Raccogli i log di Cisco FireSIGHT Management Center

Supportato in:

Questo documento spiega come importare i log di Cisco FireSIGHT Management Center in Google Security Operations utilizzando l'agente Bindplane.

Cisco FireSIGHT Management Center (FMC), precedentemente noto come FireSIGHT Management Center o Firepower Management Center, è una console di gestione centralizzata che fornisce gestione completa delle policy, analisi degli eventi e report per i dispositivi Cisco Secure Firewall Threat Defense. FMC può inviare eventi di connessione, eventi di intelligence per la sicurezza, eventi di intrusione, eventi di file ed eventi di malware tramite syslog a sistemi SIEM esterni.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows Server 2016 o versioni successive oppure host Linux con systemd
  • Connettività di rete tra l'agente Bindplane e Cisco FireSIGHT Management Center
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
  • Accesso con privilegi all'interfaccia web di Cisco FireSIGHT Management Center
  • Ruolo utente Amministratore o Analista della sicurezza in FMC

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.

  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.

  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

  • Installazione di Windows

    1. Apri Prompt dei comandi o PowerShell come amministratore.

    2. Esegui questo comando:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Attendi il completamento dell'installazione.

    4. Verifica l'installazione eseguendo il comando:

      sc query observiq-otel-collector

      Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

  • Installazione di Linux

    1. Apri un terminale con privilegi di root o sudo.

    2. Esegui questo comando:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Attendi il completamento dell'installazione.

    4. Verifica l'installazione eseguendo il comando:

      sudo systemctl status observiq-otel-collector

    Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

  1. Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_fmc:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_FIRESIGHT
        raw_log_field: body
        ingestion_labels:
            env: production
            source: fmc

service:
    pipelines:
        logs/fmc_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_fmc

  2. Sostituisci i seguenti segnaposto:

    • Configurazione del ricevitore:

      • listen_address: impostato su 0.0.0.0:514 per ascoltare tutte le interfacce sulla porta UDP 51. Se la porta 514 richiede privilegi di root su Linux, utilizza la porta 1514 e configura FMC per l'invio a questa porta.

    • Configurazione dell'esportatore:

      • creds_file_path: Percorso completo del file di autenticazione importazione:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID: sostituisci con il tuo customer ID. Per maggiori dettagli, vedi Recuperare l'ID cliente Google SecOps.

      • endpoint: URL endpoint regionale:

        • Stati Uniti: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com

      • log_type: impostato su CISCO_FIRESIGHT (è richiesta la corrispondenza esatta)

      • ingestion_labels: Etichette facoltative per il filtraggio e l'organizzazione

Salvare il file di configurazione

Dopo la modifica, salva il file:

  • Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
  • Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux:

    1. Esegui questo comando:

      sudo systemctl restart observiq-otel-collector

    2. Verifica che il servizio sia in esecuzione:

      sudo systemctl status observiq-otel-collector

    3. Controlla i log per individuare eventuali errori:

      sudo journalctl -u observiq-otel-collector -f

  • Per riavviare l'agente Bindplane in Windows:

    1. Scegli una delle seguenti opzioni:

      • Prompt dei comandi o PowerShell come amministratore:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Console dei servizi:

        1. Premi Win+R, digita services.msc e premi Invio.
        2. Individua observIQ OpenTelemetry Collector.
        3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

    2. Verifica che il servizio sia in esecuzione:

      sc query observiq-otel-collector

    3. Controlla i log per individuare eventuali errori:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurare l'inoltro di Syslog di Cisco FireSIGHT Management Center

Questa sezione descrive come configurare FMC per inviare messaggi syslog di eventi di sicurezza (eventi di connessione, intelligence per la sicurezza, intrusione, file e malware) dai dispositivi Firepower Threat Defense all'agente Bindplane.

