Coletar registros do Cisco Firepower NGFW
Compatível com:
Google SecOps
SIEM
Este documento explica como ingerir registros do firewall de próxima geração (NGFW) do Cisco Firepower no Google Security Operations usando o Bindplane. O analisador extrai os registros de vários formatos (syslog, JSON e combinações deles), normaliza o carimbo de data/hora e mapeia os campos relevantes para o modelo de dados unificado (UDM). Ele processa mensagens syslog convencionais e payloads formatados em JSON nos registros, aproveitando padrões grok e lógica condicional para extrair campos como ID do evento, gravidade e IP do cliente. Em seguida, enriquece os dados com rótulos com base no nome do host HTTP e no URI.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Instância do Google SecOps
- Windows 2016 ou mais recente ou um host Linux com
systemd - Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
- Acesso privilegiado a um dispositivo Cisco Firepower
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Faça o download do arquivo de autenticação de ingestão.
- Salve o arquivo com segurança no sistema em que o BindPlane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outros recursos de instalação
Para mais opções de instalação, consulte o guia de instalação.
Configurar o agente do Bindplane para ingerir Syslog e enviar ao Google SecOps
- Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml. Normalmente, ele fica no diretório/etc/bindplane-agent/no Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo,
nano,viou Bloco de Notas).
- Localize o arquivo
Edite o arquivo
config.yamlda seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CISCO_FIREPOWER_FIREWALL' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
- Substitua
<customer_id>pelo ID do cliente real. - Atualize
/path/to/ingestion-authentication-file.jsonpara o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agentPara reiniciar o agente do Bindplane em Windows, use o console Serviços ou insira o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar o Syslog no dispositivo Cisco FirePower
- Faça login na UI da Web do Firepower Device Manager.
- Acesse Configurações do sistema > Configurações de registro.
- Mude para Ativar a opção Geração de registros de dados.
- Clique no ícone + em Servidores Syslog.
- Clique em Criar novo servidor Syslog. Como alternativa, você pode criar o servidor Syslog em Objetos > Servidores Syslog.
- Informe os seguintes detalhes de configuração:
- Endereço IP: insira o endereço IP do agente do Bindplane.
- Tipo de protocolo: selecione UDP.
- Número da porta: insira o número da porta do agente do Bindplane.
- Selecione Interface de dados ou Interface de gerenciamento.
- Clique em OK.
- Selecione o servidor Syslog recém-criado na lista e clique em OK.
- Clique em Nível de gravidade para filtrar todos os eventos e selecione o nível de registro Informativo na lista.
- Clique em Salvar.
- Clique no ícone Implantar novas configurações > Implantar agora.
- Clique em Políticas na parte de cima da tela.
- Mantenha o ponteiro sobre a lateral da regra de ACP e clique em editar Editar.
- Acesse a guia Logging.
- Selecione No final da conexão.
- Abra a lista Selecionar uma configuração de alerta do Syslog.
- Selecione o servidor Syslog do Bindplane.
- Clique em OK.
