Mengumpulkan log Cisco FireSIGHT Management Center

Didukung di:

Dokumen ini menjelaskan cara menyerap log Cisco FireSIGHT Management Center ke Google Security Operations menggunakan agen Bindplane.

Cisco FireSIGHT Management Center (FMC), yang sebelumnya dikenal sebagai FireSIGHT Management Center atau Firepower Management Center, adalah konsol pengelolaan terpusat yang menyediakan pengelolaan kebijakan, analisis peristiwa, dan pelaporan yang komprehensif untuk perangkat Cisco Secure Firewall Threat Defense. FMC dapat mengirim peristiwa koneksi, peristiwa intelijen keamanan, peristiwa intrusi, peristiwa file, dan peristiwa malware melalui syslog ke sistem SIEM eksternal.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Konektivitas jaringan antara agen Bindplane dan Cisco FireSIGHT Management Center
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • Akses istimewa ke antarmuka web Cisco FireSIGHT Management Center
  • Peran pengguna Admin atau Analis Keamanan di FMC

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.

  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.

  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

  • Penginstalan Windows

    1. Buka Command Prompt atau PowerShell sebagai administrator.

    2. Jalankan perintah berikut:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Tunggu hingga penginstalan selesai.

    4. Verifikasi penginstalan dengan menjalankan:

      sc query observiq-otel-collector

      Layanan akan ditampilkan sebagai RUNNING.

  • Penginstalan Linux

    1. Buka terminal dengan hak istimewa root atau sudo.

    2. Jalankan perintah berikut:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Tunggu hingga penginstalan selesai.

    4. Verifikasi penginstalan dengan menjalankan:

      sudo systemctl status observiq-otel-collector

    Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

  1. Ganti seluruh konten config.yaml dengan konfigurasi berikut:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_fmc:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_FIRESIGHT
        raw_log_field: body
        ingestion_labels:
            env: production
            source: fmc

service:
    pipelines:
        logs/fmc_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_fmc

  2. Ganti placeholder berikut:

    • Konfigurasi penerima:

      • listen_address: Setel ke 0.0.0.0:514 untuk memproses semua antarmuka di port UDP 51. Jika port 514 memerlukan hak istimewa root di Linux, gunakan port 1514 sebagai gantinya dan konfigurasi FMC untuk mengirim ke port tersebut.

    • Konfigurasi pengekspor:

      • creds_file_path: Jalur lengkap ke file autentikasi penyerapan:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID: Ganti dengan customer ID Anda. Untuk mengetahui detailnya, lihat Mendapatkan ID pelanggan Google SecOps.

      • endpoint: URL endpoint regional:

        • Amerika Serikat: malachiteingestion-pa.googleapis.com
        • Eropa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com

      • log_type: Tetapkan ke CISCO_FIRESIGHT (pencocokan persis diperlukan)

      • ingestion_labels: Label opsional untuk pemfilteran dan pengorganisasian

Simpan file konfigurasi

Setelah mengedit, simpan file:

  • Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
  • Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux:

    1. Jalankan perintah berikut:

      sudo systemctl restart observiq-otel-collector

    2. Pastikan layanan sedang berjalan:

      sudo systemctl status observiq-otel-collector

    3. Periksa log untuk mengetahui error:

      sudo journalctl -u observiq-otel-collector -f

  • Untuk memulai ulang agen Bindplane di Windows:

    1. Pilih salah satu opsi berikut:

      • Command Prompt atau PowerShell sebagai administrator:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Konsol layanan:

        1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
        2. Temukan observIQ OpenTelemetry Collector.
        3. Klik kanan, lalu pilih Mulai Ulang.

    2. Pastikan layanan sedang berjalan:

      sc query observiq-otel-collector

    3. Periksa log untuk mengetahui error:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi penerusan syslog Cisco FireSIGHT Management Center

Bagian ini menjelaskan cara mengonfigurasi FMC untuk mengirim pesan syslog peristiwa keamanan (peristiwa koneksi, intelijen keamanan, intrusi, file, dan malware) dari perangkat Firepower Threat Defense ke agen Bindplane.

