Cisco Firepower NGFW のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Cisco Firepower Next Generation Firewall(NGFW)ログを Google Security Operations に取り込む方法について説明します。パーサーは、さまざまな形式(syslog、JSON、それらの組み合わせ)からログを抽出し、タイムスタンプを正規化して、関連するフィールドを統合データモデル(UDM)にマッピングします。従来の syslog メッセージとログ内の JSON 形式のペイロードの両方を処理し、grok パターンと条件ロジックを活用して、イベント ID、重大度、クライアント IP などのフィールドを抽出し、HTTP ホスト名と URI に基づいてラベルでデータを拡充します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行している場合は、ファイアウォール ポートが開いていることを確認する
- Cisco Firepower デバイスへの特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM Settings] > [Collection Agents] に移動します。
- 取り込み認証ファイルをダウンロードします。
- BindPlane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane Agent を構成する
- 構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CISCO_FIREPOWER_FIREWALL' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、サービス コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Cisco FirePower デバイスで Syslog を構成する
- Firepower Device Manager ウェブ UI にログインします。
- [システム設定>ロギング設定] に移動します。
- [データロギング] の切り替えを [有効] にします。
- [Syslog Servers] の [+] アイコンをクリックします。
- [Create new Syslog Server] をクリックします。(または、[Objects] > [Syslog Servers] で Syslog Server を作成することもできます)。
- 次の構成の詳細を入力します。
- IP アドレス: Bindplane エージェントの IP アドレスを入力します。
- Protocol Type: [UDP] を選択します。
- ポート番号: Bindplane エージェントのポート番号を入力します。
- [データ インターフェース] または [管理インターフェース] を選択します。
- [OK] をクリックします。
- リストから新しく作成した [Syslog server] を選択し、[OK] をクリックします。
- [すべてのイベントをフィルタリングする重大度レベル] をクリックし、リストから [情報] ロギング レベルを選択します。
- [保存] をクリックします。
- [新しい設定をデプロイ] アイコン> [今すぐデプロイ] をクリックします。
- 画面上部の [ポリシー] をクリックします。
- ACP ルールの横にカーソルを合わせ、[編集] 編集 をクリックします。
- [ロギング] タブに移動します。
- [接続の終了時] を選択します。
- [Select a Syslog Alert Configuration] リストを開きます。
- Bindplane の Syslog サーバーを選択します。
- [OK] をクリックします。
- [新しい設定をデプロイ] アイコン> [今すぐデプロイ] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 備考 |
|---|---|---|
act |
security_result.action_details |
イベント ID 313001、746014 の場合。 |
Addr |
principal.ip principal.asset.ip |
イベント ID 734001 の場合。 |
address |
principal.ip principal.asset.ip |
イベント ID 746014 の場合。 |
action |
metadata.ingestion_labels |
イベント ID 313001、746014 の場合。 |
ap |
metadata.ingestion_labels |
|
api |
metadata.ingestion_labels |
|
Assigned Ip |
principal.ip principal.asset.ip |
イベント ID 109201、109210、109207 の場合。 |
assigned_ip |
principal.ip principal.asset.ip |
イベント ID 109201、109210、109207 の場合。 |
bytes |
network.received_bytes |
|
centry_addr |
metadata.ingestion_labels |
|
Client |
network.http.parsed_user_agent |
|
client_ip |
principal.ip principal.asset.ip |
|
COMMAND |
principal.process.command_line |
useradd ログタイプ(イベント ID 199017)。 |
command_line |
principal.process.command_line |
|
connection_type |
metadata.ingestion_labels |
イベント ID 734001 の場合。 |
ConnectionID |
network.session_id |
|
ConnectType |
metadata.ingestion_labels |
|
cribl_pipe |
additional.fields |
|
DE |
metadata.ingestion_labels |
|
desc |
metadata.description |
イベント ID 109201、109210、109207 の場合。 |
desc1 |
metadata.description |
|
desc_data |
metadata.description |
|
description |
metadata.description |
|
dest_addr |
target.ip target.asset.ip |
