Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Cisco Firepower NGFW

Suportado em:

Google secops SIEM

Este documento explica como carregar registos da firewall de nova geração (NGFW) do Cisco Firepower para o Google Security Operations através do Bindplane. O analisador extrai os registos de vários formatos (syslog, JSON e combinações dos mesmos), normaliza a data/hora e mapeia os campos relevantes para o modelo de dados unificado (UDM). Processa mensagens syslog convencionais e payloads formatados em JSON nos registos, tirando partido de padrões grok e lógica condicional para extrair campos como o ID do evento, a gravidade e o IP do cliente. Em seguida, enriquece os dados com etiquetas baseadas no nome de anfitrião HTTP e no URI.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

Instância do Google SecOps
Windows 2016 ou posterior, ou um anfitrião Linux com systemd
Se estiver a ser executado através de um proxy, certifique-se de que as portas da firewall estão abertas
Acesso privilegiado a um dispositivo Cisco Firepower

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento.
- Guarde o ficheiro de forma segura no sistema onde o BindPlane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instale o agente do Bindplane no seu sistema operativo Windows ou Linux de acordo com as seguintes instruções.

Instalação de janelas

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
- Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_FIREPOWER_FIREWALL'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente Bindplane no Windows, pode usar a consola Serviços ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure o Syslog no dispositivo Cisco FirePower

