Cisco FireSIGHT Management Center-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cisco FireSIGHT Management Center-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Das Cisco FireSIGHT Management Center (FMC), früher als FireSIGHT Management Center oder Firepower Management Center bezeichnet, ist eine zentrale Verwaltungskonsole, die umfassende Richtlinienverwaltung, Ereignisanalyse und Berichterstellung für Cisco Secure Firewall Threat Defense-Geräte bietet. FMC kann Verbindungsereignisse, Security Intelligence-Ereignisse, Eindringereignisse, Dateiereignisse und Malware-Ereignisse über Syslog an externe SIEM-Systeme senden.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Netzwerkverbindung zwischen dem Bindplane-Agent und dem Cisco FireSIGHT Management Center
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Berechtigter Zugriff auf die Cisco FireSIGHT Management Center-Weboberfläche
  • Administrator- oder Sicherheitsanalyst-Nutzerrolle in FMC

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.

  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.

  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

  • Fenstereinbau

    1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

    2. Führen Sie dazu diesen Befehl aus:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Warten Sie, bis die Installation abgeschlossen ist.

    4. Überprüfen Sie die Installation mit folgendem Befehl:

      sc query observiq-otel-collector

      Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

  • Linux-Installation

    1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

    2. Führen Sie dazu diesen Befehl aus:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Warten Sie, bis die Installation abgeschlossen ist.

    4. Überprüfen Sie die Installation mit folgendem Befehl:

      sudo systemctl status observiq-otel-collector

    Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  1. Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_fmc:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_FIRESIGHT
        raw_log_field: body
        ingestion_labels:
            env: production
            source: fmc

service:
    pipelines:
        logs/fmc_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_fmc

  2. Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • listen_address: Auf 0.0.0.0:514 setzen, um an allen Schnittstellen am UDP-Port 51 zu lauschen. Wenn für Port 514 Root-Berechtigungen unter Linux erforderlich sind, verwenden Sie stattdessen Port 1514 und konfigurieren Sie FMC so, dass Daten an diesen Port gesendet werden.

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID: Ersetzen Sie dies durch Ihre customer ID. Weitere Informationen finden Sie unter Google SecOps-Kundennummer abrufen.

      • endpoint: Regionale Endpunkt-URL:

        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com

      • log_type: Auf CISCO_FIRESIGHT setzen (genaue Übereinstimmung erforderlich)

      • ingestion_labels: Optionale Labels zum Filtern und Organisieren

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

  • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
  • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • So starten Sie den Bindplane-Agent unter Linux neu:

    1. Führen Sie dazu diesen Befehl aus:

      sudo systemctl restart observiq-otel-collector

    2. Prüfen Sie, ob der Dienst ausgeführt wird:

      sudo systemctl status observiq-otel-collector

    3. Logs auf Fehler prüfen:

      sudo journalctl -u observiq-otel-collector -f

  • So starten Sie den Bindplane-Agent unter Windows neu:

    1. Wählen Sie eine der folgenden Optionen aus:

      • Eingabeaufforderung oder PowerShell als Administrator:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Services-Konsole:

        1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
        2. Suchen Sie nach observIQ OpenTelemetry Collector.
        3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

    2. Prüfen Sie, ob der Dienst ausgeführt wird:

      sc query observiq-otel-collector

    3. Logs auf Fehler prüfen:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung für Cisco FireSIGHT Management Center konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie die FMC so konfigurieren, dass Syslog-Nachrichten zu Sicherheitsereignissen (Verbindungs-, Security Intelligence-, Eindring-, Datei- und Malware-Ereignisse) von Firepower Threat Defense-Geräten an den Bindplane-Agent gesendet werden.