Configura le impostazioni syslog per i dispositivi Firepower Threat Defense

  1. Accedi all'interfaccia web di Cisco FireSIGHT Management Center.
  2. Vai a Dispositivi > Impostazioni piattaforma.
  3. Modifica i criteri delle impostazioni della piattaforma associati al tuo dispositivo Firepower Threat Defense o crea nuovi criteri.
  4. Nel riquadro di navigazione a sinistra, fai clic su Syslog.
  5. Fai clic su Syslog Servers (Server syslog) e poi su Aggiungi per configurare un nuovo server syslog.
  6. Fornisci i seguenti dettagli di configurazione:
    • Indirizzo IP: inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio, 192.168.1.100).
    • Protocollo: seleziona UDP.
    • Porta: inserisci 514 (o 1514 se hai configurato Bindplane per l'ascolto su una porta non privilegiata).
    • Interfaccia: seleziona l'interfaccia di gestione o l'interfaccia che può raggiungere l'agente Bindplane.
  7. Fai clic su Ok per salvare la configurazione del server syslog.
  8. Fai clic su Impostazioni Syslog e configura le seguenti impostazioni:
    • Seleziona Enable Timestamp on Syslog Messages (Attiva timestamp sui messaggi Syslog).
    • Formato timestamp: seleziona ISO 8601 (opzione consigliata per Chronicle).
    • Seleziona Attiva ID dispositivo Syslog e, se vuoi, inserisci un identificatore del dispositivo personalizzato.
  9. Fai clic su Configurazione logging.
  10. Seleziona se inviare o meno i syslog in formato EMBLEM. Per l'importazione di Chronicle, è supportato uno dei due formati.
  11. Fai clic su Salva per salvare la norma relativa alle impostazioni della piattaforma.

Configurare le impostazioni di logging delle policy di controllo dell'accesso

  1. Nell'interfaccia web di Cisco FireSIGHT Management Center, vai a Policies > Access Control.
  2. Modifica il criterio di controllo dell'accesso applicabile.
  3. Fai clic sulla scheda Registrazione.
  4. Seleziona FTD 6.3 e versioni successive: utilizza le impostazioni syslog configurate nel criterio Impostazioni piattaforma FTD implementato sul dispositivo.
  5. (Facoltativo) Seleziona un livello di gravità Syslog (ad esempio Info o Avviso).
  6. Se invii eventi di file e malware, seleziona Invia messaggi Syslog per eventi di file e malware.
  7. Fai clic su Salva.

Attivare la registrazione degli eventi di Security Intelligence

  1. Nella stessa policy di controllo dell'accesso, fai clic sulla scheda Security Intelligence.
  2. In ciascuna delle seguenti posizioni, fai clic su Logging e attiva il logging:
    • Accanto a Policy DNS, fai clic su Logging, abilita Registra all'inizio della connessione e Registra alla fine della connessione e abilita Server Syslog.
    • Nella casella Elenco bloccati per Reti: fai clic su Logging, attiva Registra all'inizio della connessione e Registra alla fine della connessione e attiva Server Syslog.
    • Nella casella Elenco bloccati per URL: fai clic su Logging, attiva Registra all'inizio della connessione e Registra alla fine della connessione e attiva Server Syslog.
  3. Fai clic su Salva.

Abilita la registrazione syslog per le regole di controllo dell'accesso'accesso

  1. Nella stessa policy di controllo dell'accesso, fai clic sulla scheda Regole.
  2. Fai clic su una regola per modificarla.
  3. Fai clic sulla scheda Logging nella regola.
  4. Scegli se registrare l'inizio o la fine delle connessioni oppure entrambi:
    • Seleziona Registra all'inizio della connessione (genera un volume elevato).
    • Seleziona Log at End of Connection (consigliato per la maggior parte dei casi d'uso).
  5. Se registri gli eventi dei file di log, seleziona File di log.
  6. Seleziona Server Syslog.
  7. Verifica che la regola Utilizza la configurazione syslog predefinita nella registrazione del controllo dell'accesso. Non configurare override.
  8. Fai clic su Aggiungi per salvare la regola.
  9. Ripeti i passaggi 2-8 per ogni regola delle norme che vuoi registrare.

Configura le impostazioni syslog dei criteri di intrusione

  1. Vai a Norme > Intrusione.
  2. Modifica la policy di intrusione associata alla policy di controllo dell'accesso.
  3. Fai clic su Impostazioni avanzate > Avvisi Syslog.
  4. Imposta Avvisi Syslog su Attivato.
  5. Fai clic su Modifica accanto a Avvisi Syslog.
  6. Configura le seguenti impostazioni:
    • Logging Host (Host di registrazione nel log): lascia vuoto questo campo per utilizzare le impostazioni syslog configurate in FTD Platform Settings (Impostazioni della piattaforma FTD). Se qui specifichi un host di logging, devi configurare anche Facility e Severity.
    • Struttura: applicabile solo se specifichi un host di logging. Seleziona una struttura (ad esempio AUTH o LOCAL0).
    • Gravità: applicabile solo se specifichi un host di logging. Seleziona un livello di gravità (ad esempio Informazioni o Avviso).
  7. Fai clic su Back (Indietro).
  8. Fai clic su Informazioni sulle norme nel riquadro di navigazione a sinistra.
  9. Fai clic su Applica modifiche.

Esegui il deployment delle modifiche alla configurazione

  1. Dopo aver configurato tutte le impostazioni di syslog, implementa le modifiche sui tuoi dispositivi gestiti.
  2. Nell'interfaccia web di Cisco FireSIGHT Management Center, fai clic su Esegui il deployment nell'angolo in alto a destra.
  3. Seleziona i dispositivi su cui vuoi implementare la configurazione.
  4. Fai clic su Esegui il deployment per applicare le modifiche.

Verificare l'inoltro di Syslog

  1. Genera traffico di test o eventi di sicurezza sui tuoi dispositivi Firepower Threat Defense.
  2. Controlla i log dell'agente Bindplane per verificare che i messaggi syslog vengano ricevuti:

  • Linux:

    sudo journalctl -u observiq-otel-collector -f

  • Windows:

    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  1. Accedi alla console Google SecOps e verifica che gli eventi vengano visualizzati nel visualizzatore Eventi.

Tipi di eventi supportati

Cisco FireSIGHT Management Center può inviare i seguenti tipi di eventi tramite syslog a Google SecOps:

Tipo di evento Descrizione
Eventi di connessione Dati di connessione di rete tra gli host monitorati e tutti gli altri host
Eventi di Security Intelligence Eventi correlati agli elenchi di blocco di Security Intelligence (IP, URL, DNS)
Eventi di intrusione Eventi di rilevamento e prevenzione delle intrusioni generati dai dispositivi gestiti
Eventi file Eventi di analisi dei file
Eventi di malware Eventi di rilevamento del malware

Formato del messaggio Syslog

Cisco FireSIGHT Management Center invia messaggi syslog nel seguente formato:

  • Esempio di evento di connessione:

    <134>1 2024-01-15T10:15:45.123Z fmc-hostname %FTD-6-430003:
EventPriority: Low,
DeviceUUID: abc123,
InstanceID: 1,
FirstPacketSecond: 1705318545,
ConnectionID: 12345,
AccessControlRuleAction: Allow,
SrcIP: 10.0.0.5,
DstIP: 8.8.8.8,
SrcPort: 54321,
DstPort: 53,
Protocol: udp,
IngressInterface: inside,
EgressInterface: outside,
IngressZone: inside-zone,
EgressZone: outside-zone,
ACPolicy: Default-Policy,
AccessControlRuleName: Allow-DNS,
User: user@example.com,
ApplicationProtocol: DNS,
InitiatorBytes: 64,
ResponderBytes: 128

  • Esempio di evento di intrusione:

