收集 Cisco FireSIGHT Management Center 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 代理程式，將 Cisco FireSIGHT Management Center 記錄擷取至 Google Security Operations。

Cisco FireSIGHT Management Center (FMC)，舊稱 FireSIGHT Management Center 或 Firepower Management Center，是集中式管理主控台，可為 Cisco Secure Firewall Threat Defense 裝置提供全面的政策管理、事件分析和報表功能。FMC 可以透過系統記錄將連線事件、安全情報事件、入侵事件、檔案事件和惡意軟體事件傳送至外部 SIEM 系統。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
Bindplane 代理程式與 Cisco FireSIGHT Management Center 之間的網路連線
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Cisco FireSIGHT Management Center 網頁介面的特殊存取權
FMC 中的管理員或安全分析師使用者角色

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，需要使用 customer ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝
1. 以管理員身分開啟「命令提示字元」或「PowerShell」。
2. 執行下列指令：
```
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
```
3. 等待安裝完成。
4. 執行下列指令來驗證安裝：
```
sc query observiq-otel-collector
```
  服務應顯示為「RUNNING」(執行中)。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。

執行下列指令來驗證安裝：

sudo systemctl status observiq-otel-collector

服務應顯示為啟用 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_fmc:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: CISCO_FIRESIGHT
        raw_log_field: body
        ingestion_labels:
            env: production
            source: fmc

service:
    pipelines:
        logs/fmc_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/cisco_fmc

替換下列預留位置：
- 接收器設定：
  - listen_address：設為 0.0.0.0:514，即可監聽 UDP 通訊埠 51 上的所有介面。如果通訊埠 514 需要 Linux 上的根權限，請改用通訊埠 1514，並將 FMC 設為傳送至該通訊埠。
- 匯出工具設定：
  - creds_file_path：擷取驗證檔案的完整路徑：
    - Linux：/etc/bindplane-agent/ingestion-auth.json
    - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID：請替換為您的 customer ID。詳情請參閱「取得 Google SecOps 客戶 ID」。
  - endpoint：區域端點網址：
    - 美國：malachiteingestion-pa.googleapis.com
    - 歐洲：europe-malachiteingestion-pa.googleapis.com
    - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
  - log_type：設為 CISCO_FIRESIGHT (必須完全比對)
  - ingestion_labels：用於篩選和整理的選用標籤

儲存設定檔

編輯完成後，請儲存檔案：

Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列步驟：
1. 執行下列指令：
```
sudo systemctl restart observiq-otel-collector
```
2. 確認服務正在執行：
```
sudo systemctl status observiq-otel-collector
```
3. 檢查記錄中是否有錯誤：
```
sudo journalctl -u observiq-otel-collector -f
```
如要在 Windows 中重新啟動 Bindplane 代理程式，請按照下列步驟操作：
1. 您可以選擇下列其中一個選項：
  - 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - 服務控制台：
    1. 按下 Win+R 鍵，輸入 services.msc，然後按下 Enter 鍵。
    2. 找出 observIQ OpenTelemetry Collector。
    3. 按一下滑鼠右鍵，然後選取「重新啟動」。
2. 確認服務正在執行：
```
sc query observiq-otel-collector
```
3. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

設定 Cisco FireSIGHT Management Center 系統記錄轉送

本節說明如何設定 FMC，將 Firepower Threat Defense 裝置的安全性事件 Syslog 訊息 (連線、安全性情報、入侵、檔案和惡意軟體事件) 傳送至 Bindplane 代理程式。

設定 Firepower Threat Defense 裝置的系統記錄設定

登入 Cisco FireSIGHT Management Center 網頁介面。
依序前往「裝置」>「平台設定」。
編輯與 Firepower Threat Defense 裝置相關聯的平台設定政策，或建立新政策。
按一下左側導覽窗格中的「系統記錄」Syslog。
按一下「Syslog Servers」(系統記錄伺服器)，然後按一下「Add」(新增)，設定新的系統記錄伺服器。
請提供下列設定詳細資料：
- IP 位址：輸入 Bindplane 代理程式主機的 IP 位址 (例如 192.168.1.100)。
- 「通訊協定」：選取「UDP」。
- 通訊埠：輸入 514 (如果您已設定 Bindplane 監聽非特權通訊埠，請輸入 1514)。
- 介面：選取管理介面或可連線至 Bindplane 代理程式的介面。
按一下「確定」，儲存系統記錄伺服器設定。
按一下「Syslog 設定」，然後設定下列項目：
- 勾選「Enable Timestamp on Syslog Messages」。
- 時間戳記格式：選取 ISO 8601 (建議用於 Chronicle)。
- 勾選「啟用系統記錄裝置 ID」，並視需要輸入自訂裝置 ID。
按一下「記錄設定」。
選取是否要以 EMBLEM 格式傳送系統記錄。Chronicle 擷取作業支援這兩種格式。
按一下「儲存」，儲存平台設定政策。

