이 페이지는 Cloud Translation API를 통해 번역되었습니다.

RSA Authentication Manager 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations 전달자를 사용하여 RSA Authentication Manager 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 RSA_AUTH_MANAGER 수집 라벨이 있는 파서에 적용됩니다.

RSA Authentication Manager 구성

관리자 사용자 인증 정보를 사용하여 RSA Authentication Manager Security 콘솔에 로그인합니다.
설정 메뉴에서 시스템 설정을 클릭합니다.
시스템 설정 창의 기본 설정 섹션에서 로깅을 선택합니다.
인스턴스 선택 섹션에서 환경에 구성된 기본 인스턴스 유형을 선택한 후 다음을 클릭하여 계속합니다.
설정 구성 섹션에서 표시되는 다음 섹션의 로그를 구성합니다.
- 로그 수준
- 로그 데이터 대상
- 로그 데이터 마스킹
로그 수준 섹션에서 다음 로그를 구성합니다.
- 추적 로그를 심각으로 설정합니다.
- 관리 감사 로그를 성공으로 설정합니다.
- 런타임 감사 로그를 성공으로 설정합니다.
- 시스템 로그를 경고로 설정합니다.
로그 데이터 대상 섹션에서 다음 로그 수준 데이터에 대해 다음 호스트 이름 또는 IP 주소의 내부 데이터베이스 및 원격 syslog에 저장을 선택한 후 Google Security Operations의 IP 주소를 입력합니다.
- 관리 감사 로그 데이터
- 런타임 감사 로그 데이터
- 시스템 로그 데이터
시스템 로그 메시지는 UDP의 더 높은 포트 번호를 통해 전송됩니다.
로그 데이터 마스킹 섹션의 마스크 토큰 일련번호: 표시할 토큰 일련번호의 자릿수 필드에 사용 가능한 토큰에 표시되는 자릿수(예: 12)와 동일한 최대값을 입력합니다.

자세한 내용은 로그 데이터 마스킹을 참고하세요.
저장을 클릭합니다.

RSA Authentication Manager 로그를 수집하도록 Google Security Operations 전달자 및 syslog 구성

SIEM 설정 > 포워더를 선택합니다.
새 전달자 추가를 클릭합니다.
전달자 이름 필드에 전달자의 고유한 이름을 입력합니다.
제출을 클릭한 다음 확인을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
수집기 이름 필드에 수집기의 고유한 이름을 입력합니다.
로그 유형으로 RSA를 선택합니다.
수집기 유형으로 Syslog를 선택합니다.
다음 필수 입력 매개변수를 구성합니다.
- 프로토콜: 수집기가 syslog 데이터를 수신하는 데 사용할 연결 프로토콜을 지정합니다.
- 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
- 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
제출을 클릭합니다.

Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations 전달자 문서를 참고하세요. 각 전달자 유형의 요구사항은 유형별 전달자 구성을 참고하세요. 전달자를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 로그 형식의 변형을 처리하여 RSA Authentication Manager CSV 로그에서 필드를 추출합니다. grok을 사용하여 로그 행을 초기 파싱한 다음 CSV 필터링을 활용하여 개별 필드를 추출하고 UDM 호환성을 위해 username, clientip, operation_status와 같은 표준화된 이름에 매핑합니다.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
`clientip`	`principal.asset.ip`	원시 로그의 column8 값입니다.
`clientip`	`principal.ip`	원시 로그의 column8 값입니다.
`column1`	`metadata.event_timestamp.seconds`	'yyyy-MM-dd HH:mm:ss' 및 'yyyy-MM-dd HH: mm:ss' 형식을 사용하여 원시 로그의 `time` 필드 (column1)에서 파싱됩니다.
`column12`	`security_result.action`	`operation_status` 필드 (column12)를 기반으로 매핑됩니다. 'SUCCESS' 및 'ACCEPT' 값은 ALLOW에 매핑되고, 'FAIL', 'REJECT', 'DROP', 'DENY', 'NOT_ALLOWED' 값은 BLOCK에 매핑되며, 기타 값은 UNKNOWN_ACTION에 매핑됩니다.
`column18`	`principal.user.userid`	원시 로그의 column18 값입니다.
`column19`	`principal.user.first_name`	원시 로그의 column19 값입니다.
`column20`	`principal.user.last_name`	원시 로그의 column20 값입니다.
`column25`	`principal.hostname`	원시 로그의 column25 값입니다.
`column26`	`principal.asset.hostname`	원시 로그의 column26 값입니다.
`column27`	`metadata.product_name`	원시 로그의 column27 값입니다.
`column3`	`target.administrative_domain`	원시 로그의 column3 값입니다.
`column32`	`principal.user.group_identifiers`	원시 로그의 column32 값입니다.
`column5`	`security_result.severity`	`severity` 필드 (column5)를 기반으로 매핑됩니다. 'INFO', 'INFORMATIONAL' 값은 INFORMATIONAL에 매핑되고, 'WARN', 'WARNING'은 WARNING에 매핑되고, 'ERROR', 'CRITICAL', 'FATAL', 'SEVERE', 'EMERGENCY', 'ALERT'는 ERROR에 매핑되고, 'NOTICE', 'DEBUG', 'TRACE'는 DEBUG에 매핑되고, 기타 값은 UNKNOWN_SEVERITY에 매핑됩니다.
`column8`	`target.asset.ip`	원시 로그의 column8 값입니다.
`column8`	`target.ip`	원시 로그의 column8 값입니다.
`event_name`	`security_result.rule_name`	원시 로그의 column10 값입니다.
`host_name`	`intermediary.hostname`	그로크 패턴을 사용하여 원시 로그의 `<DATA>` 부분에서 추출됩니다.
`process_data`	`principal.process.command_line`	그로크 패턴을 사용하여 원시 로그의 `<DATA>` 부분에서 추출됩니다.
`summary`	`security_result.summary`	원시 로그의 column13 값입니다.
`time_stamp`	`metadata.event_timestamp.seconds`	그로크 패턴을 사용하여 원시 로그의 `<DATA>` 부분에서 추출됩니다. 찾을 수 없는 경우 타임스탬프는 원시 로그의 `timestamp` 필드에서 추출됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.