Inicie sessão na IU Web do Firepower Device Manager.
Aceda a Definições do sistema > Definições de registo.
Mude o interruptor Registo de dados para Ativar.
Clique no ícone + em Servidores Syslog.
Clique em Criar novo servidor Syslog. (Em alternativa, pode criar o servidor Syslog em Objetos > Servidores Syslog).
Forneça os seguintes detalhes de configuração:
- Endereço IP: introduza o endereço IP do agente do Bindplane.
- Tipo de protocolo: selecione UDP.
- Número da porta: introduza o número da porta do agente do Bindplane.
- Selecione Interface de dados ou Interface de gestão.
Clique em OK.
Selecione o servidor Syslog recém-criado na lista e clique em OK.
Clique em Nível de gravidade para filtrar todos os eventos e selecione o nível de registo Informativo na lista.
Clique em Guardar.
Clique no ícone Implementar novas definições > Implementar agora.
Clique em Políticas na parte superior do ecrã.
Passe o cursor do rato sobre o lado da regra da ACP e clique em editar Editar.
Aceda ao separador Registo.
Selecione No final da ligação.
Abra a lista Selecionar uma configuração de alerta Syslog.
Selecione o servidor Syslog do Bindplane.
Clique em OK.
Clique no ícone Implementar novas definições > Implementar agora.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento do UDM	Observação
`act`	`security_result.action_details`	Para IDs de eventos `313001`, `746014`.
`Addr`	`principal.ip principal.asset.ip`	Para o ID do evento `734001`.
`address`	`principal.ip principal.asset.ip`	Para o ID do evento `746014`.
`action`	`metadata.ingestion_labels`	Para IDs de eventos `313001`, `746014`.
`ap`	`metadata.ingestion_labels`
`api`	`metadata.ingestion_labels`
`Assigned Ip`	`principal.ip principal.asset.ip`	Para os IDs de eventos `109201`, `109210` e `109207`.
`assigned_ip`	`principal.ip principal.asset.ip`	Para os IDs de eventos `109201`, `109210` e `109207`.
`bytes`	`network.received_bytes`
`centry_addr`	`metadata.ingestion_labels`
`Client`	`network.http.parsed_user_agent`
`client_ip`	`principal.ip principal.asset.ip`
`COMMAND`	`principal.process.command_line`	Para o tipo de registo `useradd`, que é o ID do evento `199017`.
`command_line`	`principal.process.command_line`
`connection_type`	`metadata.ingestion_labels`	Para o ID do evento `734001`.
`ConnectionID`	`network.session_id`
`ConnectType`	`metadata.ingestion_labels`
`cribl_pipe`	`additional.fields`
`DE`	`metadata.ingestion_labels`
`desc`	`metadata.description`	Para os IDs de eventos `109201`, `109210` e `109207`.
`desc1`	`metadata.description`
`desc_data`	`metadata.description`
`description`	`metadata.description`
`dest_addr`	`target.ip target.asset.ip`	Para o ID do evento `602101`.
`device_uuid`	`metadata.product_log_id`	Obtido a partir de registos JSON, onde indica detalhes do ID do produto.
`DeviceUUID`	`principal.resource.product_object_id`	Obtido a partir do syslog, que tem o ID do recurso.
`direction`	`network.direction`	Para o ID do evento `302020`.
`DNSResponseType`	`network.dns.response_code`
`DNSSICategory`	`security_result.category_details`
`dpt`	`target.port`
`dst management IP`	`target.ip target.asset.ip`	Para o ID do evento `418001`.
`dst management Port`	`target.port`	Para o ID do evento `418001`.
`DstIP`	`target.ip`	Para o ID do evento `713906`.
`dst_ip_range`	`target.network.ip_subnet_range`	Para os IDs de eventos `418001`. `750001`, `750003`, `751002` e `750014`.
`DstPort`	`target.port`	Para o ID do evento `713906`.
`duration`	`network.session_duration.seconds`	Pode aceder-lhe em segundos.
`euid`	`metadata.ingestion_labels`
`event_name`	`metadata.product_event_type`
`eventId`	`metadata.ingestion_labels` `metadata.product_event_type`
`exe`	`principal.process.command_line`
`exitcode`	`metadata.ingestion_labels`
`faddr`	`target.ip` (saída) `principal.ip` (entrada)	Para o ID do evento `302020`.
`fdqn`	`principal.hostname`	Para o ID do evento `746014`.
`firewall`	`principal.ip` `principal.asset.ip`
`flag`	`metadata.ingestion_labels`	Para o ID do evento `500003`.
`fport`	`target.port` (saída) `principal.port` (entrada)	Para o ID do evento `302020`.
`from`	`network.email.from`	Para o tipo de registo `useradd`, que é o ID do evento `199017`.
`fromIP`	`principal.ip` `principal.asset.ip`	Para o ID do evento `500003`.
`fromPort`	`principal.port`	Para o ID do evento `500003`.
`gaddr`	`target.nat_port` (saída) `principal.nat_port` (entrada)	Para o ID do evento `302020`.
`GID`	`target.group.product_object_id`	Para o tipo de registo `useradd`, que é o ID do evento `199017`.
`group_id`	`target.group.group_display_name`
`hdrlen`	`metadata.ingestion_labels`	Para o ID do evento `500003`.
`home`	`metadata.ingestion_labels`	Para o tipo de registo `useradd`, que é o ID do evento `199017`.
`host`	`principal.ip/hostname` `principal.hostname` `principal.asset.hostname`
`host_name`	`principal.hostname`
`HTTP_Hostname`	`target.resource.attribute.labels`
`HTTP_URI`	`target.resource.attribute.labels`
`icmp_code`	`metadata.ingestion_labels`	Para o ID do evento `313001`.
`icmp_type`	`metadata.ingestion_labels`	Para o ID do evento `313001`.
`interface`	`metadata.ingestion_labels`	Para o ID do evento `313004`.
`interface_name`	`metadata.ingestion_labels`	Para IDs de eventos `313001`, `500003`.
`intermediary_host`	`intermed.hostname` `intermed.asset.hostname`
`intermediary_ip`	`intermediary.ip`	Para o ID do evento `713906`.
`ipp`	`principal.ip`
`IPReputationSICategory`	`security_result.category_details`
`kernel_value`	`additional.fields`
