berikut:
- Alamat IP: Masukkan alamat IP agen Bindplane.
- Jenis Protokol: Pilih UDP.
- Nomor Port: Masukkan nomor port agen BindPlane.
- Pilih Antarmuka Data atau Antarmuka Pengelolaan.
Klik Oke.
Pilih Server syslog yang baru dibuat dari daftar, lalu klik OK.
Klik Tingkat keparahan untuk memfilter semua peristiwa, lalu pilih tingkat logging Informasional dari daftar.
Klik Simpan.
Klik ikon Deploy Setelan Baru > Deploy Sekarang.
Klik Kebijakan di bagian atas layar.
Arahkan kursor ke sisi aturan ACP, lalu klik edit Edit.
Buka tab Logging.
Pilih Di Akhir Koneksi.
Buka daftar Select a Syslog Alert Configuration.
pilih Server Syslog Bindplane.
Klik Oke.
Klik ikon Deploy Setelan Baru > Deploy Sekarang.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Keterangan
`act`	`security_result.action_details`	Untuk ID acara `313001`, `746014`.
`Addr`	`principal.ip principal.asset.ip`	Untuk ID acara `734001`.
`address`	`principal.ip principal.asset.ip`	Untuk ID acara `746014`.
`action`	`metadata.ingestion_labels`	Untuk ID acara `313001`, `746014`.
`ap`	`metadata.ingestion_labels`
`api`	`metadata.ingestion_labels`
`Assigned Ip`	`principal.ip principal.asset.ip`	Untuk ID acara `109201`, `109210`, `109207`.
`assigned_ip`	`principal.ip principal.asset.ip`	Untuk ID acara `109201`, `109210`, `109207`.
`bytes`	`network.received_bytes`
`centry_addr`	`metadata.ingestion_labels`
`Client`	`network.http.parsed_user_agent`
`client_ip`	`principal.ip principal.asset.ip`
`COMMAND`	`principal.process.command_line`	Untuk jenis log `useradd`, yang merupakan ID peristiwa `199017`.
`command_line`	`principal.process.command_line`
`connection_type`	`metadata.ingestion_labels`	Untuk ID acara `734001`.
`ConnectionID`	`network.session_id`
`ConnectType`	`metadata.ingestion_labels`
`cribl_pipe`	`additional.fields`
`DE`	`metadata.ingestion_labels`
`desc`	`metadata.description`	Untuk ID acara `109201`, `109210`, `109207`.
`desc1`	`metadata.description`
`desc_data`	`metadata.description`
`description`	`metadata.description`
`dest_addr`	`target.ip target.asset.ip`	Untuk ID acara `602101`.
`device_uuid`	`metadata.product_log_id`	Diambil dari log JSON, yang menunjukkan detail ID produk.
`DeviceUUID`	`principal.resource.product_object_id`	Diambil dari syslog, yang memiliki ID resource.
`direction`	`network.direction`	Untuk ID acara `302020`.
`DNSResponseType`	`network.dns.response_code`
`DNSSICategory`	`security_result.category_details`
`dpt`	`target.port`
`dst management IP`	`target.ip target.asset.ip`	Untuk ID acara `418001`.
`dst management Port`	`target.port`	Untuk ID acara `418001`.
`DstIP`	`target.ip`	Untuk ID acara `713906`.
`dst_ip_range`	`target.network.ip_subnet_range`	Untuk ID acara `418001`. `750001`, `750003`, `751002`, `750014`.
`DstPort`	`target.port`	Untuk ID acara `713906`.
`duration`	`network.session_duration.seconds`	Dapat diakses dalam hitungan detik.
`euid`	`metadata.ingestion_labels`
`event_name`	`metadata.product_event_type`
`eventId`	`metadata.ingestion_labels` `metadata.product_event_type`
`exe`	`principal.process.command_line`
`exitcode`	`metadata.ingestion_labels`
`faddr`	`target.ip` (keluar) `principal.ip` (masuk)	Untuk ID acara `302020`.
`fdqn`	`principal.hostname`	Untuk ID acara `746014`.
`firewall`	`principal.ip` `principal.asset.ip`
`flag`	`metadata.ingestion_labels`	Untuk ID acara `500003`.
