Collecter les journaux RSA Authentication Manager

Compatible avec :

Ce document explique comment ingérer les journaux RSA Authentication Manager dans Google Security Operations à l'aide de Bindplane.

RSA Authentication Manager (désormais RSA SecurID) est une plate-forme d'authentification multifacteur qui fournit une authentification à deux facteurs à l'aide de jetons, de notifications push et de données biométriques. Il gère les identités des utilisateurs et les règles d'authentification, et génère des journaux d'audit pour les tentatives d'authentification dans l'entreprise. L'analyseur extrait les champs des journaux au format CSV RSA Authentication Manager. Il utilise grok pour analyser le message du journal, puis mappe ces valeurs au modèle de données unifié (UDM). Il définit également les valeurs de métadonnées par défaut pour la source et le type d'événement.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
  • Accès privilégié à la console de sécurité RSA (console des opérations)

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sc query observiq-otel-collector

Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendez la fin de l'installation.

  4. Vérifiez l'installation en exécutant la commande suivante :

    sudo systemctl status observiq-otel-collector

Le service doit être indiqué comme actif (en cours d'exécution).

Autres ressources d'installation

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

  • Linux :

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows :

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

  • Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'RSA_AUTH_MANAGER'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Paramètres de configuration

  • Remplacez les espaces réservés suivants :

    • Configuration du récepteur :

      • udplog : utilisez udplog pour syslog UDP ou tcplog pour syslog TCP.
      • 0.0.0.0 : adresse IP à écouter (0.0.0.0 pour écouter sur toutes les interfaces)
      • 514 : numéro de port à écouter (port syslog standard)

    • Configuration de l'exportateur :

      • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
        • Linux : /etc/bindplane-agent/ingestion-auth.json
        • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID : ID client de la section "Obtenir l'ID client"
      • endpoint : URL du point de terminaison régional :
        • États-Unis : malachiteingestion-pa.googleapis.com
        • Europe : europe-malachiteingestion-pa.googleapis.com
        • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
        • Pour obtenir la liste complète, consultez Points de terminaison régionaux.
      • log_type : type de journal tel qu'il apparaît dans Chronicle (RSA_AUTH_MANAGER)

Enregistrez le fichier de configuration.

  • Après avoir modifié le fichier, enregistrez-le :
    • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
    • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart observiq-otel-collector

    1. Vérifiez que le service est en cours d'exécution :

        sudo systemctl status observiq-otel-collector

    2. Recherchez les erreurs dans les journaux :

        sudo journalctl -u observiq-otel-collector -f

  • Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :

    • Invite de commandes ou PowerShell en tant qu'administrateur :

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console Services :

      1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
      2. Localisez observIQ OpenTelemetry Collector.

      3. Effectuez un clic droit, puis sélectionnez Redémarrer.

      4. Vérifiez que le service est en cours d'exécution :

        sc query observiq-otel-collector

      5. Recherchez les erreurs dans les journaux :

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurer le transfert Syslog sur RSA Authentication Manager

  1. Connectez-vous à la console de sécurité RSA (console des opérations).
  2. Accédez à Configuration > Paramètres système > Journalisation.
  3. Sous Journalisation à distance, cliquez sur Ajouter un serveur de journalisation à distance.
  4. Fournissez les informations de configuration suivantes :
    • Nom d'hôte/Adresse IP : saisissez l'adresse IP de l'hôte de l'agent Bindplane.
    • Port : saisissez 514.
    • Protocole : sélectionnez UDP.
  5. Dans la section Niveau de journalisation, configurez les niveaux de journalisation :
    • Journal d'activité du système : sélectionnez Info ou un niveau supérieur.
    • Journal d'activité de l'administrateur : sélectionnez Info ou un niveau supérieur.
    • Journal d'authentification de l'exécution : sélectionnez Info ou un niveau supérieur.
  6. Dans la section Format du journal :
    • Format : sélectionnez CSV (valeurs séparées par une virgule).
  7. Cliquez sur Enregistrer.

  8. Vous pouvez également configurer l'appliance RSA via la CLI :

    manage-logging --set-remote-logging --host BINDPLANE_IP --port 514 --protocol UDP
    • Remplacez BINDPLANE_IP par l'adresse IP de l'hôte de l'agent Bindplane.

  9. Vérifiez que les messages syslog sont envoyés en consultant les journaux de l'agent Bindplane.

Table de mappage UDM

Champ de journal Mappage UDM Logique
clientip principal.asset.ip Valeur de la colonne 8 du journal brut.
clientip principal.ip Valeur de la colonne 8 du journal brut.
column1 metadata.event_timestamp.seconds Analysé à partir du champ "Heure" (colonne 1) du journal brut, à l'aide des formats "aaaa-MM-jj HH:mm:ss" et "aaaa-MM-jj HH:mm:ss".
column12 security_result.action Mappé en fonction du champ "operation_status" (colonne 12). Les valeurs "SUCCESS" et "ACCEPT" correspondent à ALLOW, "FAIL", "REJECT", "DROP", "DENY" et "NOT_ALLOWED" correspondent à BLOCK, et les autres valeurs correspondent à UNKNOWN_ACTION.
column18 principal.user.userid Valeur de la colonne 18 du journal brut.
column19 principal.user.first_name Valeur de la colonne 19 du journal brut.
column20 principal.user.last_name Valeur de la colonne 20 du journal brut.
column25 principal.hostname Valeur de la colonne 25 du journal brut.
column26 principal.asset.hostname Valeur de la colonne 26 du journal brut.
column27 metadata.product_name Valeur de la colonne 27 du journal brut.
column3 target.administrative_domain Valeur de la colonne 3 du journal brut.
column32 principal.user.group_identifiers Valeur de la colonne 32 du journal brut.
column5 security_result.severity Mappé en fonction du champ de gravité (colonne 5). Les valeurs "INFO" et "INFORMATIONAL" sont associées à INFORMATIONAL, "WARN" et "WARNING" à WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" et "ALERT" à ERROR, "NOTICE", "DEBUG" et "TRACE" à DEBUG, et les autres valeurs à UNKNOWN_SEVERITY.
column8 target.asset.ip Valeur de la colonne 8 du journal brut.
column8 target.ip Valeur de la colonne 8 du journal brut.
event_name security_result.rule_name Valeur de la colonne 10 du journal brut.
host_name intermediary.hostname Extrait de la partie du journal brut à l'aide de modèles Grok.
process_data principal.process.command_line Extrait de la partie du journal brut à l'aide de modèles Grok.
résumé security_result.summary Valeur de la colonne 13 du journal brut.
time_stamp metadata.event_timestamp.seconds Extrait de la partie du journal brut à l'aide de modèles grok. Si elle est introuvable, le code temporel est extrait du champ de code temporel du journal brut.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.