Collecter les journaux du centre de gestion Cisco FireSIGHT

Compatible avec :

Ce document explique comment ingérer des journaux Cisco FireSIGHT Management Center dans Google Security Operations à l'aide de l'agent Bindplane.

Cisco FireSIGHT Management Center (FMC), anciennement FireSIGHT Management Center ou Firepower Management Center, est une console de gestion centralisée qui fournit une gestion complète des règles, une analyse des événements et des rapports pour les appareils Cisco Secure Firewall Threat Defense. FMC peut envoyer des événements de connexion, des événements d'informations sur la sécurité, des événements d'intrusion, des événements de fichier et des événements de logiciel malveillant via syslog à des systèmes SIEM externes.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Connectivité réseau entre l'agent Bindplane et Cisco FireSIGHT Management Center
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès privilégié à l'interface Web Cisco FireSIGHT Management Center
  • Rôle d'administrateur ou d'analyste de la sécurité dans FMC

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.

  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.

  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

  • Installation de fenêtres

    1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

    2. Exécutez la commande suivante :

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Attendez la fin de l'installation.

    4. Vérifiez l'installation en exécutant la commande suivante :

      sc query observiq-otel-collector

      Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

  • Installation de Linux

    1. Ouvrez un terminal avec les droits root ou sudo.

    2. Exécutez la commande suivante :

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Attendez la fin de l'installation.

    4. Vérifiez l'installation en exécutant la commande suivante :

      sudo systemctl status observiq-otel-collector

    Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

  1. Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_fmc:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_FIRESIGHT
        raw_log_field: body
        ingestion_labels:
            env: production
            source: fmc

service:
    pipelines:
        logs/fmc_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_fmc

  2. Remplacez les espaces réservés suivants :

    • Configuration du récepteur :

      • listen_address : définissez la valeur sur 0.0.0.0:514 pour écouter sur toutes les interfaces sur le port UDP 51. Si le port 514 nécessite des droits racine sous Linux, utilisez plutôt le port 1514 et configurez FMC pour qu'il envoie les données à ce port.

    • Configuration de l'exportateur :

      • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :

        • Linux : /etc/bindplane-agent/ingestion-auth.json
        • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID : remplacez par votre customer ID. Pour en savoir plus, consultez Obtenir le numéro client Google SecOps.

      • endpoint : URL du point de terminaison régional :

        • États-Unis : malachiteingestion-pa.googleapis.com
        • Europe : europe-malachiteingestion-pa.googleapis.com
        • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com

      • log_type : définie sur CISCO_FIRESIGHT (correspondance exacte requise)

      • ingestion_labels : libellés facultatifs pour le filtrage et l'organisation

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :

  • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
  • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux :

    1. Exécutez la commande suivante :

      sudo systemctl restart observiq-otel-collector

    2. Vérifiez que le service est en cours d'exécution :

      sudo systemctl status observiq-otel-collector

    3. Recherchez les erreurs dans les journaux :

      sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane sous Windows :

    1. Choisissez l'une des options suivantes :

      • Invite de commandes ou PowerShell en tant qu'administrateur :

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Console Services :

        1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
        2. Localisez observIQ OpenTelemetry Collector.
        3. Effectuez un clic droit, puis sélectionnez Redémarrer.

    2. Vérifiez que le service est en cours d'exécution :

      sc query observiq-otel-collector

    3. Recherchez les erreurs dans les journaux :

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer le transfert syslog du centre de gestion Cisco FireSIGHT

Cette section explique comment configurer FMC pour envoyer des messages syslog d'événements de sécurité (événements de connexion, de renseignements sur la sécurité, d'intrusion, de fichier et de logiciel malveillant) à partir des appareils Firepower Threat Defense vers l'agent Bindplane.