`fport`	`target.port` (keluar) `principal.port` (masuk)	Untuk ID acara `302020`.
`from`	`network.email.from`	Untuk jenis log `useradd`, yang merupakan ID peristiwa `199017`.
`fromIP`	`principal.ip` `principal.asset.ip`	Untuk ID acara `500003`.
`fromPort`	`principal.port`	Untuk ID acara `500003`.
`gaddr`	`target.nat_port` (keluar) `principal.nat_port` (masuk)	Untuk ID acara `302020`.
`GID`	`target.group.product_object_id`	Untuk jenis log `useradd`, yang merupakan ID peristiwa `199017`.
`group_id`	`target.group.group_display_name`
`hdrlen`	`metadata.ingestion_labels`	Untuk ID acara `500003`.
`home`	`metadata.ingestion_labels`	Untuk jenis log `useradd`, yang merupakan ID peristiwa `199017`.
`host`	`principal.ip/hostname` `principal.hostname` `principal.asset.hostname`
`host_name`	`principal.hostname`
`HTTP_Hostname`	`target.resource.attribute.labels`
`HTTP_URI`	`target.resource.attribute.labels`
`icmp_code`	`metadata.ingestion_labels`	Untuk ID acara `313001`.
`icmp_type`	`metadata.ingestion_labels`	Untuk ID acara `313001`.
`interface`	`metadata.ingestion_labels`	Untuk ID acara `313004`.
`interface_name`	`metadata.ingestion_labels`	Untuk ID acara `313001`, `500003`.
`intermediary_host`	`intermed.hostname` `intermed.asset.hostname`
`intermediary_ip`	`intermediary.ip`	Untuk ID acara `713906`.
`ipp`	`principal.ip`
`IPReputationSICategory`	`security_result.category_details`
`kernel_value`	`additional.fields`
`laddr`	`principal.ip` (keluar) `target.ip` (masuk)	Untuk ID peristiwa `302020`, dan dipetakan berdasarkan arah (masuk atau keluar).
`laddr`	`principal.ip` `principal.asset.ip`	Untuk ID acara `313004`.
`Local`	`principal.ip` `principal.asset.ip`	Untuk ID peristiwa `750001`, `750003`, `751002`, `750014`.
`Local_port`	`principal.port`	Untuk ID peristiwa `750001`, `750003`, `751002`, `750014`.
`mailsize`	`network.sent_bytes`
`msgid`	`metadata.ingestion_labels`
`mtu_size`	`metadata.ingestion_labels`	Untuk ID acara `602101`.
`name`	`target.user.user_display_name`	Untuk jenis log `useradd`, yang merupakan ID peristiwa `199017`.
`NETWORK_SUSPICIOUS`	`SecCategory` (`security_result.category`)	Untuk ID acara `430001`.
`os`	`principal.platform_version`
`osuser`	`principal.user.user_display_name`
`packet_size`	`metadata.ingestion_labels`	Untuk ID acara `602101`.
`path`	`principal.process.file.full_path`
`pid`	`principal.process.pid`
`pktlen`	`metadata.ingestion_labels`	Untuk ID acara `500003`.
`Policy`	`security_result.rule_labels`
`prin_ip`	`principal.ip` `principal.asset.ip`	Diambil dari `desc_data` (menggunakan logika: `"desc_data" => "(?P<desc>.* %{IP:prin_ip}.*)"`).
`prin_user`	`principal.user.userid`
`product`	`security_result.summary`	Untuk ID acara `430002`, `430003`.
`prot`	`network.ip_protocol`	Untuk ID acara `602101`.
`Protocol`	`network.ip_protocol`	Untuk ID peristiwa `302020`, `313001`, `313004`, `418001`,
`protocol`	`network.app_protocol`	Untuk ID acara `713906`.
`protocol`	`network.ip_protocol` `network.application_protocol`	Untuk saat nilai kolom log adalah protokol aplikasi atau IP.
`PWD`	`principal.process.file.full_path`	Untuk jenis log `useradd`, yang merupakan ID peristiwa `199017`.
`reason`	`security_result.detection_fields`
`recipients`	`network.email.to`
`Remote`	`target.ip` `target.asset.ip`	Untuk ID peristiwa `750001`, `750003`, `751002`, `750014`.
`Remote_port`	`target.port`	Untuk ID peristiwa `750001`, `750003`, `751002`, `750014`.