    <134>1 2024-01-15T10:16:30.456Z fmc-hostname %FTD-4-430001:
EventPriority: High,
DeviceUUID: abc123,
InstanceID: 1,
SrcIP: 192.168.1.100,
DstIP: 10.0.0.50,
SrcPort: 12345,
DstPort: 80,
Protocol: tcp,
IngressInterface: outside,
EgressInterface: inside,
IngressZone: outside-zone,
EgressZone: inside-zone,
IntrusionPolicy: Security-Over-Connectivity,
SignatureID: 1:2024123:1,
SignatureGeneratorID: 1,
Classification: web-application-attack,
Priority: 1,
Message: SQL injection attempt detected

I messaggi syslog includono coppie chiave-valore separate da virgole, il che li rende adatti all'analisi da parte di Google SecOps.

Limitazioni

  • Potrebbero essere necessari fino a 15 minuti prima che gli eventi vengano visualizzati in Google SecOps dopo essere stati inviati da FMC.
  • Gli eventi di malware retrospettivi non sono disponibili tramite syslog.
  • Gli eventi generati da AMP for Endpoints non sono disponibili tramite syslog.
  • Alcuni metadati disponibili tramite l'API eStreamer non sono inclusi nei messaggi syslog (ad esempio, informazioni dettagliate sugli utenti di LDAP, metadati estesi delle applicazioni, dati di geolocalizzazione).
  • Se configuri i nomi degli oggetti (nomi dei criteri, nomi delle regole) con caratteri speciali come le virgole, questi potrebbero interferire con l'analisi di syslog. Evita di utilizzare caratteri speciali nei nomi degli oggetti.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
WebApplication, URLReputation, EgressInterface, IngressInterface, ACPolicy, NAPPolicy, ConnectionID, ssl_ticket_id, qoa_applied_interface, sinkhole_uuid, security_context, sec_zone_egress, sec_zone_ingress additional.fields Uniti da vari campi delle etichette, se non vuoti
eventType extensions.auth.type Imposta su "VPN" se eventType è "USER_LOGIN_INFORMATION"
vulnerabilities extensions.vulns.vulnerabilities Unito dalle vulnerabilità se non vuoto
flowStatistics.httpReferrer http.referral_url Valore copiato direttamente
flowStatistics.httpResponse http.response_code Convertito in numero intero
flowStatistics.userAgent http.user_agent Valore copiato direttamente
_intermediary intermediario Unito da _intermediary se non vuoto
recordTypeDescription, entry.message metadata.description Valore di recordTypeDescription se non è vuoto, altrimenti di entry.message
event_second, connection_timestamp, _serverTimestamp metadata.event_timestamp Data analizzata da event_second se non è vuoto, altrimenti connection_timestamp, altrimenti _serverTimestamp
event_type metadata.event_type Valore copiato direttamente
prod_event_type, eventId, recordTypeCategory, app, _recordTypeName, eventType metadata.product_event_type Valore di prod_event_type se non è vuoto, altrimenti eventId, altrimenti recordTypeCategory, altrimenti app, altrimenti _recordTypeName, altrimenti eventType
DeviceUUID metadata.product_log_id Valore copiato direttamente
flowStatistics.clientAppVersion, client_version metadata.product_version Valore di flowStatistics.clientAppVersion se non è vuoto, altrimenti client_version
flowStatistics.clientAppURL metadata.url_back_to_product Valore copiato direttamente
ApplicationProtocol network.application_protocol Imposta "LDAP" se corrisponde a (?i)ldap, "HTTPS" se (?i)https, "HTTP" se (?i)http
rispondi network.dns.answers Unito dalla risposta
flowStatistics.dnsQuery network.dns.answers.name Valore copiato direttamente
flowStatistics.dnsTTL network.dns.answers.ttl Convertito in uinteger
flowStatistics.dnsRecordType network.dns.answers.type Convertito in uinteger
flowStatistics.dnsResponseType network.dns.response_code Convertito in uinteger
user_agent network.http.parsed_user_agent Convertito in parseduseragent
user_agent network.http.user_agent Valore copiato direttamente
proto, Protocol, inputType, proto_type, protocol, ip_v4_protocol, protocol_number_src network.ip_protocol Set basato su vari campi con mappature e casi di protocollo