イベント ID 602101 の場合。 |
device_uuid |
metadata.product_log_id |
JSON ログから取得され、アイテム ID の詳細を示します。 |
DeviceUUID |
principal.resource.product_object_id |
リソース ID を含む syslog から取得されます。 |
direction |
network.direction |
イベント ID 302020 の場合。 |
DNSResponseType |
network.dns.response_code |
|
DNSSICategory |
security_result.category_details |
|
dpt |
target.port |
|
dst management IP |
target.ip target.asset.ip |
イベント ID 418001 の場合。 |
dst management Port |
target.port |
イベント ID 418001 の場合。 |
DstIP |
target.ip |
イベント ID 713906 の場合。 |
dst_ip_range |
target.network.ip_subnet_range |
イベント ID 418001 の場合。750001、750003、751002、750014。 |
DstPort |
target.port |
イベント ID 713906 の場合。 |
duration |
network.session_duration.seconds |
数秒でアクセスできます。 |
euid |
metadata.ingestion_labels |
|
event_name |
metadata.product_event_type |
|
eventId |
metadata.ingestion_labelsmetadata.product_event_type |
|
exe |
principal.process.command_line |
|
exitcode |
metadata.ingestion_labels |
|
faddr |
target.ip(アウトバウンド)principal.ip(インバウンド) |
イベント ID 302020 の場合。 |
fdqn |
principal.hostname |
イベント ID 746014 の場合。 |
firewall |
principal.ipprincipal.asset.ip |
|
flag |
metadata.ingestion_labels |
イベント ID 500003 の場合。 |
fport |
target.port(アウトバウンド)principal.port(インバウンド) |
イベント ID 302020 の場合。 |
from |
network.email.from |
useradd ログタイプ(イベント ID 199017)。 |
fromIP |
principal.ipprincipal.asset.ip |
イベント ID 500003 の場合。 |
fromPort |
principal.port |
イベント ID 500003 の場合。 |
gaddr |
target.nat_port(アウトバウンド)principal.nat_port(インバウンド) |
イベント ID 302020 の場合。 |
GID |
target.group.product_object_id |
useradd ログタイプ(イベント ID 199017)。 |
group_id |
target.group.group_display_name |
|
hdrlen |
metadata.ingestion_labels |
イベント ID 500003 の場合。 |
home |
metadata.ingestion_labels |
useradd ログタイプ(イベント ID 199017)。 |
host |
principal.ip/hostnameprincipal.hostnameprincipal.asset.hostname |
|
host_name |
principal.hostname |
|
HTTP_Hostname |
target.resource.attribute.labels |
|
HTTP_URI |
target.resource.attribute.labels |
|
icmp_code |
metadata.ingestion_labels |
イベント ID 313001 の場合。 |
icmp_type |
metadata.ingestion_labels |
イベント ID 313001 の場合。 |
interface |
metadata.ingestion_labels |
イベント ID 313004 の場合。 |
interface_name |
metadata.ingestion_labels |
イベント ID 313001、500003 の場合。 |
intermediary_host |
intermed.hostnameintermed.asset.hostname |
|
intermediary_ip |
intermediary.ip |
イベント ID 713906 の場合。 |
ipp |
principal.ip |
|
IPReputationSICategory |
security_result.category_details |
|
kernel_value |
additional.fields |
|
laddr |
principal.ip(アウトバウンド)target.ip(インバウンド) |
イベント ID 302020 の場合、方向(インバウンドまたはアウトバウンド)に基づいてマッピングされます。 |
laddr |
principal.ipprincipal.asset.ip |
イベント ID 313004 の場合。 |
Local |
principal.ipprincipal.asset.ip |
イベント ID 750001、750003、751002、750014 の場合。 |
Local_port |
principal.port |
イベント ID 750001、750003、751002、750014 の場合。 |
mailsize |
network.sent_bytes |
|
msgid |
metadata.ingestion_labels |
|
mtu_size |
metadata.ingestion_labels |
イベント ID 602101 の場合。 |
name |
target.user.user_display_name |
useradd ログタイプ(イベント ID 199017)。 |
NETWORK_SUSPICIOUS |
SecCategory(security_result.category) |
イベント ID 430001 の場合。 |
os |
principal.platform_version |
|
osuser |
principal.user.user_display_name |
|
packet_size |
metadata.ingestion_labels |
イベント ID 602101 の場合。 |
path |
principal.process.file.full_path |
|
pid |
principal.process.pid |
|
pktlen |
metadata.ingestion_labels |
イベント ID 500003 の場合。 |
Policy |
security_result.rule_labels |
|
prin_ip |
principal.ipprincipal.asset.ip |
desc_data から取得(ロジック:"desc_data" => "(?P<desc>.* %{IP:prin_ip}.*)")。 |
prin_user |
principal.user.userid |
|
product |
security_result.summary |
イベント ID 430002、430003 の場合。 |
prot |
network.ip_protocol |
イベント ID 602101 の場合。 |
Protocol |
network.ip_protocol |
イベント ID 302020、313001、313004、418001 の場合、 |
protocol |
network.app_protocol |
イベント ID 713906 の場合。 |
protocol |
network.ip_protocolnetwork.application_protocol |
ログフィールドの値がアプリケーション プロトコルまたは IP プロトコルの場合。 |
PWD |
principal.process.file.full_path |
useradd ログタイプ(イベント ID 199017)。 |
reason |
security_result.detection_fields |
|
recipients |
network.email.to |
|
Remote |
target.iptarget.asset.ip |
イベント ID 750001、750003、751002、750014 の場合。 |
Remote_port |
target.port |
イベント ID 750001、750003、751002、750014 の場合。 |
Revision |
security_result.detection_fields |
|
sec_desc |
security_result.description |
|
SecIntMatchingIP |
metadata.ingestion_labels |
|
SecRuleName |
security_result.rule_name |
イベント ID 734001 の場合。 |
seq_num |
security_result.detection_fields |
|
Session |
network.session_id |
イベント ID 109201、109210、109207 の場合。 |
session_id |
network.session_id |
|
severity |
security_result.summary |
イベント ID 430002、430003 の場合。 |
shell |
metadata.ingestion_labels |
useradd ログタイプ(イベント ID 199017)。 |
Sinkhole |
metadata.ingestion_labels |
|
smtpmsg |
network.smtp.server_response |
|
smtpstatus |
network.http.response_code |
|
sourceIpAddress |
principal.ip |
イベント ID 713906 の場合。 |
source_ip |
principal.ipprincipal.asset.ip |
|
spt |
principal.port |
|
src management IP |
principal.ipprincipal.asset.ip |
イベント ID 418001 の場合。 |
src management Port |
principal.port |
イベント ID 418001 の場合。 |
src_addr |
principal.ipprincipal.asset.ip |
イベント ID 602101 の場合。 |
src_app |
principal.application |
|
src_fwuser |
principal.hostname |
src_fwuser が host 形式の場合。 |
src_fwuser |
principal.administrative_domainprincipal.hostname |
src_fwuser が domain または host 形式の場合。 |
src_host |
principal.hostnameprincipal.asset.hostname |
|
src_interface_name |
metadata.ingestion_labels |
|
SrcIP |
principal.ip |
イベント ID 713906 の場合。 |
src_ip |
principal.ipprincipal.asset.ip |
|
src_ip_range |
principal.network.ip_subnet_range |
イベント ID 750001、750003、751002、750014 の場合。 |
src_port |
principal.port |
|
SrcPort |
principal.port |
イベント ID 713906 の場合。 |
srcuser |
principal.user.useridprincipal.user.user_display_name metadata.event_type |
metadata.event_type の値は USER_UNCATEGORIZED です。 |
sshd |
principal.application |
|
syslog_msg_id |
イベント ID 716001 の場合。 |
|
syslog_msg_text |
security_result.description |
|
tag |
security_result.detection_fields |
|
tar_ip |
target.ip target.asset.ip |
|
tar_port |
target.port |
|
TCPFlags |
metadata.ingestion_labels |
|
thread |
metadata.ingestion_labels |
