首页
/ Azure Sentinel中Cisco ISE日志解析问题的深入分析与解决方案

Azure Sentinel中Cisco ISE日志解析问题的深入分析与解决方案

2025-06-09 02:25:39作者:侯霆垣

问题背景

在Azure Sentinel环境中使用Cisco ISE解决方案时,用户遇到了"CiscoISEEvent"函数解析数据不正确的问题。这个问题导致日志数据被错误地分配到不匹配的列中,严重影响了安全监控和事件调查的有效性。

问题现象

当用户在Sentinel或Log Analytics中执行"CiscoISEEvent"函数查询时,返回的数据显示以下异常情况:

  1. 事件ID和严重级别等关键字段未能正确解析
  2. 数据被错误地分配到不匹配的列中
  3. 部分日志条目完全丢失了事件ID和严重级别信息

根本原因分析

经过深入调查,发现该问题主要由以下因素导致:

  1. 日志格式变化:新版Cisco ISE设备输出的日志格式发生了变化,特别是在处理包含大量外部组的事件时(如事件ID 5002/3001)。

  2. 多日志分段:ISE现在会将单个事件拆分为多个日志条目发送,每个条目开头包含日志标识符和序列号,这与原有解析函数不兼容。

  3. 混合格式:系统同时存在两种不同的日志格式,导致单一解析规则难以正确处理所有情况。

技术解决方案

改进的解析函数

针对上述问题,我们开发了增强版的解析函数,主要改进包括:

  1. 多日志合并处理:新增了对分段日志的识别和合并功能,确保完整事件信息的重建。

  2. 扩展字段支持:新增了对EapAuthentication和CPMSessionID等字段的解析支持。

  3. 格式兼容性增强:优化了正则表达式模式,提高了对不同日志格式的兼容性。

关键代码改进

let EventData = Syslog
    | where ProcessName has_any ("CSCO", "CISE")
    | extend EventVendor = 'CISCO'
    | extend EventProduct = 'ISE'
    | parse SyslogMessage with EventId:string " " EventSeverity " " EventCategory " " RestOfMessage
    | parse SyslogMessage with * ": " EventMessage"," *
    | parse-kv SyslogMessage as (ConfigVersionId:int, ['Device IP Address']:string, NetworkDeviceName:string, DestinationIPAddress:string, DestinationPort:int, UserName:string, Protocol:string, RequestLatency:int, ['NAS-IP-Address']:string, ['NAS-Port']:int, ['NAS-Port-Type']:string, ['NAS-Identifier']:string, ['Service-Type']:string, ['Framed-MTU']:int, ['Called-Station-ID']:string, ['Calling-Station-ID']:string, Action:string, ['Privilege-Level']:int, ['Remote-Address']:string, NetworkDeviceProfileId:string, AcsSessionID:string, ['Acct-Session-Id']:string, ['Authen-Type']:string, AuthenticationIdentityStore:string, AuthenticationMethod:string, Service:string, SelectedAccessService:string,CPMSessionID:string, EapAuthentication:string, SelectedShellProfile:string, IdentityGroup:string, ['Service-Argument']:string, CmdSet:string, MatchedCommandSet:string, ['Authen-Method']:string, SelectedCommandSet:string, NetworkDeviceProfileName:string, PostureStatus:string, SelectedAuthorizationProfiles:string, AuthorizationPolicyMatchedRule:string, MisconfiguredClientFixReason:string, RadiusPacketType:string, FailureReason:string, Type:string, DetailedInfo:string) with (pair_delimiter=', ', kv_delimiter='=')

实施建议

  1. 全面测试:在生产环境部署前,建议在测试环境中充分验证新解析函数的准确性。

  2. 监控机制:实施后应建立监控机制,确保所有关键字段都能被正确解析。

  3. 定期更新:随着Cisco ISE版本的更新,应定期检查解析函数的兼容性。

总结

Cisco ISE日志解析问题是一个典型的因源系统日志格式变化导致的数据处理异常案例。通过深入分析日志结构变化并针对性改进解析函数,我们成功解决了这一问题。建议所有使用Cisco ISE与Azure Sentinel集成的用户及时更新解析规则,确保安全监控数据的完整性和准确性。

对于更复杂的环境或特殊需求,可能需要进一步定制解析逻辑。安全团队应保持对日志格式变化的敏感性,及时调整数据处理策略,以维护安全监控体系的有效性。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
146
1.94 K
kernelkernel
deepin linux kernel
C
22
6
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
274
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
930
554
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
965
395
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
66
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.11 K
0
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
64
513