Coletar registros do Cisco FireSIGHT Management Center

Compatível com:

Este documento explica como ingerir registros do Cisco FireSIGHT Management Center no Google Security Operations usando o agente Bindplane.

O Cisco FireSIGHT Management Center (FMC), antes conhecido como FireSIGHT Management Center ou Firepower Management Center, é um console de gerenciamento centralizado que oferece gerenciamento abrangente de políticas, análise de eventos e relatórios para dispositivos Cisco Secure Firewall Threat Defense. O FMC pode enviar eventos de conexão, de inteligência de segurança, de intrusão, de arquivo e de malware via syslog para sistemas SIEM externos.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2016 ou mais recente ou host Linux com systemd
  • Conectividade de rede entre o agente do Bindplane e o Cisco FireSIGHT Management Center
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
  • Acesso privilegiado à interface da Web do Cisco FireSIGHT Management Center
  • Função do usuário de administrador ou analista de segurança no FMC

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.

  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.

  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

  • Instalação do Windows

    1. Abra o prompt de comando ou o PowerShell como administrador.

    2. Execute este comando:

      msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

    3. Aguarde a conclusão da instalação.

    4. Execute o seguinte comando para confirmar a instalação:

      sc query observiq-otel-collector

      O serviço vai aparecer como EM EXECUÇÃO.

  • Instalação do Linux

    1. Abra um terminal com privilégios de root ou sudo.

    2. Execute este comando:

      sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

    3. Aguarde a conclusão da instalação.

    4. Execute o seguinte comando para confirmar a instalação:

      sudo systemctl status observiq-otel-collector

    O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

  1. Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_fmc:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_FIRESIGHT
        raw_log_field: body
        ingestion_labels:
            env: production
            source: fmc

service:
    pipelines:
        logs/fmc_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_fmc

  2. Substitua os seguintes marcadores de posição:

    • Configuração do receptor:

      • listen_address: defina como 0.0.0.0:514 para detectar todas as interfaces na porta UDP 51. Se a porta 514 exigir privilégios de root no Linux, use a porta 1514 e configure o FMC para enviar a essa porta.

    • Configuração do exportador:

      • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:

        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json

      • YOUR_CUSTOMER_ID: substitua pelo seu customer ID. Para mais detalhes, consulte Receber o ID de cliente do Google SecOps.

      • endpoint: URL do endpoint regional:

        • EUA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com

      • log_type: defina como CISCO_FIRESIGHT (é necessária uma correspondência exata)

      • ingestion_labels: rótulos opcionais para filtragem e organização

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:

  • Linux: pressione Ctrl+O, Enter e Ctrl+X.
  • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux:

    1. Execute este comando:

      sudo systemctl restart observiq-otel-collector

    2. Verifique se o serviço está em execução:

      sudo systemctl status observiq-otel-collector

    3. Verifique se há erros nos registros:

      sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar o agente do Bindplane em Windows:

    1. Escolha uma das seguintes opções:

      • Prompt de comando ou PowerShell como administrador:

        net stop observiq-otel-collector && net start observiq-otel-collector

      • Console de serviços:

        1. Pressione Win+R, digite services.msc e pressione Enter.
        2. Localize o Coletor do OpenTelemetry da observIQ.
        3. Clique com o botão direito do mouse e selecione Reiniciar.

    2. Verifique se o serviço está em execução:

      sc query observiq-otel-collector

    3. Verifique se há erros nos registros:

      type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar o encaminhamento de syslog do Cisco FireSIGHT Management Center

Nesta seção, descrevemos como configurar o FMC para enviar mensagens syslog de ocorrência de segurança (conexão, inteligência de segurança, intrusão, arquivo e malware) de dispositivos Firepower Threat Defense para o agente Bindplane.

Configurar as definições do syslog para dispositivos Firepower Threat Defense

  1. Faça login na interface da Web do Cisco FireSIGHT Management Center.
  2. Acesse Dispositivos > Configurações da plataforma.
  3. Edite a política de configurações da plataforma associada ao seu dispositivo Firepower Threat Defense ou crie uma nova.
  4. No painel de navegação à esquerda, clique em Syslog.
  5. Clique em Servidores Syslog e em Adicionar para configurar um novo servidor Syslog.
  6. Informe os seguintes detalhes de configuração:
    • Endereço IP: insira o endereço IP do host do agente do Bindplane (por exemplo, 192.168.1.100).
    • Protocolo: selecione UDP.
    • Porta: digite 514 (ou 1514 se você configurou o Bindplane para detectar uma porta não privilegiada).
    • Interface: selecione a interface de gerenciamento ou a interface que pode alcançar o agente do Bindplane.
  7. Clique em OK para salvar a configuração do servidor syslog.
  8. Clique em Configurações do Syslog e defina o seguinte:
    • Marque Ativar carimbo de data/hora em mensagens do Syslog.
    • Formato do carimbo de data/hora: selecione ISO 8601 (recomendado para o Chronicle).
    • Marque Ativar ID do dispositivo Syslog e, se quiser, insira um identificador de dispositivo personalizado.
  9. Clique em Configuração de registro.
  10. Selecione se você quer enviar syslogs no formato EMBLEM. Para a ingestão do Chronicle, qualquer um dos formatos é aceito.
  11. Clique em Salvar para salvar a política de configurações da plataforma.