Configurer les paramètres syslog pour les périphériques Firepower Threat Defense

  1. Connectez-vous à l'interface Web du Cisco FireSIGHT Management Center.
  2. Accédez à Appareils > Paramètres de la plate-forme.
  3. Modifiez la règle de paramètres de plate-forme associée à votre périphérique Firepower Threat Defense ou créez-en une.
  4. Dans le volet de navigation de gauche, cliquez sur Syslog.
  5. Cliquez sur Serveurs Syslog, puis sur Ajouter pour configurer un nouveau serveur Syslog.
  6. Fournissez les informations de configuration suivantes :
    • Adresse IP : saisissez l'adresse IP de l'hôte de l'agent Bindplane (par exemple, 192.168.1.100).
    • Protocole : sélectionnez UDP.
    • Port : saisissez 514 (ou 1514 si vous avez configuré Bindplane pour qu'il écoute sur un port non privilégié).
    • Interface : sélectionnez l'interface de gestion ou l'interface pouvant accéder à l'agent Bindplane.
  7. Cliquez sur OK pour enregistrer la configuration du serveur syslog.
  8. Cliquez sur Paramètres Syslog et configurez les paramètres suivants :
    • Cochez Enable Timestamp on Syslog Messages (Activer le code temporel dans les messages Syslog).
    • Format du code temporel : sélectionnez ISO 8601 (recommandé pour Chronicle).
    • Cochez Activer l'ID d'appareil Syslog et saisissez éventuellement un identifiant d'appareil personnalisé.
  9. Cliquez sur Configuration de la journalisation.
  10. Indiquez si vous souhaitez envoyer les journaux système au format EMBLEM. Pour l'ingestion Chronicle, les deux formats sont acceptés.
  11. Cliquez sur Enregistrer pour enregistrer le règlement sur les paramètres de la plate-forme.

Configurer les paramètres de journalisation des stratégies de contrôle des accès

  1. Dans l'interface Web de Cisco FireSIGHT Management Center, accédez à Policies > Access Control (Règles > Contrôle des accès).
  2. Modifiez la stratégie de contrôle des accès applicable.
  3. Cliquez sur l'onglet Journalisation.
  4. Sélectionnez FTD 6.3 et versions ultérieures : utiliser les paramètres Syslog configurés dans la règle "Paramètres de la plate-forme FTD" déployée sur l'appareil.
  5. Vous pouvez également sélectionner un niveau de gravité Syslog (par exemple, Info ou Alerte).
  6. Si vous souhaitez envoyer des événements de fichier et de logiciel malveillant, cochez la case Envoyer les messages Syslog pour les événements de fichier et de logiciel malveillant.
  7. Cliquez sur Enregistrer.

Activer la journalisation des événements Security Intelligence

  1. Dans la même stratégie de contrôle des accès, cliquez sur l'onglet Informations sur la sécurité.
  2. Dans chacun des emplacements suivants, cliquez sur Journalisation et activez la journalisation :
    • À côté de Règle DNS, cliquez sur Journalisation, activez Journaliser au début de la connexion et Journaliser à la fin de la connexion, puis activez Serveur Syslog.
    • Dans la zone Liste de blocage pour Réseaux : cliquez sur Journalisation, activez Journaliser au début de la connexion et Journaliser à la fin de la connexion, puis activez Serveur Syslog.
    • Dans la zone Liste de blocage pour URL, cliquez sur Journalisation, activez Journaliser au début de la connexion et Journaliser à la fin de la connexion, puis activez Serveur Syslog.
  3. Cliquez sur Enregistrer.

Activer la journalisation syslog pour les règles de contrôle des accès

  1. Dans la même règle de contrôle des accès, cliquez sur l'onglet Règles.
  2. Cliquez sur une règle pour la modifier.
  3. Cliquez sur l'onglet Journalisation dans la règle.
  4. Indiquez si vous souhaitez enregistrer le début ou la fin des connexions, ou les deux :
    • Cochez Journaliser au début de la connexion (génère un volume élevé).
    • Cochez Journaliser à la fin de la connexion (recommandé pour la plupart des cas d'utilisation).
  5. Si vous souhaitez consigner les événements de fichier journal, cochez Fichiers journaux.
  6. Cochez Serveur Syslog.
  7. Vérifiez que la règle utilise la configuration syslog par défaut dans la journalisation du contrôle des accès. Ne configurez pas de remplacements.
  8. Cliquez sur Ajouter pour enregistrer la règle.
  9. Répétez les étapes 2 à 8 pour chaque règle du règlement que vous souhaitez consigner.