Syslog-Einstellungen für Firepower Threat Defense-Geräte konfigurieren

  1. Melden Sie sich in der Weboberfläche des Cisco FireSIGHT Management Center an.
  2. Rufen Sie Geräte> Plattform-Einstellungen auf.
  3. Bearbeiten Sie die mit Ihrem Firepower Threat Defense-Gerät verknüpfte Richtlinie für Plattform-Einstellungen oder erstellen Sie eine neue Richtlinie.
  4. Klicken Sie im linken Navigationsbereich auf Syslog.
  5. Klicken Sie auf Syslog Servers (Syslog-Server) und dann auf Add (Hinzufügen), um einen neuen Syslog-Server zu konfigurieren.
  6. Geben Sie die folgenden Konfigurationsdetails an:
    • IP-Adresse: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein (z. B. 192.168.1.100).
    • Protokoll: Wählen Sie UDP aus.
    • Port: Geben Sie 514 ein (oder 1514, wenn Sie Bindplane so konfiguriert haben, dass es einen nicht privilegierten Port überwacht).
    • Schnittstelle: Wählen Sie die Verwaltungsschnittstelle oder die Schnittstelle aus, über die der Bindplane-Agent erreicht werden kann.
  7. Klicken Sie auf OK, um die Syslog-Serverkonfiguration zu speichern.
  8. Klicken Sie auf Syslog-Einstellungen und konfigurieren Sie die folgenden Einstellungen:
    • Setzen Sie ein Häkchen bei Enable Timestamp on Syslog Messages (Zeitstempel für Syslog-Nachrichten aktivieren).
    • Zeitstempelformat: Wählen Sie ISO 8601 aus (empfohlen für Chronicle).
    • Aktivieren Sie Enable Syslog Device ID (Syslog-Geräte-ID aktivieren) und geben Sie optional eine benutzerdefinierte Geräte-ID ein.
  9. Klicken Sie auf Protokollierung einrichten.
  10. Wählen Sie aus, ob Syslogs im EMBLEM-Format gesendet werden sollen. Für die Chronicle-Aufnahme wird jedes Format unterstützt.
  11. Klicken Sie auf Speichern, um die Richtlinie für Plattform-Einstellungen zu speichern.

Logging-Einstellungen für Zugriffssteuerungsrichtlinien konfigurieren

  1. Rufen Sie in der Cisco FireSIGHT Management Center-Weboberfläche Policies > Access Control auf.
  2. Bearbeiten Sie die entsprechende Richtlinie zur Zugriffssteuerung.
  3. Klicken Sie auf den Tab Logging.
  4. Wählen Sie FTD 6.3 und höher: Syslog-Einstellungen verwenden, die in der auf dem Gerät bereitgestellten Richtlinie „FTD Platform Settings“ (FTD-Plattform-Einstellungen) konfiguriert sind aus.
  5. Wählen Sie optional einen Syslog-Schweregrad aus, z. B. Info oder Alert.
  6. Wenn Sie Datei- und Malware-Ereignisse senden möchten, aktivieren Sie Syslog-Nachrichten für Datei- und Malware-Ereignisse senden.
  7. Klicken Sie auf Speichern.

Protokollierung für Security Intelligence-Ereignisse aktivieren

  1. Klicken Sie in derselben Zugriffssteuerungsrichtlinie auf den Tab Security Intelligence.
  2. Klicken Sie an den folgenden Stellen jeweils auf Logging und aktivieren Sie das Logging:
    • Klicken Sie neben DNS-Richtlinie auf Logging (Logging), aktivieren Sie Log at Beginning of Connection (Am Anfang der Verbindung protokollieren) und Log at End of Connection (Am Ende der Verbindung protokollieren) und aktivieren Sie Syslog Server (Syslog-Server).
    • Klicken Sie im Feld Block List (Sperrliste) für Networks (Netzwerke) auf Logging (Protokollierung), aktivieren Sie Log at Beginning of Connection (Am Anfang der Verbindung protokollieren) und Log at End of Connection (Am Ende der Verbindung protokollieren) und aktivieren Sie Syslog Server (Syslog-Server).
    • Klicken Sie im Feld Sperrliste für URLs auf Protokollierung, aktivieren Sie Am Anfang der Verbindung protokollieren und Am Ende der Verbindung protokollieren und aktivieren Sie Syslog-Server.
  3. Klicken Sie auf Speichern.

Syslog-Logging für Zugriffssteuerungsregeln aktivieren

  1. Klicken Sie in derselben Zugriffssteuerungsrichtlinie auf den Tab Regeln.
  2. Klicken Sie auf eine Regel, um sie zu bearbeiten.
  3. Klicken Sie in der Regel auf den Tab Logging (Protokollierung).
  4. Wählen Sie aus, ob der Beginn oder das Ende von Verbindungen oder beides protokolliert werden soll:
    • Aktivieren Sie Log at Beginning of Connection (generates high volume) (Am Anfang der Verbindung protokollieren (hohes Volumen)).
    • Aktivieren Sie Log at End of Connection (für die meisten Anwendungsfälle empfohlen).
  5. Wenn Sie Ereignisse in Protokolldateien aufzeichnen, sehen Sie unter Protokolldateien nach.
  6. Aktivieren Sie Syslog Server (Syslog-Server).
  7. Prüfen Sie, ob die Regel die standardmäßige Syslog-Konfiguration für die Protokollierung der Zugriffssteuerung verwendet. Konfigurieren Sie keine Überschreibungen.
  8. Klicken Sie auf Hinzufügen, um die Regel zu speichern.
  9. Wiederholen Sie die Schritte 2 bis 8 für jede Regel in der Richtlinie, die Sie protokollieren möchten.

