Azure Sentinel中Cisco ISE日志解析问题的深入分析与解决方案

问题背景

在Azure Sentinel环境中使用Cisco ISE解决方案时，用户遇到了"CiscoISEEvent"函数解析数据不正确的问题。这个问题导致日志数据被错误地分配到不匹配的列中，严重影响了安全监控和事件调查的有效性。

问题现象

当用户在Sentinel或Log Analytics中执行"CiscoISEEvent"函数查询时，返回的数据显示以下异常情况：

1. 事件ID和严重级别等关键字段未能正确解析
2. 数据被错误地分配到不匹配的列中
3. 部分日志条目完全丢失了事件ID和严重级别信息

根本原因分析

经过深入调查，发现该问题主要由以下因素导致：

1. 日志格式变化：新版Cisco ISE设备输出的日志格式发生了变化，特别是在处理包含大量外部组的事件时（如事件ID 5002/3001）。

2. 多日志分段：ISE现在会将单个事件拆分为多个日志条目发送，每个条目开头包含日志标识符和序列号，这与原有解析函数不兼容。

3. 混合格式：系统同时存在两种不同的日志格式，导致单一解析规则难以正确处理所有情况。

技术解决方案

改进的解析函数

针对上述问题，我们开发了增强版的解析函数，主要改进包括：

1. 多日志合并处理：新增了对分段日志的识别和合并功能，确保完整事件信息的重建。

2. 扩展字段支持：新增了对EapAuthentication和CPMSessionID等字段的解析支持。

3. 格式兼容性增强：优化了正则表达式模式，提高了对不同日志格式的兼容性。

关键代码改进

let EventData = Syslog
    | where ProcessName has_any ("CSCO", "CISE")
    | extend EventVendor = 'CISCO'
    | extend EventProduct = 'ISE'
    | parse SyslogMessage with EventId:string " " EventSeverity " " EventCategory " " RestOfMessage
    | parse SyslogMessage with * ": " EventMessage"," *
    | parse-kv SyslogMessage as (ConfigVersionId:int, ['Device IP Address']:string, NetworkDeviceName:string, DestinationIPAddress:string, DestinationPort:int, UserName:string, Protocol:string, RequestLatency:int, ['NAS-IP-Address']:string, ['NAS-Port']:int, ['NAS-Port-Type']:string, ['NAS-Identifier']:string, ['Service-Type']:string, ['Framed-MTU']:int, ['Called-Station-ID']:string, ['Calling-Station-ID']:string, Action:string, ['Privilege-Level']:int, ['Remote-Address']:string, NetworkDeviceProfileId:string, AcsSessionID:string, ['Acct-Session-Id']:string, ['Authen-Type']:string, AuthenticationIdentityStore:string, AuthenticationMethod:string, Service:string, SelectedAccessService:string,CPMSessionID:string, EapAuthentication:string, SelectedShellProfile:string, IdentityGroup:string, ['Service-Argument']:string, CmdSet:string, MatchedCommandSet:string, ['Authen-Method']:string, SelectedCommandSet:string, NetworkDeviceProfileName:string, PostureStatus:string, SelectedAuthorizationProfiles:string, AuthorizationPolicyMatchedRule:string, MisconfiguredClientFixReason:string, RadiusPacketType:string, FailureReason:string, Type:string, DetailedInfo:string) with (pair_delimiter=', ', kv_delimiter='=')

实施建议

1. 全面测试：在生产环境部署前，建议在测试环境中充分验证新解析函数的准确性。

2. 监控机制：实施后应建立监控机制，确保所有关键字段都能被正确解析。

3. 定期更新：随着Cisco ISE版本的更新，应定期检查解析函数的兼容性。

总结

Cisco ISE日志解析问题是一个典型的因源系统日志格式变化导致的数据处理异常案例。通过深入分析日志结构变化并针对性改进解析函数，我们成功解决了这一问题。建议所有使用Cisco ISE与Azure Sentinel集成的用户及时更新解析规则，确保安全监控数据的完整性和准确性。

对于更复杂的环境或特殊需求，可能需要进一步定制解析逻辑。安全团队应保持对日志格式变化的敏感性，及时调整数据处理策略，以维护安全监控体系的有效性。