Cisco FireSIGHT Management Center のログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane エージェントを使用して Cisco FireSIGHT Management Center のログを Google Security Operations に取り込む方法について説明します。

Cisco FireSIGHT Management Center(FMC)(旧称 FireSIGHT Management Center または Firepower Management Center)は、Cisco Secure Firewall Threat Defense デバイスの包括的なポリシー管理、イベント分析、レポート作成を行う一元管理コンソールです。FMC は、syslog を介して接続イベント、セキュリティ インテリジェンス イベント、侵入イベント、ファイル イベント、マルウェア イベントを外部 SIEM システムに送信できます。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows Server 2016 以降、または systemd を使用する Linux ホスト
  • Bindplane エージェントと Cisco FireSIGHT Management Center 間のネットワーク接続
  • プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
  • Cisco FireSIGHT Management Center ウェブ インターフェースへの特権アクセス
  • FMC の管理者またはセキュリティ アナリストのユーザーロール

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。

  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。

  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

  • Windows のインストール

    1. 管理者としてコマンド プロンプトまたは PowerShell を開きます。

    2. 次のコマンドを実行します。

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. インストールが完了するまで待ちます。

    4. 次のコマンドを実行して、インストールの内容を確認します。

      sc query observiq-otel-collector

      サービスは RUNNING と表示されます。

  • Linux のインストール

    1. root 権限または sudo 権限でターミナルを開きます。

    2. 次のコマンドを実行します。

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. インストールが完了するまで待ちます。

    4. 次のコマンドを実行して、インストールの内容を確認します。

      sudo systemctl status observiq-otel-collector

    サービスが [アクティブ(実行中)] と表示されます。

その他のインストール リソース

その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

  1. config.yaml の内容全体を次の構成に置き換えます。

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_fmc:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_FIRESIGHT
        raw_log_field: body
        ingestion_labels:
            env: production
            source: fmc

service:
    pipelines:
        logs/fmc_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_fmc

  2. 各プレースホルダを次のように置き換えます。

    • レシーバーの構成:

      • listen_address: 0.0.0.0:514 に設定すると、UDP ポート 51 のすべてのインターフェースでリッスンします。Linux でポート 514 に root 権限が必要な場合は、代わりにポート 1514 を使用し、そのポートに送信するように FMC を構成します。

    • エクスポータの構成:

      • creds_file_path: 取り込み認証ファイルのフルパス:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID: customer ID に置き換えます。詳細については、Google SecOps の顧客 ID を取得するをご覧ください。

      • endpoint: リージョン エンドポイント URL:

        • 米国: malachiteingestion-pa.googleapis.com
        • ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
        • アジア: asia-southeast1-malachiteingestion-pa.googleapis.com

      • log_type: CISCO_FIRESIGHT に設定します(完全一致が必要です)。

      • ingestion_labels: フィルタリングと整理用の省略可能なラベル

構成ファイルを保存する

編集が完了したら、ファイルを保存します。

  • Linux: Ctrl+OEnterCtrl+X の順に押します。
  • Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには:

    1. 次のコマンドを実行します。

      sudo systemctl restart observiq-otel-collector

    2. サービスが実行されていることを確認します。

      sudo systemctl status observiq-otel-collector

    3. ログでエラーを確認します。

      sudo journalctl -u observiq-otel-collector -f

  • Windows で Bindplane エージェントを再起動するには:

    1. 次のいずれかのオプションを選択します。

      • 管理者としてコマンド プロンプトまたは PowerShell を開きます。

        net stop observiq-otel-collector && net start observiq-otel-collector

      • サービス コンソール:

        1. Win+R キーを押して「services.msc」と入力し、Enter キーを押します。
        2. observIQ OpenTelemetry Collector を見つけます。
        3. 右クリックして [再起動] を選択します。

    2. サービスが実行されていることを確認します。

      sc query observiq-otel-collector

    3. ログでエラーを確認します。

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Cisco FireSIGHT Management Center の syslog 転送を構成する

このセクションでは、Firepower Threat Defense デバイスから Bindplane エージェントにセキュリティ イベントの syslog メッセージ(接続、セキュリティ インテリジェンス、侵入、ファイル、マルウェア イベント)を送信するように FMC を構成する方法について説明します。

Firepower Threat Defense デバイスの syslog 設定を構成する

  1. Cisco FireSIGHT Management Center のウェブ インターフェースにログインします。
  2. [デバイス> プラットフォーム設定] に移動します。
  3. Firepower Threat Defense デバイスに関連付けられているプラットフォーム設定ポリシーを編集するか、新しいポリシーを作成します。
  4. 左側のナビゲーション パネルで、[Syslog] をクリックします。
  5. [Syslog Servers] をクリックし、[Add] をクリックして新しい syslog サーバーを構成します。
  6. 次の構成の詳細を指定します。
    • IP アドレス: Bindplane エージェント ホストの IP アドレス(192.168.1.100 など)を入力します。
    • Protocol: [UDP] を選択します。
    • ポート: 514 と入力します(Bindplane が非特権ポートでリッスンするように構成されている場合は 1514)。
    • インターフェース: 管理インターフェースまたは Bindplane エージェントに到達できるインターフェースを選択します。
  7. [OK] をクリックして、Syslog サーバーの構成を保存します。
  8. [Syslog の設定] をクリックして、次の設定を構成します。
    • [Enable Timestamp on Syslog Messages] をオンにします。
    • タイムスタンプ形式: [ISO 8601] を選択します(Chronicle に推奨)。
    • [Enable Syslog Device ID](Syslog デバイス ID を有効にする)をオンにし、必要に応じてカスタム デバイス識別子を入力します。
  9. [ロギングの設定] をクリックします。
  10. [EMBLEM 形式で Syslog を送信] を選択します。Chronicle の取り込みでは、どちらの形式もサポートされています。
  11. [保存] をクリックして、プラットフォーム設定ポリシーを保存します。

アクセス制御ポリシーのロギング設定を構成する

  1. Cisco FireSIGHT Management Center のウェブ インターフェースで、[Policies] > [Access Control] に移動します。
  2. 該当するアクセス制御ポリシーを編集します。
  3. [ロギング] タブをクリックします。
  4. [FTD 6.3 以降: デバイスに展開された FTD プラットフォーム設定ポリシーで構成された syslog 設定を使用する] を選択します。
  5. 必要に応じて、[Syslog Severity] レベル([Info] や [Alert] など)を選択します。
  6. ファイル イベントとマルウェア イベントを送信する場合は、[ファイル イベントとマルウェア イベントの Syslog メッセージを送信する] をオンにします。
  7. [保存] をクリックします。

Security Intelligence イベントのロギングを有効にする

  1. 同じアクセス制御ポリシーで、[セキュリティ インテリジェンス] タブをクリックします。
  2. 次の各場所で [ロギング] をクリックし、ロギングを有効にします。
    • [DNS Policy] の横にある [Logging] をクリックし、[Log at Beginning of Connection] と [Log at End of Connection] を有効にして、[Syslog Server] を有効にします。
    • [ネットワーク] の [ブロックリスト] ボックスで、[ロギング] をクリックし、[接続の開始時にログを記録] と [接続の終了時にログを記録] を有効にして、[Syslog サーバー] を有効にします。
    • [URL] の [ブロックリスト] ボックスで、[ロギング] をクリックし、[接続の開始時にログを記録する] と [接続の終了時にログを記録する] を有効にして、[Syslog サーバー] を有効にします。
  3. [保存] をクリックします。

アクセス制御ルールの syslog ロギングを有効にする

  1. 同じアクセス制御ポリシーで、[ルール] タブをクリックします。
  2. ルールをクリックして編集します。
  3. ルールの [ロギング] タブをクリックします。
  4. 接続の開始または終了、あるいはその両方をログに記録するかどうかを選択します。
    • [Log at Beginning of Connection] をオンにします(大量のログが生成されます)。
    • [Log at End of Connection] をオンにします(ほとんどのユースケースで推奨)。
  5. ファイル イベントをロギングする場合は、ログファイルを確認します。
  6. [Syslog Server] チェックボックスをオンにします。
  7. ルールがアクセス制御ロギングでデフォルトの syslog 構成を使用していることを確認します。オーバーライドを構成しないでください。
  8. [追加] をクリックしてルールを保存します。
  9. ロギングするポリシーのルールごとに、手順 2 ~ 8 を繰り返します。

侵入ポリシーの syslog 設定を構成する

  1. [ポリシー] > [侵入] に移動します。
  2. アクセス制御ポリシーに関連付けられている侵入ポリシーを編集します。
  3. [詳細設定> Syslog アラート] をクリックします。
  4. [Syslog Alerting] を [Enabled] に設定します。
  5. [Syslog アラート] の横にある [編集] をクリックします。
  6. 以下の設定を構成します。
    • Logging Host: FTD プラットフォーム設定で構成された syslog 設定を使用する場合は、空白のままにします。ここでロギング ホストを指定する場合は、ファシリティ重大度も構成する必要があります。
    • ファシリティ: ロギングホストを指定した場合にのみ適用されます。機能(AUTHLOCAL0 など)を選択します。
    • 重大度: ロギング ホストを指定した場合にのみ適用されます。重大度レベル([情報] や [アラート] など)を選択します。
  7. [Back] をクリックします。
  8. 左側のナビゲーション パネルで [ポリシー情報] をクリックします。
  9. [Commit Changes] をクリックします。

構成の変更をデプロイする

  1. すべての syslog 設定を構成したら、変更を管理対象デバイスにデプロイします。
  2. Cisco FireSIGHT Management Center ウェブ インターフェースで、右上にある [Deploy] をクリックします。
  3. 構成をデプロイするデバイスを選択します。
  4. [デプロイ] をクリックして、変更を適用します。

syslog 転送を確認する

  1. Firepower Threat Defense デバイスでテスト トラフィックまたはセキュリティ イベントを生成します。
  2. Bindplane エージェントのログを調べて、syslog メッセージが受信されていることを確認します。

  • Linux:

    sudo journalctl -u observiq-otel-collector -f

  • Windows:

    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  1. Google SecOps コンソールにログインし、[イベント] ビューアにイベントが表示されていることを確認します。

サポートされているイベントタイプ

Cisco FireSIGHT Management Center は、syslog 経由で次のイベントタイプを Google SecOps に送信できます。

イベントタイプ 説明
接続イベント モニタリング対象のホストと他のすべてのホスト間のネットワーク接続データ
セキュリティ インテリジェンス イベント セキュリティ インテリジェンスのブロックリスト(IP、URL、DNS)に関連するイベント
侵入イベント 管理対象デバイスで生成された侵入検知および防止イベント
ファイル イベント ファイル分析イベント
マルウェア イベント マルウェア検出イベント

Syslog メッセージの形式

Cisco FireSIGHT Management Center は、次の形式で Syslog メッセージを送信します。

  • 接続イベントの例:

    <134>1 2024-01-15T10:15:45.123Z fmc-hostname %FTD-6-430003:
EventPriority: Low,
DeviceUUID: abc123,
InstanceID: 1,
FirstPacketSecond: 1705318545,
ConnectionID: 12345,
AccessControlRuleAction: Allow,
SrcIP: 10.0.0.5,
DstIP: 8.8.8.8,
SrcPort: 54321,
DstPort: 53,
Protocol: udp,
IngressInterface: inside,
EgressInterface: outside,
IngressZone: inside-zone,
EgressZone: outside-zone,
ACPolicy: Default-Policy,
AccessControlRuleName: Allow-DNS,
User: user@example.com,
ApplicationProtocol: DNS,
InitiatorBytes: 64,
ResponderBytes: 128

  • 侵入イベントの例:

    <134>1 2024-01-15T10:16:30.456Z fmc-hostname %FTD-4-430001:
EventPriority: High,
DeviceUUID: abc123,
InstanceID: 1,
SrcIP: 192.168.1.100,
DstIP: 10.0.0.50,
SrcPort: 12345,
DstPort: 80,
Protocol: tcp,
IngressInterface: outside,
EgressInterface: inside,
IngressZone: outside-zone,
EgressZone: inside-zone,
IntrusionPolicy: Security-Over-Connectivity,
SignatureID: 1:2024123:1,
SignatureGeneratorID: 1,
Classification: web-application-attack,
Priority: 1,
Message: SQL injection attempt detected

syslog メッセージには、カンマで区切られた Key-Value ペアが含まれているため、Google SecOps による解析に適しています。

制限事項

  • FMC から送信されたイベントが Google SecOps に表示されるまでに最大 15 分かかることがあります。
  • 遡及的なマルウェア イベントは syslog では使用できません。
  • AMP for Endpoints によって生成されたイベントは、syslog では利用できません。
  • eStreamer API で利用可能なメタデータの一部は、syslog メッセージに含まれていません(LDAP からの詳細なユーザー情報、拡張アプリケーション メタデータ、位置情報データなど)。
  • オブジェクト名(ポリシー名、ルール名)にカンマなどの特殊文字を使用して構成すると、syslog の解析に影響する可能性があります。オブジェクト名に特殊文字を使用しない。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
WebApplication、URLReputation、EgressInterface、IngressInterface、ACPolicy、NAPPolicy、ConnectionID、ssl_ticket_id、qoa_applied_interface、sinkhole_uuid、security_context、sec_zone_egress、sec_zone_ingress additional.fields 空でない場合は、さまざまなラベル フィールドから統合されます
eventType extensions.auth.type eventType が「USER_LOGIN_INFORMATION」の場合は、「VPN」に設定します。
vulnerabilities extensions.vulns.vulnerabilities 空でない場合は脆弱性から統合されます
flowStatistics.httpReferrer http.referral_url 値を直接コピーしました
flowStatistics.httpResponse http.response_code 整数に変換しました
flowStatistics.userAgent http.user_agent 値を直接コピーしました
_intermediary intermediary 空でない場合は _intermediary からマージされます
recordTypeDescription、entry.message metadata.description 空でない場合は recordTypeDescription の値、空の場合は entry.message の値
event_second、connection_timestamp、_serverTimestamp metadata.event_timestamp event_second が空でない場合はそこから解析された日付、それ以外の場合は connection_timestamp、それ以外の場合は _serverTimestamp
event_type metadata.event_type 値を直接コピーしました
prod_event_type、eventId、recordTypeCategory、app、_recordTypeName、eventType metadata.product_event_type prod_event_type が空でない場合はその値、それ以外の場合は eventId、それ以外の場合は recordTypeCategory、それ以外の場合は app、それ以外の場合は _recordTypeName、それ以外の場合は eventType
DeviceUUID metadata.product_log_id 値を直接コピーしました
flowStatistics.clientAppVersion、client_version metadata.product_version flowStatistics.clientAppVersion が空でない場合はその値、それ以外の場合は client_version
flowStatistics.clientAppURL metadata.url_back_to_product 値を直接コピーしました
ApplicationProtocol network.application_protocol (?i)ldap と一致する場合は「LDAP」、(?i)https と一致する場合は「HTTPS」、(?i)http と一致する場合は「HTTP」に設定します。
answer network.dns.answers 回答から統合されました
flowStatistics.dnsQuery network.dns.answers.name 値を直接コピーしました
flowStatistics.dnsTTL network.dns.answers.ttl uinteger に変換済み
flowStatistics.dnsRecordType network.dns.answers.type uinteger に変換済み
flowStatistics.dnsResponseType network.dns.response_code uinteger に変換済み
user_agent network.http.parsed_user_agent parseduseragent に変換されました
user_agent network.http.user_agent 値を直接コピーしました
proto、Protocol、inputType、proto_type、protocol、ip_v4_protocol、protocol_number_src network.ip_protocol プロトコル マッピングとケースを含むさまざまなフィールドに基づいて設定する
ResponderBytes、flowStatistics.bytesReceived network.received_bytes ResponderBytes が空でない場合は ResponderBytes の値、それ以外の場合は flowStatistics.bytesReceived を uinteger に変換した値
ResponderPackets network.received_packets 整数に変換しました
InitiatorBytes、flowStatistics.bytesSent network.sent_bytes 空でない場合は InitiatorBytes の値、それ以外の場合は flowStatistics.bytesSent を uinteger に変換した値
InitiatorPackets、packet_data network.sent_packets 空でない場合は InitiatorPackets の値、それ以外の場合は packet_data。整数に変換されます。
ssl_session_id network.session_id 値を直接コピーしました
ssl_cipher_suite network.tls.cipher 値を直接コピーしました
agent_type、agent_version observer.application 両方が空でない場合は、agent_type と agent_version を連結します。
entry.host.hostname observer.hostname 値を直接コピーしました
entry.host.ip observer.ip entry.host.ip から統合
entry.host.mac observer.mac entry.host.mac から統合されました
clientApplication、hold.app_string principal.application 空でない場合は clientApplication の値、空の場合は hold.app_string
prin_host、DeviceAddress、principal_hostname principal.asset.hostname 空でない場合は prin_host の値、sourceAddress が空の場合は DeviceAddress、それ以外の場合は principal_hostname
SrcIP、principal_ip、source_address_IPv4v6 principal.asset.ip SrcIP(grok 検証済み)、principal_ip、source_address_IPv4v6(grok 検証済み)から統合
file_sha_hash、sha_hash principal.file.sha256 file_sha_hash が空でない場合はその値、空の場合は sha_hash
prin_host、DeviceAddress、principal_hostname principal.hostname 空でない場合は prin_host の値、sourceAddress が空の場合は DeviceAddress、それ以外の場合は principal_hostname
SrcIP、principal_ip、source_address_IPv4v6 principal.ip SrcIP(grok 検証済み)、principal_ip、source_address_IPv4v6(grok 検証済み)から統合
flowStatistics.initiatorCountry.geolocation.countryName, src_ip_country principal.location.country_or_region flowStatistics.initiatorCountry.geolocation.countryName が空でない場合はその値、それ以外の場合は src_ip_country
entry.macAddress principal.mac entry.macAddress から統合されました
host_os_platform principal.platform centos の場合は LINUX に設定し、それ以外の場合は entry.host.os.platform を大文字に変換して設定します
entry.host.os.kernel principal.platform_patch_level 値を直接コピーしました
identityData.fingerprintUUID.osName、osFingerprint.fingerprintUUID.osName principal.platform_version identityData が空でない場合は、identityData から osName と osVersion を連結した文字列。空の場合は osFingerprint
SrcPort、entry.sourcePort、entry.sourcePortOrIcmpType、source_port、flowStatistics.initiatorPort、source_port_or_icmp_code principal.port SrcPort の値(空でない場合)、それ以外の場合は entry.sourcePort、それ以外の場合は entry.sourcePortOrIcmpType、それ以外の場合は source_port、それ以外の場合は flowStatistics.initiatorPort、それ以外の場合は source_port_or_icmp_code。整数に変換されます。
isecurityZoneName principal.resource.attribute.labels isecurityZoneName から統合されました
DeviceType principal.resource.name 値を直接コピーしました
principal.resource.resource_type 「DEVICE」に設定
entry.computed.user principal.user.user_display_name 文字列に変換しました
entry.userId、user_id、flowStatistics.user.userId、entry.computed.user、userLoginInformation.userName principal.user.userid entry.userId(空でない場合)、user_id、flowStatistics.user.userId、entry.computed.user、userLoginInformation.userName の順に値を取得します。
connectionID_label、FirstPacketSecond_label sec_result.about.resource.attribute.labels 空でない場合は connectionID_label と FirstPacketSecond_label からマージされます
sec_result_action sec_result.action sec_result_action から統合
flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.category rule_name が Malware の場合は NETWORK_MALICIOUS、Anomali_IP の場合は NETWORK_SUSPICIOUS に設定
classification.description、userLoginInformation.description、sec_desc sec_result.description classification.description(空でない場合)、userLoginInformation.description、sec_desc の順に値を取得します。
entry.computed.priority sec_result.priority 大文字のエントリ。computed.priority _PRIORITY
entry.ruleId、rule_ruleId sec_result.rule_id 空でない場合は entry.ruleId の値、それ以外の場合は rule_ruleId
AccessControlRuleName、rule_message、fw_rule、flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.rule_name AccessControlRuleName の値(空でない場合)、それ以外の場合は rule_message、それ以外の場合は fw_rule、それ以外の場合は flowStatistics.securityIntelligenceList1.securityIntelligenceListName
EventPriority、sec_severity、severity_code、priority_name sec_result.severity EventPriority が Low の場合は LOW、High の場合は HIGH、Medium の場合は MEDIUM に設定します。それ以外の場合は、sec_severity マッピング、severity_code マッピング、priority_name の大文字化の順に設定します。
ユーザー sec_result.summary 値を直接コピーしました
threat_name sec_result.threat_name 値を直接コピーしました
security_result security_result security_result から統合
firewallRuleAction、hold.action、AccessControlRuleAction、sec_result_action、vendor_blocked security_result.action no_action でない場合は firewallRuleAction の値を大文字に変換、それ以外の場合は hold.action、それ以外の場合は AccessControlRuleAction の値(ケース付き)、それ以外の場合は sec_result_action、それ以外の場合は vendor_blocked の値(0 の場合は ALLOW、それ以外の場合は BLOCK)
disposition security_result.action_details 処分 3 の場合は「Infected」、それ以外の場合は「Unknown」に設定します。
eventDescription security_result.description 値を直接コピーしました
firewallRule security_result.rule_name 値を直接コピーしました
threat_name security_result.threat_name 値を直接コピーしました
hostService.webApplication.webApplication0.applicationId.webApplicationName target.application 値を直接コピーしました
DstIP、entry.destinationIpAddress、dest_ip、flowStatistics.responderIPAddress、destination_address_IPv4v6 target.asset.ip DstIP(grok)、entry.destinationIpAddress、dest_ip、flowStatistics.responderIPAddress、destination_address_IPv4v6(grok)から統合
InstanceID、flowStatistics.clientAppId target.asset_id 空でない場合は InstanceID からの値。空の場合は「 Client_app_id: 」+ flowStatistics.clientAppId
ファイル target.file ファイルから名前変更
DstIP、entry.destinationIpAddress、dest_ip、flowStatistics.responderIPAddress、destination_address_IPv4v6 target.ip DstIP(grok)、entry.destinationIpAddress、dest_ip、flowStatistics.responderIPAddress、destination_address_IPv4v6(grok)から統合
flowStatistics.responderCountry.geolocation.countryName、dest_ip_country、entry.country.data target.location.country_or_region flowStatistics.responderCountry.geolocation.countryName の値(空でない場合)、それ以外の場合は dest_ip_country、それ以外の場合は entry.country.data
MACAddress target.mac 00:00:00:00:00:00 以外の場合は小文字の MACAddress
DstPort、entry.destinationPort、entry.destinationPortOrIcmpType、dest_port、flowStatistics.responderPort、destination_port_or_icmp_code target.port DstPort(空でない場合)、entry.destinationPort、entry.destinationPortOrIcmpType、dest_port、flowStatistics.responderPort、destination_port_or_icmp_code の順に値を取得し、整数に変換します。
securityZoneName、det_engine、file_num、file_pos、rec_length target.resource.attribute.labels securityZoneName、det_engine、file_num、file_pos、rec_length が空でない場合は、それらから統合されます。
URL target.url 値を直接コピーしました
entry.user.username.data target.user.userid 値を直接コピーしました
descript vulnerabilities.description 値を直接コピーしました
severity_detail vulnerabilities.severity_details 値を直接コピーしました
product vulnerabilities.vendor 値を直接コピーしました
metadata.product_name 「CISCO_FIRESIGHT」に設定します。
metadata.vendor_name 「CISCO MANAGEMENT CENTER」に設定

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。