Syslog-Einstellungen für die Richtlinie für Eindringversuche konfigurieren

  1. Rufen Sie Richtlinien > Einbruch auf.
  2. Bearbeiten Sie die mit Ihrer Zugriffssteuerungsrichtlinie verknüpfte Einbruchrichtlinie.
  3. Klicken Sie auf Erweiterte Einstellungen > Syslog-Benachrichtigungen.
  4. Setzen Sie Syslog Alerting auf Enabled.
  5. Klicken Sie neben Syslog-Benachrichtigungen auf Bearbeiten.
  6. Legen Sie folgende Einstellungen fest:
    • Logging Host (Logging-Host): Lassen Sie dieses Feld leer, um die in den FTD-Plattform-Einstellungen konfigurierten Syslog-Einstellungen zu verwenden. Wenn Sie hier einen Logging-Host angeben, müssen Sie auch Facility und Severity konfigurieren.
    • Einrichtung: Gilt nur, wenn Sie einen Logging-Host angeben. Wählen Sie eine Einrichtung aus, z. B. AUTH oder LOCAL0.
    • Schweregrad: Gilt nur, wenn Sie einen Logging Host (Logging-Host) angeben. Wählen Sie einen Schweregrad aus, z. B. Info oder Warnung.
  7. Klicken Sie auf Back (Zurück).
  8. Klicken Sie im linken Navigationsbereich auf Richtlinieninformationen.
  9. Klicken Sie auf Commit Changes (Änderungen übernehmen).

Konfigurationsänderungen bereitstellen

  1. Nachdem Sie alle Syslog-Einstellungen konfiguriert haben, stellen Sie die Änderungen auf Ihren verwalteten Geräten bereit.
  2. Klicken Sie in der Weboberfläche des Cisco FireSIGHT Management Center rechts oben auf Deploy (Bereitstellen).
  3. Wählen Sie die Geräte aus, auf denen Sie die Konfiguration bereitstellen möchten.
  4. Klicken Sie auf Bereitstellen, um die Änderungen zu übernehmen.

Syslog-Weiterleitung bestätigen

  1. Generieren Sie Test-Traffic oder Sicherheitsereignisse auf Ihren Firepower Threat Defense-Geräten.
  2. Prüfen Sie die Bindplane-Agent-Logs, um zu bestätigen, dass Syslog-Nachrichten empfangen werden:

  • Linux:

    sudo journalctl -u observiq-otel-collector -f

  • Windows:

    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  1. Melden Sie sich in der Google SecOps Console an und prüfen Sie, ob Ereignisse in der Ereignisübersicht angezeigt werden.

Unterstützte Ereignistypen

Cisco FireSIGHT Management Center kann die folgenden Ereignistypen über Syslog an Google SecOps senden:

Ereignistyp Beschreibung
Verbindungsereignisse Daten zur Netzwerkverbindung zwischen überwachten Hosts und allen anderen Hosts
Security Intelligence-Ereignisse Ereignisse im Zusammenhang mit Blockierlisten für Security Intelligence (IP, URL, DNS)
Einbruchserkennung Ereignisse zur Einbruchserkennung und ‑vermeidung, die von verwalteten Geräten generiert werden
Dateiereignisse Ereignisse für die Dateianalyse
Malware-Ereignisse Ereignisse zur Malware-Erkennung

Syslog-Nachrichtenformat

Cisco FireSIGHT Management Center sendet Syslog-Nachrichten im folgenden Format:

  • Beispiel für ein Verbindungsereignis:

    <134>1 2024-01-15T10:15:45.123Z fmc-hostname %FTD-6-430003:
EventPriority: Low,
DeviceUUID: abc123,
InstanceID: 1,
FirstPacketSecond: 1705318545,
ConnectionID: 12345,
AccessControlRuleAction: Allow,
SrcIP: 10.0.0.5,
DstIP: 8.8.8.8,
SrcPort: 54321,
DstPort: 53,
Protocol: udp,
IngressInterface: inside,
EgressInterface: outside,
IngressZone: inside-zone,
EgressZone: outside-zone,
ACPolicy: Default-Policy,
AccessControlRuleName: Allow-DNS,
User: user@example.com,
ApplicationProtocol: DNS,
InitiatorBytes: 64,
ResponderBytes: 128