Configurer les paramètres Syslog des règles d'intrusion

  1. Accédez à Règles > Intrusion.
  2. Modifiez la stratégie d'intrusion associée à votre stratégie de contrôle des accès.
  3. Cliquez sur Paramètres avancés> Alertes Syslog.
  4. Définissez Alertes Syslog sur Activé.
  5. Cliquez sur Modifier à côté de Alertes Syslog.
  6. Configurez les paramètres suivants :
    • Hôte de journalisation : laissez ce champ vide pour utiliser les paramètres syslog configurés dans les paramètres de la plate-forme FTD. Si vous spécifiez un hôte de journalisation ici, vous devez également configurer Facility et Severity.
    • Établissement : ne s'applique que si vous spécifiez un hôte de journalisation. Sélectionnez une installation (par exemple, AUTH ou LOCAL0).
    • Gravité : ne s'applique que si vous spécifiez un hôte de journalisation. Sélectionnez un niveau de gravité (par exemple, Info ou Alerte).
  7. Cliquez sur Back (Retour).
  8. Cliquez sur Informations sur les règles dans le volet de navigation de gauche.
  9. Cliquez sur Valider les modifications.

Déployer les modifications de configuration

  1. Après avoir configuré tous les paramètres syslog, déployez les modifications sur vos appareils gérés.
  2. Dans l'interface Web de Cisco FireSIGHT Management Center, cliquez sur Deploy (Déployer) en haut à droite.
  3. Sélectionnez les appareils sur lesquels vous souhaitez déployer la configuration.
  4. Cliquez sur Déployer pour appliquer les modifications.

Vérifier le transfert Syslog

  1. Générez du trafic de test ou des événements de sécurité sur vos appareils Firepower Threat Defense.
  2. Consultez les journaux de l'agent Bindplane pour vérifier que les messages syslog sont bien reçus :

  • Linux :

    sudo journalctl -u observiq-otel-collector -f

  • Windows :

    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  1. Connectez-vous à la console Google SecOps et vérifiez que les événements s'affichent dans le lecteur Événements.

Types d'événements acceptés

Cisco FireSIGHT Management Center peut envoyer les types d'événements suivants via syslog à Google SecOps :

Type d'événement Description
Événements de connexion Données de connexion réseau entre les hôtes surveillés et tous les autres hôtes
Événements Security Intelligence Événements liés aux listes de blocage de Security Intelligence (IP, URL, DNS)
Événements d'intrusion Événements de détection et de prévention des intrusions générés par les appareils gérés
Événements de fichier Événements d'analyse de fichiers
Événements de logiciel malveillant Événements de détection de logiciels malveillants

Format des messages Syslog

Cisco FireSIGHT Management Center envoie des messages syslog au format suivant :

  • Exemple d'événement de connexion :

    <134>1 2024-01-15T10:15:45.123Z fmc-hostname %FTD-6-430003:
EventPriority: Low,
DeviceUUID: abc123,
InstanceID: 1,
FirstPacketSecond: 1705318545,
ConnectionID: 12345,
AccessControlRuleAction: Allow,
SrcIP: 10.0.0.5,
DstIP: 8.8.8.8,
SrcPort: 54321,
DstPort: 53,
Protocol: udp,
IngressInterface: inside,
EgressInterface: outside,
IngressZone: inside-zone,
EgressZone: outside-zone,
ACPolicy: Default-Policy,
AccessControlRuleName: Allow-DNS,
User: user@example.com,
ApplicationProtocol: DNS,
InitiatorBytes: 64,
ResponderBytes: 128

  • Exemple d'événement d'intrusion :

    <134>1 2024-01-15T10:16:30.456Z fmc-hostname %FTD-4-430001:
EventPriority: High,
DeviceUUID: abc123,
InstanceID: 1,
SrcIP: 192.168.1.100,
DstIP: 10.0.0.50,
SrcPort: 12345,
DstPort: 80,
Protocol: tcp,
IngressInterface: outside,
EgressInterface: inside,
IngressZone: outside-zone,
EgressZone: inside-zone,
IntrusionPolicy: Security-Over-Connectivity,
SignatureID: 1:2024123:1,
SignatureGeneratorID: 1,
Classification: web-application-attack,
Priority: 1,
Message: SQL injection attempt detected

Les messages syslog incluent des paires clé-valeur séparées par des virgules, ce qui les rend adaptés à l'analyse par Google SecOps.

Limites

  • Une fois les événements envoyés depuis FMC, leur affichage dans Google SecOps peut prendre jusqu'à 15 minutes.
  • Les événements de logiciels malveillants rétrospectifs ne sont pas disponibles via syslog.
  • Les événements générés par AMP for Endpoints ne sont pas disponibles via syslog.
  • Certaines métadonnées disponibles via l'API eStreamer ne sont pas incluses dans les messages syslog (par exemple, les informations utilisateur détaillées de LDAP, les métadonnées d'application étendues et les données de géolocalisation).
  • Si vous configurez des noms d'objets (noms de règles ou de règles) avec des caractères spéciaux tels que des virgules, ils peuvent interférer avec l'analyse syslog. Évitez d'utiliser des caractères spéciaux dans les noms d'objets.

Table de mappage UDM

Champ de journal Mappage UDM Logique
WebApplication, URLReputation, EgressInterface, IngressInterface, ACPolicy, NAPPolicy, ConnectionID, ssl_ticket_id, qoa_applied_interface, sinkhole_uuid, security_context, sec_zone_egress, sec_zone_ingress additional.fields Fusionné à partir de différents champs de libellé s'ils ne sont pas vides
eventType extensions.auth.type Définissez la valeur sur "VPN" si eventType est "USER_LOGIN_INFORMATION".
vulnerabilities extensions.vulns.vulnerabilities Fusionné à partir des failles si elles ne sont pas vides
flowStatistics.httpReferrer http.referral_url Valeur copiée directement
flowStatistics.httpResponse http.response_code Converti en entier
flowStatistics.userAgent http.user_agent Valeur copiée directement
_intermediary intermédiaire Fusionné à partir de _intermediary si la valeur n'est pas vide
recordTypeDescription, entry.message metadata.description Valeur issue de recordTypeDescription si elle n'est pas vide, sinon issue de entry.message
event_second, connection_timestamp, _serverTimestamp metadata.event_timestamp Date analysée à partir de event_second si elle n'est pas vide, sinon connection_timestamp, sinon _serverTimestamp
event_type metadata.event_type Valeur copiée directement
prod_event_type, eventId, recordTypeCategory, app, _recordTypeName, eventType metadata.product_event_type Valeur de prod_event_type si elle n'est pas vide, sinon eventId, sinon recordTypeCategory, sinon app, sinon _recordTypeName, sinon eventType
DeviceUUID metadata.product_log_id Valeur copiée directement
flowStatistics.clientAppVersion, client_version metadata.product_version Valeur de flowStatistics.clientAppVersion si elle n'est pas vide, sinon client_version
flowStatistics.clientAppURL metadata.url_back_to_product Valeur copiée directement
ApplicationProtocol network.application_protocol Définissez sur "LDAP" si la valeur correspond à (?i)ldap, sur "HTTPS" si la valeur correspond à (?i)https, sur "HTTP" si la valeur correspond à (?i)http.
réponse network.dns.answers Fusionné à partir d'une réponse
flowStatistics.dnsQuery network.dns.answers.name Valeur copiée directement
flowStatistics.dnsTTL network.dns.answers.ttl Converti en uinteger
flowStatistics.dnsRecordType network.dns.answers.type Converti en uinteger
flowStatistics.dnsResponseType network.dns.response_code Converti en uinteger
user_agent network.http.parsed_user_agent Converti en parseduseragent
user_agent network.http.user_agent Valeur copiée directement
proto, Protocol, inputType, proto_type, protocol, ip_v4_protocol, protocol_number_src network.ip_protocol Ensemble basé sur différents champs avec des mappages et des cas de protocole
ResponderBytes, flowStatistics.bytesReceived network.received_bytes Valeur de ResponderBytes si elle n'est pas vide, sinon flowStatistics.bytesReceived, convertie en uinteger
ResponderPackets network.received_packets Converti en entier
InitiatorBytes, flowStatistics.bytesSent network.sent_bytes Valeur de InitiatorBytes si elle n'est pas vide, sinon flowStatistics.bytesSent, convertie en uinteger
InitiatorPackets, packet_data network.sent_packets Valeur de InitiatorPackets si elle n'est pas vide, sinon packet_data, convertie en entier
ssl_session_id network.session_id Valeur copiée directement
ssl_cipher_suite network.tls.cipher Valeur copiée directement
agent_type, agent_version observer.application Concaténé sous la forme "agent_type agent_version" si les deux ne sont pas vides
entry.host.hostname observer.hostname Valeur copiée directement
entry.host.ip observer.ip Fusionné à partir de entry.host.ip
entry.host.mac observer.mac Fusionné à partir de entry.host.mac
clientApplication, hold.app_string principal.application Valeur de clientApplication si elle n'est pas vide, sinon hold.app_string
prin_host, DeviceAddress, principal_hostname principal.asset.hostname Valeur de prin_host si elle n'est pas vide, sinon DeviceAddress si sourceAddress est vide, sinon principal_hostname
SrcIP, principal_ip, source_address_IPv4v6 principal.asset.ip Fusionné à partir de SrcIP (validé par Grok), principal_ip, source_address_IPv4v6 (validé par Grok)
file_sha_hash, sha_hash principal.file.sha256 Valeur de file_sha_hash si elle n'est pas vide, sinon sha_hash
prin_host, DeviceAddress, principal_hostname principal.hostname Valeur de prin_host si elle n'est pas vide, sinon DeviceAddress si sourceAddress est vide, sinon principal_hostname
SrcIP, principal_ip, source_address_IPv4v6 principal.ip Fusionné à partir de SrcIP (validé par Grok), principal_ip, source_address_IPv4v6 (validé par Grok)
flowStatistics.initiatorCountry.geolocation.countryName, src_ip_country principal.location.country_or_region Valeur de flowStatistics.initiatorCountry.geolocation.countryName si elle n'est pas vide, sinon src_ip_country
entry.macAddress principal.mac Fusionné à partir de entry.macAddress
host_os_platform principal.platform Définissez sur LINUX si centos, sinon sur l'entrée en majuscules host.os.platform
entry.host.os.kernel principal.platform_patch_level Valeur copiée directement
identityData.fingerprintUUID.osName, osFingerprint.fingerprintUUID.osName principal.platform_version osName et osVersion concaténés à partir de identityData s'ils ne sont pas vides, sinon osFingerprint
SrcPort, entry.sourcePort, entry.sourcePortOrIcmpType, source_port, flowStatistics.initiatorPort, source_port_or_icmp_code principal.port Valeur de SrcPort si elle n'est pas vide, sinon entry.sourcePort, sinon entry.sourcePortOrIcmpType, sinon source_port, sinon flowStatistics.initiatorPort, sinon source_port_or_icmp_code, convertie en entier
isecurityZoneName principal.resource.attribute.labels Fusionné à partir de isecurityZoneName
DeviceType principal.resource.name Valeur copiée directement
principal.resource.resource_type Défini sur "DEVICE"
entry.computed.user principal.user.user_display_name Converti en chaîne
entry.userId, user_id, flowStatistics.user.userId, entry.computed.user, userLoginInformation.userName principal.user.userid Valeur de entry.userId si elle n'est pas vide, sinon user_id, sinon flowStatistics.user.userId, sinon entry.computed.user, sinon userLoginInformation.userName
connectionID_label, FirstPacketSecond_label sec_result.about.resource.attribute.labels Fusionné à partir de connectionID_label et FirstPacketSecond_label s'il n'est pas vide
sec_result_action sec_result.action Fusionné à partir de sec_result_action
flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.category Définissez sur NETWORK_MALICIOUS si rule_name est Malware, NETWORK_SUSPICIOUS si Anomali_IP.
classification.description, userLoginInformation.description, sec_desc sec_result.description Valeur de classification.description si elle n'est pas vide, sinon userLoginInformation.description, sinon sec_desc
entry.computed.priority sec_result.priority Entrée en majuscules.computed.priority _PRIORITY
entry.ruleId, rule_ruleId sec_result.rule_id Valeur de entry.ruleId si elle n'est pas vide, sinon rule_ruleId
AccessControlRuleName, rule_message, fw_rule, flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.rule_name Valeur de AccessControlRuleName si elle n'est pas vide, sinon rule_message, sinon fw_rule, sinon flowStatistics.securityIntelligenceList1.securityIntelligenceListName
EventPriority, sec_severity, severity_code, priority_name sec_result.severity Définissez sur "LOW" si EventPriority est défini sur "Low", sur "HIGH" si EventPriority est défini sur "High", sur "MEDIUM" si EventPriority est défini sur "Medium", sinon à partir des mappages sec_severity, sinon à partir des mappages severity_code, sinon à partir de priority_name en majuscules.
Utilisateur sec_result.summary Valeur copiée directement
threat_name sec_result.threat_name Valeur copiée directement
security_result security_result Fusionné à partir de security_result
firewallRuleAction, hold.action, AccessControlRuleAction, sec_result_action, vendor_blocked security_result.action Valeur de firewallRuleAction en majuscules si elle n'est pas no_action, sinon hold.action, sinon de AccessControlRuleAction avec des cas, sinon sec_result_action, sinon de vendor_blocked (0 ALLOW, sinon BLOCK)
disposition security_result.action_details Définissez sur "Infecté" si la disposition est 3, sinon sur "Inconnu".
eventDescription security_result.description Valeur copiée directement
firewallRule security_result.rule_name Valeur copiée directement
threat_name security_result.threat_name Valeur copiée directement
hostService.webApplication.webApplication0.applicationId.webApplicationName target.application Valeur copiée directement
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 target.asset.ip Fusionné à partir de DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)
InstanceID, flowStatistics.clientAppId target.asset_id Valeur de InstanceID si elle n'est pas vide, sinon " Client_app_id: " + flowStatistics.clientAppId
fichier target.file Renommé à partir du fichier
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 target.ip Fusionné à partir de DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)
flowStatistics.responderCountry.geolocation.countryName, dest_ip_country, entry.country.data target.location.country_or_region Valeur de flowStatistics.responderCountry.geolocation.countryName si elle n'est pas vide, sinon dest_ip_country, sinon entry.country.data
MACAddress target.mac Adresse MAC en minuscules si elle n'est pas définie sur 00:00:00:00:00:00
DstPort, entry.destinationPort, entry.destinationPortOrIcmpType, dest_port, flowStatistics.responderPort, destination_port_or_icmp_code target.port Valeur de DstPort si elle n'est pas vide, sinon entry.destinationPort, sinon entry.destinationPortOrIcmpType, sinon dest_port, sinon flowStatistics.responderPort, sinon destination_port_or_icmp_code, convertie en entier
securityZoneName, det_engine, file_num, file_pos, rec_length target.resource.attribute.labels Fusionné à partir de securityZoneName, det_engine, file_num, file_pos, rec_length si non vide
URL target.url Valeur copiée directement
entry.user.username.data target.user.userid Valeur copiée directement
descript vulnerabilities.description Valeur copiée directement
severity_detail vulnerabilities.severity_details Valeur copiée directement
produit vulnerabilities.vendor Valeur copiée directement
metadata.product_name Défini sur "CISCO_FIRESIGHT"
metadata.vendor_name Définissez-le sur "CISCO MANAGEMENT CENTER".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.