|
timezoneadjustment |
metadata.ingestion_labels |
|
tls |
network.smtp.is_tls |
|
to |
target.ip target.asset.ip |
イベント ID 313004 の場合。 |
toIP |
target.ip target.asset.ip |
イベント ID 500003 の場合。 |
TRUE |
is_significant |
イベント ID 430001 の場合。 |
toPort |
target.port |
イベント ID 500003 の場合。 |
ts |
metadate.event_timestamp |
|
ts_year |
metadate.event_timestamp |
イベント ID 430001 の場合。 |
tty |
metadata.ingestion_labels |
|
TTY |
metadata.ingestion_labels |
useradd ログタイプ(イベント ID 199017)。 |
uid |
metadata.ingestion_labels |
|
UID |
target.user.userid |
useradd ログタイプ(イベント ID 199017)。 |
URLSICategory |
security_result.category_details |
|
USER |
target.user.userid |
useradd ログタイプ(イベント ID 199017)。 |
USER |
principal.user.userid |
useradd ログタイプ以外のすべてのログタイプ。 |
User |
target.user.userid |
イベント ID 109201、109210、109207、734001 の場合。 |
user |
principal.user.userid |
|
user_name |
principal.user.email_addresses |
|
UserAgent |
network.http.user_agentnetwork.http.parsed_user_agent |
|
Username |
principal.user.userid |
イベント ID 750001、750003、751002、750014 の場合。 |
username |
target.user.userid |
|
username_Id |
target.user.userid |
|
version |
metadata.ingestion_labels |
UDM マッピング デルタ リファレンス
2025 年 11 月 6 日に、Google SecOps は Cisco Firepower NGFW パーサーの新しいバージョンをリリースしました。このバージョンには、Cisco Firepower NGFW ログフィールドから UDM フィールドへのマッピングの大きな変更と、イベントタイプのマッピングの変更が含まれています。
ログフィールド マッピングの差分
次の表に、2025 年 11 月 6 日より前に公開された Cisco Firepower NGFW ログから UDM へのフィールドのマッピングの差分と、それ以降に公開されたフィールドのマッピングの差分を示します(それぞれ [以前のマッピング] 列と [現在のマッピング] 列に記載されています)。
| ログフィールド | 以前のマッピング | 現在のマッピング |
|---|---|---|
act |
security_result.description |
security_result.action_details |
action |
product_event_type |
metadata.ingestion_labels |
DeviceUUID |
principal.resource.id |
principal.resource.product_object_id |
dpt |
security_result.detection_fields |
target.port |
flag |
about.labels |
metadata.ingestion_labels |
pid |
principal.port |
principal.process.pid |
Revision |
security_result.about.labels |
security_result.detection_fields |
spt |
security_result.detection_fields |
principal.port |
username |
principal.user.userid |
target.user.userid |
イベントタイプ マッピングの差分
以前は汎用イベントとして分類されていた複数のイベントが、意味のあるイベントタイプで適切に分類されるようになりました。
次の表に、2025 年 11 月 6 日より前と後で Cisco Firepower NGFW イベントタイプの処理がどのように異なるかを示します(それぞれ [以前の event_type] 列と [現在のイベントタイプ] 列に記載)。
| ログのイベント ID | 以前の event_type | 現在の event_type |
|---|---|---|
113003 |
GENERIC_EVENT |
USER_UNCATEGORIZED |
113009 |
GENERIC_EVENT |
STATUS_UPDATE |
113010 |
GENERIC_EVENT |
USER_LOGIN |
113039 |
GENERIC_EVENT |
USER_LOGIN |
302020 |
STATUS_UPDATE |
NETWORK_CONNECTION |
313001 |
GENERIC_EVENT |
STATUS_UPDATE |
313004 |
GENERIC_EVENT |
NETWORK_CONNECTION |
430002 |
NETWORK_CONNECTION |
NETWORK_DNS |
430003 |
NETWORK_CONNECTION |
NETWORK_DNS |
500003 |
GENERIC_EVENT |
NETWORK_CONNECTION |
602101 |
STATUS_UPDATE |
NETWORK_CONNECTION |
713906 |
STATUS_UPDATE |
NETWORK_CONNECTION |
722051 |
GENERIC_EVENT |
STATUS_UPDATE |
750003 |
STATUS_UPDATE |
NETWORK_CONNECTION |
msmtp |
STATUS_UPDATE |
EMAIL_TRANSACTION |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。