Micro Focus NetIQ Access Manager-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Micro Focus NetIQ Access Manager-Logs mit Bindplane in Google Security Operations erfassen. Micro Focus NetIQ Access Manager ist eine IAM-Lösung (Identity and Access Management, Identitäts- und Zugriffsverwaltung), die entwickelt wurde, um Anwendungen und Daten durch zentralisierte Authentifizierung, Autorisierung und Single Sign-On (SSO) zu schützen.

Hinweise

Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
Sie müssen privilegierten Zugriff auf NetIQ Access Manager haben.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei aufrufen:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:5252"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: netiq_access
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Um den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Identity Server-Prüfereignisse in NetIQ Access Manager konfigurieren

Melden Sie sich in der NetIQ-Verwaltungskonsole an.
Wählen Sie Geräte > Identitätsserver > Server > Bearbeiten > Audit und Protokollierung aus.
Wählen Sie für Audit-Protokollierung die Option Aktiviert aus.
Wenn Sie alle Ereignisse prüfen möchten, wählen Sie Alle auswählen aus.
Klicken Sie auf Übernehmen> OK.
Klicken Sie auf Server > Server aktualisieren.

Access Gateway-Audit-Ereignisse in NetIQ Access Manager konfigurieren

Melden Sie sich in der NetIQ-Verwaltungskonsole an.
Gehen Sie zu Geräte > Zugriffs-Gateways > Bearbeiten > Überprüfung.
Klicken Sie auf Alle auswählen.
Klicken Sie auf OK> OK.
Klicken Sie auf der Seite Access Gateways (Zugriffsgateways) auf Aktualisieren.

Logging-Server in NetIQ Access Manager konfigurieren

Melden Sie sich in der NetIQ-Verwaltungskonsole an.
Klicken Sie auf Audit.
Geben Sie die folgenden Informationen an:

Hinweis :Die Option für die Logdatei wird nicht für die Produktion empfohlen.
- Audit-Meldungen über Syslog: Wählen Sie diese Option aus, um Audit-Ereignisse an den Audit-Server zu senden.
- Stop service on audit server failure (Dienst bei Ausfall des Audit-Servers beenden): Lassen Sie das Feld leer.
- Server listening address (Server-Listening-Adresse): Geben Sie die IP-Adresse von Bindplane ein.
- Port: Geben Sie den Syslog-Port an, der für die Verbindung zu Bindplane verwendet wird.
- Format: Wählen Sie CSV aus.
- Audit-Ereignisse der Managementkonsole: Wählen Sie Alle aus.
Wenn Syslog für die Prüfung ausgewählt ist, gehen Sie so vor:
1. Ändern Sie in nam.conf den Wert SYSLOG_DAEMON in rsyslog. Dadurch wird der Standard-Syslog-Daemon in rsyslog geändert.
2. Führen Sie Folgendes aus, um die Datei Auditlogging.cfg zu bearbeiten und die Makros SERVERIP und SERVERPORT als leer festzulegen:
```
LOGDEST=syslog
FORMAT=JSON
SERVERIP=
SERVERPORT=
```

Führen Sie Folgendes aus, um UDP zu konfigurieren:

  #$ModLoad imtcp # load TCP listener
  $InputTCPServerRun 1290
  $template ForwardFormat,"<%PRI%>%TIMESTAMP:::date-rfc3164% %HOSTNAME% %syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%\n"
  $ModLoad imudp
  local0.* @FORWARDERIP:PORT_NUMBER;ForwardFormat

Starten Sie den Dienst rsyslog neu.

Unterstützte NetIQ Access Manager-Beispiellogs

CEF (Common Event Format)

<13>2025-11-04T17:09:32.013686-05:00 San-Host-01 CEF: 0|NetIQ|iManager|3.1.0|CEF150004|Authentication|1|
sourceServiceName=a.a.b.u.b
src=10.0.0.1
cs2Label=MimeHint cs2=0
cs6Label=host cs6=10.0.0.1
cs3Label=eventID cs3=0.0.11.0
cs4Label=eventName cs4=Authentication Session
flexString1Label=SubEvent flexString1=150004
cs5Label=CorrelationID cs5=iManager#0#DUMMY_SESSION_ID
outcome=Success

Syslog + JSON (Short-key-Schema)

{
  "syslog_header": "Mar 03 08:57:52 san-dmz-nam-01 AccessManager",
  "wrapper": "@...@",
  "payload": {
    "I": "002E0514",
    "A": "002E",
    "O": "AG\\Application Access",
    "L": "7",
    "G": "0",
    "B": "ag-DUMMY_SESSION_ID_123",
    "H": "0",
    "U": "DEMO_SITE_USER",
    "V": "0",
    "Y": "https://demo.corp.biz/EWSCWebAppJ/jsp/EWSCLogin.jsp",
    "S": "cn=DEMO_USER ou=people ou=partners ou=identities o=corp-dmz",
    "T": "DUMMY_TOKEN_STRING_XYZ?Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; gdn/adcp; managedpc; rv:11.0) like Gecko",
    "F": "PS_QA_JBOSS_C2",
    "1": "894075914",
    "2": "0",
    "3": "0",
    "M": "0",
    "D": ""
  }
}

Syslog + JSON (Schema mit langem Schlüssel)

{
  "syslog_header": "Jun 04 07:01:35 san-dmz-nam-01",
  "payload": {
    "appName": "Novell Access Manager",
    "timeStamp": "Sun, 19 Jun 2025 07:01:35 +0000",
    "eventId": "002E0052",
    "subTarget": "impersonatorsessionid",
    "stringValue1": "sanitized_user",
    "stringValue2": "Impersonatee-session-ID-DUMMY",
    "stringValue3": "Description-of-the-event",
    "numericValue1": 0,
    "numericValue2": 0,
    "numericValue3": 0,
    "data": "MTAuMC4wLjE=",
    "description": null,
    "message": null,
    "component": "nidp\\impersonation",
    "originator": "esp-DUMMY_ORIGIN_ID",
    "target": "target_user"
  }
}

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten