RSA Authentication Manager-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie RSA Authentication Manager-Logs mithilfe eines Google Security Operations-Weiterleiters erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel RSA_AUTH_MANAGER.

RSA Authentication Manager konfigurieren

  1. Melden Sie sich mit Administratoranmeldedaten in der RSA Authentication Manager Security Console an.
  2. Klicken Sie im Menü Einrichtung auf Systemeinstellungen.
  3. Wählen Sie im Fenster Systemeinstellungen im Bereich Grundlegende Einstellungen die Option Protokollierung aus.
  4. Wählen Sie im Abschnitt Instanz auswählen den in Ihrer Umgebung konfigurierten Instanztyp Primär aus und klicken Sie dann auf Weiter, um fortzufahren.
  5. Konfigurieren Sie im Bereich Einstellungen konfigurieren die Protokolle für die folgenden angezeigten Bereiche:
    • Protokollebenen
    • Ziel für Protokolldaten
    • Logdatenmaskierung
  6. Konfigurieren Sie im Abschnitt Protokollebenen die folgenden Protokolle:
    • Legen Sie für Trace Log (Trace-Protokoll) die Option Fatal (Fatal) fest.
    • Legen Sie für Audit-Log für Administratoren die Option Erfolg fest.
    • Legen Sie Runtime-Audit-Log auf Success fest.
    • Legen Sie für Systemprotokoll die Option Warnung fest.

  7. Wählen Sie im Abschnitt Ziel für Protokolldaten für die folgenden Daten der Protokollebene die Option In der internen Datenbank und im Remote-Syslog für den folgenden Hostnamen oder die folgende IP-Adresse speichern aus und geben Sie dann die IP-Adresse von Google Security Operations ein:

    • Daten aus dem Audit-Log für Administratoren
    • Daten aus dem Laufzeit-Audit-Log
    • Systemprotokolldaten

    Syslog-Nachrichten werden über eine höhere Portnummer für UDP übertragen.

  8. Geben Sie im Bereich Maskierung von Protokolldaten im Feld Mask token serial number: number of digits of the token serial number to display (Token-Seriennummer maskieren: Anzahl der Ziffern der anzuzeigenden Token-Seriennummer) den maximalen Wert ein, der der Anzahl der Ziffern in verfügbaren Tokens entspricht, z. B. 12.

    Weitere Informationen finden Sie unter Maskierung von Protokolldaten.

  9. Klicken Sie auf Speichern.

Google Security Operations-Weiterleiter und syslog für die Aufnahme von RSA Authentication Manager-Protokollen konfigurieren

  1. Wählen Sie SIEM-Einstellungen > Weiterleitungen aus.
  2. Klicken Sie auf Neuen Weiterleiter hinzufügen.
  3. Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
  4. Klicken Sie auf Senden und dann auf Bestätigen. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
  5. Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
  6. Wählen Sie RSA als Protokolltyp aus.
  7. Wählen Sie Syslog als Typ des Collectors aus.
  8. Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
    • Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector zum Abhören von syslog-Daten verwendet.
    • Adresse: Geben Sie die Ziel-IP-Adresse oder den Ziel-Hostnamen an, unter der bzw. dem sich der Collector befindet und auf syslog-Daten wartet.
    • Port: Geben Sie den Zielport an, an dem sich der Collector befindet und auf syslog-Daten wartet.
  9. Klicken Sie auf Senden.

Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen. Informationen zu den Anforderungen für die einzelnen Weiterleitungstypen finden Sie unter Weiterleitungskonfiguration nach Typ. Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Parser extrahiert Felder aus CSV-Protokollen von RSA Authentication Manager und verarbeitet Abweichungen im Protokollformat. Dabei werden die Logzeilen zuerst mit Grok geparst und dann mithilfe der CSV-Filterung einzelne Felder extrahiert, die dann für die UDM-Kompatibilität standardisierten Namen wie username, clientip und operation_status zugeordnet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
clientip principal.asset.ip Der Wert von Spalte 8 aus dem Rohprotokoll.
clientip principal.ip Der Wert von Spalte 8 aus dem Rohprotokoll.
column1 metadata.event_timestamp.seconds Aus dem Feld time (Spalte 1) im Rohprotokoll geparst, wobei die Formate „JJJJ-MM-TT HH:mm:ss“ und „JJJJ-MM-TT HH: mm:ss“ verwendet wurden.
column12 security_result.action Zuordnung basierend auf dem Feld operation_status (Spalte12). Die Werte „SUCCESS“ und „ACCEPT“ werden ALLOW zugeordnet, „FAIL“, „REJECT“, „DROP“, „DENY“ und „NOT_ALLOWED“ werden BLOCK zugeordnet und andere Werte werden UNKNOWN_ACTION zugeordnet.
column18 principal.user.userid Der Wert von Spalte 18 aus dem Rohprotokoll.
column19 principal.user.first_name Der Wert von Spalte 19 aus dem Rohprotokoll.
column20 principal.user.last_name Der Wert von Spalte20 aus dem Rohprotokoll.
column25 principal.hostname Der Wert von Spalte25 aus dem Rohprotokoll.
column26 principal.asset.hostname Der Wert von Spalte26 aus dem Rohprotokoll.
column27 metadata.product_name Der Wert von Spalte27 aus dem Rohprotokoll.
column3 target.administrative_domain Der Wert von Spalte 3 aus dem Rohprotokoll.
column32 principal.user.group_identifiers Der Wert von Spalte32 aus dem Rohprotokoll.
column5 security_result.severity Zuordnung basierend auf dem Feld severity (Spalte 5). Die Werte „INFO“, „INFORMATIONAL“ werden in „INFORMATIONAL“ umgewandelt, „WARN“, „WARNING“ in „WARNUNG“, „ERROR“, „CRITICAL“, „FATAL“, „SEVERE“, „EMERGENCY“, „ALERT“ in „FEHLER“, „NOTICE“, „DEBUG“, „TRACE“ in „DEBUG“ und andere Werte in „UNKNOWN_SEVERITY“.
column8 target.asset.ip Der Wert von Spalte 8 aus dem Rohprotokoll.
column8 target.ip Der Wert von Spalte 8 aus dem Rohprotokoll.
event_name security_result.rule_name Der Wert von Spalte 10 aus dem Rohprotokoll.
host_name intermediary.hostname Mithilfe von Grok-Mustern aus dem <DATA>-Teil des Rohlogs extrahiert.
process_data principal.process.command_line Mithilfe von Grok-Mustern aus dem <DATA>-Teil des Rohlogs extrahiert.
summary security_result.summary Der Wert von Spalte13 aus dem Rohprotokoll.
time_stamp metadata.event_timestamp.seconds Mithilfe von Grok-Mustern aus dem <DATA>-Teil des Rohlogs extrahiert. Andernfalls wird der Zeitstempel aus dem Feld timestamp im Rohprotokoll extrahiert.

Änderungen

2024-03-13

  • Das Grok-Muster wurde so geändert, dass die Daten in der Kopfzeile des Logs geparst werden.

2022-08-09

  • Verbesserung: Die Einstellung „Gelöscht“ wurde entfernt. Die Protokolle wurden mit dem entsprechenden GROK-Muster verarbeitet und analysiert.

2022-06-13

  • Verbesserung: Die Löschbedingung für Protokolle mit „event_name“ = „ACCESS_DIRECTORY“ wurde entfernt.