Mengonfigurasi setelan syslog untuk perangkat Firepower Threat Defense

  1. Login ke antarmuka web Cisco FireSIGHT Management Center.
  2. Buka Perangkat > Setelan Platform.
  3. Edit kebijakan setelan platform yang terkait dengan perangkat Firepower Threat Defense Anda, atau buat kebijakan baru.
  4. Di panel navigasi kiri, klik Syslog.
  5. Klik Syslog Servers, lalu klik Add untuk mengonfigurasi server syslog baru.
  6. Berikan detail konfigurasi berikut:
    • Alamat IP: Masukkan alamat IP host agen Bindplane (misalnya, 192.168.1.100).
    • Protocol: Pilih UDP.
    • Port: Masukkan 514 (atau 1514 jika Anda mengonfigurasi Bindplane untuk memproses port yang tidak memiliki hak istimewa).
    • Antarmuka: Pilih antarmuka pengelolaan atau antarmuka yang dapat menjangkau agen Bindplane.
  7. Klik OK untuk menyimpan konfigurasi server syslog.
  8. Klik Syslog Settings dan konfigurasi setelan berikut:
    • Centang Enable Timestamp on Syslog Messages.
    • Format Stempel Waktu: Pilih ISO 8601 (direkomendasikan untuk Chronicle).
    • Centang Aktifkan ID Perangkat Syslog dan masukkan ID perangkat kustom jika perlu.
  9. Klik Logging Setup.
  10. Pilih apakah akan Mengirim syslog dalam format EMBLEM atau tidak. Untuk penyerapan Chronicle, kedua format didukung.
  11. Klik Simpan untuk menyimpan kebijakan setelan platform.

Mengonfigurasi setelan logging kebijakan kontrol akses

  1. Di antarmuka web Cisco FireSIGHT Management Center, buka Policies > Access Control.
  2. Edit kebijakan kontrol akses yang berlaku.
  3. Klik tab Logging.
  4. Pilih FTD 6.3 dan yang lebih baru: Gunakan setelan syslog yang dikonfigurasi dalam kebijakan Setelan Platform FTD yang di-deploy di perangkat.
  5. Jika perlu, pilih tingkat Tingkat Keseriusan Syslog (misalnya, Info atau Peringatan).
  6. Jika Anda akan mengirim peristiwa file dan malware, centang Kirim pesan Syslog untuk peristiwa File dan Malware.
  7. Klik Simpan.

Mengaktifkan logging untuk peristiwa Security Intelligence

  1. Dalam kebijakan kontrol akses yang sama, klik tab Security Intelligence.
  2. Di setiap lokasi berikut, klik Logging dan aktifkan logging:
    • Di samping DNS Policy: Klik Logging, aktifkan Log at Beginning of Connection dan Log at End of Connection, lalu aktifkan Syslog Server.
    • Di kotak Block List untuk Networks: Klik Logging, aktifkan Log at Beginning of Connection dan Log at End of Connection, lalu aktifkan Syslog Server.
    • Di kotak Daftar Pemblokiran untuk URL: Klik Pencatatan Aktivitas, aktifkan Catat di Awal Koneksi dan Catat di Akhir Koneksi, lalu aktifkan Server Syslog.
  3. Klik Simpan.

Mengaktifkan logging syslog untuk aturan kontrol akses

  1. Di kebijakan kontrol akses yang sama, klik tab Rules.
  2. Klik aturan yang akan diedit.
  3. Klik tab Logging di aturan.
  4. Pilih apakah akan mencatat awal atau akhir koneksi, atau keduanya:
    • Centang Log at Beginning of Connection (menghasilkan volume tinggi).
    • Centang Log di Akhir Koneksi (direkomendasikan untuk sebagian besar kasus penggunaan).
  5. Jika Anda akan mencatat peristiwa file log, centang File Log.
  6. Centang Syslog Server.
  7. Pastikan aturan Menggunakan konfigurasi syslog default di Logging Kontrol Akses. Jangan mengonfigurasi penggantian.
  8. Klik Tambahkan untuk menyimpan aturan.
  9. Ulangi langkah 2-8 untuk setiap aturan dalam kebijakan yang ingin Anda catat.

