Recopila registros del Administrador de autenticación de RSA

Compatible con:

En este documento, se describe cómo puedes recopilar registros de RSA Authentication Manager con un reenviador de Operaciones de seguridad de Google.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia RSA_AUTH_MANAGER.

Configura RSA Authentication Manager

  1. Accede a la consola de RSA Authentication Manager Security con las credenciales de administrador.
  2. En el menú Configuración, haz clic en Configuración del sistema.
  3. En la ventana Configuración del sistema, en la sección Configuración básica, selecciona Registro.
  4. En la sección Seleccionar instancia, selecciona el tipo de instancia Principal configurado en tu entorno y, luego, haz clic en Siguiente para continuar.
  5. En la sección Configurar configuración, configura los registros de las siguientes secciones que se muestran:
    • Niveles de registro
    • Destino de los datos de registro
    • Enmascaramiento de datos de registros
  6. En la sección Niveles de registro, configura los siguientes registros:
    • Establece Registro de seguimiento como Fatal.
    • Establece Registro de auditoría administrativa en Correcto.
    • Establece Registro de auditoría de entorno de ejecución en Correcto.
    • Establece Registro del sistema como Advertencia.

  7. En la sección Destino de los datos de registro, para los siguientes datos de nivel de registro, selecciona Guardar en la base de datos interna y el syslog remoto para el siguiente nombre de host o dirección IP y, luego, ingresa la dirección IP de Google Security Operations:

    • Datos del registro de auditoría administrativa
    • Datos del registro de auditoría del entorno de ejecución
    • Datos de registro del sistema

    Los mensajes de Syslog se transmiten a través de un número de puerto más alto para UDP.

  8. En la sección Enmascaramiento de datos de registro, en el campo Enmascarar número de serie de token: cantidad de dígitos del número de serie de token que se mostrará, ingresa el valor máximo, que es igual a la cantidad de dígitos que aparecen en los tokens disponibles, como 12.

    Para obtener más información, consulta Enmascaramiento de datos de registro.

  9. Haz clic en Guardar.

Configura el reenviador y el syslog de Google Security Operations para transferir los registros de RSA Authentication Manager

  1. Selecciona Configuración de SIEM > Redireccionamientos.
  2. Haz clic en Agregar nuevo remitente.
  3. En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
  4. Haz clic en Enviar y, luego, en Confirmar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
  5. En el campo Nombre del recopilador, escribe un nombre único para el recopilador.
  6. Selecciona RSA como el Tipo de registro.
  7. Selecciona Syslog como el tipo de recopilador.
  8. Configura los siguientes parámetros de entrada obligatorios:
    • Protocolo: Especifica el protocolo de conexión que usará el recopilador para escuchar los datos de syslog.
    • Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
    • Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  9. Haz clic en Enviar.

Para obtener más información sobre los reenvío de Google Security Operations, consulta la documentación de reenvío de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de reenviador, consulta Configuración del reenviador por tipo. Si tienes problemas cuando creas reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador extrae campos de los registros CSV de RSA Authentication Manager y controla las variaciones en el formato de registro. Usa grok para analizar inicialmente las líneas de registro y, luego, aprovecha el filtrado de CSV para extraer campos individuales y asignarlos a nombres estandarizados, como username, clientip y operation_status, para la compatibilidad con la UDM.

Tabla de asignación de la UDM

Campo de registro Asignación de UDM Lógica
clientip principal.asset.ip El valor de la columna 8 del registro sin procesar.
clientip principal.ip El valor de la columna 8 del registro sin procesar.
column1 metadata.event_timestamp.seconds Se analiza a partir del campo time (columna 1) en el registro sin procesar, con los formatos “aaaa-mm-dd HH:mm:ss” y “aaaa-mm-dd HH: mm:ss”.
column12 security_result.action Se asignan según el campo operation_status (columna12). Los valores "SUCCESS" y "ACCEPT" se asignan a ALLOW, "FAIL", "REJECT", "DROP", "DENY" y "NOT_ALLOWED" se asignan a BLOCK, y otros valores se asignan a UNKNOWN_ACTION.
column18 principal.user.userid Es el valor de la columna 18 del registro sin procesar.
column19 principal.user.first_name El valor de la columna 19 del registro sin procesar.
column20 principal.user.last_name El valor de la columna 20 del registro sin procesar.
column25 principal.hostname El valor de la columna 25 del registro sin procesar.
column26 principal.asset.hostname Es el valor de la columna 26 del registro sin procesar.
column27 metadata.product_name Es el valor de la columna 27 del registro sin procesar.
column3 target.administrative_domain El valor de la columna3 del registro sin procesar.
column32 principal.user.group_identifiers Es el valor de la columna 32 del registro sin procesar.
column5 security_result.severity Se asignan según el campo severity (columna 5). Los valores "INFO" y "INFORMATIONAL" se asignan a INFORMATIONAL, "WARN" y "WARNING" se asignan a WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" y "ALERT" se asignan a ERROR, "NOTICE", "DEBUG" y "TRACE" se asignan a DEBUG, y otros valores se asignan a UNKNOWN_SEVERITY.
column8 target.asset.ip El valor de la columna 8 del registro sin procesar.
column8 target.ip El valor de la columna 8 del registro sin procesar.
event_name security_result.rule_name El valor de la columna 10 del registro sin procesar.
host_name intermediary.hostname Se extrae de la parte <DATA> del registro sin procesar con patrones grok.
process_data principal.process.command_line Se extrae de la parte <DATA> del registro sin procesar con patrones grok.
summary security_result.summary Es el valor de la columna 13 del registro sin procesar.
time_stamp metadata.event_timestamp.seconds Se extrae de la parte <DATA> del registro sin procesar con patrones de grok. Si no se encuentra, la marca de tiempo se extrae del campo timestamp en el registro sin procesar.

Cambios

2024-03-13

  • Se modificó el patrón Grok para analizar los datos en el encabezado del registro.

2022-08-09

  • Mejora: Se quitó la condición de descarte, se controlaron y analizaron los registros con el patrón GROK adecuado.

2022-06-13

  • Mejora: Se quitó la condición de eliminación para los registros con event_name = ACCESS_DIRECTORY.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.