`laddr`	`principal.ip` (saída) `target.ip` (entrada)	Para o ID do evento `302020`, e mapeado com base na direção (entrada ou saída).
`laddr`	`principal.ip` `principal.asset.ip`	Para o ID do evento `313004`.
`Local`	`principal.ip` `principal.asset.ip`	Para os IDs de eventos `750001`, `750003`, `751002` e `750014`.
`Local_port`	`principal.port`	Para os IDs de eventos `750001`, `750003`, `751002` e `750014`.
`mailsize`	`network.sent_bytes`
`msgid`	`metadata.ingestion_labels`
`mtu_size`	`metadata.ingestion_labels`	Para o ID do evento `602101`.
`name`	`target.user.user_display_name`	Para o tipo de registo `useradd`, que é o ID do evento `199017`.
`NETWORK_SUSPICIOUS`	`SecCategory` (`security_result.category`)	Para o ID do evento `430001`.
`os`	`principal.platform_version`
`osuser`	`principal.user.user_display_name`
`packet_size`	`metadata.ingestion_labels`	Para o ID do evento `602101`.
`path`	`principal.process.file.full_path`
`pid`	`principal.process.pid`
`pktlen`	`metadata.ingestion_labels`	Para o ID do evento `500003`.
`Policy`	`security_result.rule_labels`
`prin_ip`	`principal.ip` `principal.asset.ip`	Obtido a partir de `desc_data` (com a lógica: `"desc_data" => "(?P<desc>.* %{IP:prin_ip}.*)"`).
`prin_user`	`principal.user.userid`
`product`	`security_result.summary`	Para IDs de eventos `430002`, `430003`.
`prot`	`network.ip_protocol`	Para o ID do evento `602101`.
`Protocol`	`network.ip_protocol`	Para os IDs de eventos `302020`, `313001`, `313004` e `418001`,
`protocol`	`network.app_protocol`	Para o ID do evento `713906`.
`protocol`	`network.ip_protocol` `network.application_protocol`	Para quando o valor do campo de registo é uma aplicação ou um protocolo IP.
`PWD`	`principal.process.file.full_path`	Para o tipo de registo `useradd`, que é o ID do evento `199017`.
`reason`	`security_result.detection_fields`
`recipients`	`network.email.to`
`Remote`	`target.ip` `target.asset.ip`	Para os IDs de eventos `750001`, `750003`, `751002` e `750014`.
`Remote_port`	`target.port`	Para os IDs de eventos `750001`, `750003`, `751002` e `750014`.
`Revision`	`security_result.detection_fields`
`sec_desc`	`security_result.description`
`SecIntMatchingIP`	`metadata.ingestion_labels`
`SecRuleName`	`security_result.rule_name`	Para o ID do evento `734001`.
`seq_num`	`security_result.detection_fields`
`Session`	`network.session_id`	Para os IDs de eventos `109201`, `109210` e `109207`.
`session_id`	`network.session_id`
`severity`	`security_result.summary`	Para IDs de eventos `430002`, `430003`.
`shell`	`metadata.ingestion_labels`	Para o tipo de registo `useradd`, que é o ID do evento `199017`.
`Sinkhole`	`metadata.ingestion_labels`
`smtpmsg`	`network.smtp.server_response`
`smtpstatus`	`network.http.response_code`
`sourceIpAddress`	`principal.ip`	Para o ID do evento `713906`.
`source_ip`	`principal.ip` `principal.asset.ip`
`spt`	`principal.port`
`src management IP`	`principal.ip` `principal.asset.ip`	Para o ID do evento `418001`.
`src management Port`	`principal.port`	Para o ID do evento `418001`.
`src_addr`	`principal.ip` `principal.asset.ip`	Para o ID do evento `602101`.
`src_app`	`principal.application`
`src_fwuser`	`principal.hostname`	Para quando `src_fwuser` está no formato `host`.
`src_fwuser`	`principal.administrative_domain` `principal.hostname`	Para quando `src_fwuser` está no formato `domain` ou `host`.
`src_host`	`principal.hostname` `principal.asset.hostname`
`src_interface_name`	`metadata.ingestion_labels`
`SrcIP`	`principal.ip`	Para o ID do evento `713906`.
`src_ip`	`principal.ip` `principal.asset.ip`
`src_ip_range`	`principal.network.ip_subnet_range`	Para os IDs de eventos `750001`, `750003`, `751002` e `750014`.
`src_port`	`principal.port`
`SrcPort`	`principal.port`	Para o ID do evento `713906`.
`srcuser`	`principal.user.userid` `principal.user.user_display_name metadata.event_type`	O valor de `metadata.event_type` é `USER_UNCATEGORIZED`.
`sshd`	`principal.application`
`syslog_msg_id`		Para o ID do evento `716001`.
`syslog_msg_text`	`security_result.description`
`tag`	`security_result.detection_fields`
`tar_ip`	`target.ip target.asset.ip`
`tar_port`	`target.port`
`TCPFlags`	`metadata.ingestion_labels`
`thread`	`metadata.ingestion_labels`
`timezoneadjustment`	`metadata.ingestion_labels`
`tls`	`network.smtp.is_tls`
`to`	`target.ip target.asset.ip`	Para o ID do evento `313004`.
`toIP`	`target.ip target.asset.ip`	Para o ID do evento `500003`.
`TRUE`	`is_significant`	Para o ID do evento `430001`.
`toPort`	`target.port`	Para o ID do evento `500003`.
`ts`	`metadate.event_timestamp`
`ts_year`	`metadate.event_timestamp`	Para o ID do evento `430001`.
`tty`	`metadata.ingestion_labels`
`TTY`	`metadata.ingestion_labels`	Para o tipo de registo `useradd`, que é o ID do evento `199017`.
`uid`	`metadata.ingestion_labels`
`UID`	`target.user.userid`	Para o tipo de registo `useradd`, que é o ID do evento `199017`.
`URLSICategory`	`security_result.category_details`
`USER`	`target.user.userid`	Para o tipo de registo `useradd`, que é o ID do evento `199017`.
`USER`	`principal.user.userid`	Para todos os tipos de registos que não sejam o tipo de registo `useradd`.
`User`	`target.user.userid`	Para os IDs de eventos `109201`, `109210`, `109207` e `734001`.
`user`	`principal.user.userid`
`user_name`	`principal.user.email_addresses`
`UserAgent`	`network.http.user_agent` `network.http.parsed_user_agent`
`Username`	`principal.user.userid`	Para os IDs de eventos `750001`, `750003`, `751002` e `750014`.
`username`	`target.user.userid`
`username_Id`	`target.user.userid`
`version`	`metadata.ingestion_labels`