Configurar as definições de geração de registros da política de controle de acesso

  1. Na interface da Web do Cisco FireSIGHT Management Center, acesse Políticas > Controle de acesso.
  2. Edite a política de controle de acesso aplicável.
  3. Clique na guia Registro em log.
  4. Selecione FTD 6.3 e versões mais recentes: use as configurações de syslog configuradas na política de configurações da plataforma FTD implantada no dispositivo.
  5. Se quiser, selecione um nível de Gravidade do Syslog (por exemplo, Informações ou Alerta).
  6. Se você for enviar eventos de arquivo e malware, marque Enviar mensagens Syslog para eventos de arquivo e malware.
  7. Clique em Salvar.

Ativar o registro em log para eventos de inteligência de segurança

  1. Na mesma política de controle de acesso, clique na guia Inteligência de segurança.
  2. Em cada um dos seguintes locais, clique em Geração de registros e ative a geração de registros:
    • Ao lado de Política de DNS, clique em Registro em registros, ative Registrar no início da conexão e Registrar no final da conexão e ative Servidor Syslog.
    • Na caixa Lista de bloqueio para Redes: clique em Registro em log, ative Registrar no início da conexão e Registrar no fim da conexão e ative Servidor Syslog.
    • Na caixa Lista de bloqueio para URLs: clique em Registro em log, ative Registrar no início da conexão e Registrar no fim da conexão e ative Servidor Syslog.
  3. Clique em Salvar.

Ativar o registro do syslog para regras de controle de acesso

  1. Na mesma política de controle de acesso, clique na guia Regras.
  2. Clique em uma regra para editar.
  3. Clique na guia Registro em registros na regra.
  4. Escolha se quer registrar o início ou o fim das conexões, ou ambos:
    • Marque Registrar no início da conexão (gera um volume alto).
    • Marque Registrar no fim da conexão (recomendado para a maioria dos casos de uso).
  5. Se você registrar eventos de arquivo de registro, marque Arquivos de registro.
  6. Marque Servidor Syslog.
  7. Verifique se a regra está Usando a configuração syslog padrão no registro de controle de acesso. Não configure substituições.
  8. Clique em Adicionar para salvar a regra.
  9. Repita as etapas de 2 a 8 para cada regra na política que você quer registrar.

Configurar as definições de syslog da política de intrusão

  1. Acesse Políticas > Intrusão.
  2. Edite a política de intrusão associada à sua política de controle de acesso.
  3. Clique em Configurações avançadas > Alertas do Syslog.
  4. Defina Alertas do Syslog como Ativado.
  5. Clique em Editar ao lado de Alertas do Syslog.
  6. Defina as configurações a seguir:
    • Host de geração de registros: deixe em branco para usar as configurações do syslog definidas nas configurações da plataforma FTD. Se você especificar um host de registro aqui, também precisará configurar Facility e Severity.
    • Instalação: aplicável apenas se você especificar um host de geração de registros. Selecione uma instalação (por exemplo, AUTH ou LOCAL0).
    • Gravidade: aplicável apenas se você especificar um host de geração de registros. Selecione um nível de gravidade (por exemplo, Informações ou Alerta).
  7. Clique em Back.
  8. Clique em Informações da política no painel de navegação à esquerda.
  9. Clique em Confirmar mudanças.

Implantar mudanças de configuração

  1. Depois de configurar todas as opções do syslog, implante as mudanças nos dispositivos gerenciados.
  2. Na interface da Web do Cisco FireSIGHT Management Center, clique em Deploy no canto superior direito.
  3. Selecione os dispositivos em que você quer implantar a configuração.
  4. Clique em Implantar para aplicar as mudanças.

Verificar o encaminhamento de syslog

  1. Gere tráfego de teste ou eventos de segurança nos seus dispositivos Firepower Threat Defense.
  2. Verifique os registros do agente do Bindplane para confirmar se as mensagens do syslog estão sendo recebidas:

  • Linux:

    sudo journalctl -u observiq-otel-collector -f

  • Windows:

    type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

  1. Faça login no console do Google SecOps e verifique se os eventos estão aparecendo no visualizador Eventos.

Tipos de evento compatíveis

O Cisco FireSIGHT Management Center pode enviar os seguintes tipos de eventos via syslog para o Google SecOps:

Tipo de evento Descrição
Eventos de conexão Dados de conexão de rede entre hosts monitorados e todos os outros hosts
Eventos de inteligência de segurança Eventos relacionados a listas de bloqueio de inteligência de segurança (IP, URL, DNS)
Eventos de intrusão Eventos de detecção e prevenção de intrusões gerados por dispositivos gerenciados
Eventos de arquivo Eventos de análise de arquivos
Eventos de malware Eventos de detecção de malware

Formato das mensagens do Syslog

O Cisco FireSIGHT Management Center envia mensagens syslog no seguinte formato:

  • Exemplo de evento de conexão:

    <134>1 2024-01-15T10:15:45.123Z fmc-hostname %FTD-6-430003:
EventPriority: Low,
DeviceUUID: abc123,
InstanceID: 1,
FirstPacketSecond: 1705318545,
ConnectionID: 12345,
AccessControlRuleAction: Allow,
SrcIP: 10.0.0.5,
DstIP: 8.8.8.8,
SrcPort: 54321,
DstPort: 53,
Protocol: udp,
IngressInterface: inside,
EgressInterface: outside,
IngressZone: inside-zone,
EgressZone: outside-zone,
ACPolicy: Default-Policy,
AccessControlRuleName: Allow-DNS,
User: user@example.com,
ApplicationProtocol: DNS,
InitiatorBytes: 64,
ResponderBytes: 128

  • Exemplo de evento de intrusão:

    <134>1 2024-01-15T10:16:30.456Z fmc-hostname %FTD-4-430001:
EventPriority: High,
DeviceUUID: abc123,
InstanceID: 1,
SrcIP: 192.168.1.100,
DstIP: 10.0.0.50,
SrcPort: 12345,
DstPort: 80,
Protocol: tcp,
IngressInterface: outside,
EgressInterface: inside,
IngressZone: outside-zone,
EgressZone: inside-zone,
IntrusionPolicy: Security-Over-Connectivity,
SignatureID: 1:2024123:1,
SignatureGeneratorID: 1,
Classification: web-application-attack,
Priority: 1,
Message: SQL injection attempt detected

As mensagens do syslog incluem pares de chave-valor separados por vírgulas, o que as torna adequadas para análise pelo Google SecOps.