Mengonfigurasi setelan syslog kebijakan deteksi penyusupan

  1. Buka Policies > Intrusion.
  2. Edit kebijakan deteksi penyusupan yang terkait dengan kebijakan kontrol akses Anda.
  3. Klik Setelan Lanjutan > Pemberitahuan Syslog.
  4. Setel Syslog Alerting ke Enabled.
  5. Klik Edit di samping Syslog Alerting.
  6. Konfigurasikan setelan berikut:
    • Logging Host: Biarkan kolom ini kosong untuk menggunakan setelan syslog yang dikonfigurasi di Setelan Platform FTD. Jika Anda menentukan host logging di sini, Anda juga harus mengonfigurasi Fasilitas dan Tingkat Keparahan.
    • Fasilitas: Hanya berlaku jika Anda menentukan Logging Host. Pilih fasilitas (misalnya, AUTH atau LOCAL0).
    • Tingkat Keparahan: Hanya berlaku jika Anda menentukan Host Logging. Pilih tingkat keparahan (misalnya, Info atau Peringatan).
  7. Klik Back.
  8. Klik Informasi Kebijakan di panel navigasi sebelah kiri.
  9. Klik Commit Changes.

Men-deploy perubahan konfigurasi

  1. Setelah mengonfigurasi semua setelan syslog, sebarkan perubahan ke perangkat terkelola Anda.
  2. Di antarmuka web Cisco FireSIGHT Management Center, klik Deploy di sudut kanan atas.
  3. Pilih perangkat yang ingin Anda deploy konfigurasinya.
  4. Klik Deploy untuk menerapkan perubahan.

Memverifikasi penerusan syslog

  1. Buat traffic pengujian atau peristiwa keamanan di perangkat Firepower Threat Defense Anda.
  2. Periksa log agen Bindplane untuk memverifikasi bahwa pesan syslog diterima:

  • Linux:

    sudo journalctl -u observiq-otel-collector -f

  • Windows:

    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  1. Login ke konsol Google SecOps dan pastikan peristiwa muncul di penampil Peristiwa.

Jenis acara yang didukung

Cisco FireSIGHT Management Center dapat mengirimkan jenis peristiwa berikut melalui syslog ke Google SecOps:

Jenis Peristiwa Deskripsi
Peristiwa Koneksi Data koneksi jaringan antara host yang dipantau dan semua host lainnya
Peristiwa Security Intelligence Peristiwa yang terkait dengan daftar blokir Security Intelligence (IP, URL, DNS)
Peristiwa Penyusupan Peristiwa deteksi dan pencegahan penyusupan yang dihasilkan oleh perangkat terkelola
Peristiwa File Peristiwa analisis file
Peristiwa Malware Peristiwa deteksi malware

Format pesan Syslog

Cisco FireSIGHT Management Center mengirim pesan syslog dalam format berikut:

  • Contoh peristiwa koneksi:

    <134>1 2024-01-15T10:15:45.123Z fmc-hostname %FTD-6-430003:
EventPriority: Low,
DeviceUUID: abc123,
InstanceID: 1,
FirstPacketSecond: 1705318545,
ConnectionID: 12345,
AccessControlRuleAction: Allow,
SrcIP: 10.0.0.5,
DstIP: 8.8.8.8,
SrcPort: 54321,
DstPort: 53,
Protocol: udp,
IngressInterface: inside,
EgressInterface: outside,
IngressZone: inside-zone,
EgressZone: outside-zone,
ACPolicy: Default-Policy,
AccessControlRuleName: Allow-DNS,
User: user@example.com,
ApplicationProtocol: DNS,
InitiatorBytes: 64,
ResponderBytes: 128

  • Contoh peristiwa penyusupan:

    <134>1 2024-01-15T10:16:30.456Z fmc-hostname %FTD-4-430001:
EventPriority: High,
DeviceUUID: abc123,
InstanceID: 1,
SrcIP: 192.168.1.100,
DstIP: 10.0.0.50,
SrcPort: 12345,
DstPort: 80,
Protocol: tcp,
IngressInterface: outside,
EgressInterface: inside,
IngressZone: outside-zone,
EgressZone: inside-zone,
IntrusionPolicy: Security-Over-Connectivity,
SignatureID: 1:2024123:1,
SignatureGeneratorID: 1,
Classification: web-application-attack,
Priority: 1,
Message: SQL injection attempt detected

Pesan syslog mencakup key-value pair yang dipisahkan dengan koma, sehingga cocok untuk diuraikan oleh Google SecOps.

Batasan

  • Mungkin perlu waktu hingga 15 menit agar peristiwa muncul di Google SecOps setelah dikirim dari FMC.
  • Peristiwa malware retrospektif tidak tersedia melalui syslog.
  • Peristiwa yang dihasilkan oleh AMP for Endpoints tidak tersedia melalui syslog.
  • Beberapa metadata yang tersedia melalui eStreamer API tidak disertakan dalam pesan syslog (misalnya, informasi pengguna mendetail dari LDAP, metadata aplikasi yang diperluas, data geolokasi).
  • Jika Anda mengonfigurasi nama objek (nama kebijakan, nama aturan) dengan karakter khusus seperti koma, hal ini dapat mengganggu penguraian syslog. Hindari penggunaan karakter khusus dalam nama objek.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
WebApplication, URLReputation, EgressInterface, IngressInterface, ACPolicy, NAPPolicy, ConnectionID, ssl_ticket_id, qoa_applied_interface, sinkhole_uuid, security_context, sec_zone_egress, sec_zone_ingress additional.fields Digabungkan dari berbagai kolom label jika tidak kosong
eventType extensions.auth.type Disetel ke "VPN" jika eventType adalah "USER_LOGIN_INFORMATION"
kerentanan extensions.vulns.vulnerabilities Digabungkan dari kerentanan jika tidak kosong
flowStatistics.httpReferrer http.referral_url Nilai disalin secara langsung
flowStatistics.httpResponse http.response_code Dikonversi ke bilangan bulat
flowStatistics.userAgent http.user_agent Nilai disalin secara langsung
_intermediary perantara Digabungkan dari _intermediary jika tidak kosong
recordTypeDescription, entry.message metadata.description Nilai dari recordTypeDescription jika tidak kosong, atau dari entry.message
event_second, connection_timestamp, _serverTimestamp metadata.event_timestamp Tanggal yang diuraikan dari event_second jika tidak kosong, jika tidak, connection_timestamp, jika tidak, _serverTimestamp
event_type metadata.event_type Nilai disalin secara langsung
prod_event_type, eventId, recordTypeCategory, app, _recordTypeName, eventType metadata.product_event_type Nilai dari prod_event_type jika tidak kosong, jika tidak, eventId, jika tidak, recordTypeCategory, jika tidak, app, jika tidak, _recordTypeName, jika tidak, eventType
DeviceUUID metadata.product_log_id Nilai disalin secara langsung
flowStatistics.clientAppVersion, client_version metadata.product_version Nilai dari flowStatistics.clientAppVersion jika tidak kosong, atau client_version
flowStatistics.clientAppURL metadata.url_back_to_product Nilai disalin secara langsung
ApplicationProtocol network.application_protocol Setel ke "LDAP" jika cocok dengan (?i)ldap, "HTTPS" jika (?i)https, "HTTP" jika (?i)http
jawaban network.dns.answers Digabungkan dari jawaban
flowStatistics.dnsQuery network.dns.answers.name Nilai disalin secara langsung
flowStatistics.dnsTTL network.dns.answers.ttl Dikonversi ke uinteger
flowStatistics.dnsRecordType network.dns.answers.type Dikonversi ke uinteger
flowStatistics.dnsResponseType network.dns.response_code Dikonversi ke uinteger
user_agent network.http.parsed_user_agent Dikonversi ke parseduseragent
user_agent network.http.user_agent Nilai disalin secara langsung
proto, Protocol, inputType, proto_type, protocol, ip_v4_protocol, protocol_number_src network.ip_protocol Ditetapkan berdasarkan berbagai kolom dengan pemetaan dan kasus protokol
ResponderBytes, flowStatistics.bytesReceived network.received_bytes Nilai dari ResponderBytes jika tidak kosong, atau flowStatistics.bytesReceived, dikonversi menjadi uinteger
ResponderPackets network.received_packets Dikonversi ke bilangan bulat
InitiatorBytes, flowStatistics.bytesSent network.sent_bytes Nilai dari InitiatorBytes jika tidak kosong, atau flowStatistics.bytesSent, dikonversi menjadi uinteger
InitiatorPackets, packet_data network.sent_packets Nilai dari InitiatorPackets jika tidak kosong, atau packet_data, dikonversi menjadi bilangan bulat
ssl_session_id network.session_id Nilai disalin secara langsung
ssl_cipher_suite network.tls.cipher Nilai disalin secara langsung
agent_type, agent_version observer.application Digabungkan sebagai agent_type agent_version jika keduanya tidak kosong
entry.host.hostname observer.hostname Nilai disalin secara langsung
entry.host.ip observer.ip Digabungkan dari entry.host.ip
entry.host.mac observer.mac Digabungkan dari entry.host.mac
clientApplication, hold.app_string principal.application Nilai dari clientApplication jika tidak kosong, atau hold.app_string
prin_host, DeviceAddress, principal_hostname principal.asset.hostname Nilai dari prin_host jika tidak kosong, atau DeviceAddress jika sourceAddress kosong, atau principal_hostname
SrcIP, principal_ip, source_address_IPv4v6 principal.asset.ip Digabungkan dari SrcIP (divalidasi grok), principal_ip, source_address_IPv4v6 (divalidasi grok)
file_sha_hash, sha_hash principal.file.sha256 Nilai dari file_sha_hash jika tidak kosong, atau sha_hash
prin_host, DeviceAddress, principal_hostname principal.hostname Nilai dari prin_host jika tidak kosong, atau DeviceAddress jika sourceAddress kosong, atau principal_hostname
SrcIP, principal_ip, source_address_IPv4v6 principal.ip Digabungkan dari SrcIP (divalidasi grok), principal_ip, source_address_IPv4v6 (divalidasi grok)
flowStatistics.initiatorCountry.geolocation.countryName, src_ip_country principal.location.country_or_region Nilai dari flowStatistics.initiatorCountry.geolocation.countryName jika tidak kosong, atau src_ip_country
entry.macAddress principal.mac Digabungkan dari entry.macAddress
host_os_platform principal.platform Disetel ke LINUX jika centos, atau entry.host.os.platform huruf besar.
entry.host.os.kernel principal.platform_patch_level Nilai disalin secara langsung
identityData.fingerprintUUID.osName, osFingerprint.fingerprintUUID.osName principal.platform_version Menggabungkan osName osVersion dari identityData jika tidak kosong, atau osFingerprint
SrcPort, entry.sourcePort, entry.sourcePortOrIcmpType, source_port, flowStatistics.initiatorPort, source_port_or_icmp_code principal.port Nilai dari SrcPort jika tidak kosong, jika tidak entry.sourcePort, jika tidak entry.sourcePortOrIcmpType, jika tidak source_port, jika tidak flowStatistics.initiatorPort, jika tidak source_port_or_icmp_code, dikonversi menjadi bilangan bulat
isecurityZoneName principal.resource.attribute.labels Digabungkan dari isecurityZoneName
DeviceType principal.resource.name Nilai disalin secara langsung
principal.resource.resource_type Ditetapkan ke "DEVICE"
entry.computed.user principal.user.user_display_name Dikonversi ke string
entry.userId, user_id, flowStatistics.user.userId, entry.computed.user, userLoginInformation.userName principal.user.userid Nilai dari entry.userId jika tidak kosong, jika tidak, user_id, jika tidak, flowStatistics.user.userId, jika tidak, entry.computed.user, jika tidak, userLoginInformation.userName
connectionID_label, FirstPacketSecond_label sec_result.about.resource.attribute.labels Digabungkan dari connectionID_label dan FirstPacketSecond_label jika tidak kosong
sec_result_action sec_result.action Digabungkan dari sec_result_action
flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.category Disetel ke NETWORK_MALICIOUS jika rule_name adalah Malware, NETWORK_SUSPICIOUS jika Anomali_IP
classification.description, userLoginInformation.description, sec_desc sec_result.description Nilai dari classification.description jika tidak kosong, jika tidak, userLoginInformation.description, jika tidak, sec_desc
