Recolha registos do RSA Authentication Manager

Compatível com:

Este documento descreve como pode recolher registos do RSA Authentication Manager através de um encaminhador do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento RSA_AUTH_MANAGER.

Configure o RSA Authentication Manager

  1. Inicie sessão na consola RSA Authentication Manager Security com as credenciais de administrador.
  2. No menu Configuração, clique em Definições do sistema.
  3. Na janela Definições do sistema, na secção Definições básicas, selecione Registo.
  4. Na secção Selecionar instância, selecione o tipo de instância Principal configurado no seu ambiente e, de seguida, clique em Seguinte para continuar.
  5. Na secção Configurar definições, configure os registos para as seguintes secções apresentadas:
    • Níveis de registo
    • Destino dos dados de registo
    • Ocultação de dados de registo
  6. Na secção Níveis de registo, configure os seguintes registos:
    • Defina Registo de rastreio como Fatal.
    • Defina o Registo de auditoria administrativa como Êxito.
    • Defina o Registo de auditoria de tempo de execução como Êxito.
    • Defina o Registo do sistema como Aviso.

  7. Na secção Destino dos dados de registo, para os seguintes dados de nível de registo, selecione Guardar na base de dados interna e no syslog remoto para o seguinte nome de anfitrião ou endereço IP e, em seguida, introduza o endereço IP do Google Security Operations:

    • Dados do registo de auditoria administrativo
    • Dados do registo de auditoria de tempo de execução
    • Dados do registo do sistema

    As mensagens Syslog são transmitidas através de um número de porta superior para UDP.

  8. Na secção Máscara de dados de registo, no campo Máscara do número de série do token: número de dígitos do número de série do token a apresentar, introduza o valor máximo, que é igual ao número de dígitos que aparecem nos tokens disponíveis, como 12.

    Para mais informações, consulte o artigo Ocultação de dados de registo.

  9. Clique em Guardar.

Configure o encaminhador e o syslog do Google Security Operations para carregar registos do RSA Authentication Manager

  1. Selecione Definições do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
  4. Clique em Enviar e, de seguida, em Confirmar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
  5. No campo Nome do coletor, introduza um nome exclusivo para o coletor.
  6. Selecione RSA como o Tipo de registo.
  7. Selecione Syslog como o tipo de coletor.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Protocolo: especifique o protocolo de ligação que o coletor vai usar para ouvir os dados do syslog.
    • Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
    • Porta: especifique a porta de destino onde o coletor reside e ouve os dados do syslog.
  9. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte a documentação dos encaminhadores do Google Security Operations. Para obter informações sobre os requisitos de cada tipo de encaminhador, consulte o artigo Configuração do encaminhador por tipo. Se tiver problemas ao criar encaminhadores, contacte o apoio técnico das Operações de segurança da Google.

Referência de mapeamento de campos

Este analisador extrai campos dos registos CSV do RSA Authentication Manager, processando variações no formato do registo. Usa o grok para analisar inicialmente as linhas de registo e, em seguida, tira partido da filtragem CSV para extrair campos individuais, mapeando-os para nomes padronizados, como username, clientip e operation_status, para compatibilidade com o UDM.

Tabela de mapeamento do UDM

Campo de registo Mapeamento de UDM Lógica
clientip principal.asset.ip O valor da coluna 8 do registo não processado.
clientip principal.ip O valor da coluna 8 do registo não processado.
column1 metadata.event_timestamp.seconds Analisado a partir do campo time (coluna 1) no registo não processado, usando os formatos "aaaa-MM-dd HH:mm:ss" e "aaaa-MM-dd HH: mm:ss".
column12 security_result.action Mapeada com base no campo operation_status (coluna 12). Os valores "SUCCESS" e "ACCEPT" são mapeados para ALLOW, "FAIL", "REJECT", "DROP", "DENY", "NOT_ALLOWED" são mapeados para BLOCK e outros valores são mapeados para UNKNOWN_ACTION.
column18 principal.user.userid O valor da coluna 18 do registo não processado.
column19 principal.user.first_name O valor da coluna 19 do registo não processado.
column20 principal.user.last_name O valor da coluna 20 do registo não processado.
column25 principal.hostname O valor da coluna25 do registo não processado.
column26 principal.asset.hostname O valor da coluna 26 do registo não processado.
column27 metadata.product_name O valor da coluna 27 do registo não processado.
column3 target.administrative_domain O valor da coluna3 do registo não processado.
column32 principal.user.group_identifiers O valor de column32 do registo não processado.
column5 security_result.severity Mapeada com base no campo severity (coluna 5). Os valores "INFO" e "INFORMATIONAL" são mapeados para INFORMATIONAL, "WARN" e "WARNING" são mapeados para WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" e "ALERT" são mapeados para ERROR, "NOTICE", "DEBUG" e "TRACE" são mapeados para DEBUG, e outros valores são mapeados para UNKNOWN_SEVERITY.
column8 target.asset.ip O valor da coluna 8 do registo não processado.
column8 target.ip O valor da coluna 8 do registo não processado.
event_name security_result.rule_name O valor da coluna10 do registo não processado.
host_name intermediary.hostname Extraído da parte <DATA> do registo não processado através de padrões grok.
process_data principal.process.command_line Extraído da parte <DATA> do registo não processado através de padrões grok.
summary security_result.summary O valor da coluna 13 do registo não processado.
time_stamp metadata.event_timestamp.seconds Extraído da parte <DATA> do registo não processado através de padrões grok. Se não for encontrado, a data/hora é extraída do campo timestamp no registo não processado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.