Limitações

  • Pode levar até 15 minutos para que os eventos apareçam no Google SecOps depois de serem enviados do FMC.
  • Os eventos retrospectivos de malware não estão disponíveis via syslog.
  • Os eventos gerados pelo AMP para endpoints não estão disponíveis via syslog.
  • Alguns metadados disponíveis pela API eStreamer não estão incluídos nas mensagens syslog (por exemplo, informações detalhadas do usuário do LDAP, metadados estendidos do aplicativo, dados de geolocalização).
  • Se você configurar nomes de objetos (nomes de políticas, nomes de regras) com caracteres especiais, como vírgulas, eles poderão interferir na análise do syslog. Evite usar caracteres especiais em nomes de objetos.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
WebApplication, URLReputation, EgressInterface, IngressInterface, ACPolicy, NAPPolicy, ConnectionID, ssl_ticket_id, qoa_applied_interface, sinkhole_uuid, security_context, sec_zone_egress, sec_zone_ingress additional.fields Unido de vários campos de rótulo, se não estiver vazio
eventType extensions.auth.type Definido como "VPN" se eventType for "USER_LOGIN_INFORMATION"
vulnerabilidades extensions.vulns.vulnerabilities Unidas de vulnerabilidades se não estiverem vazias
flowStatistics.httpReferrer http.referral_url Valor copiado diretamente
flowStatistics.httpResponse http.response_code Convertido para número inteiro
flowStatistics.userAgent http.user_agent Valor copiado diretamente
_intermediary intermediário Mesclado de _intermediary se não estiver vazio
recordTypeDescription, entry.message metadata.description Valor de recordTypeDescription se não estiver vazio, caso contrário, de entry.message
event_second, connection_timestamp, _serverTimestamp metadata.event_timestamp Data analisada de event_second se não estiver vazia. Caso contrário, connection_timestamp ou _serverTimestamp.
event_type metadata.event_type Valor copiado diretamente
prod_event_type, eventId, recordTypeCategory, app, _recordTypeName, eventType metadata.product_event_type Valor de prod_event_type se não estiver vazio, caso contrário, eventId, recordTypeCategory, app, _recordTypeName ou eventType
DeviceUUID metadata.product_log_id Valor copiado diretamente
flowStatistics.clientAppVersion, client_version metadata.product_version Valor de flowStatistics.clientAppVersion se não estiver vazio, caso contrário, client_version
flowStatistics.clientAppURL metadata.url_back_to_product Valor copiado diretamente
ApplicationProtocol network.application_protocol Definido como "LDAP" se corresponder a (?i)ldap, "HTTPS" se (?i)https, "HTTP" se (?i)http
resposta network.dns.answers Mesclado da resposta
flowStatistics.dnsQuery network.dns.answers.name Valor copiado diretamente
flowStatistics.dnsTTL network.dns.answers.ttl Convertido para uinteger
flowStatistics.dnsRecordType network.dns.answers.type Convertido para uinteger
flowStatistics.dnsResponseType network.dns.response_code Convertido para uinteger
user_agent network.http.parsed_user_agent Convertido para parseduseragent
user_agent network.http.user_agent Valor copiado diretamente
proto, Protocol, inputType, proto_type, protocol, ip_v4_protocol, protocol_number_src network.ip_protocol Definido com base em vários campos com mapeamentos e casos de protocolo
ResponderBytes, flowStatistics.bytesReceived network.received_bytes Valor de ResponderBytes se não estiver vazio. Caso contrário, flowStatistics.bytesReceived, convertido para uinteger.
ResponderPackets network.received_packets Convertido para número inteiro
InitiatorBytes, flowStatistics.bytesSent network.sent_bytes Valor de InitiatorBytes se não estiver vazio. Caso contrário, flowStatistics.bytesSent, convertido para uinteger.
InitiatorPackets, packet_data network.sent_packets Valor de InitiatorPackets se não estiver vazio, caso contrário, packet_data, convertido em número inteiro.
ssl_session_id network.session_id Valor copiado diretamente
ssl_cipher_suite network.tls.cipher Valor copiado diretamente
agent_type, agent_version observer.application Concatenado como agent_type agent_version se ambos não estiverem vazios
entry.host.hostname observer.hostname Valor copiado diretamente
entry.host.ip observer.ip Unido de entry.host.ip
entry.host.mac observer.mac Mesclado de entry.host.mac
clientApplication, hold.app_string principal.application Valor de clientApplication se não estiver vazio, caso contrário, hold.app_string
prin_host, DeviceAddress, principal_hostname principal.asset.hostname Valor de prin_host se não estiver vazio. Caso contrário, DeviceAddress se sourceAddress estiver vazio. Caso contrário, principal_hostname.
SrcIP, principal_ip, source_address_IPv4v6 principal.asset.ip Mesclado de SrcIP (grok validado), principal_ip, source_address_IPv4v6 (grok validado)
file_sha_hash, sha_hash principal.file.sha256 Valor de "file_sha_hash" se não estiver vazio, caso contrário, "sha_hash"
prin_host, DeviceAddress, principal_hostname principal.hostname Valor de prin_host se não estiver vazio. Caso contrário, DeviceAddress se sourceAddress estiver vazio. Caso contrário, principal_hostname.
SrcIP, principal_ip, source_address_IPv4v6 principal.ip Mesclado de SrcIP (grok validado), principal_ip, source_address_IPv4v6 (grok validado)
flowStatistics.initiatorCountry.geolocation.countryName, src_ip_country principal.location.country_or_region Valor de flowStatistics.initiatorCountry.geolocation.countryName se não estiver vazio, caso contrário, src_ip_country
entry.macAddress principal.mac Mesclado de entry.macAddress
host_os_platform principal.platform Definido como LINUX se centos, caso contrário, entry.host.os.platform em maiúsculas
entry.host.os.kernel principal.platform_patch_level Valor copiado diretamente
identityData.fingerprintUUID.osName, osFingerprint.fingerprintUUID.osName principal.platform_version osName e osVersion concatenados de identityData, se não estiverem vazios, caso contrário, osFingerprint
SrcPort, entry.sourcePort, entry.sourcePortOrIcmpType, source_port, flowStatistics.initiatorPort, source_port_or_icmp_code principal.port Valor de SrcPort se não estiver vazio. Caso contrário, entry.sourcePort, entry.sourcePortOrIcmpType, source_port, flowStatistics.initiatorPort, source_port_or_icmp_code, convertido para número inteiro.
isecurityZoneName principal.resource.attribute.labels Mesclado de isecurityZoneName
DeviceType principal.resource.name Valor copiado diretamente
principal.resource.resource_type Definido como "DEVICE"
entry.computed.user principal.user.user_display_name Convertido em string
entry.userId, user_id, flowStatistics.user.userId, entry.computed.user, userLoginInformation.userName principal.user.userid Valor de entry.userId se não estiver vazio. Caso contrário, user_id, flowStatistics.user.userId, entry.computed.user ou userLoginInformation.userName.
connectionID_label, FirstPacketSecond_label sec_result.about.resource.attribute.labels Mesclado de connectionID_label e FirstPacketSecond_label se não estiver vazio
sec_result_action sec_result.action Mesclado de sec_result_action
flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.category Definido como NETWORK_MALICIOUS se rule_name for Malware, NETWORK_SUSPICIOUS se Anomali_IP
classification.description, userLoginInformation.description, sec_desc sec_result.description Valor de "classification.description" se não estiver vazio. Caso contrário, "userLoginInformation.description". Caso contrário, "sec_desc".
entry.computed.priority sec_result.priority Entrada em maiúsculas entry.computed.priority _PRIORITY
entry.ruleId, rule_ruleId sec_result.rule_id Valor de "entry.ruleId" se não estiver vazio, caso contrário, "rule_ruleId"
AccessControlRuleName, rule_message, fw_rule, flowStatistics.securityIntelligenceList1.securityIntelligenceListName sec_result.rule_name Valor de AccessControlRuleName se não estiver vazio. Caso contrário, rule_message, fw_rule ou flowStatistics.securityIntelligenceList1.securityIntelligenceListName.
EventPriority, sec_severity, severity_code, priority_name sec_result.severity Definido como LOW se EventPriority for Low, HIGH se High, MEDIUM se Medium; caso contrário, dos mapeamentos sec_severity; caso contrário, dos mapeamentos severity_code; caso contrário, priority_name em maiúsculas
Usuário sec_result.summary Valor copiado diretamente
threat_name sec_result.threat_name Valor copiado diretamente
security_result security_result Mesclado de security_result
firewallRuleAction, hold.action, AccessControlRuleAction, sec_result_action, vendor_blocked security_result.action Valor de firewallRuleAction em maiúsculas se não for no_action, caso contrário, hold.action, caso contrário, de AccessControlRuleAction com casos, caso contrário, sec_result_action, caso contrário, de vendor_blocked (0 ALLOW, caso contrário, BLOCK)
disposition security_result.action_details Definido como "Infected" (Infectado) se a disposição for 3, caso contrário, "Unknown" (Desconhecido)
eventDescription security_result.description Valor copiado diretamente
firewallRule security_result.rule_name Valor copiado diretamente
threat_name security_result.threat_name Valor copiado diretamente
hostService.webApplication.webApplication0.applicationId.webApplicationName target.application Valor copiado diretamente
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 target.asset.ip Mesclado de DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)
InstanceID, flowStatistics.clientAppId target.asset_id Valor do InstanceID se não estiver vazio. Caso contrário, " Client_app_id: " + flowStatistics.clientAppId
arquivo target.file Renomeado do arquivo
DstIP, entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 target.ip Mesclado de DstIP (grok), entry.destinationIpAddress, dest_ip, flowStatistics.responderIPAddress, destination_address_IPv4v6 (grok)
flowStatistics.responderCountry.geolocation.countryName, dest_ip_country, entry.country.data target.location.country_or_region Valor de flowStatistics.responderCountry.geolocation.countryName se não estiver vazio, caso contrário, dest_ip_country ou entry.country.data
MACAddress target.mac MACAddress em letras minúsculas, se não for 00:00:00:00:00:00
DstPort, entry.destinationPort, entry.destinationPortOrIcmpType, dest_port, flowStatistics.responderPort, destination_port_or_icmp_code target.port Valor de DstPort se não estiver vazio, caso contrário, entry.destinationPort, entry.destinationPortOrIcmpType, dest_port, flowStatistics.responderPort, destination_port_or_icmp_code, convertido em número inteiro
securityZoneName, det_engine, file_num, file_pos, rec_length target.resource.attribute.labels Mesclado de securityZoneName, det_engine, file_num, file_pos, rec_length se não estiver vazio
URL target.url Valor copiado diretamente
entry.user.username.data target.user.userid Valor copiado diretamente
descript vulnerabilities.description Valor copiado diretamente
severity_detail vulnerabilities.severity_details Valor copiado diretamente
produto vulnerabilities.vendor Valor copiado diretamente
metadata.product_name Definido como "CISCO_FIRESIGHT"
metadata.vendor_name Definido como "CISCO MANAGEMENT CENTER"

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.