Referência delta do mapeamento de UDM

A 6 de novembro de 2025, o Google SecOps lançou uma nova versão do analisador Cisco Firepower NGFW, que inclui alterações significativas ao mapeamento dos campos de registo do Cisco Firepower NGFW para os campos da UDM e alterações ao mapeamento dos tipos de eventos.

Delta do mapeamento de campos de registo

A tabela seguinte indica a diferença de mapeamento para os campos de registo para UDM do Cisco Firepower NGFW expostos antes de 6 de novembro de 2025 e posteriormente (indicados nas colunas Mapeamento antigo e Mapeamento atual, respetivamente).

Campo de registo	Mapeamento antigo	Mapeamento atual
`act`	`security_result.description`	`security_result.action_details`
`action`	`product_event_type`	`metadata.ingestion_labels`
`DeviceUUID`	`principal.resource.id`	`principal.resource.product_object_id`
`dpt`	`security_result.detection_fields`	`target.port`
`flag`	`about.labels`	`metadata.ingestion_labels`
`pid`	`principal.port`	`principal.process.pid`
`Revision`	`security_result.about.labels`	`security_result.detection_fields`
`spt`	`security_result.detection_fields`	`principal.port`
`username`	`principal.user.userid`	`target.user.userid`

Diferença do mapeamento do tipo de evento

Vários eventos que foram classificados anteriormente como eventos genéricos são agora classificados corretamente com tipos de eventos significativos.

A tabela seguinte lista a diferença no processamento dos tipos de eventos do Cisco Firepower NGFW antes de 6 de novembro de 2025 e posteriormente (listados nas colunas Old event_type e Current event-type, respetivamente).

ID do evento do registo	Old event_type	Current event_type
`113003`	`GENERIC_EVENT`	`USER_UNCATEGORIZED`
`113009`	`GENERIC_EVENT`	`STATUS_UPDATE`
`113010`	`GENERIC_EVENT`	`USER_LOGIN`
`113039`	`GENERIC_EVENT`	`USER_LOGIN`
`302020`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`313001`	`GENERIC_EVENT`	`STATUS_UPDATE`
`313004`	`GENERIC_EVENT`	`NETWORK_CONNECTION`
`430002`	`NETWORK_CONNECTION`	`NETWORK_DNS`
`430003`	`NETWORK_CONNECTION`	`NETWORK_DNS`
`500003`	`GENERIC_EVENT`	`NETWORK_CONNECTION`
`602101`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`713906`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`722051`	`GENERIC_EVENT`	`STATUS_UPDATE`
`750003`	`STATUS_UPDATE`	`NETWORK_CONNECTION`
`msmtp`	`STATUS_UPDATE`	`EMAIL_TRANSACTION`

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.