ResponderBytes, flowStatistics.bytesReceived network.received_bytes Valore di ResponderBytes se non è vuoto, altrimenti flowStatistics.bytesReceived, convertito in uinteger
ResponderPackets network.received_packets Convertito in numero intero
InitiatorBytes, flowStatistics.bytesSent network.sent_bytes Valore di InitiatorBytes se non è vuoto, altrimenti flowStatistics.bytesSent, convertito in uinteger
InitiatorPackets, packet_data network.sent_packets Valore di InitiatorPackets se non è vuoto, altrimenti packet_data, convertito in numero intero
ssl_session_id network.session_id Valore copiato direttamente
ssl_cipher_suite network.tls.cipher Valore copiato direttamente
agent_type, agent_version observer.application Concatenato come agent_type agent_version se entrambi non sono vuoti
entry.host.hostname observer.hostname Valore copiato direttamente
entry.host.ip observer.ip Unito da entry.host.ip
entry.host.mac observer.mac Unito da entry.host.mac
clientApplication, hold.app_string principal.application Valore di clientApplication se non è vuoto, altrimenti hold.app_string
prin_host, DeviceAddress, principal_hostname principal.asset.hostname Valore di prin_host se non è vuoto, altrimenti DeviceAddress se sourceAddress è vuoto, altrimenti principal_hostname
SrcIP, principal_ip, source_address_IPv4v6 principal.asset.ip Unito da SrcIP (convalida grok), principal_ip, source_address_IPv4v6 (convalida grok)
file_sha_hash, sha_hash principal.file.sha256 Valore di file_sha_hash se non è vuoto, altrimenti sha_hash
prin_host, DeviceAddress, principal_hostname principal.hostname Valore di prin_host se non è vuoto, altrimenti DeviceAddress se sourceAddress è vuoto, altrimenti principal_hostname
SrcIP, principal_ip, source_address_IPv4v6 principal.ip Unito da SrcIP (convalida grok), principal_ip, source_address_IPv4v6 (convalida grok)
flowStatistics.initiatorCountry.geolocation.countryName, src_ip_country principal.location.country_or_region Valore di flowStatistics.initiatorCountry.geolocation.countryName se non è vuoto, altrimenti src_ip_country
entry.macAddress principal.mac Unito da entry.macAddress
host_os_platform principal.platform Imposta LINUX se centos, altrimenti entry.host.os.platform in maiuscolo
entry.host.os.kernel principal.platform_patch_level Valore copiato direttamente
identityData.fingerprintUUID.osName, osFingerprint.fingerprintUUID.osName principal.platform_version osName osVersion concatenati da identityData se non vuoti, altrimenti osFingerprint
SrcPort, entry.sourcePort, entry.sourcePortOrIcmpType, source_port, flowStatistics.initiatorPort, source_port_or_icmp_code principal.port Valore di SrcPort se non è vuoto, altrimenti entry.sourcePort, altrimenti entry.sourcePortOrIcmpType, altrimenti source_port, altrimenti flowStatistics.initiatorPort, altrimenti source_port_or_icmp_code, convertito in numero intero
isecurityZoneName principal.resource.attribute.labels Unito da isecurityZoneName
DeviceType principal.resource.name Valore copiato direttamente
principal.resource.resource_type Imposta su "DEVICE"
entry.computed.user principal.user.user_display_name Convertito in stringa
entry.userId, user_id, flowStatistics.user.userId, entry.computed.user, userLoginInformation.userName principal.user.userid Valore di entry.userId se non è vuoto, altrimenti user_id, altrimenti flowStatistics.user.userId, altrimenti entry.computed.user, altrimenti userLoginInformation.userName
connectionID_label, FirstPacketSecond_label sec_result.about.resource.attribute.labels Unito da connectionID_label e FirstPacketSecond_label se non vuoto
sec_result_action sec_result.action Unito da sec_result_action
flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.category Impostato su NETWORK_MALICIOUS se rule_name è Malware, NETWORK_SUSPICIOUS se Anomali_IP
