Collecter les journaux du Gestionnaire d'authentification RSA

Compatible avec:

Ce document explique comment collecter les journaux du Gestionnaire d'authentification RSA à l'aide d'un transfert Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion RSA_AUTH_MANAGER.

Configurer RSA Authentication Manager

  1. Connectez-vous à la console RSA Authentication Manager Security à l'aide d'identifiants administrateur.
  2. Dans le menu Configuration, cliquez sur Paramètres système.
  3. Dans la fenêtre System settings (Paramètres système), dans la section Basic settings (Paramètres de base), sélectionnez Logging (Journalisation).
  4. Dans la section Sélectionner une instance, sélectionnez le type d'instance Principale configuré dans votre environnement, puis cliquez sur Suivant pour continuer.
  5. Dans la section Configurer les paramètres, configurez les journaux pour les sections suivantes qui s'affichent :
    • Niveaux de journalisation
    • Destination des données de journal
    • Masquage des données de journal
  6. Dans la section Niveaux de journalisation, configurez les journaux suivants :
    • Définissez Journal de suivi sur Fatal (Critique).
    • Définissez Journal d'audit administratif sur Succès.
    • Définissez Journal d'audit d'exécution sur Succès.
    • Définissez Journal système sur Avertissement.

  7. Dans la section Destination des données de journal, pour les données de niveau de journal suivantes, sélectionnez Enregistrer dans la base de données interne et le journal syslog distant pour l'adresse IP ou le nom d'hôte suivant, puis saisissez l'adresse IP de Google Security Operations:

    • Données du journal d'audit administratif
    • Données du journal d'audit d'exécution
    • Données de journal système

    Les messages syslog sont transmis via un numéro de port plus élevé pour UDP.

  8. Dans la section Masquage des données de journal, dans le champ Masquer le numéro de série du jeton: nombre de chiffres du numéro de série du jeton à afficher, saisissez la valeur maximale, qui est égale au nombre de chiffres qui apparaissent dans les jetons disponibles, par exemple 12.

    Pour en savoir plus, consultez Masquer les données de journalisation.

  9. Cliquez sur Enregistrer.

Configurer le forwarder Google Security Operations et le syslog pour ingérer les journaux RSA Authentication Manager

  1. Sélectionnez Paramètres du SIEM > Transmetteurs.
  2. Cliquez sur Ajouter un forwarder.
  3. Dans le champ Nom du forwarder, saisissez un nom unique pour le forwarder.
  4. Cliquez sur Envoyer, puis sur Confirmer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
  5. Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
  6. Sélectionnez RSA comme Type de journal.
  7. Sélectionnez Syslog comme type de collecteur.
  8. Configurez les paramètres d'entrée obligatoires suivants :
    • Protocole: spécifiez le protocole de connexion que le collecteur utilisera pour écouter les données syslog.
    • Address (Adresse) : spécifiez l'adresse IP ou le nom d'hôte cible où se trouve le collecteur et où il écoute les données syslog.
    • Port: spécifiez le port cible sur lequel se trouve le collecteur et qui écoute les données syslog.
  9. Cliquez sur Envoyer.

Pour en savoir plus sur les transferts Google Security Operations, consultez la documentation sur les transferts Google Security Operations. Pour en savoir plus sur les exigences de chaque type de forwarder, consultez la section Configuration des forwarders par type. Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google Security Operations.

Référence du mappage de champs

Cet analyseur extrait des champs des journaux CSV RSA Authentication Manager, en gérant les variations de format de journal. Il utilise grok pour analyser initialement les lignes de journal, puis exploite le filtrage CSV pour extraire des champs individuels, en les mappant à des noms normalisés tels que username, clientip et operation_status pour la compatibilité avec UDM.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
clientip principal.asset.ip Valeur de la colonne 8 du journal brut.
clientip principal.ip Valeur de la colonne 8 du journal brut.
column1 metadata.event_timestamp.seconds Extrait du champ time (colonne 1) du journal brut, au format "aaaa-MM-jj HH:mm:ss" et "aaaa-MM-jj HH: mm:ss".
column12 security_result.action Mappé en fonction du champ operation_status (colonne 12). Les valeurs "SUCCESS" (RÉUSSITE) et "ACCEPT" (ACCEPTER) sont mappées sur ALLOW (AUTORISATION), les valeurs "FAIL" (ÉCHEC), "REJECT" (REFUSER), "DROP" (SUPPRIMER), "DENY" (REFUSER) et "NOT_ALLOWED" (NON AUTORISÉ) sont mappées sur BLOCK (BLOCAGE), et les autres valeurs sont mappées sur UNKNOWN_ACTION (ACTION INCONNUE).
column18 principal.user.userid Valeur de la colonne 18 du journal brut.
column19 principal.user.first_name Valeur de la colonne 19 du journal brut.
column20 principal.user.last_name Valeur de la colonne 20 du journal brut.
column25 principal.hostname Valeur de la colonne 25 du journal brut.
column26 principal.asset.hostname Valeur de la colonne 26 du journal brut.
column27 metadata.product_name Valeur de la colonne 27 du journal brut.
column3 target.administrative_domain Valeur de la colonne 3 du journal brut.
column32 principal.user.group_identifiers Valeur de la colonne 32 du journal brut.
column5 security_result.severity Mappage basé sur le champ severity (colonne 5). Les valeurs "INFO" et "INFORMATIONAL" sont mappées sur INFORMATIONAL, les valeurs "WARN" et "WARNING" sur WARNING, les valeurs "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" et "ALERT" sur ERROR, les valeurs "NOTICE", "DEBUG" et "TRACE" sur DEBUG, et les autres valeurs sur UNKNOWN_SEVERITY.
column8 target.asset.ip Valeur de la colonne 8 du journal brut.
column8 target.ip Valeur de la colonne 8 du journal brut.
event_name security_result.rule_name Valeur de la colonne 10 du journal brut.
host_name intermediary.hostname Extrait de la partie <DATA> du journal brut à l'aide de modèles grok.
process_data principal.process.command_line Extrait de la partie <DATA> du journal brut à l'aide de modèles grok.
summary security_result.summary Valeur de la colonne 13 du journal brut.
time_stamp metadata.event_timestamp.seconds Extrait de la partie <DATA> du journal brut à l'aide de modèles grok. Si ce n'est pas le cas, le code temporel est extrait du champ timestamp dans le journal brut.

Modifications

2024-03-13

  • Modification du modèle Grok pour analyser les données dans l'en-tête du journal.

2022-08-09

  • Amélioration : suppression de la condition abandonnée, gestion et analyse des journaux avec le format GROK approprié.

2022-06-13

  • Amélioration : suppression de la condition de suppression pour les journaux avec event_name = ACCESS_DIRECTORY.