RSA Authentication Manager 로그 수집
이 문서에서는 Google Security Operations 전달자를 사용하여 RSA Authentication Manager 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 RSA_AUTH_MANAGER 수집 라벨이 있는 파서에 적용됩니다.
RSA Authentication Manager 구성
- 관리자 사용자 인증 정보를 사용하여 RSA Authentication Manager Security 콘솔에 로그인합니다.
- 설정 메뉴에서 시스템 설정을 클릭합니다.
- 시스템 설정 창의 기본 설정 섹션에서 로깅을 선택합니다.
- 인스턴스 선택 섹션에서 환경에 구성된 기본 인스턴스 유형을 선택한 후 다음을 클릭하여 계속 진행합니다.
- 설정 구성 섹션에서 표시되는 다음 섹션의 로그를 구성합니다.
- 로그 수준
- 로그 데이터 대상
- 로그 데이터 마스킹
- 로그 수준 섹션에서 다음 로그를 구성합니다.
- 트레이스 로그를 심각으로 설정합니다.
- 관리 감사 로그를 성공으로 설정합니다.
- 런타임 감사 로그를 성공으로 설정합니다.
- 시스템 로그를 경고로 설정합니다.
로그 데이터 대상 섹션에서 다음 로그 수준 데이터의 경우 다음 호스트 이름 또는 IP 주소의 내부 데이터베이스 및 원격 syslog에 저장을 선택한 후 Google 보안 운영의 IP 주소를 입력합니다.
- 관리 감사 로그 데이터
- 런타임 감사 로그 데이터
- 시스템 로그 데이터
syslog 메시지는 UDP의 더 높은 포트 번호를 통해 전송됩니다.
로그 데이터 마스킹 섹션의 토큰 일련번호 마스킹: 표시할 토큰 일련번호의 자릿수 필드에 사용 가능한 토큰에 표시되는 자릿수와 동일한 최대 값(예: 12)을 입력합니다.
자세한 내용은 로그 데이터 마스킹을 참고하세요.
저장을 클릭합니다.
RSA Authentication Manager 로그를 수집하도록 Google Security Operations 전달자 및 syslog 구성
- SIEM 설정 > 전달자를 선택합니다.
- 새 전달자 추가를 클릭합니다.
- 전달자 이름 입력란에 전달자의 고유한 이름을 입력합니다.
- 제출을 클릭한 다음 확인을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
- 수집기 이름 필드에 수집기의 고유한 이름을 입력합니다.
- 로그 유형으로 RSA를 선택합니다.
- 수집기 유형으로 Syslog를 선택합니다.
- 다음 필수 입력 매개변수를 구성합니다.
- 프로토콜: 수집기가 syslog 데이터를 리슨하는 데 사용할 연결 프로토콜을 지정합니다.
- 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
- 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
- 제출을 클릭합니다.
Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations 전달자 문서를 참고하세요. 각 전달자 유형의 요구사항은 유형별 전달자 구성을 참고하세요. 전달자를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.
필드 매핑 참조
이 파서는 RSA Authentication Manager CSV 로그에서 필드를 추출하여 로그 형식의 변형을 처리합니다. grok를 사용하여 로그 줄을 처음으로 파싱한 다음 CSV 필터링을 활용하여 개별 필드를 추출하고 UDM 호환성을 위해 username, clientip, operation_status와 같은 표준화된 이름에 매핑합니다.
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
clientip |
principal.asset.ip |
원시 로그의 column8 값입니다. |
clientip |
principal.ip |
원시 로그의 column8 값입니다. |
column1 |
metadata.event_timestamp.seconds |
원시 로그의 time 필드 (열 1)에서 'yyyy-MM-dd HH:mm:ss' 및 'yyyy-MM-dd HH: mm:ss' 형식을 사용하여 파싱됩니다. |
column12 |
security_result.action |
operation_status 필드 (column12)를 기반으로 매핑됩니다. 값 'SUCCESS' 및 'ACCEPT'는 ALLOW로 매핑되고, 'FAIL', 'REJECT', 'DROP', 'DENY', 'NOT_ALLOWED'는 BLOCK으로 매핑되며, 다른 값은 UNKNOWN_ACTION으로 매핑됩니다. |
column18 |
principal.user.userid |
원시 로그의 column18 값입니다. |
column19 |
principal.user.first_name |
원시 로그의 column19 값입니다. |
column20 |
principal.user.last_name |
원시 로그의 column20 값입니다. |
column25 |
principal.hostname |
원시 로그의 column25 값입니다. |
column26 |
principal.asset.hostname |
원시 로그의 column26 값입니다. |
column27 |
metadata.product_name |
원시 로그의 column27 값입니다. |
column3 |
target.administrative_domain |
원시 로그의 column3 값입니다. |
column32 |
principal.user.group_identifiers |
원시 로그의 column32 값입니다. |
column5 |
security_result.severity |
severity 필드 (column5)를 기반으로 매핑됩니다. 값 'INFO', 'INFORMATIONAL'은 INFORMATIONAL에 매핑되고, 'WARN', 'WARNING'은 WARNING에 매핑되고, 'ERROR', 'CRITICAL', 'FATAL', 'SEVERE', 'EMERGENCY', 'ALERT'은 ERROR에 매핑되고, 'NOTICE', 'DEBUG', 'TRACE'는 DEBUG에 매핑되고, 기타 값은 UNKNOWN_SEVERITY에 매핑됩니다. |
column8 |
target.asset.ip |
원시 로그의 column8 값입니다. |
column8 |
target.ip |
원시 로그의 column8 값입니다. |
event_name |
security_result.rule_name |
원시 로그의 column10 값입니다. |
host_name |
intermediary.hostname |
Grok 패턴을 사용하여 원시 로그의 <DATA> 부분에서 추출됩니다. |
process_data |
principal.process.command_line |
Grok 패턴을 사용하여 원시 로그의 <DATA> 부분에서 추출됩니다. |
summary |
security_result.summary |
원시 로그의 column13 값입니다. |
time_stamp |
metadata.event_timestamp.seconds |
Grok 패턴을 사용하여 원시 로그의 <DATA> 부분에서 추출됩니다. 찾을 수 없는 경우 원시 로그의 timestamp 필드에서 타임스탬프가 추출됩니다. |
변경사항
2024-03-13
- 로그 헤더의 데이터를 파싱하도록 Grok 패턴을 수정했습니다.
2022-08-09
- 개선사항 - 삭제된 조건을 삭제하고 적절한 GROK 패턴으로 로그를 처리하고 파싱했습니다.
2022-06-13
- 개선사항 - event_name = ACCESS_DIRECTORY인 로그의 삭제 조건이 삭제되었습니다.