設定存取控管政策記錄設定

在 Cisco FireSIGHT Management Center 網頁介面中，依序前往「Policies」>「Access Control」。
編輯適用的存取控管政策。
按一下「記錄」分頁標籤。
選取「FTD 6.3 以上版本：使用部署在裝置上的 FTD 平台設定政策中設定的系統記錄設定」。
視需要選取「系統記錄嚴重程度」等級 (例如「資訊」或「快訊」)。
如要傳送檔案和惡意軟體事件，請勾選「Send Syslog messages for File and Malware events」(傳送檔案和惡意軟體事件的 Syslog 訊息)。
按一下 [儲存]。

啟用安全性智慧事件記錄功能

在同一個存取權控管政策中，按一下「安全性智慧」分頁標籤。
在下列各個位置，按一下「記錄」並啟用記錄功能：
- 在「DNS 政策」旁：按一下「記錄」，啟用「在連線開始時記錄」和「在連線結束時記錄」，並啟用「系統記錄伺服器」。
- 在「網路」的「封鎖清單」方塊中：按一下「記錄」，啟用「在連線開始時記錄」和「在連線結束時記錄」，並啟用「系統記錄伺服器」。
- 在「網址」的「封鎖清單」方塊中：按一下「記錄」，啟用「在連線開始時記錄」和「在連線結束時記錄」，並啟用「系統記錄伺服器」。
按一下 [儲存]。

啟用存取控管規則的系統記錄檔記錄

在同一個存取權控管政策中，按一下「規則」分頁標籤。
按一下規則即可編輯。
按一下規則中的「記錄」分頁標籤。
選擇要記錄連線的開始或結束時間，或兩者都記錄：
- 勾選「Log at Beginning of Connection」(在連線開始時記錄) (會產生大量記錄)。
- 勾選「Log at End of Connection」(建議用於多數用途)。
如要記錄檔案事件，請勾選「記錄檔」。
勾選「Syslog 伺服器」。
確認規則是「Using default syslog configuration in Access Control Logging」(在存取控制記錄中，使用預設的系統記錄設定)。請勿設定覆寫。
按一下「新增」即可儲存規則。
針對要記錄的政策中每項規則，重複執行步驟 2 到 8。

設定入侵政策的系統記錄設定

依序前往「Policies」>「Intrusion」。
編輯與存取控管政策相關聯的入侵政策。
依序點選「進階設定」>「系統記錄警示」。
將「Syslog Alerting」(系統記錄快訊) 設為「Enabled」(已啟用)。
按一下「Syslog 警示」旁的「編輯」。
進行下列設定：
- 記錄主機：將此欄位留空，即可使用在 FTD 平台設定中設定的系統記錄設定。如果您在此指定記錄主機，也必須設定「Facility」和「Severity」。
- 設施：只有在指定記錄主機時才適用。選取設施 (例如 AUTH 或 LOCAL0)。
- 嚴重性：只有在指定「記錄主機」時才適用。選取嚴重性等級 (例如「資訊」或「快訊」)。
點選 [Back] (上一步)。
按一下左側導覽窗格中的「政策資訊」。
按一下「Commit Changes」。

部署設定變更

設定所有系統記錄設定後，請將變更部署至受管理裝置。
在 Cisco FireSIGHT Management Center 網頁介面中，按一下右上角的「Deploy」。
選取要部署設定的裝置。
按一下「Deploy」(部署)，即可套用變更。

驗證系統記錄檔轉送功能

在 Firepower Threat Defense 裝置上產生測試流量或安全事件。
查看 Bindplane 代理程式記錄，確認是否收到 Syslog 訊息：

Linux：

sudo journalctl -u observiq-otel-collector -f

Windows：

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

登入 Google SecOps 控制台，並確認事件顯示在「事件」檢視器中。

注意： 完成初始設定後，最多可能需要 15 分鐘，Google SecOps 才會顯示事件。

支援的事件類型

Cisco FireSIGHT Management Center 可透過 Syslog 將下列事件類型傳送至 Google SecOps：

事件類型	說明
連線事件	受監控主機與所有其他主機之間的網路連線資料
安全性智慧事件	與安全情報封鎖清單 (IP、網址、DNS) 相關的事件
入侵事件	受管理裝置產生的入侵偵測與防範事件
檔案事件	檔案分析事件
惡意軟體事件	惡意軟體偵測事件

系統記錄檔訊息格式

Cisco FireSIGHT Management Center 會以以下格式傳送系統記錄訊息：

連線事件範例：

<134>1 2024-01-15T10:15:45.123Z fmc-hostname %FTD-6-430003:
EventPriority: Low,
DeviceUUID: abc123,
InstanceID: 1,
FirstPacketSecond: 1705318545,
ConnectionID: 12345,
AccessControlRuleAction: Allow,
SrcIP: 10.0.0.5,
DstIP: 8.8.8.8,
SrcPort: 54321,
DstPort: 53,
Protocol: udp,
IngressInterface: inside,
EgressInterface: outside,
IngressZone: inside-zone,
EgressZone: outside-zone,
ACPolicy: Default-Policy,
AccessControlRuleName: Allow-DNS,
User: user@example.com,
ApplicationProtocol: DNS,
InitiatorBytes: 64,
ResponderBytes: 128

入侵事件範例：

<134>1 2024-01-15T10:16:30.456Z fmc-hostname %FTD-4-430001:
EventPriority: High,
DeviceUUID: abc123,
InstanceID: 1,
SrcIP: 192.168.1.100,
DstIP: 10.0.0.50,
SrcPort: 12345,
DstPort: 80,
Protocol: tcp,
IngressInterface: outside,
EgressInterface: inside,
IngressZone: outside-zone,
EgressZone: inside-zone,
IntrusionPolicy: Security-Over-Connectivity,
SignatureID: 1:2024123:1,
SignatureGeneratorID: 1,
Classification: web-application-attack,
Priority: 1,
Message: SQL injection attempt detected

syslog 訊息包含以半形逗號分隔的鍵/值組合，因此適合 Google SecOps 剖析。

限制

事件從 FMC 傳送後，最多可能需要 15 分鐘才會顯示在 Google SecOps 中。
Syslog 不提供回溯惡意軟體事件。
AMP for Endpoints 產生的事件無法透過系統記錄取得。
透過 eStreamer API 取得的部分中繼資料不會納入系統記錄訊息 (例如 LDAP 中的詳細使用者資訊、擴充應用程式中繼資料、地理位置資料)。
如果您使用逗號等特殊字元設定物件名稱 (政策名稱、規則名稱)，可能會干擾系統記錄剖析作業。請勿在物件名稱中使用特殊字元。