entry.computed.priority sec_result.priority Entri huruf besar.computed.priority _PRIORITY
entry.ruleId, rule_ruleId sec_result.rule_id Nilai dari entry.ruleId jika tidak kosong, atau rule_ruleId
AccessControlRuleName, rule_message, fw_rule, flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.rule_name Nilai dari AccessControlRuleName jika tidak kosong, jika tidak, rule_message, jika tidak, fw_rule, jika tidak, flowStatistics.securityIntelligenceList1.securityIntelligenceListName
EventPriority, sec_severity, severity_code, priority_name sec_result.severity Disetel ke RENDAH jika EventPriority Rendah, TINGGI jika Tinggi, SEDANG jika Sedang; jika tidak, dari pemetaan sec_severity; jika tidak, dari pemetaan severity_code; jika tidak, priority_name dalam huruf besar
Pengguna sec_result.summary Nilai disalin secara langsung
threat_name sec_result.threat_name Nilai disalin secara langsung
security_result security_result Digabungkan dari security_result
firewallRuleAction, hold.action, AccessControlRuleAction, sec_result_action, vendor_blocked security_result.action Nilai dari firewallRuleAction diubah menjadi huruf besar jika bukan no_action, jika tidak, hold.action, jika tidak, dari AccessControlRuleAction dengan kasus, jika tidak, sec_result_action, jika tidak, dari vendor_blocked (0 ALLOW, jika tidak, BLOCK)
disposisi security_result.action_details Ditetapkan ke "Terinfeksi" jika disposisi 3, atau "Tidak diketahui"
eventDescription security_result.description Nilai disalin secara langsung
firewallRule security_result.rule_name Nilai disalin secara langsung
threat_name security_result.threat_name Nilai disalin secara langsung
hostService.webApplication.webApplication0.applicationId.webApplicationName target.application Nilai disalin secara langsung
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 target.asset.ip Digabungkan dari DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)
InstanceID, flowStatistics.clientAppId target.asset_id Nilai dari InstanceID jika tidak kosong, atau " Client_app_id: " + flowStatistics.clientAppId
file target.file Diganti namanya dari file
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 target.ip Digabungkan dari DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)
flowStatistics.responderCountry.geolocation.countryName, dest_ip_country, entry.country.data target.location.country_or_region Nilai dari flowStatistics.responderCountry.geolocation.countryName jika tidak kosong, jika tidak, dest_ip_country, jika tidak, entry.country.data
MACAddress target.mac MACAddress huruf kecil jika bukan 00:00:00:00:00:00
DstPort, entry.destinationPort, entry.destinationPortOrIcmpType, dest_port, flowStatistics.responderPort, destination_port_or_icmp_code target.port Nilai dari DstPort jika tidak kosong, jika tidak entry.destinationPort, jika tidak entry.destinationPortOrIcmpType, jika tidak dest_port, jika tidak flowStatistics.responderPort, jika tidak destination_port_or_icmp_code, dikonversi menjadi bilangan bulat
securityZoneName, det_engine, file_num, file_pos, rec_length target.resource.attribute.labels Digabungkan dari securityZoneName, det_engine, file_num, file_pos, rec_length jika tidak kosong
URL target.url Nilai disalin secara langsung
entry.user.username.data target.user.userid Nilai disalin secara langsung
deskripsi vulnerabilities.description Nilai disalin secara langsung
severity_detail vulnerabilities.severity_details Nilai disalin secara langsung
produk vulnerabilities.vendor Nilai disalin secara langsung
metadata.product_name Tetapkan ke "CISCO_FIRESIGHT"
metadata.vendor_name Setel ke "CISCO MANAGEMENT CENTER"

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.