  • Beispiel für ein Eindringen:

    <134>1 2024-01-15T10:16:30.456Z fmc-hostname %FTD-4-430001:
EventPriority: High,
DeviceUUID: abc123,
InstanceID: 1,
SrcIP: 192.168.1.100,
DstIP: 10.0.0.50,
SrcPort: 12345,
DstPort: 80,
Protocol: tcp,
IngressInterface: outside,
EgressInterface: inside,
IngressZone: outside-zone,
EgressZone: inside-zone,
IntrusionPolicy: Security-Over-Connectivity,
SignatureID: 1:2024123:1,
SignatureGeneratorID: 1,
Classification: web-application-attack,
Priority: 1,
Message: SQL injection attempt detected

Die Syslog-Nachrichten enthalten durch Kommas getrennte Schlüssel/Wert-Paare, sodass sie von Google SecOps geparst werden können.

Beschränkungen

  • Es kann bis zu 15 Minuten dauern, bis Ereignisse in Google SecOps angezeigt werden, nachdem sie von FMC gesendet wurden.
  • Rückwirkende Malware-Ereignisse sind nicht über Syslog verfügbar.
  • Von AMP for Endpoints generierte Ereignisse sind nicht über Syslog verfügbar.
  • Einige Metadaten, die über die eStreamer API verfügbar sind, sind nicht in Syslog-Nachrichten enthalten, z. B. detaillierte Nutzerinformationen aus LDAP, erweiterte Anwendungsmetadaten und Daten zur geografischen Position.
  • Wenn Sie Objektnamen (Richtliniennamen, Regelnamen) mit Sonderzeichen wie Kommas konfigurieren, kann dies die Syslog-Analyse beeinträchtigen. Vermeiden Sie die Verwendung von Sonderzeichen in Objektnamen.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
WebApplication, URLReputation, EgressInterface, IngressInterface, ACPolicy, NAPPolicy, ConnectionID, ssl_ticket_id, qoa_applied_interface, sinkhole_uuid, security_context, sec_zone_egress, sec_zone_ingress additional.fields Wird aus verschiedenen Label-Feldern zusammengeführt, sofern nicht leer
eventType extensions.auth.type Auf „VPN“ setzen, wenn eventType „USER_LOGIN_INFORMATION“ ist
vulnerabilities extensions.vulns.vulnerabilities Wird aus Sicherheitslücken zusammengeführt, wenn nicht leer
flowStatistics.httpReferrer http.referral_url Wert direkt kopiert
flowStatistics.httpResponse http.response_code In Ganzzahl konvertiert
flowStatistics.userAgent http.user_agent Wert direkt kopiert
_intermediary Vermittler Zusammengeführt aus _intermediary, falls nicht leer
recordTypeDescription, entry.message metadata.description Wert aus „recordTypeDescription“, falls nicht leer, andernfalls aus „entry.message“
event_second, connection_timestamp, _serverTimestamp metadata.event_timestamp Datum, das aus „event_second“ geparst wird, falls nicht leer, andernfalls „connection_timestamp“, andernfalls „_serverTimestamp“
event_type metadata.event_type Wert direkt kopiert
prod_event_type, eventId, recordTypeCategory, app, _recordTypeName, eventType metadata.product_event_type Wert aus „prod_event_type“, falls nicht leer, andernfalls „eventId“, andernfalls „recordTypeCategory“, andernfalls „app“, andernfalls „_recordTypeName“, andernfalls „eventType“
DeviceUUID metadata.product_log_id Wert direkt kopiert
flowStatistics.clientAppVersion, client_version metadata.product_version Wert aus „flowStatistics.clientAppVersion“, falls nicht leer, andernfalls „client_version“
flowStatistics.clientAppURL metadata.url_back_to_product Wert direkt kopiert
ApplicationProtocol network.application_protocol Wird auf „LDAP“ gesetzt, wenn (?i)ldap übereinstimmt, auf „HTTPS“ bei (?i)https und auf „HTTP“ bei (?i)http.
Annehmen network.dns.answers Aus Antwort zusammengeführt
flowStatistics.dnsQuery network.dns.answers.name Wert direkt kopiert
flowStatistics.dnsTTL network.dns.answers.ttl In „unsigned integer“ konvertiert
flowStatistics.dnsRecordType network.dns.answers.type In „unsigned integer“ konvertiert
flowStatistics.dnsResponseType network.dns.response_code In „unsigned integer“ konvertiert
user_agent network.http.parsed_user_agent In „parseduseragent“ konvertiert
user_agent network.http.user_agent Wert direkt kopiert
proto, Protocol, inputType, proto_type, protocol, ip_v4_protocol, protocol_number_src network.ip_protocol Set basierend auf verschiedenen Feldern mit Protokollzuordnungen und ‑fällen
ResponderBytes, flowStatistics.bytesReceived network.received_bytes Wert aus „ResponderBytes“, falls nicht leer, andernfalls „flowStatistics.bytesReceived“, in „uinteger“ konvertiert
ResponderPackets network.received_packets In Ganzzahl konvertiert
InitiatorBytes, flowStatistics.bytesSent network.sent_bytes Wert aus „InitiatorBytes“, falls nicht leer, andernfalls „flowStatistics.bytesSent“, in „uinteger“ konvertiert
InitiatorPackets, packet_data network.sent_packets Wert aus „InitiatorPackets“, falls nicht leer, andernfalls „packet_data“, in eine Ganzzahl konvertiert
ssl_session_id network.session_id Wert direkt kopiert
ssl_cipher_suite network.tls.cipher Wert direkt kopiert
agent_type, agent_version observer.application Verkettet als „agent_type agent_version“, wenn beide nicht leer sind
entry.host.hostname observer.hostname Wert direkt kopiert
entry.host.ip observer.ip Zusammengeführt aus „entry.host.ip“
entry.host.mac observer.mac Zusammengeführt aus entry.host.mac
clientApplication, hold.app_string principal.application Wert aus „clientApplication“, falls nicht leer, andernfalls „hold.app_string“
prin_host, DeviceAddress, principal_hostname principal.asset.hostname Wert von „prin_host“, falls nicht leer, andernfalls „DeviceAddress“, falls „sourceAddress“ leer ist, andernfalls „principal_hostname“
SrcIP, principal_ip, source_address_IPv4v6 principal.asset.ip Zusammengeführt aus SrcIP (mit grok validiert), principal_ip, source_address_IPv4v6 (mit grok validiert)
file_sha_hash, sha_hash principal.file.sha256 Wert aus „file_sha_hash“, falls nicht leer, andernfalls „sha_hash“
prin_host, DeviceAddress, principal_hostname principal.hostname Wert von „prin_host“, falls nicht leer, andernfalls „DeviceAddress“, falls „sourceAddress“ leer ist, andernfalls „principal_hostname“
SrcIP, principal_ip, source_address_IPv4v6 principal.ip Zusammengeführt aus SrcIP (mit grok validiert), principal_ip, source_address_IPv4v6 (mit grok validiert)
flowStatistics.initiatorCountry.geolocation.countryName, src_ip_country principal.location.country_or_region Wert aus „flowStatistics.initiatorCountry.geolocation.countryName“, falls nicht leer, andernfalls „src_ip_country“
entry.macAddress principal.mac Zusammengeführt aus entry.macAddress
host_os_platform principal.platform Auf LINUX setzen, wenn centos, andernfalls uppercased entry.host.os.platform
entry.host.os.kernel principal.platform_patch_level Wert direkt kopiert
identityData.fingerprintUUID.osName, osFingerprint.fingerprintUUID.osName principal.platform_version Verkettete osName osVersion aus identityData, falls nicht leer, andernfalls osFingerprint
SrcPort, entry.sourcePort, entry.sourcePortOrIcmpType, source_port, flowStatistics.initiatorPort, source_port_or_icmp_code principal.port Wert aus SrcPort, falls nicht leer, andernfalls entry.sourcePort, andernfalls entry.sourcePortOrIcmpType, andernfalls source_port, andernfalls flowStatistics.initiatorPort, andernfalls source_port_or_icmp_code, in eine Ganzzahl konvertiert
isecurityZoneName principal.resource.attribute.labels Zusammengeführt aus isecurityZoneName
DeviceType principal.resource.name Wert direkt kopiert
principal.resource.resource_type Auf „DEVICE“ festgelegt
entry.computed.user principal.user.user_display_name In String konvertiert
entry.userId, user_id, flowStatistics.user.userId, entry.computed.user, userLoginInformation.userName principal.user.userid Wert aus entry.userId, falls nicht leer, andernfalls user_id, andernfalls flowStatistics.user.userId, andernfalls entry.computed.user, andernfalls userLoginInformation.userName
connectionID_label, FirstPacketSecond_label sec_result.about.resource.attribute.labels Zusammengeführt aus „connectionID_label“ und „FirstPacketSecond_label“, falls nicht leer
sec_result_action sec_result.action Zusammengeführt aus sec_result_action
flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.category Auf NETWORK_MALICIOUS setzen, wenn rule_name „Malware“ ist, auf NETWORK_SUSPICIOUS, wenn „Anomali_IP“
classification.description, userLoginInformation.description, sec_desc sec_result.description Wert aus „classification.description“, falls nicht leer, andernfalls „userLoginInformation.description“, andernfalls „sec_desc“
entry.computed.priority sec_result.priority Eintrag in Großbuchstaben.computed.priority _PRIORITY
entry.ruleId, rule_ruleId sec_result.rule_id Wert aus „entry.ruleId“, falls nicht leer, andernfalls „rule_ruleId“
AccessControlRuleName, rule_message, fw_rule, flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.rule_name Wert aus AccessControlRuleName, falls nicht leer, andernfalls rule_message, andernfalls fw_rule, andernfalls flowStatistics.securityIntelligenceList1.securityIntelligenceListName
EventPriority, sec_severity, severity_code, priority_name sec_result.severity Auf LOW gesetzt, wenn EventPriority „Low“, HIGH, wenn „High“, MEDIUM, wenn „Medium“; andernfalls aus sec_severity-Zuordnungen; andernfalls aus severity_code-Zuordnungen; andernfalls priority_name in Großbuchstaben
Nutzer sec_result.summary Wert direkt kopiert
threat_name sec_result.threat_name Wert direkt kopiert
security_result security_result Zusammengeführt aus security_result
firewallRuleAction, hold.action, AccessControlRuleAction, sec_result_action, vendor_blocked security_result.action Wert aus „firewallRuleAction“ in Großbuchstaben, wenn nicht „no_action“, andernfalls „hold.action“, andernfalls aus „AccessControlRuleAction“ mit Fällen, andernfalls „sec_result_action“, andernfalls aus „vendor_blocked“ (0 ALLOW, andernfalls BLOCK)
disposition security_result.action_details Auf „Infected“ (Infiziert) setzen, wenn Disposition 3, andernfalls „Unknown“ (Unbekannt)
eventDescription security_result.description Wert direkt kopiert
firewallRule security_result.rule_name Wert direkt kopiert
threat_name security_result.threat_name Wert direkt kopiert
hostService.webApplication.webApplication0.applicationId.webApplicationName target.application Wert direkt kopiert
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 target.asset.ip Zusammengeführt aus DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)
InstanceID, flowStatistics.clientAppId target.asset_id Wert aus InstanceID, falls nicht leer, andernfalls „ Client_app_id: “ + flowStatistics.clientAppId
Datei target.file Umbenannt aus Datei
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 target.ip Zusammengeführt aus DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)
flowStatistics.responderCountry.geolocation.countryName, dest_ip_country, entry.country.data target.location.country_or_region Wert aus „flowStatistics.responderCountry.geolocation.countryName“, falls nicht leer, andernfalls „dest_ip_country“, andernfalls „entry.country.data“
MACAddress target.mac MACAddress in Kleinbuchstaben, wenn sie nicht 00:00:00:00:00:00 ist
DstPort, entry.destinationPort, entry.destinationPortOrIcmpType, dest_port, flowStatistics.responderPort, destination_port_or_icmp_code target.port Wert aus DstPort, falls nicht leer, andernfalls entry.destinationPort, andernfalls entry.destinationPortOrIcmpType, andernfalls dest_port, andernfalls flowStatistics.responderPort, andernfalls destination_port_or_icmp_code, in eine Ganzzahl konvertiert
securityZoneName, det_engine, file_num, file_pos, rec_length target.resource.attribute.labels Zusammengeführt aus securityZoneName, det_engine, file_num, file_pos, rec_length, falls nicht leer
URL target.url Wert direkt kopiert
entry.user.username.data target.user.userid Wert direkt kopiert
Descript vulnerabilities.description Wert direkt kopiert
severity_detail vulnerabilities.severity_details Wert direkt kopiert
Produkt vulnerabilities.vendor Wert direkt kopiert
metadata.product_name Auf „CISCO_FIRESIGHT“ festlegen
metadata.vendor_name Auf „CISCO MANAGEMENT CENTER“ festlegen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten