Coletar registros do Gerenciador de autenticação RSA

Compatível com:

Este documento descreve como coletar registros do RSA Authentication Manager usando um encaminhador de operações de segurança do Google.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado da UDM. As informações neste documento se aplicam ao analisador com o rótulo de ingestão RSA_AUTH_MANAGER.

Configurar o Gerenciador de autenticação RSA

  1. Faça login no console RSA Authentication Manager Security usando as credenciais de administrador.
  2. No menu Configuração, clique em Configurações do sistema.
  3. Na janela Configurações do sistema, na seção Configurações básicas, selecione Registro.
  4. Na seção Selecionar instância, selecione o tipo de instância Primário configurado no seu ambiente e clique em Próxima para continuar.
  5. Na seção Configurar configurações, configure os registros para as seções a seguir que são exibidas:
    • Níveis de registro
    • Destino dos dados de registro
    • Mascaramento de dados de registro
  6. Na seção Níveis de registro, configure os seguintes registros:
    • Defina Registro de rastreamento como Fatal.
    • Defina Registro de auditoria administrativa como Sucesso.
    • Defina Registro de auditoria de execução como Sucesso.
    • Defina Registro do sistema como Aviso.

  7. Na seção Destino dos dados de registro, para os seguintes dados de nível de registro, selecione Salvar no banco de dados interno e no syslog remoto para o seguinte nome de host ou endereço IP e insira o endereço IP das Operações de segurança do Google:

    • Dados do registro de auditoria administrativa
    • Dados do registro de auditoria de execução
    • Dados de registro do sistema

    As mensagens do syslog são transmitidas por um número de porta maior para UDP.

  8. Na seção Masking de dados de registro, no campo Mask token serial number: number of digits of the token serial number to display, insira o valor máximo, que é igual ao número de dígitos que aparecem nos tokens disponíveis, como 12.

    Para mais informações, consulte Como mascarar dados de registro.

  9. Clique em Salvar.

Configurar o forwarder e o syslog do Google Security Operations para processar registros do RSA Authentication Manager

  1. Selecione Configurações do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. No campo Nome do encaminhador, insira um nome exclusivo.
  4. Clique em Enviar e em Confirmar. O encaminhador é adicionado, e a janela Add collector configuration aparece.
  5. No campo Nome do coletor, digite um nome exclusivo para o coletor.
  6. Selecione RSA como o Tipo de registro.
  7. Selecione Syslog como o Tipo de coletor.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Protocolo: especifique o protocolo de conexão que o coletor vai usar para detectar dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e detecta dados do syslog.
    • Porta: especifica a porta de destino em que o coletor reside e detecta dados do syslog.
  9. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte a documentação sobre encaminhadores do Google Security Operations. Para informações sobre os requisitos de cada tipo de encaminhador, consulte Configuração do encaminhador por tipo. Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte de operações de segurança do Google.

Referência do mapeamento de campo

Esse analisador extrai campos dos registros CSV do RSA Authentication Manager, processando variações no formato dos registros. Ele usa o grok para analisar as linhas de registro inicialmente e, em seguida, aproveita a filtragem CSV para extrair campos individuais, mapeando-os para nomes padronizados, como username, clientip e operation_status, para compatibilidade com o UDM.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
clientip principal.asset.ip O valor da coluna8 do registro bruto.
clientip principal.ip O valor da coluna 8 do registro bruto.
column1 metadata.event_timestamp.seconds Analisado do campo time (coluna 1) no registro bruto, usando os formatos "aaaa-mm-dd HH:mm:ss" e "aaaa-mm-dd HH: mm:ss".
column12 security_result.action Mapeado com base no campo operation_status (coluna12). Os valores "SUCCESS" e "ACCEPT" são mapeados para PERMITIR, "FAIL", "REJECT", "DROP", "DENY", "NOT_ALLOWED" são mapeados para BLOQUEAR, e outros valores são mapeados para UNKNOWN_ACTION.
column18 principal.user.userid O valor da coluna18 do registro bruto.
column19 principal.user.first_name O valor da coluna19 do registro bruto.
column20 principal.user.last_name O valor da coluna20 do registro bruto.
column25 principal.hostname O valor da coluna25 do registro bruto.
column26 principal.asset.hostname O valor da coluna26 do registro bruto.
column27 metadata.product_name O valor da coluna27 do registro bruto.
column3 target.administrative_domain O valor da coluna3 do registro bruto.
column32 principal.user.group_identifiers O valor da coluna32 do registro bruto.
column5 security_result.severity Mapeado com base no campo severity (coluna5). Os valores "INFO" e "INFORMATIONAL" são mapeados para INFORMATIONAL, "WARN" e "WARNING" são mapeados para WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" e "ALERT" são mapeados para ERROR, "NOTICE", "DEBUG" e "TRACE" são mapeados para DEBUG, e outros valores são mapeados para UNKNOWN_SEVERITY.
column8 target.asset.ip O valor da coluna8 do registro bruto.
column8 target.ip O valor da coluna8 do registro bruto.
event_name security_result.rule_name O valor da coluna10 do registro bruto.
host_name intermediary.hostname Extraídos da parte <DATA> do registro bruto usando padrões grok.
process_data principal.process.command_line Extraídos da parte <DATA> do registro bruto usando padrões grok.
summary security_result.summary O valor da coluna13 do registro bruto.
time_stamp metadata.event_timestamp.seconds Extraídos da parte <DATA> do registro bruto usando padrões grok. Se não for encontrado, o carimbo de data/hora será extraído do campo timestamp no registro bruto.

Alterações

2024-03-13

  • O padrão Grok foi modificado para analisar os dados no cabeçalho do registro.

2022-08-09

  • Melhoria: a condição descartada foi removida, e os registros foram processados com o padrão GROK adequado.

2022-06-13

  • Melhoria: a condição de exclusão foi removida para registros com event_name = ACCESS_DIRECTORY.