Recopila registros del Centro de administración de Cisco FireSIGHT

Compatible con:

En este documento, se explica cómo transferir registros de Cisco FireSIGHT Management Center a Google Security Operations con el agente de Bindplane.

Cisco FireSIGHT Management Center (FMC), antes conocido como FireSIGHT Management Center o Firepower Management Center, es una consola de administración centralizada que proporciona administración integral de políticas, análisis de eventos y generación de informes para dispositivos Cisco Secure Firewall Threat Defense. El FMC puede enviar eventos de conexión, eventos de inteligencia de seguridad, eventos de intrusión, eventos de archivos y eventos de malware a través de syslog a sistemas SIEM externos.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Windows Server 2016 o versiones posteriores, o host de Linux con systemd
  • Conectividad de red entre el agente de Bindplane y Cisco FireSIGHT Management Center
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
  • Acceso privilegiado a la interfaz web de Cisco FireSIGHT Management Center
  • Rol de usuario de administrador o analista de seguridad en FMC

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.

  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.

  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

  • Instalación en Windows

    1. Abre el símbolo del sistema o PowerShell como administrador.

    2. Ejecuta el comando siguiente:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Espera a que se complete la instalación.

    4. Ejecute el siguiente comando para verificar la instalación:

      sc query observiq-otel-collector

      El servicio debe mostrarse como RUNNING.

  • Instalación en Linux

    1. Abre una terminal con privilegios de administrador o sudo.

    2. Ejecuta el comando siguiente:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Espera a que se complete la instalación.

    4. Ejecute el siguiente comando para verificar la instalación:

      sudo systemctl status observiq-otel-collector

    El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Ubica el archivo de configuración

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

  1. Reemplaza todo el contenido de config.yaml con la siguiente configuración:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_fmc:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_FIRESIGHT
        raw_log_field: body
        ingestion_labels:
            env: production
            source: fmc

service:
    pipelines:
        logs/fmc_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_fmc

  2. Reemplaza los marcadores de posición que se indican más abajo:

    • Configuración del receptor:

      • listen_address: Se establece en 0.0.0.0:514 para escuchar en todas las interfaces en el puerto UDP 51. Si el puerto 514 requiere privilegios de administrador en Linux, usa el puerto 1514 y configura FMC para que envíe a ese puerto.

    • Configuración del exportador:

      • creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID: Reemplaza con tu customer ID. Para obtener más información, consulta Cómo obtener el ID de cliente de Google SecOps.

      • endpoint: URL del extremo regional:

        • EE.UU.: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com

      • log_type: Se establece en CISCO_FIRESIGHT (se requiere concordancia exacta)

      • ingestion_labels: Etiquetas opcionales para filtrar y organizar

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:

  • Linux: Presiona Ctrl+O, luego Enter y, después, Ctrl+X.
  • Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, haz lo siguiente:

    1. Ejecuta el comando siguiente:

      sudo systemctl restart observiq-otel-collector

    2. Verifica que el servicio esté en ejecución:

      sudo systemctl status observiq-otel-collector

    3. Revisa los registros en busca de errores:

      sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar el agente de Bindplane en Windows, haz lo siguiente:

    1. Elige una de las siguientes opciones:

      • Símbolo del sistema o PowerShell como administrador:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Consola de Services:

        1. Presiona Win+R, escribe services.msc y presiona Intro.
        2. Busca observIQ OpenTelemetry Collector.
        3. Haz clic con el botón derecho y selecciona Reiniciar.

    2. Verifica que el servicio esté en ejecución:

      sc query observiq-otel-collector

    3. Revisa los registros en busca de errores:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura el reenvío de syslog del Centro de administración de Cisco FireSIGHT

En esta sección, se describe cómo configurar FMC para enviar mensajes syslog de eventos de seguridad (eventos de conexión, inteligencia de seguridad, intrusión, archivos y software malicioso) desde dispositivos Firepower Threat Defense al agente de Bindplane.

Configura los parámetros de syslog para los dispositivos Firepower Threat Defense

  1. Accede a la interfaz web del Cisco FireSIGHT Management Center.
  2. Ve a Devices > Platform Settings.
  3. Edita la política de configuración de la plataforma asociada con tu dispositivo Firepower Threat Defense o crea una política nueva.
  4. En el panel de navegación izquierdo, haz clic en Syslog.
  5. Haz clic en Syslog Servers y, luego, en Add para configurar un nuevo servidor syslog.
  6. Proporciona los siguientes detalles de configuración:
    • Dirección IP: Ingresa la dirección IP del host del agente de Bindplane (por ejemplo, 192.168.1.100).
    • Protocolo: Selecciona UDP.
    • Puerto: Ingresa 514 (o 1514 si configuraste BindPlane para que escuche en un puerto no privilegiado).
    • Interfaz: Selecciona la interfaz de administración o la interfaz que puede acceder al agente de BindPlane.
  7. Haz clic en Aceptar para guardar la configuración del servidor syslog.
  8. Haz clic en Configuración de Syslog y establece los siguientes parámetros de configuración:
    • Marca Habilitar la marca de tiempo en los mensajes de Syslog.
    • Formato de marca de tiempo: Selecciona ISO 8601 (recomendado para Chronicle).
    • Marca la casilla de verificación Habilitar el ID del dispositivo Syslog y, de manera opcional, ingresa un identificador de dispositivo personalizado.
  9. Haz clic en Configuración de registro.
  10. Selecciona si deseas enviar registros del sistema en formato EMBLEM. Para la transferencia de datos a Chronicle, se admite cualquiera de los dos formatos.
  11. Haz clic en Guardar para guardar la política de configuración de la plataforma.

Configura los parámetros de configuración de registro de la política de control de acceso

  1. En la interfaz web de Cisco FireSIGHT Management Center, ve a Policies > Access Control.
  2. Edita la política de control de acceso aplicable.
  3. Haz clic en la pestaña Registro.
  4. Selecciona FTD 6.3 y versiones posteriores: Usa la configuración de syslog establecida en la política de configuración de la plataforma de FTD implementada en el dispositivo.
  5. De manera opcional, selecciona un nivel de gravedad de Syslog (por ejemplo, Info o Alert).
  6. Si enviarás eventos de archivos y software malicioso, marca la casilla de verificación Send Syslog messages for File and Malware events.
  7. Haz clic en Guardar.

Habilita el registro de eventos de Seguridad Inteligente

  1. En la misma política de control de acceso, haz clic en la pestaña Seguridad inteligente.
  2. En cada una de las siguientes ubicaciones, haz clic en Logging y habilita el registro:
    • Junto a DNS Policy, haz clic en Logging, habilita Log at Beginning of Connection y Log at End of Connection, y habilita Syslog Server.
    • En el cuadro Block List de Networks, haz clic en Logging, habilita Log at Beginning of Connection y Log at End of Connection, y habilita Syslog Server.
    • En el cuadro Block List de URLs, haz clic en Logging, habilita Log at Beginning of Connection y Log at End of Connection, y habilita Syslog Server.
  3. Haz clic en Guardar.

Habilita el registro de syslog para las reglas de control de acceso

  1. En la misma política de control de acceso, haz clic en la pestaña Reglas.
  2. Haz clic en una regla para editarla.
  3. Haz clic en la pestaña Logging de la regla.
  4. Elige si deseas registrar el inicio o el final de las conexiones, o ambos:
    • Marca Log at Beginning of Connection (genera un gran volumen).
    • Marca la casilla de verificación Log at End of Connection (se recomienda para la mayoría de los casos de uso).
  5. Si registrarás eventos de archivos de registro, marca Archivos de registro.
  6. Marca Servidor Syslog.
  7. Verifica que la regla Use la configuración predeterminada de syslog en el registro de control de acceso. No configures anulaciones.
  8. Haz clic en Agregar para guardar la regla.
  9. Repite los pasos del 2 al 8 para cada regla de la política que quieras registrar.