- Clique no ícone Implantar novas configurações > Implantar agora.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Observação |
|---|---|---|
act |
security_result.action_details |
Para os IDs de evento 313001, 746014. |
Addr |
principal.ip principal.asset.ip |
Para o ID do evento 734001. |
address |
principal.ip principal.asset.ip |
Para o ID do evento 746014. |
action |
metadata.ingestion_labels |
Para os IDs de evento 313001, 746014. |
ap |
metadata.ingestion_labels |
|
api |
metadata.ingestion_labels |
|
Assigned Ip |
principal.ip principal.asset.ip |
Para IDs de evento 109201, 109210, 109207. |
assigned_ip |
principal.ip principal.asset.ip |
Para IDs de evento 109201, 109210, 109207. |
bytes |
network.received_bytes |
|
centry_addr |
metadata.ingestion_labels |
|
Client |
network.http.parsed_user_agent |
|
client_ip |
principal.ip principal.asset.ip |
|
COMMAND |
principal.process.command_line |
Para o tipo de registro useradd, que é o ID do evento 199017. |
command_line |
principal.process.command_line |
|
connection_type |
metadata.ingestion_labels |
Para o ID do evento 734001. |
ConnectionID |
network.session_id |
|
ConnectType |
metadata.ingestion_labels |
|
cribl_pipe |
additional.fields |
|
DE |
metadata.ingestion_labels |
|
desc |
metadata.description |
Para IDs de evento 109201, 109210, 109207. |
desc1 |
metadata.description |
|
desc_data |
metadata.description |
|
description |
metadata.description |
|
dest_addr |
target.ip target.asset.ip |
Para o ID do evento 602101. |
device_uuid |
metadata.product_log_id |
Recuperado de registros JSON, em que indica detalhes do ID do produto. |
DeviceUUID |
principal.resource.product_object_id |
Recuperado do syslog, que tem o ID do recurso. |
direction |
network.direction |
Para o ID do evento 302020. |
DNSResponseType |
network.dns.response_code |
|
DNSSICategory |
security_result.category_details |
|
dpt |
target.port |
|
dst management IP |
target.ip target.asset.ip |
Para o ID do evento 418001. |
dst management Port |
target.port |
Para o ID do evento 418001. |
DstIP |
target.ip |
Para o ID do evento 713906. |
dst_ip_range |
target.network.ip_subnet_range |
Para IDs de evento 418001. 750001, 750003, 751002, 750014. |
DstPort |
target.port |
Para o ID do evento 713906. |
duration |
network.session_duration.seconds |
Pode ser acessado em segundos. |
euid |
metadata.ingestion_labels |
|
event_name |
metadata.product_event_type |
|
eventId |
metadata.ingestion_labelsmetadata.product_event_type |
|
exe |
principal.process.command_line |
|
exitcode |
metadata.ingestion_labels |
|
faddr |
target.ip (saída)principal.ip (entrada) |
Para o ID do evento 302020. |
fdqn |
principal.hostname |
Para o ID do evento 746014. |
firewall |
principal.ipprincipal.asset.ip |
|
flag |
metadata.ingestion_labels |
Para o ID do evento 500003. |
fport |
target.port (saída)principal.port (entrada) |
Para o ID do evento 302020. |
from |
network.email.from |
Para o tipo de registro useradd, que é o ID do evento 199017. |
fromIP |
principal.ipprincipal.asset.ip |
Para o ID do evento 500003. |
fromPort |
principal.port |
Para o ID do evento 500003. |
gaddr |
target.nat_port (saída)principal.nat_port (entrada) |
Para o ID do evento 302020. |
GID |
target.group.product_object_id |
Para o tipo de registro useradd, que é o ID do evento 199017. |
group_id |
target.group.group_display_name |
|
hdrlen |
metadata.ingestion_labels |
Para o ID do evento 500003. |
home |
metadata.ingestion_labels |
Para o tipo de registro useradd, que é o ID do evento 199017. |
host |
principal.ip/hostnameprincipal.hostnameprincipal.asset.hostname |
|
host_name |
principal.hostname |
|
HTTP_Hostname |
target.resource.attribute.labels |
|
HTTP_URI |
target.resource.attribute.labels |
|
icmp_code |
metadata.ingestion_labels |
Para o ID do evento 313001. |
icmp_type |
metadata.ingestion_labels |
Para o ID do evento 313001. |
interface |
metadata.ingestion_labels |
Para o ID do evento 313004. |
interface_name |
metadata.ingestion_labels |
Para os IDs de evento 313001, 500003. |
intermediary_host |
intermed.hostnameintermed.asset.hostname |
|
intermediary_ip |
intermediary.ip |
Para o ID do evento 713906. |
ipp |
principal.ip |
|
IPReputationSICategory |
security_result.category_details |
|
kernel_value |
additional.fields |
|
laddr |
principal.ip (saída)target.ip (entrada) |
Para o ID do evento 302020 e mapeado com base na direção (entrada ou saída). |
laddr |
principal.ipprincipal.asset.ip |
Para o ID do evento 313004. |
Local |
principal.ipprincipal.asset.ip |
Para IDs de evento 750001, 750003, 751002, 750014. |
Local_port |
principal.port |
Para IDs de evento 750001, 750003, 751002, 750014. |
mailsize |
network.sent_bytes |
|
msgid |
metadata.ingestion_labels |
|
mtu_size |
metadata.ingestion_labels |
Para o ID do evento 602101. |
name |
target.user.user_display_name |
Para o tipo de registro useradd, que é o ID do evento 199017. |
NETWORK_SUSPICIOUS |
SecCategory (security_result.category) |
Para o ID do evento 430001. |
os |
principal.platform_version |
|
osuser |
principal.user.user_display_name |
|
packet_size |
metadata.ingestion_labels |
Para o ID do evento 602101. |
path |
principal.process.file.full_path |
|
pid |
principal.process.pid |
|
pktlen |
metadata.ingestion_labels |
Para o ID do evento 500003. |
Policy |
security_result.rule_labels |
|
prin_ip |
principal.ipprincipal.asset.ip |
Recuperado de desc_data (usando a lógica:"desc_data" => "(?P<desc>.* %{IP:prin_ip}.*)"). |
prin_user |
principal.user.userid |
|
product |
security_result.summary |
Para os IDs de evento 430002, 430003. |
prot |
network.ip_protocol |
Para o ID do evento 602101. |
Protocol |
network.ip_protocol |
Para os IDs de evento 302020, 313001, 313004, 418001, |
protocol |
network.app_protocol |
Para o ID do evento 713906. |
protocol |
network.ip_protocolnetwork.application_protocol |
Para quando o valor do campo de registro é um protocolo de aplicativo ou IP. |
PWD |
principal.process.file.full_path |
Para o tipo de registro useradd, que é o ID do evento 199017. |
reason |
security_result.detection_fields |
|
recipients |
network.email.to |
|
Remote |
target.iptarget.asset.ip |
Para IDs de evento 750001, 750003, 751002, 750014. |
Remote_port |
target.port |
Para IDs de evento 750001, 750003, 751002, 750014. |
Revision |
security_result.detection_fields |
|
sec_desc |
security_result.description |
|
SecIntMatchingIP |
metadata.ingestion_labels |
|
SecRuleName |
security_result.rule_name |
Para o ID do evento 734001. |
seq_num |
security_result.detection_fields |
|
Session |
network.session_id |
Para IDs de evento 109201, 109210, 109207. |
session_id |
network.session_id |
|
severity |
security_result.summary |
Para os IDs de evento 430002, 430003. |
shell |
metadata.ingestion_labels |
Para o tipo de registro useradd, que é o ID do evento 199017. |
Sinkhole |
metadata.ingestion_labels |
|
smtpmsg |
network.smtp.server_response |
|
smtpstatus |
network.http.response_code |
|
sourceIpAddress |
principal.ip |
Para o ID do evento 713906. |
source_ip |
principal.ipprincipal.asset.ip |
|
spt |
principal.port |
|
src management IP |
principal.ipprincipal.asset.ip |
Para o ID do evento 418001. |
src management Port |
principal.port |
Para o ID do evento 418001. |
src_addr |
principal.ipprincipal.asset.ip |
Para o ID do evento 602101. |
src_app |
principal.application |
|
src_fwuser |
principal.hostname |
Para quando src_fwuser está no formato host. |
src_fwuser |
principal.administrative_domainprincipal.hostname |
Para quando src_fwuser está no formato domain ou host. |
src_host |
principal.hostnameprincipal.asset.hostname |
|
src_interface_name |
metadata.ingestion_labels |
|
SrcIP |
principal.ip |
Para o ID do evento 713906. |
src_ip |
principal.ipprincipal.asset.ip |
|
src_ip_range |
principal.network.ip_subnet_range |
Para IDs de evento 750001, 750003, 751002, 750014. |
src_port |
principal.port |
|
SrcPort |
principal.port |
Para o ID do evento 713906. |
srcuser |
principal.user.useridprincipal.user.user_display_name metadata.event_type |
O valor de metadata.event_type é USER_UNCATEGORIZED. |
sshd |
principal.application |
|
syslog_msg_id |
Para o ID do evento 716001. |
|
syslog_msg_text |
security_result.description |
|
tag |
security_result.detection_fields |
|
tar_ip |
target.ip target.asset.ip |
|
tar_port |
target.port |
|
TCPFlags |
metadata.ingestion_labels |
|
thread |
metadata.ingestion_labels |
|
timezoneadjustment |
metadata.ingestion_labels |
|
tls |
network.smtp.is_tls |
|
to |
target.ip target.asset.ip |
Para o ID do evento 313004. |
toIP |
target.ip target.asset.ip |
Para o ID do evento 500003. |
TRUE |
is_significant |
Para o ID do evento 430001. |
toPort |
target.port |
Para o ID do evento 500003. |
ts |
metadate.event_timestamp |
|
ts_year |
metadate.event_timestamp |
Para o ID do evento 430001. |
tty |
metadata.ingestion_labels |
|
TTY |
metadata.ingestion_labels |
Para o tipo de registro useradd, que é o ID do evento 199017. |
uid |
metadata.ingestion_labels |
|
UID |
target.user.userid |
Para o tipo de registro useradd, que é o ID do evento 199017. |
URLSICategory |
security_result.category_details |
|
USER |
target.user.userid |
Para o tipo de registro useradd, que é o ID do evento 199017. |
USER |
principal.user.userid |
Para todos os tipos de registro, exceto o useradd. |
User |
target.user.userid |
Para IDs de evento 109201, 109210, 109207, 734001. |
user |
principal.user.userid |
|
user_name |
principal.user.email_addresses |
|
UserAgent |
network.http.user_agentnetwork.http.parsed_user_agent |
|
Username |
principal.user.userid |
Para IDs de evento 750001, 750003, 751002, 750014. |
username |
target.user.userid |
|
username_Id |
target.user.userid |
|
version |
metadata.ingestion_labels |
Referência delta do mapeamento da UDM
Em 6 de novembro de 2025, o Google SecOps lançou uma nova versão do analisador NGFW do Cisco Firepower, que inclui mudanças significativas no mapeamento dos campos de registro do NGFW do Cisco Firepower para os campos do UDM e no mapeamento dos tipos de eventos.
Delta de mapeamento de campo de registro
A tabela a seguir lista o delta de mapeamento para campos de registro do Cisco Firepower NGFW para UDM expostos antes de 6 de novembro de 2025 e posteriormente (listados nas colunas Mapeamento antigo e Mapeamento atual, respectivamente).
| Campo de registro | Mapeamento antigo | Mapeamento atual |
|---|---|---|
act |
security_result.description |
security_result.action_details |
action |
product_event_type |
metadata.ingestion_labels |
DeviceUUID |
principal.resource.id |
principal.resource.product_object_id |
dpt |
security_result.detection_fields |
target.port |
flag |
about.labels |
metadata.ingestion_labels |
pid |
principal.port |
principal.process.pid |
Revision |
security_result.about.labels |
security_result.detection_fields |
spt |
security_result.detection_fields |
principal.port |
username |
principal.user.userid |
target.user.userid |
Delta de mapeamento de tipo de evento
Vários eventos que antes eram classificados como genéricos agora são classificados corretamente com tipos de eventos significativos.
A tabela a seguir lista o delta para o processamento de tipos de eventos do NGFW do Cisco Firepower antes e depois de 6 de novembro de 2025 (listados nas colunas Old event_type e Current event-type, respectivamente).
| ID do evento do registro | Old event_type | event_type atual |
|---|---|---|
113003 |
GENERIC_EVENT |
USER_UNCATEGORIZED |
113009 |
GENERIC_EVENT |
STATUS_UPDATE |
113010 |
GENERIC_EVENT |
USER_LOGIN |
113039 |
GENERIC_EVENT |
USER_LOGIN |
302020 |
STATUS_UPDATE |
NETWORK_CONNECTION |
313001 |
GENERIC_EVENT |
STATUS_UPDATE |
313004 |
GENERIC_EVENT |
NETWORK_CONNECTION |
430002 |
NETWORK_CONNECTION |
NETWORK_DNS |
430003 |
NETWORK_CONNECTION |
NETWORK_DNS |
500003 |
GENERIC_EVENT |
NETWORK_CONNECTION |
602101 |
STATUS_UPDATE |
NETWORK_CONNECTION |
713906 |
STATUS_UPDATE |
NETWORK_CONNECTION |
722051 |
GENERIC_EVENT |
STATUS_UPDATE |
750003 |
STATUS_UPDATE |
NETWORK_CONNECTION |
msmtp |
STATUS_UPDATE |
EMAIL_TRANSACTION |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.