收集 Cisco Firepower NGFW 日志

支持的平台:

本文档介绍了如何使用 Bindplane 将 Cisco Firepower 新一代防火墙 (NGFW) 日志注入到 Google Security Operations。解析器会从各种格式(syslog、JSON 及两者的组合)的日志中提取数据,对时间戳进行归一化处理,并将相关字段映射到统一数据模型 (UDM)。它可处理日志中的常规 syslog 消息和 JSON 格式的载荷,利用 grok 模式和条件逻辑提取事件 ID、严重程度和客户端 IP 等字段,然后根据 HTTP 主机名和 URI 使用标签丰富数据。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • 如果通过代理运行,请确保防火墙端口处于开放状态
  • 对 Cisco Firepower 设备的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件
    • 将文件安全地保存在将要安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 个人资料
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项,请参阅安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:
    • 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    • 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_FIREPOWER_FIREWALL'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels
    • 根据基础架构的需要替换端口和 IP 地址。
    • <customer_id> 替换为实际的客户 ID。
    • /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 注入身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Cisco FirePower 设备上配置 Syslog

  1. 登录 Firepower 设备管理器网页界面。
  2. 依次前往系统设置 > 日志记录设置
  3. 数据日志记录切换开关切换为启用
  4. 点击 Syslog 服务器下的 + 图标。
  5. 点击 Create new Syslog Server。(或者,您也可以在对象 > Syslog 服务器中创建 Syslog 服务器)。
  6. 提供以下配置详细信息:
    • IP 地址:输入 Bindplane 代理 IP 地址。
    • 协议类型:选择 UDP
    • 端口号:输入 Bindplane 代理端口号。
    • 选择数据接口管理接口
  7. 点击确定
  8. 从列表中选择新创建的 Syslog 服务器,然后点击确定
  9. 点击用于过滤所有事件的严重程度,然后从列表中选择信息日志记录级别。
  10. 点击保存
  11. 依次点击“部署新设置”图标 >“立即部署”
  12. 点击屏幕顶部的政策
  13. 将指针悬停在 ACP 规则的一侧,然后点击修改图标 修改
  14. 前往记录标签页。
  15. 选择在连接结束时
  16. 打开选择 Syslog 提醒配置列表。
  17. 选择 Bindplane Syslog 服务器
  18. 点击确定
  19. 依次点击“部署新设置”图标 >“立即部署”