classification.description, userLoginInformation.description, sec_desc sec_result.description Valore di classification.description se non è vuoto, altrimenti userLoginInformation.description, altrimenti sec_desc
entry.computed.priority sec_result.priority Uppercased entry.computed.priority _PRIORITY
entry.ruleId, rule_ruleId sec_result.rule_id Valore di entry.ruleId se non è vuoto, altrimenti rule_ruleId
AccessControlRuleName, rule_message, fw_rule, flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.rule_name Valore di AccessControlRuleName se non è vuoto, altrimenti rule_message, altrimenti fw_rule, altrimenti flowStatistics.securityIntelligenceList1.securityIntelligenceListName
EventPriority, sec_severity, severity_code, priority_name sec_result.severity Impostato su LOW se EventPriority è Low, HIGH se è High, MEDIUM se è Medium; altrimenti dai mapping sec_severity; altrimenti dai mapping severity_code; altrimenti priority_name in maiuscolo
Utente sec_result.summary Valore copiato direttamente
threat_name sec_result.threat_name Valore copiato direttamente
security_result security_result Unito da security_result
firewallRuleAction, hold.action, AccessControlRuleAction, sec_result_action, vendor_blocked security_result.action Valore di firewallRuleAction in maiuscolo se non no_action, altrimenti hold.action, altrimenti da AccessControlRuleAction con casi, altrimenti sec_result_action, altrimenti da vendor_blocked (0 ALLOW, altrimenti BLOCK)
disposizione security_result.action_details Impostato su "Infected" (Infetto) se la disposizione è 3, altrimenti su "Unknown" (Sconosciuto)
eventDescription security_result.description Valore copiato direttamente
firewallRule security_result.rule_name Valore copiato direttamente
threat_name security_result.threat_name Valore copiato direttamente
hostService.webApplication.webApplication0.applicationId.webApplicationName target.application Valore copiato direttamente
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 target.asset.ip Unito da DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)
InstanceID, flowStatistics.clientAppId target.asset_id Valore di InstanceID se non è vuoto, altrimenti " Client_app_id: " + flowStatistics.clientAppId
file target.file Ridenominato da file
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 target.ip Unito da DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)
flowStatistics.responderCountry.geolocation.countryName, dest_ip_country, entry.country.data target.location.country_or_region Valore di flowStatistics.responderCountry.geolocation.countryName se non è vuoto, altrimenti dest_ip_country, altrimenti entry.country.data
MACAddress target.mac Indirizzo MAC in minuscolo se non è 00:00:00:00:00:00
DstPort, entry.destinationPort, entry.destinationPortOrIcmpType, dest_port, flowStatistics.responderPort, destination_port_or_icmp_code target.port Valore di DstPort se non è vuoto, altrimenti entry.destinationPort, altrimenti entry.destinationPortOrIcmpType, altrimenti dest_port, altrimenti flowStatistics.responderPort, altrimenti destination_port_or_icmp_code, convertito in numero intero
securityZoneName, det_engine, file_num, file_pos, rec_length target.resource.attribute.labels Unito da securityZoneName, det_engine, file_num, file_pos, rec_length se non vuoto
URL target.url Valore copiato direttamente
entry.user.username.data target.user.userid Valore copiato direttamente
descript vulnerabilities.description Valore copiato direttamente
severity_detail vulnerabilities.severity_details Valore copiato direttamente
prodotto vulnerabilities.vendor Valore copiato direttamente
metadata.product_name Imposta su "CISCO_FIRESIGHT"
metadata.vendor_name Imposta su "CISCO MANAGEMENT CENTER"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.