Cómo configurar los parámetros de Syslog de la política de intrusiones

  1. Navega a Políticas > Intrusión.
  2. Edita la política de intrusión asociada a tu política de control de acceso.
  3. Haz clic en Configuración avanzada > Alertas de Syslog.
  4. Establece Syslog Alerting en Enabled.
  5. Haz clic en Editar junto a Alertas de Syslog.
  6. Establece la siguiente configuración:
    • Host de registro: Deja este campo en blanco para usar la configuración de syslog establecida en la configuración de la plataforma de FTD. Si especificas un host de registro aquí, también debes configurar Facility y Severity.
    • Facility: Solo se aplica si especificas un Logging Host. Selecciona una instalación (por ejemplo, AUTH o LOCAL0).
    • Gravedad: Solo se aplica si especificas un Host de registro. Selecciona un nivel de gravedad (por ejemplo, Info o Alert).
  7. Haga clic en Atrás.
  8. Haz clic en Información de la política en el panel de navegación izquierdo.
  9. Haz clic en Confirmar cambios.

Implementa cambios de configuración

  1. Después de configurar todos los parámetros de syslog, implementa los cambios en tus dispositivos administrados.
  2. En la interfaz web de Cisco FireSIGHT Management Center, haz clic en Deploy en la esquina superior derecha.
  3. Selecciona los dispositivos en los que deseas implementar la configuración.
  4. Haz clic en Implementar para aplicar los cambios.

Verifica el reenvío de Syslog

  1. Genera eventos de seguridad o tráfico de prueba en tus dispositivos Firepower Threat Defense.
  2. Verifica los registros del agente de Bindplane para confirmar que se reciben los mensajes de syslog:

  • Linux:

    sudo journalctl -u observiq-otel-collector -f

  • Windows:

    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  1. Accede a la consola de Google SecOps y verifica que los eventos aparezcan en el visualizador de Eventos.

Tipos de eventos admitidos

Cisco FireSIGHT Management Center puede enviar los siguientes tipos de eventos a través de syslog a Google SecOps:

Tipo de evento Descripción
Eventos de conexión Datos de conexión de red entre los hosts supervisados y todos los demás hosts
Eventos de inteligencia de seguridad Eventos relacionados con las listas de bloqueo de inteligencia de seguridad (IP, URL, DNS)
Eventos de intrusión Eventos de detección y prevención de intrusiones generados por dispositivos administrados
Eventos de archivo Eventos de análisis de archivos
Eventos de software malicioso Eventos de detección de software malicioso

Formato de mensaje de Syslog

Cisco FireSIGHT Management Center envía mensajes syslog en el siguiente formato:

  • Ejemplo de evento de conexión:

    <134>1 2024-01-15T10:15:45.123Z fmc-hostname %FTD-6-430003:
EventPriority: Low,
DeviceUUID: abc123,
InstanceID: 1,
FirstPacketSecond: 1705318545,
ConnectionID: 12345,
AccessControlRuleAction: Allow,
SrcIP: 10.0.0.5,
DstIP: 8.8.8.8,
SrcPort: 54321,
DstPort: 53,
Protocol: udp,
IngressInterface: inside,
EgressInterface: outside,
IngressZone: inside-zone,
EgressZone: outside-zone,
ACPolicy: Default-Policy,
AccessControlRuleName: Allow-DNS,
User: user@example.com,
ApplicationProtocol: DNS,
InitiatorBytes: 64,
ResponderBytes: 128

  • Ejemplo de evento de intrusión:

    <134>1 2024-01-15T10:16:30.456Z fmc-hostname %FTD-4-430001:
EventPriority: High,
DeviceUUID: abc123,
InstanceID: 1,
SrcIP: 192.168.1.100,
DstIP: 10.0.0.50,
SrcPort: 12345,
DstPort: 80,
Protocol: tcp,
IngressInterface: outside,
EgressInterface: inside,
IngressZone: outside-zone,
EgressZone: inside-zone,
IntrusionPolicy: Security-Over-Connectivity,
SignatureID: 1:2024123:1,
SignatureGeneratorID: 1,
Classification: web-application-attack,
Priority: 1,
Message: SQL injection attempt detected

Los mensajes de syslog incluyen pares clave-valor separados por comas, lo que los hace adecuados para el análisis de Google SecOps.

Limitaciones

  • Los eventos pueden tardar hasta 15 minutos en aparecer en Google SecOps después de enviarse desde FMC.
  • Los eventos de software malicioso retrospectivos no están disponibles a través de syslog.
  • Los eventos generados por AMP para extremos no están disponibles a través de syslog.
  • Algunos metadatos disponibles a través de la API de eStreamer no se incluyen en los mensajes de syslog (por ejemplo, información detallada del usuario de LDAP, metadatos extendidos de la aplicación, datos de ubicación geográfica).
  • Si configuras nombres de objetos (nombres de políticas, nombres de reglas) con caracteres especiales, como comas, es posible que interfieran en el análisis de syslog. Evita usar caracteres especiales en los nombres de los objetos.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
WebApplication, URLReputation, EgressInterface, IngressInterface, ACPolicy, NAPPolicy, ConnectionID, ssl_ticket_id, qoa_applied_interface, sinkhole_uuid, security_context, sec_zone_egress, sec_zone_ingress additional.fields Se combina a partir de varios campos de etiquetas si no está vacío.
eventType extensions.auth.type Se establece en "VPN" si eventType es "USER_LOGIN_INFORMATION".
vulnerabilidades extensions.vulns.vulnerabilities Se fusionó a partir de vulnerabilidades si no está vacío
flowStatistics.httpReferrer http.referral_url Valor copiado directamente
flowStatistics.httpResponse http.response_code Se convirtió a número entero
flowStatistics.userAgent http.user_agent Valor copiado directamente
_intermediary intermediario Se fusionó desde _intermediary si no está vacío
recordTypeDescription, entry.message metadata.description Valor de recordTypeDescription si no está vacío; de lo contrario, se toma de entry.message
event_second, connection_timestamp, _serverTimestamp metadata.event_timestamp Fecha analizada a partir de event_second si no está vacío; de lo contrario, connection_timestamp o _serverTimestamp
event_type metadata.event_type Valor copiado directamente
prod_event_type, eventId, recordTypeCategory, app, _recordTypeName, eventType metadata.product_event_type Valor de prod_event_type si no está vacío; de lo contrario, eventId, luego recordTypeCategory, luego app, luego _recordTypeName y, por último, eventType
DeviceUUID metadata.product_log_id Valor copiado directamente
flowStatistics.clientAppVersion, client_version metadata.product_version Valor de flowStatistics.clientAppVersion si no está vacío; de lo contrario, client_version
flowStatistics.clientAppURL metadata.url_back_to_product Valor copiado directamente
ApplicationProtocol network.application_protocol Se establece en "LDAP" si coincide con (?i)ldap, en "HTTPS" si coincide con (?i)https y en "HTTP" si coincide con (?i)http.
respuesta network.dns.answers Se combinó desde la respuesta
flowStatistics.dnsQuery network.dns.answers.name Valor copiado directamente
flowStatistics.dnsTTL network.dns.answers.ttl Se convirtió en uinteger
flowStatistics.dnsRecordType network.dns.answers.type Se convirtió en uinteger
flowStatistics.dnsResponseType network.dns.response_code Se convirtió en uinteger
user_agent network.http.parsed_user_agent Se convirtió en parseduseragent
user_agent network.http.user_agent Valor copiado directamente
proto, Protocol, inputType, proto_type, protocol, ip_v4_protocol, protocol_number_src network.ip_protocol Se establece en función de varios campos con asignaciones y casos de protocolos
ResponderBytes, flowStatistics.bytesReceived network.received_bytes Valor de ResponderBytes si no está vacío; de lo contrario, flowStatistics.bytesReceived, convertido a uinteger
ResponderPackets network.received_packets Se convirtió a número entero
InitiatorBytes, flowStatistics.bytesSent network.sent_bytes Valor de InitiatorBytes si no está vacío; de lo contrario, flowStatistics.bytesSent, convertido a uinteger
InitiatorPackets, packet_data network.sent_packets Valor de InitiatorPackets si no está vacío; de lo contrario, packet_data, convertido en número entero
ssl_session_id network.session_id Valor copiado directamente
ssl_cipher_suite network.tls.cipher Valor copiado directamente
agent_type, agent_version observer.application Se concatena como agent_type agent_version si ambos no están vacíos
entry.host.hostname observer.hostname Valor copiado directamente
entry.host.ip observer.ip Se fusionó de entry.host.ip
entry.host.mac observer.mac Se combinó desde entry.host.mac
clientApplication, hold.app_string principal.application Valor de clientApplication si no está vacío; de lo contrario, es hold.app_string.
prin_host, DeviceAddress, principal_hostname principal.asset.hostname Valor de prin_host si no está vacío; de lo contrario, DeviceAddress si sourceAddress está vacío o principal_hostname
SrcIP, principal_ip, source_address_IPv4v6 principal.asset.ip Se fusionó de SrcIP (validado por Grok), principal_ip, source_address_IPv4v6 (validado por Grok)
file_sha_hash, sha_hash principal.file.sha256 Valor de file_sha_hash si no está vacío; de lo contrario, es sha_hash
prin_host, DeviceAddress, principal_hostname principal.hostname Valor de prin_host si no está vacío; de lo contrario, DeviceAddress si sourceAddress está vacío o principal_hostname
SrcIP, principal_ip, source_address_IPv4v6 principal.ip Se fusionó de SrcIP (validado por Grok), principal_ip, source_address_IPv4v6 (validado por Grok)
flowStatistics.initiatorCountry.geolocation.countryName, src_ip_country principal.location.country_or_region Valor de flowStatistics.initiatorCountry.geolocation.countryName si no está vacío; de lo contrario, src_ip_country
entry.macAddress principal.mac Se combinó desde entry.macAddress
host_os_platform principal.platform Se establece en LINUX si es centos; de lo contrario, se establece en entry.host.os.platform en mayúsculas.
entry.host.os.kernel principal.platform_patch_level Valor copiado directamente
identityData.fingerprintUUID.osName, osFingerprint.fingerprintUUID.osName principal.platform_version osName y osVersion concatenados de identityData si no están vacíos; de lo contrario, osFingerprint
SrcPort, entry.sourcePort, entry.sourcePortOrIcmpType, source_port, flowStatistics.initiatorPort, source_port_or_icmp_code principal.port Valor de SrcPort si no está vacío; de lo contrario, entry.sourcePort, entry.sourcePortOrIcmpType, source_port, flowStatistics.initiatorPort, source_port_or_icmp_code, convertido a número entero
isecurityZoneName principal.resource.attribute.labels Se combinó desde isecurityZoneName
DeviceType principal.resource.name Valor copiado directamente
principal.resource.resource_type Se establece en "DEVICE".
entry.computed.user principal.user.user_display_name Se convirtió en cadena
entry.userId, user_id, flowStatistics.user.userId, entry.computed.user, userLoginInformation.userName principal.user.userid Valor de entry.userId si no está vacío; de lo contrario, user_id, o flowStatistics.user.userId, o entry.computed.user, o userLoginInformation.userName
connectionID_label, FirstPacketSecond_label sec_result.about.resource.attribute.labels Se fusiona de connectionID_label y FirstPacketSecond_label si no está vacío.
sec_result_action sec_result.action Se combinó de sec_result_action
flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.category Se establece en NETWORK_MALICIOUS si rule_name es Malware y en NETWORK_SUSPICIOUS si es Anomali_IP.
classification.description, userLoginInformation.description, sec_desc sec_result.description Valor de classification.description si no está vacío; de lo contrario, userLoginInformation.description; de lo contrario, sec_desc
entry.computed.priority sec_result.priority Entrada en mayúsculas.computed.priority _PRIORITY
entry.ruleId, rule_ruleId sec_result.rule_id Valor de entry.ruleId si no está vacío; de lo contrario, rule_ruleId
AccessControlRuleName, rule_message, fw_rule, flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.rule_name Valor de AccessControlRuleName si no está vacío; de lo contrario, rule_message, fw_rule o flowStatistics.securityIntelligenceList1.securityIntelligenceListName
EventPriority, sec_severity, severity_code, priority_name sec_result.severity Se establece en LOW si EventPriority es LOW, en HIGH si es HIGH, en MEDIUM si es MEDIUM; de lo contrario, se toma de las asignaciones de sec_severity, de las asignaciones de severity_code o de priority_name en mayúsculas.
Usuario sec_result.summary Valor copiado directamente
threat_name sec_result.threat_name Valor copiado directamente
security_result security_result Se combinó de security_result
firewallRuleAction, hold.action, AccessControlRuleAction, sec_result_action, vendor_blocked security_result.action Valor de firewallRuleAction en mayúsculas si no es no_action; de lo contrario, es hold.action, o bien de AccessControlRuleAction con casos, o bien sec_result_action, o bien de vendor_blocked (0 ALLOW, de lo contrario, BLOCK)
disposition security_result.action_details Se establece en "Infected" si la disposición es 3; de lo contrario, se establece en "Unknown".
eventDescription security_result.description Valor copiado directamente
firewallRule security_result.rule_name Valor copiado directamente
threat_name security_result.threat_name Valor copiado directamente
hostService.webApplication.webApplication0.applicationId.webApplicationName target.application Valor copiado directamente
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 target.asset.ip Se fusionó de DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)
InstanceID, flowStatistics.clientAppId target.asset_id Valor de InstanceID si no está vacío; de lo contrario, "Client_app_id: " + flowStatistics.clientAppId
archivo target.file Se cambió el nombre del archivo.
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 target.ip Se fusionó de DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)
flowStatistics.responderCountry.geolocation.countryName, dest_ip_country, entry.country.data target.location.country_or_region Valor de flowStatistics.responderCountry.geolocation.countryName si no está vacío; de lo contrario, dest_ip_country; de lo contrario, entry.country.data
MACAddress target.mac Dirección MAC en minúsculas si no es 00:00:00:00:00:00
DstPort, entry.destinationPort, entry.destinationPortOrIcmpType, dest_port, flowStatistics.responderPort, destination_port_or_icmp_code target.port Valor de DstPort si no está vacío; de lo contrario, entry.destinationPort, o entry.destinationPortOrIcmpType, o dest_port, o flowStatistics.responderPort, o destination_port_or_icmp_code, convertido a número entero
securityZoneName, det_engine, file_num, file_pos, rec_length target.resource.attribute.labels Se fusionó de securityZoneName, det_engine, file_num, file_pos, rec_length si no está vacío
URL target.url Valor copiado directamente
entry.user.username.data target.user.userid Valor copiado directamente
descript vulnerabilities.description Valor copiado directamente
severity_detail vulnerabilities.severity_details Valor copiado directamente
producto vulnerabilities.vendor Valor copiado directamente
metadata.product_name Se establece en "CISCO_FIRESIGHT".
metadata.vendor_name Se establece en "CISCO MANAGEMENT CENTER".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.