UDM 映射表

日志字段 UDM 映射 备注
act security_result.action_details 对于活动 ID 313001746014
Addr principal.ip principal.asset.ip 对于活动 ID 734001
address principal.ip principal.asset.ip 对于活动 ID 746014
action metadata.ingestion_labels 对于活动 ID 313001746014
ap metadata.ingestion_labels
api metadata.ingestion_labels
Assigned Ip principal.ip principal.asset.ip 对于事件 ID 109201109210109207
assigned_ip principal.ip principal.asset.ip 对于事件 ID 109201109210109207
bytes network.received_bytes
centry_addr metadata.ingestion_labels
Client network.http.parsed_user_agent
client_ip principal.ip principal.asset.ip
COMMAND principal.process.command_line 对于 useradd 日志类型(事件 ID 为 199017)。
command_line principal.process.command_line
connection_type metadata.ingestion_labels 对于活动 ID 734001
ConnectionID network.session_id
ConnectType metadata.ingestion_labels
cribl_pipe additional.fields
DE metadata.ingestion_labels
desc metadata.description 对于事件 ID 109201109210109207
desc1 metadata.description
desc_data metadata.description
description metadata.description
dest_addr target.ip target.asset.ip 对于活动 ID 602101
device_uuid metadata.product_log_id 从 JSON 日志中检索,用于指示商品 ID 详情。
DeviceUUID principal.resource.product_object_id 从具有资源 ID 的 syslog 中检索。
direction network.direction 对于活动 ID 302020
DNSResponseType network.dns.response_code
DNSSICategory security_result.category_details
dpt target.port
dst management IP target.ip target.asset.ip 对于活动 ID 418001
dst management Port target.port 对于活动 ID 418001
DstIP target.ip 对于活动 ID 713906
dst_ip_range target.network.ip_subnet_range 对于事件 ID 418001750001750003751002750014
DstPort target.port 对于活动 ID 713906
duration network.session_duration.seconds 可在几秒钟内访问。
euid metadata.ingestion_labels
event_name metadata.product_event_type
eventId metadata.ingestion_labels
metadata.product_event_type
exe principal.process.command_line
exitcode metadata.ingestion_labels
faddr target.ip(出站)
principal.ip(入站)		 对于活动 ID 302020
fdqn principal.hostname 对于活动 ID 746014
firewall principal.ip
principal.asset.ip
flag metadata.ingestion_labels 对于活动 ID 500003
fport target.port(出站)
principal.port(入站)		 对于活动 ID 302020
from network.email.from 对于 useradd 日志类型(事件 ID 为 199017)。
fromIP principal.ip
principal.asset.ip		 对于活动 ID 500003
fromPort principal.port 对于活动 ID 500003
gaddr target.nat_port(出站)
principal.nat_port(入站)		 对于活动 ID 302020
GID target.group.product_object_id 对于 useradd 日志类型(事件 ID 为 199017)。
group_id target.group.group_display_name
hdrlen metadata.ingestion_labels 对于活动 ID 500003
home metadata.ingestion_labels 对于 useradd 日志类型(事件 ID 为 199017)。
host principal.ip/hostname
principal.hostname
principal.asset.hostname
host_name principal.hostname
HTTP_Hostname target.resource.attribute.labels
HTTP_URI target.resource.attribute.labels
icmp_code metadata.ingestion_labels 对于活动 ID 313001
icmp_type metadata.ingestion_labels 对于活动 ID 313001
interface metadata.ingestion_labels 对于活动 ID 313004
interface_name metadata.ingestion_labels 对于活动 ID 313001500003
intermediary_host intermed.hostname
intermed.asset.hostname
intermediary_ip intermediary.ip 对于活动 ID 713906
ipp principal.ip
IPReputationSICategory security_result.category_details
kernel_value additional.fields
laddr principal.ip(出站)
target.ip(入站)		 对于事件 ID 302020,并根据方向(入站或出站)进行映射。
laddr principal.ip
principal.asset.ip		 对于活动 ID 313004
Local principal.ip
principal.asset.ip		 对于事件 ID 750001750003751002750014
Local_port principal.port 对于事件 ID 750001750003751002750014
mailsize network.sent_bytes
msgid metadata.ingestion_labels
mtu_size metadata.ingestion_labels 对于活动 ID 602101
name target.user.user_display_name 对于 useradd 日志类型(事件 ID 为 199017)。
NETWORK_SUSPICIOUS SecCategory (security_result.category) 对于活动 ID 430001
os principal.platform_version
osuser principal.user.user_display_name
packet_size metadata.ingestion_labels 对于活动 ID 602101
path principal.process.file.full_path
pid principal.process.pid
pktlen metadata.ingestion_labels 对于活动 ID 500003
Policy security_result.rule_labels
prin_ip principal.ip
principal.asset.ip		 desc_data 中检索(使用逻辑:
"desc_data" => "(?P<desc>.* %{IP:prin_ip}.*)")。
prin_user principal.user.userid
product security_result.summary 对于活动 ID 430002430003
prot network.ip_protocol 对于活动 ID 602101
Protocol network.ip_protocol 对于事件 ID 302020313001313004418001
protocol network.app_protocol 对于活动 ID 713906
protocol network.ip_protocol
network.application_protocol		 适用于日志字段值为应用或 IP 协议的情况。
PWD principal.process.file.full_path 对于 useradd 日志类型(事件 ID 为 199017)。
reason security_result.detection_fields
recipients network.email.to
Remote target.ip
target.asset.ip		 对于事件 ID 750001750003751002750014
Remote_port target.port 对于事件 ID 750001750003751002750014
Revision security_result.detection_fields
sec_desc security_result.description
SecIntMatchingIP metadata.ingestion_labels
SecRuleName security_result.rule_name 对于活动 ID 734001
seq_num security_result.detection_fields
Session network.session_id 对于事件 ID 109201109210109207
session_id network.session_id
severity security_result.summary 对于活动 ID 430002430003
shell metadata.ingestion_labels 对于 useradd 日志类型(事件 ID 为 199017)。
Sinkhole metadata.ingestion_labels
smtpmsg network.smtp.server_response
smtpstatus network.http.response_code
sourceIpAddress principal.ip 对于活动 ID 713906
source_ip principal.ip
principal.asset.ip
spt principal.port
src management IP principal.ip
principal.asset.ip		 对于活动 ID 418001
src management Port principal.port 对于活动 ID 418001
src_addr principal.ip
principal.asset.ip		 对于活动 ID 602101
src_app principal.application
src_fwuser principal.hostname src_fwuser 采用 host 格式时。
src_fwuser principal.administrative_domain
principal.hostname		 适用于 src_fwuser 采用 domainhost 格式的情况。
src_host principal.hostname
principal.asset.hostname
src_interface_name metadata.ingestion_labels
SrcIP principal.ip 对于活动 ID 713906
src_ip principal.ip
principal.asset.ip
src_ip_range principal.network.ip_subnet_range 对于事件 ID 750001750003751002750014
src_port principal.port
SrcPort principal.port 对于活动 ID 713906
srcuser principal.user.userid
principal.user.user_display_name metadata.event_type		 metadata.event_type 的值为 USER_UNCATEGORIZED
sshd principal.application
syslog_msg_id 对于活动 ID 716001
syslog_msg_text security_result.description
tag security_result.detection_fields
tar_ip target.ip target.asset.ip
tar_port target.port
TCPFlags metadata.ingestion_labels
thread metadata.ingestion_labels
timezoneadjustment metadata.ingestion_labels
tls network.smtp.is_tls
to target.ip target.asset.ip 对于活动 ID 313004
toIP target.ip target.asset.ip 对于活动 ID 500003
TRUE is_significant 对于活动 ID 430001
toPort target.port 对于活动 ID 500003
ts metadate.event_timestamp
ts_year metadate.event_timestamp 对于活动 ID 430001
tty metadata.ingestion_labels
TTY metadata.ingestion_labels 对于 useradd 日志类型(事件 ID 为 199017)。
uid metadata.ingestion_labels
UID target.user.userid 对于 useradd 日志类型(事件 ID 为 199017)。
URLSICategory security_result.category_details
USER target.user.userid 对于 useradd 日志类型(事件 ID 为 199017)。
USER principal.user.userid 对于 useradd 日志类型以外的所有日志类型。
User target.user.userid 对于事件 ID 109201109210109207734001
user principal.user.userid
user_name principal.user.email_addresses
UserAgent network.http.user_agent
network.http.parsed_user_agent
Username principal.user.userid 对于事件 ID 750001750003751002750014
username target.user.userid
username_Id target.user.userid
version metadata.ingestion_labels

UDM 映射增量参考信息

2025 年 11 月 6 日,Google SecOps 发布了新版 Cisco Firepower NGFW 解析器,其中对 Cisco Firepower NGFW 日志字段到 UDM 字段的映射以及事件类型的映射进行了重大更改。

记录字段映射增量

下表列出了 2025 年 11 月 6 日之前和之后公开的 Cisco Firepower NGFW 日志到 UDM 字段的映射增量(分别列在旧映射当前映射列中)。

日志字段 旧映射 当前映射
act security_result.description security_result.action_details
action product_event_type metadata.ingestion_labels
DeviceUUID principal.resource.id principal.resource.product_object_id
dpt security_result.detection_fields target.port
flag about.labels metadata.ingestion_labels
pid principal.port principal.process.pid
Revision security_result.about.labels security_result.detection_fields
spt security_result.detection_fields principal.port
username principal.user.userid target.user.userid

事件类型映射增量

之前被归类为通用事件的多个事件现在已正确归类为有意义的事件类型。

下表列出了 2025 年 11 月 6 日之前和之后 Cisco Firepower NGFW 事件类型处理方式的差异(分别列在旧 event_type当前 event-type 列中)。

日志中的事件 ID 旧 event_type 当前 event_type
113003 GENERIC_EVENT USER_UNCATEGORIZED
113009 GENERIC_EVENT STATUS_UPDATE
113010 GENERIC_EVENT USER_LOGIN
113039 GENERIC_EVENT USER_LOGIN
302020 STATUS_UPDATE NETWORK_CONNECTION
313001 GENERIC_EVENT STATUS_UPDATE
313004 GENERIC_EVENT NETWORK_CONNECTION
430002 NETWORK_CONNECTION NETWORK_DNS
430003 NETWORK_CONNECTION NETWORK_DNS
500003 GENERIC_EVENT NETWORK_CONNECTION
602101 STATUS_UPDATE NETWORK_CONNECTION
713906 STATUS_UPDATE NETWORK_CONNECTION
722051 GENERIC_EVENT STATUS_UPDATE
750003 STATUS_UPDATE NETWORK_CONNECTION
msmtp STATUS_UPDATE EMAIL_TRANSACTION

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。