UDM 對應表

記錄欄位	UDM 對應	邏輯
WebApplication、URLReputation、EgressInterface、IngressInterface、ACPolicy、NAPPolicy、ConnectionID、ssl_ticket_id、qoa_applied_interface、sinkhole_uuid、security_context、sec_zone_egress、sec_zone_ingress	additional.fields	如果不是空白，則會從各種標籤欄位合併
eventType	extensions.auth.type	如果 eventType 為「USER_LOGIN_INFORMATION」，請設為「VPN」
vulnerabilities	extensions.vulns.vulnerabilities	如果不是空白，則從安全漏洞合併
flowStatistics.httpReferrer	http.referral_url	直接複製值
flowStatistics.httpResponse	http.response_code	已轉換為整數
flowStatistics.userAgent	http.user_agent	直接複製值
_intermediary	中介	如果不是空白，則從「_intermediary」合併
recordTypeDescription、entry.message	metadata.description	如果 recordTypeDescription 不為空白，則為該值；否則為 entry.message
event_second、connection_timestamp、_serverTimestamp	metadata.event_timestamp	從 event_second 剖析的日期 (如果不是空白)，否則為 connection_timestamp，否則為 _serverTimestamp
event_type	metadata.event_type	直接複製值
prod_event_type、eventId、recordTypeCategory、app、__recordTypeName、eventType	metadata.product_event_type	如果 prod_event_type 不為空白，則為該值；否則為 eventId；否則為 recordTypeCategory；否則為應用程式；否則為 _recordTypeName；否則為 eventType
DeviceUUID	metadata.product_log_id	直接複製值
flowStatistics.clientAppVersion、client_version	metadata.product_version	如果 flowStatistics.clientAppVersion 不是空白，則為該值，否則為 client_version
flowStatistics.clientAppURL	metadata.url_back_to_product	直接複製值
ApplicationProtocol	network.application_protocol	如果比對結果為 (?i)ldap，則設為「LDAP」；如果為 (?i)https，則設為「HTTPS」；如果為 (?i)http，則設為「HTTP」
解答	network.dns.answers	從答案合併
flowStatistics.dnsQuery	network.dns.answers.name	直接複製值
flowStatistics.dnsTTL	network.dns.answers.ttl	已轉換為 uinteger
flowStatistics.dnsRecordType	network.dns.answers.type	已轉換為 uinteger
flowStatistics.dnsResponseType	network.dns.response_code	已轉換為 uinteger
user_agent	network.http.parsed_user_agent	已轉換為 parseduseragent
user_agent	network.http.user_agent	直接複製值
proto、Protocol、inputType、proto_type、protocol、ip_v4_protocol、protocol_number_src	network.ip_protocol	根據各種欄位設定，包括通訊協定對應和案例
ResponderBytes、flowStatistics.bytesReceived	network.received_bytes	如果 ResponderBytes 不為空，則為該值；否則為 flowStatistics.bytesReceived，並轉換為 uinteger
ResponderPackets	network.received_packets	已轉換為整數
InitiatorBytes、flowStatistics.bytesSent	network.sent_bytes	如果 InitiatorBytes 不是空白，則為該值；否則為 flowStatistics.bytesSent，並轉換為 uinteger
InitiatorPackets、packet_data	network.sent_packets	如果 InitiatorPackets 不是空白，則為 InitiatorPackets 的值，否則為 packet_data，並轉換為整數
ssl_session_id	network.session_id	直接複製值
ssl_cipher_suite	network.tls.cipher	直接複製值
agent_type、agent_version	observer.application	如果兩者皆不為空，則串連為 agent_type agent_version
entry.host.hostname	observer.hostname	直接複製值
entry.host.ip	observer.ip	從 entry.host.ip 合併
entry.host.mac	observer.mac	已從 entry.host.mac 合併
clientApplication、hold.app_string	principal.application	如果 clientApplication 不為空白，則為該值；否則為 hold.app_string
prin_host、DeviceAddress、principal_hostname	principal.asset.hostname	如果 prin_host 不為空值，則為該值；如果 sourceAddress 為空值，則為 DeviceAddress；否則為 principal_hostname
SrcIP、principal_ip、source_address_IPv4v6	principal.asset.ip	從 SrcIP (已通過 Grok 驗證)、principal_ip、source_address_IPv4v6 (已通過 Grok 驗證) 合併
file_sha_hash、sha_hash	principal.file.sha256	如果 file_sha_hash 不為空白，則為該值，否則為 sha_hash
prin_host、DeviceAddress、principal_hostname	principal.hostname	如果 prin_host 不為空值，則為該值；如果 sourceAddress 為空值，則為 DeviceAddress；否則為 principal_hostname
SrcIP、principal_ip、source_address_IPv4v6	principal.ip	從 SrcIP (已通過 Grok 驗證)、principal_ip、source_address_IPv4v6 (已通過 Grok 驗證) 合併
flowStatistics.initiatorCountry.geolocation.countryName、src_ip_country	principal.location.country_or_region	如果 flowStatistics.initiatorCountry.geolocation.countryName 不是空白，則為該值，否則為 src_ip_country
entry.macAddress	principal.mac	從 entry.macAddress 合併
host_os_platform	principal.platform	如果是 CentOS，請設為 LINUX，否則請設為大寫的 entry.host.os.platform
entry.host.os.kernel	principal.platform_patch_level	直接複製值
identityData.fingerprintUUID.osName、osFingerprint.fingerprintUUID.osName	principal.platform_version	如果 identityData 不是空白，則從中串連 osName 和 osVersion，否則為 osFingerprint
SrcPort、entry.sourcePort、entry.sourcePortOrIcmpType、source_port、flowStatistics.initiatorPort、source_port_or_icmp_code	principal.port	如果 SrcPort 不為空值，則為 SrcPort 的值；否則為 entry.sourcePort；否則為 entry.sourcePortOrIcmpType；否則為 source_port；否則為 flowStatistics.initiatorPort；否則為 source_port_or_icmp_code，並轉換為整數