`Revision`	`security_result.detection_fields`
`sec_desc`	`security_result.description`
`SecIntMatchingIP`	`metadata.ingestion_labels`
`SecRuleName`	`security_result.rule_name`	Untuk ID acara `734001`.
`seq_num`	`security_result.detection_fields`
`Session`	`network.session_id`	Untuk ID acara `109201`, `109210`, `109207`.
`session_id`	`network.session_id`
`severity`	`security_result.summary`	Untuk ID acara `430002`, `430003`.
`shell`	`metadata.ingestion_labels`	Untuk jenis log `useradd`, yang merupakan ID peristiwa `199017`.
`Sinkhole`	`metadata.ingestion_labels`
`smtpmsg`	`network.smtp.server_response`
`smtpstatus`	`network.http.response_code`
`sourceIpAddress`	`principal.ip`	Untuk ID acara `713906`.
`source_ip`	`principal.ip` `principal.asset.ip`
`spt`	`principal.port`
`src management IP`	`principal.ip` `principal.asset.ip`	Untuk ID acara `418001`.
`src management Port`	`principal.port`	Untuk ID acara `418001`.
`src_addr`	`principal.ip` `principal.asset.ip`	Untuk ID acara `602101`.
`src_app`	`principal.application`
`src_fwuser`	`principal.hostname`	Untuk saat `src_fwuser` dalam format `host`.
`src_fwuser`	`principal.administrative_domain` `principal.hostname`	Untuk saat `src_fwuser` dalam format `domain` atau `host`.
`src_host`	`principal.hostname` `principal.asset.hostname`
`src_interface_name`	`metadata.ingestion_labels`
`SrcIP`	`principal.ip`	Untuk ID acara `713906`.
`src_ip`	`principal.ip` `principal.asset.ip`
`src_ip_range`	`principal.network.ip_subnet_range`	Untuk ID peristiwa `750001`, `750003`, `751002`, `750014`.
`src_port`	`principal.port`
`SrcPort`	`principal.port`	Untuk ID acara `713906`.
`srcuser`	`principal.user.userid` `principal.user.user_display_name metadata.event_type`	Nilai untuk `metadata.event_type` adalah `USER_UNCATEGORIZED`.
`sshd`	`principal.application`
`syslog_msg_id`		Untuk ID acara `716001`.
`syslog_msg_text`	`security_result.description`
`tag`	`security_result.detection_fields`
`tar_ip`	`target.ip target.asset.ip`
`tar_port`	`target.port`
`TCPFlags`	`metadata.ingestion_labels`
`thread`	`metadata.ingestion_labels`
`timezoneadjustment`	`metadata.ingestion_labels`
`tls`	`network.smtp.is_tls`
`to`	`target.ip target.asset.ip`	Untuk ID acara `313004`.
`toIP`	`target.ip target.asset.ip`	Untuk ID acara `500003`.
`TRUE`	`is_significant`	Untuk ID acara `430001`.
`toPort`	`target.port`	Untuk ID acara `500003`.
`ts`	`metadate.event_timestamp`
`ts_year`	`metadate.event_timestamp`	Untuk ID acara `430001`.
`tty`	`metadata.ingestion_labels`
`TTY`	`metadata.ingestion_labels`	Untuk jenis log `useradd`, yang merupakan ID peristiwa `199017`.
`uid`	`metadata.ingestion_labels`
`UID`	`target.user.userid`	Untuk jenis log `useradd`, yang merupakan ID peristiwa `199017`.
`URLSICategory`	`security_result.category_details`
`USER`	`target.user.userid`	Untuk jenis log `useradd`, yang merupakan ID peristiwa `199017`.
`USER`	`principal.user.userid`	Untuk semua jenis log selain jenis log `useradd`.
`User`	`target.user.userid`	Untuk ID peristiwa `109201`, `109210`, `109207`, `734001`.
`user`	`principal.user.userid`
`user_name`	`principal.user.email_addresses`
`UserAgent`	`network.http.user_agent` `network.http.parsed_user_agent`
`Username`	`principal.user.userid`	Untuk ID peristiwa `750001`, `750003`, `751002`, `750014`.
`username`	`target.user.userid`
`username_Id`	`target.user.userid`
`version`	`metadata.ingestion_labels`

Referensi delta pemetaan UDM

Pada 6 November 2025, Google SecOps merilis versi baru parser Cisco Firepower NGFW, yang mencakup perubahan signifikan pada pemetaan kolom log Cisco Firepower NGFW ke kolom UDM dan perubahan pada pemetaan jenis peristiwa.

Delta pemetaan kolom log

Tabel berikut mencantumkan delta pemetaan untuk kolom log Cisco Firepower NGFW ke UDM yang diekspos sebelum 6 November 2025 dan setelahnya (masing-masing tercantum dalam kolom Pemetaan lama dan Pemetaan saat ini).

Kolom log	Pemetaan lama	Pemetaan saat ini
`act`	`security_result.description`	`security_result.action_details`
`action`	`product_event_type`	`metadata.ingestion_labels`
`DeviceUUID`	`principal.resource.id`	`principal.resource.product_object_id`
`dpt`	`security_result.detection_fields`	`target.port`
`flag`	`about.labels`	`metadata.ingestion_labels`
`pid`	`principal.port`	`principal.process.pid`
`Revision`	`security_result.about.labels`	`security_result.detection_fields`
`spt`	`security_result.detection_fields`	`principal.port`
`username`	`principal.user.userid`	`target.user.userid`

Delta pemetaan jenis peristiwa

Beberapa peristiwa yang sebelumnya diklasifikasikan sebagai peristiwa umum kini diklasifikasikan dengan benar menggunakan jenis peristiwa yang bermakna.

Tabel berikut mencantumkan perbedaan penanganan jenis peristiwa Cisco Firepower NGFW sebelum 6 November 2025 dan setelahnya (masing-masing tercantum di kolom Old event_type dan Current event-type).

ID peristiwa dari log	event_type lama	event_type saat ini
`113003`	`GENERIC_EVENT`	`USER_UNCATEGORIZED`
`113009`	`GENERIC_EVENT`	`STATUS_UPDATE`
`113010`	`GENERIC_EVENT`	`USER_LOGIN`
`113039`	`GENERIC_EVENT`	`USER_LOGIN`
`302020`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`313001`	`GENERIC_EVENT`	`STATUS_UPDATE`
`313004`	`GENERIC_EVENT`	`NETWORK_CONNECTION`
`430002`	`NETWORK_CONNECTION`	`NETWORK_DNS`
`430003`	`NETWORK_CONNECTION`	`NETWORK_DNS`
`500003`	`GENERIC_EVENT`	`NETWORK_CONNECTION`
`602101`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`713906`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`722051`	`GENERIC_EVENT`	`STATUS_UPDATE`
`750003`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`msmtp`	`STATUS_UPDATE`	`EMAIL_TRANSACTION`

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.