Raccogli i log di RSA Authentication Manager

Supportato in:

Questo documento descrive come raccogliere i log di RSA Authentication Manager utilizzando un forwarder di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione RSA_AUTH_MANAGER.

Configura RSA Authentication Manager

  1. Accedi alla console RSA Authentication Manager Security utilizzando le credenziali di amministratore.
  2. Nel menu Configurazione, fai clic su Impostazioni di sistema.
  3. Nella finestra Impostazioni di sistema, seleziona Logging nella sezione Impostazioni di base.
  4. Nella sezione Seleziona istanza, seleziona il tipo di istanza Principale configurato nel tuo ambiente e poi fai clic su Avanti per continuare.
  5. Nella sezione Configura impostazioni, configura i log per le seguenti sezioni visualizzate:
    • Livelli di log
    • Destinazione dei dati dei log
    • Mascheramento dei dati dei log
  6. Nella sezione Livelli di log, configura i seguenti log:
    • Imposta Log traccia su Fatale.
    • Imposta Log di controllo amministrativo su Successo.
    • Imposta Log di controllo di runtime su Successo.
    • Imposta Log di sistema su Avviso.

  7. Nella sezione Destinazione dei dati di log, per i seguenti dati a livello di log, seleziona Salva nel database interno e in syslog remoto per il seguente nome host o indirizzo IP e inserisci l'indirizzo IP di Google Security Operations:

    • Dati dei log di controllo amministrativo
    • Dati dei log di controllo di runtime
    • Dati dei log di sistema

    I messaggi syslog vengono trasmessi tramite un numero di porta superiore per UDP.

  8. Nella sezione Mascaria dati log, nel campo Nascondi numero di serie del token: numero di cifre del numero di serie del token da visualizzare, inserisci il valore massimo, ovvero il numero di cifre visualizzato nei token disponibili, ad esempio 12.

    Per ulteriori informazioni, consulta Masking dei dati dei log.

  9. Fai clic su Salva.

Configura il forwarder di Google Security Operations e syslog per importare i log di RSA Authentication Manager

  1. Seleziona Impostazioni SIEM > Inoltratori.
  2. Fai clic su Aggiungi nuovo mittente.
  3. Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
  4. Fai clic su Invia e poi su Conferma. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del collettore.
  5. Nel campo Nome del raccoglitore, digita un nome univoco per il raccoglitore.
  6. Seleziona RSA come Tipo di log.
  7. Seleziona Syslog come Tipo di collettore.
  8. Configura i seguenti parametri di input obbligatori:
    • Protocollo: specifica il protocollo di connessione che il collector utilizzerà per ascoltare i dati syslog.
    • Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
    • Porta: specifica la porta di destinazione in cui risiede il raccoglitore e che ascolta i dati syslog.
  9. Fai clic su Invia.

Per ulteriori informazioni sui forwarder di Google Security Operations, consulta la documentazione sui forwarder di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di inoltro, consulta Configurazione degli inoltratori per tipo. Se riscontri problemi durante la creazione dei reindirizzamenti, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser estrae i campi dai log CSV di RSA Authentication Manager, gestendo le variazioni nel formato dei log. Utilizza grok per analizzare inizialmente le righe di log, quindi sfrutta il filtro CSV per estrarre i singoli campi, mappandoli a nomi standardizzati come username, clientip e operation_status per la compatibilità con UDM.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
clientip principal.asset.ip Il valore della colonna 8 dal log non elaborato.
clientip principal.ip Il valore della colonna 8 dal log non elaborato.
column1 metadata.event_timestamp.seconds Analizzata dal campo time (colonna 1) nel log non elaborato, utilizzando i formati "aaaa-MM-gg HH:mm:ss" e "aaaa-MM-gg HH: mm:ss".
column12 security_result.action Mappatura eseguita in base al campo operation_status (colonna 12). I valori "SUCCESS" e "ACCEPT" vengono mappati a ALLOW, "FAIL", "REJECT", "DROP", "DENY", "NOT_ALLOWED" vengono mappati a BLOCK e altri valori vengono mappati a UNKNOWN_ACTION.
column18 principal.user.userid Il valore della colonna 18 dal log non elaborato.
column19 principal.user.first_name Il valore della colonna 19 dal log non elaborato.
column20 principal.user.last_name Il valore della colonna 20 dal log non elaborato.
column25 principal.hostname Il valore della colonna 25 dal log non elaborato.
column26 principal.asset.hostname Il valore della colonna 26 dal log non elaborato.
column27 metadata.product_name Il valore della colonna 27 dal log non elaborato.
column3 target.administrative_domain Il valore della colonna 3 dal log non elaborato.
column32 principal.user.group_identifiers Il valore della colonna 32 dal log non elaborato.
column5 security_result.severity Mappatura eseguita in base al campo severity (colonna 5). I valori "INFO", "INFORMATIONAL" vengono mappati a INFORMATIONAL, "WARN", "WARNING" vengono mappati a WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY", "ALERT" vengono mappati a ERROR, "NOTICE", "DEBUG", "TRACE" vengono mappati a DEBUG e gli altri valori vengono mappati a UNKNOWN_SEVERITY.
column8 target.asset.ip Il valore della colonna 8 dal log non elaborato.
column8 target.ip Il valore della colonna 8 dal log non elaborato.
event_name security_result.rule_name Il valore della colonna 10 dal log non elaborato.
host_name intermediary.hostname Estratto dalla parte <DATA> del log non elaborato utilizzando i pattern Grok.
process_data principal.process.command_line Estratto dalla parte <DATA> del log non elaborato utilizzando i pattern Grok.
summary security_result.summary Il valore della colonna 13 dal log non elaborato.
time_stamp metadata.event_timestamp.seconds Estratto dalla parte <DATA> del log non elaborato utilizzando i pattern Grok. Se non viene trovato, il timestamp viene estratto dal campo timestamp nel log non elaborato.

Modifiche

2024-03-13

  • È stato modificato il pattern Grok per analizzare i dati nell'intestazione del log.

2022-08-09

  • Miglioramento: è stata rimossa la condizione di eliminazione, gestiti e analizzati i log con il pattern GROK appropriato.

2022-06-13

  • Miglioramento: è stata rimossa la condizione di eliminazione per i log con event_name = ACCESS_DIRECTORY.