isecurityZoneName	principal.resource.attribute.labels	從 isecurityZoneName 合併
DeviceType	principal.resource.name	直接複製值
	principal.resource.resource_type	設為「DEVICE」
entry.computed.user	principal.user.user_display_name	已轉換為字串
entry.userId、user_id、flowStatistics.user.userId、entry.computed.user、userLoginInformation.userName	principal.user.userid	如果不是空白，則為 entry.userId 的值，否則為 user_id，否則為 flowStatistics.user.userId，否則為 entry.computed.user，否則為 userLoginInformation.userName
connectionID_label、FirstPacketSecond_label	sec_result.about.resource.attribute.labels	如果不是空白，則從 connectionID_label 和 FirstPacketSecond_label 合併
sec_result_action	sec_result.action	從 sec_result_action 合併
flowStatistics.securityIntelligenceList1.securityIntelligenceListName	sec_result.category	如果 rule_name 為 Malware，請設為 NETWORK_MALICIOUS；如果為 Anomali_IP，請設為 NETWORK_SUSPICIOUS
classification.description、userLoginInformation.description、sec_desc	sec_result.description	如果分類.description 不為空白，則為該值；否則為 userLoginInformation.description；否則為 sec_desc
entry.computed.priority	sec_result.priority	大寫的 entry.computed.priority _PRIORITY
entry.ruleId、rule_ruleId	sec_result.rule_id	如果 entry.ruleId 不為空白，則為該值，否則為 rule_ruleId
AccessControlRuleName、rule_message、fw_rule、flowStatistics.securityIntelligenceList1.securityIntelligenceListName	sec_result.rule_name	如果 AccessControlRuleName 不為空值，則為該值；否則為 rule_message；否則為 fw_rule；否則為 flowStatistics.securityIntelligenceList1.securityIntelligenceListName
EventPriority、sec_severity、severity_code、priority_name	sec_result.severity	如果 EventPriority 為 Low，則設為 LOW；如果為 High，則設為 HIGH；如果為 Medium，則設為 MEDIUM；否則從 sec_severity 對應項目取得；否則從 severity_code 對應項目取得；否則將 priority_name 設為大寫
使用者	sec_result.summary	直接複製值
threat_name	sec_result.threat_name	直接複製值
security_result	security_result	從 security_result 合併
firewallRuleAction、hold.action、AccessControlRuleAction、sec_result_action、vendor_blocked	security_result.action	如果不是 no_action，則為防火牆規則動作的大寫值，否則為 hold.action，否則為 AccessControlRuleAction (含大小寫)，否則為 sec_result_action，否則為 vendor_blocked (0 為 ALLOW，否則為 BLOCK)
disposition	security_result.action_details	如果處置方式為 3，則設為「Infected」，否則設為「Unknown」
eventDescription	security_result.description	直接複製值
firewallRule	security_result.rule_name	直接複製值
threat_name	security_result.threat_name	直接複製值
hostService.webApplication.webApplication0.applicationId.webApplicationName	target.application	直接複製值
DstIP、entry.destinationIpAddress、dest_ip、flowStatistics.responderIPAddress、destination_address_IPv4v6	target.asset.ip	從 DstIP (grok)、entry.destinationIpAddress、dest_ip、flowStatistics.responderIPAddress、destination_address_IPv4v6 (grok) 合併
InstanceID、flowStatistics.clientAppId	target.asset_id	如果 InstanceID 不為空值，則為 InstanceID 的值，否則為「Client_app_id: 」+ flowStatistics.clientAppId
檔案	target.file	從檔案重新命名
DstIP、entry.destinationIpAddress、dest_ip、flowStatistics.responderIPAddress、destination_address_IPv4v6	target.ip	從 DstIP (grok)、entry.destinationIpAddress、dest_ip、flowStatistics.responderIPAddress、destination_address_IPv4v6 (grok) 合併
flowStatistics.responderCountry.geolocation.countryName、dest_ip_country、entry.country.data	target.location.country_or_region	如果 flowStatistics.responderCountry.geolocation.countryName 不為空值，則為該值；否則為 dest_ip_country；否則為 entry.country.data
MACAddress	target.mac	如果不是 00:00:00:00:00:00，則為小寫的 MACAddress
DstPort、entry.destinationPort、entry.destinationPortOrIcmpType、dest_port、flowStatistics.responderPort、destination_port_or_icmp_code	target.port	如果 DstPort 不為空白，則為 DstPort 的值；否則為 entry.destinationPort；否則為 entry.destinationPortOrIcmpType；否則為 dest_port；否則為 flowStatistics.responderPort；否則為 destination_port_or_icmp_code，並轉換為整數
securityZoneName、det_engine、file_num、file_pos、rec_length	target.resource.attribute.labels	如果不是空白，則從 securityZoneName、det_engine、file_num、file_pos、rec_length 合併
網址	target.url	直接複製值
entry.user.username.data	target.user.userid	直接複製值
descript	vulnerabilities.description	直接複製值
severity_detail	vulnerabilities.severity_details	直接複製值
產品	vulnerabilities.vendor	直接複製值
	metadata.product_name	設為「CISCO_FIRESIGHT」
	metadata.vendor_name	設為「CISCO MANAGEMENT CENTER」

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。