收集 RSA Authentication Manager 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google 安全运营转发器收集 RSA Authentication Manager 日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 RSA_AUTH_MANAGER 注入标签的解析器。
配置 RSA Authentication Manager
- 使用管理员凭据登录 RSA Authentication Manager Security 控制台。
- 在设置菜单中,点击系统设置。
- 在 System settings(系统设置)窗口的 Basic settings(基本设置)部分,选择 Logging(日志记录)。
- 在选择实例部分中,选择您在环境中配置的主实例类型,然后点击下一步以继续。
- 在配置设置部分,为以下显示的部分配置日志:
- 日志级别
- 日志数据目的地
- 日志数据脱敏
- 在日志级别部分,配置以下日志:
- 将轨迹日志设置为严重。
- 将管理审核日志设为成功。
- 将运行时审核日志设为成功。
- 将系统日志设置为警告。
在日志数据目标位置部分,针对以下日志级别数据,选择保存到内部数据库并将以下主机名或 IP 地址发送到远程 syslog,然后输入 Google 安全运营团队的 IP 地址:
- 管理审核日志数据
- 运行时审核日志数据
- 系统日志数据
syslog 消息通过更高的端口号传输(对于 UDP)。
在日志数据脱敏部分的遮盖令牌序列号:要显示的令牌序列号的数字数字段中,输入最大值,该值等于可用令牌中显示的数字数,例如 12。
如需了解详情,请参阅日志数据脱敏。
点击保存。
配置 Google Security Operations 转发器和 syslog 以提取 RSA Authentication Manager 日志
- 依次选择 SIEM 设置 > 转发器。
- 点击添加新转发器。
- 在转发器名称字段中,为转发器输入一个唯一名称。
- 点击提交,然后点击确认。系统会添加转发器,并显示添加收集器配置窗口。
- 在收集器名称字段中,为收集器输入一个唯一名称。
- 选择 RSA 作为日志类型。
- 选择 Syslog 作为收集器类型。
- 配置以下必需的输入参数:
- 协议:指定收集器将用于监听 syslog 数据的连接协议。
- 地址:指定收集器所在的位置并监听 syslog 数据的目标 IP 地址或主机名。
- 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
- 点击提交。
如需详细了解 Google Security Operations 转发器,请参阅 Google Security Operations 转发器文档。如需了解每种转发器类型的要求,请参阅按类型配置转发器。如果您在创建转发器时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
此解析器会从 RSA Authentication Manager CSV 日志中提取字段,并处理日志格式的变体。它最初使用 grok 解析日志行,然后利用 CSV 过滤功能提取各个字段,并将其映射到标准化名称(例如 username、clientip 和 operation_status),以实现与 UDM 的兼容性。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
clientip |
principal.asset.ip |
原始日志中的 column8 的值。 |
clientip |
principal.ip |
原始日志中的 column8 的值。 |
column1 |
metadata.event_timestamp.seconds |
从原始日志中的 time 字段(第 1 列)解析得出,格式为“yyyy-MM-dd HH:mm:ss”和“yyyy-MM-dd HH: mm:ss”。 |
column12 |
security_result.action |
根据 operation_status 字段(第 12 列)进行映射。值“SUCCESS”和“ACCEPT”映射到 ALLOW,值“FAIL”“REJECT”“DROP”“DENY”“NOT_ALLOWED”映射到 BLOCK,其他值映射到 UNKNOWN_ACTION。 |
column18 |
principal.user.userid |
原始日志中的 column18 的值。 |
column19 |
principal.user.first_name |
原始日志中的 column19 的值。 |
column20 |
principal.user.last_name |
原始日志中的 column20 的值。 |
column25 |
principal.hostname |
原始日志中的 column25 的值。 |
column26 |
principal.asset.hostname |
原始日志中的 column26 的值。 |
column27 |
metadata.product_name |
原始日志中的 column27 的值。 |
column3 |
target.administrative_domain |
原始日志中的 column3 的值。 |
column32 |
principal.user.group_identifiers |
原始日志中的 column32 的值。 |
column5 |
security_result.severity |
根据 severity 字段(第 5 列)进行映射。值“INFO”“INFORMATIONAL”会映射到 INFORMATIONAL、“WARN”“WARNING”会映射到 WARNING、“ERROR”“CRITICAL”“FATAL”“SEVERE”“EMERGENCY”“ALERT”会映射到 ERROR、“NOTICE”“DEBUG”“TRACE”会映射到 DEBUG,其他值会映射到 UNKNOWN_SEVERITY。 |
column8 |
target.asset.ip |
原始日志中的 column8 的值。 |
column8 |
target.ip |
原始日志中的 column8 的值。 |
event_name |
security_result.rule_name |
原始日志中的 column10 的值。 |
host_name |
intermediary.hostname |
使用 Grok 模式从原始日志的 <DATA> 部分提取。 |
process_data |
principal.process.command_line |
使用 Grok 模式从原始日志的 <DATA> 部分提取。 |
summary |
security_result.summary |
原始日志中的 column13 的值。 |
time_stamp |
metadata.event_timestamp.seconds |
使用 Grok 模式从原始日志的 <DATA> 部分提取。如果未找到,系统会从原始日志中的 timestamp 字段中提取时间戳。 |
变化
2024-03-13
- 修改了 Grok 模式,以解析日志标头中的数据。
2022-08-09
- 增强功能 - 移除了已丢弃的条件,使用适当的 GROK 模式处理和解析日志。
2022-06-13
- 增强功能 - 移除了针对 event_name 为 ACCESS_DIRECTORY 的日志的删除条件。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。