RSA Authentication Manager-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie RSA Authentication Manager-Logs mit Bindplane in Google Security Operations aufnehmen.

RSA Authentication Manager (jetzt RSA SecurID) ist eine Multi-Faktor-Authentifizierungsplattform, die die 2-Faktor-Authentifizierung mit Tokens, Push-Benachrichtigungen und biometrischen Daten bietet. Sie verwaltet Nutzeridentitäten und Authentifizierungsrichtlinien und generiert Audit-Logs für Authentifizierungsversuche im gesamten Unternehmen. Der Parser extrahiert Felder aus Protokollen im CSV-Format von RSA Authentication Manager. Die Logmeldung wird mit Grok geparst und die Werte werden dem Unified Data Model (UDM) zugeordnet. Außerdem werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Privilegierter Zugriff auf die RSA Security Console (Operations Console)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'RSA_AUTH_MANAGER'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Konfigurationsparameter

  • Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • udplog: Verwenden Sie udplog für UDP-Syslog oder tcplog für TCP-Syslog.
      • 0.0.0.0: IP-Adresse, an der gelauscht werden soll (0.0.0.0, um an allen Schnittstellen zu lauschen)
      • 514: Portnummer, die überwacht werden soll (Standard-Syslog-Port)

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: Kunden-ID aus dem Abschnitt „Kunden-ID abrufen“
      • endpoint: Regionale Endpunkt-URL:
        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
      • log_type: Logtyp genau wie in Chronicle (RSA_AUTH_MANAGER)

Konfigurationsdatei speichern

  • Speichern Sie die Datei nach der Bearbeitung:
    • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
    • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

        sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

        sudo journalctl -u observiq-otel-collector -f

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung in RSA Authentication Manager konfigurieren

  1. Melden Sie sich in der RSA Security Console (Operations Console) an.
  2. Gehen Sie zu Einrichtung > Systemeinstellungen > Protokollierung.
  3. Klicken Sie unter Remote Logging (Remote-Logging) auf Add Remote Log Server (Remote-Log-Server hinzufügen).
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Hostname/IP Address (Hostname/IP-Adresse): Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein.
    • Port: Geben Sie 514 ein.
    • Protokoll: Wählen Sie UDP aus.
  5. Konfigurieren Sie im Abschnitt Protokollierungsebene die Protokollierungsebenen:
    • Systemaktivitätsprotokoll: Wählen Sie Info oder höher aus.
    • Administrator-Aktivitätsprotokoll: Wählen Sie Info oder höher aus.
    • Laufzeit-Authentifizierungsprotokoll: Wählen Sie Info oder höher aus.
  6. Im Abschnitt Logformat:
    • Format: Wählen Sie CSV (kommagetrennte Werte) aus.
  7. Klicken Sie auf Speichern.

  8. Alternativ können Sie die Konfiguration über die Befehlszeile auf der RSA-Appliance vornehmen:

    manage-logging --set-remote-logging --host BINDPLANE_IP --port 514 --protocol UDP
    • Ersetzen Sie BINDPLANE_IP durch die IP-Adresse des Bindplane-Agent-Hosts.

  9. Prüfen Sie die Bindplane-Agent-Logs, um zu sehen, ob Syslog-Nachrichten gesendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
clientip principal.asset.ip Der Wert von „column8“ aus dem Rohlog.
clientip principal.ip Der Wert von „column8“ aus dem Rohlog.
Spalte1 metadata.event_timestamp.seconds Wird aus dem Zeitfeld (Spalte 1) im Rohprotokoll geparst, wobei die Formate „JJJJ-MM-TT HH:mm:ss“ und „JJJJ-MM-TT HH: mm:ss“ verwendet werden.
column12 security_result.action Zuordnung basierend auf dem Feld „operation_status“ (Spalte 12). Die Werte „SUCCESS“ und „ACCEPT“ werden ALLOW zugeordnet, „FAIL“, „REJECT“, „DROP“, „DENY“ und „NOT_ALLOWED“ werden BLOCK zugeordnet und andere Werte werden UNKNOWN_ACTION zugeordnet.
column18 principal.user.userid Der Wert von „column18“ aus dem Rohlog.
column19 principal.user.first_name Der Wert von „column19“ aus dem Rohlog.
column20 principal.user.last_name Der Wert von „column20“ aus dem Rohlog.
column25 principal.hostname Der Wert von „column25“ aus dem Rohlog.
column26 principal.asset.hostname Der Wert von „column26“ aus dem Rohlog.
column27 metadata.product_name Der Wert von „column27“ aus dem Rohlog.
Spalte3 target.administrative_domain Der Wert von „column3“ aus dem Rohlog.
column32 principal.user.group_identifiers Der Wert von „column32“ aus dem Rohlog.
column5 security_result.severity Wird anhand des Felds „Schweregrad“ (Spalte 5) zugeordnet. Die Werte „INFO“ und „INFORMATIONAL“ werden INFORMATIONAL zugeordnet, „WARN“ und „WARNING“ werden WARNING zugeordnet, „ERROR“, „CRITICAL“, „FATAL“, „SEVERE“, „EMERGENCY“ und „ALERT“ werden ERROR zugeordnet, „NOTICE“, „DEBUG“ und „TRACE“ werden DEBUG zugeordnet und andere Werte werden UNKNOWN_SEVERITY zugeordnet.
column8 target.asset.ip Der Wert von „column8“ aus dem Rohlog.
column8 target.ip Der Wert von „column8“ aus dem Rohlog.
event_name security_result.rule_name Der Wert von „column10“ aus dem Rohlog.
host_name intermediary.hostname Mit Grok-Mustern aus dem -Abschnitt des Rohlogs extrahiert.
process_data principal.process.command_line Mit Grok-Mustern aus dem -Abschnitt des Rohlogs extrahiert.
Zusammenfassung security_result.summary Der Wert von „column13“ aus dem Rohlog.
time_stamp metadata.event_timestamp.seconds Mit Grok-Mustern aus dem -Abschnitt des Rohlogs extrahiert. Wenn er nicht gefunden wird, wird der Zeitstempel aus dem Zeitstempelfeld im Rohlog extrahiert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten