RSA Authentication Manager ログを収集する
このドキュメントでは、Google Security Operations フォワーダーを使用して RSA Authentication Manager のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル RSA_AUTH_MANAGER が付加されたパーサーに適用されます。
RSA Authentication Manager を構成する
- 管理者認証情報を使用して RSA Authentication Manager Security コンソールにログインします。
- [設定] メニューで [システム設定] をクリックします。
- [システム設定] ウィンドウの [基本設定] セクションで、[ロギング] を選択します。
- [インスタンスの選択] セクションで、環境で構成されているプライマリ インスタンスタイプを選択し、[次へ] をクリックして続行します。
- [Configure settings] セクションで、表示される次のセクションのログを構成します。
- ログレベル
- ログデータの宛先
- ログデータのマスキング
- [ログレベル] セクションで、次のログを構成します。
- [Trace log] を [Fatal] に設定します。
- [管理者の監査ログ] を [成功] に設定します。
- [ランタイム監査ログ] を [成功] に設定します。
- [システムログ] を [警告] に設定します。
[ログデータの宛先] セクションで、次のログレベルのデータについて、[次のホスト名または IP アドレスの内部データベースとリモート syslog に保存] を選択し、Google Security Operations の IP アドレスを入力します。
- 管理監査ログデータ
- ランタイム監査ログデータ
- システムログデータ
Syslog メッセージは、UDP の大きなポート番号経由で送信されます。
[ログデータのマスキング] セクションの [トークンのシリアル番号をマスク: 表示するトークンのシリアル番号の桁数] フィールドに、最大値を入力します。この値は、使用可能なトークンに表示される桁数と同じです(12 など)。
詳細については、ログデータのマスキングをご覧ください。
[保存] をクリックします。
RSA Authentication Manager ログを取り込むように Google Security Operations フォワーダーと Syslog を構成する
- [SIEM の設定] > [転送元] を選択します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
- [送信]、[確認] の順にクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに、コレクタの一意の名前を入力します。
- [ログタイプ] として [RSA] を選択します。
- [Collector type] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- プロトコル: コレクタが syslog データのリッスンに使用する接続プロトコルを指定します。
- Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。各フォワーダ タイプの要件については、タイプ別のフォワーダの構成をご覧ください。フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、RSA Authentication Manager の CSV ログからフィールドを抽出し、ログ形式の違いを処理します。まず grok を使用してログ行を解析し、次に CSV フィルタリングを使用して個々のフィールドを抽出し、UDM との互換性を確保するために username、clientip、operation_status などの標準化された名前にマッピングします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
clientip |
principal.asset.ip |
未加工ログの column8 の値。 |
clientip |
principal.ip |
未加工ログの column8 の値。 |
column1 |
metadata.event_timestamp.seconds |
形式は「yyyy-MM-dd HH:mm:ss」と「yyyy-MM-dd HH: mm:ss」で、元のログの time フィールド(列 1)から解析されます。 |
column12 |
security_result.action |
operation_status フィールド(列 12)に基づいてマッピングされます。値「SUCCESS」と「ACCEPT」は ALLOW にマッピングされ、「FAIL」、「REJECT」、「DROP」、「DENY」、「NOT_ALLOWED」は BLOCK にマッピングされ、その他の値は UNKNOWN_ACTION にマッピングされます。 |
column18 |
principal.user.userid |
未加工ログの column18 の値。 |
column19 |
principal.user.first_name |
未加工ログの column19 の値。 |
column20 |
principal.user.last_name |
未加工ログの column20 の値。 |
column25 |
principal.hostname |
未加工ログの column25 の値。 |
column26 |
principal.asset.hostname |
未加工ログの column26 の値。 |
column27 |
metadata.product_name |
未加工ログの column27 の値。 |
column3 |
target.administrative_domain |
未加工ログの column3 の値。 |
column32 |
principal.user.group_identifiers |
未加工ログの column32 の値。 |
column5 |
security_result.severity |
severity フィールド(列 5)に基づいてマッピングされます。値「INFO」、「INFORMATIONAL」は INFORMATIONAL にマッピングされ、「WARN」、「WARNING」は WARNING にマッピングされ、「ERROR」、「CRITICAL」、「FATAL」、「SEVERE」、「EMERGENCY」、「ALERT」は ERROR にマッピングされ、「NOTICE」、「DEBUG」、「TRACE」は DEBUG にマッピングされ、その他の値は UNKNOWN_SEVERITY にマッピングされます。 |
column8 |
target.asset.ip |
未加工ログの column8 の値。 |
column8 |
target.ip |
未加工ログの column8 の値。 |
event_name |
security_result.rule_name |
未加工ログの column10 の値。 |
host_name |
intermediary.hostname |
grok パターンを使用して、元のログの <DATA> 部分から抽出されます。 |
process_data |
principal.process.command_line |
grok パターンを使用して、元のログの <DATA> 部分から抽出されます。 |
summary |
security_result.summary |
未加工ログの column13 の値。 |
time_stamp |
metadata.event_timestamp.seconds |
grok パターンを使用して、元のログの <DATA> 部分から抽出されます。見つからない場合は、タイムスタンプが未加工ログの timestamp フィールドから抽出されます。 |
変更点
2024-03-13
- ログのヘッダー内のデータが解析されるように Grok パターンを変更しました。
2022-08-09
- 機能拡張 - 破棄条件を削除し、適切な GROK パターンでログを処理して解析しました。
2022-06-13
- 機能拡張 - event_name = ACCESS_DIRECTORY のログの破棄条件を強化しました。