Mengumpulkan log RSA Authentication Manager

Didukung di:

Dokumen ini menjelaskan cara menyerap log RSA Authentication Manager ke Google Security Operations menggunakan Bindplane.

RSA Authentication Manager (sekarang RSA SecurID) adalah platform autentikasi multi-faktor yang menyediakan autentikasi 2 faktor menggunakan token, notifikasi push, dan biometrika. Layanan ini mengelola identitas pengguna, kebijakan autentikasi, dan membuat log audit untuk upaya autentikasi di seluruh perusahaan. Parser mengekstrak kolom dari log berformat CSV RSA Authentication Manager. Proses ini menggunakan grok untuk mengurai pesan log, lalu memetakan nilai ini ke Model Data Terpadu (UDM). Layanan ini juga menetapkan nilai metadata default untuk sumber dan jenis peristiwa.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • Akses istimewa ke RSA Security Console (Operations Console)

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sc query observiq-otel-collector

Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sudo systemctl status observiq-otel-collector

Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

  • Ganti seluruh konten config.yaml dengan konfigurasi berikut:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'RSA_AUTH_MANAGER'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parameter konfigurasi

  • Ganti placeholder berikut:

    • Konfigurasi penerima:

      • udplog: Gunakan udplog untuk syslog UDP atau tcplog untuk syslog TCP
      • 0.0.0.0: Alamat IP yang akan didengarkan (0.0.0.0 untuk mendengarkan semua antarmuka)
      • 514: Nomor port yang akan diproses (port syslog standar)

    • Konfigurasi eksportir:

      • creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: ID Pelanggan dari bagian Dapatkan ID pelanggan
      • endpoint: URL endpoint regional:
        • Amerika Serikat: malachiteingestion-pa.googleapis.com
        • Eropa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
      • log_type: Jenis log persis seperti yang muncul di Chronicle (RSA_AUTH_MANAGER)

Simpan file konfigurasi

  • Setelah mengedit, simpan file:
    • Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
    • Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart observiq-otel-collector

    1. Pastikan layanan sedang berjalan:

        sudo systemctl status observiq-otel-collector

    2. Periksa log untuk mengetahui error:

        sudo journalctl -u observiq-otel-collector -f

  • Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:

    • Command Prompt atau PowerShell sebagai administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Konsol layanan:

      1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
      2. Temukan observIQ OpenTelemetry Collector.

      3. Klik kanan, lalu pilih Mulai Ulang.

      4. Pastikan layanan sedang berjalan:

        sc query observiq-otel-collector

      5. Periksa log untuk mengetahui error:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi penerusan Syslog di RSA Authentication Manager

  1. Login ke RSA Security Console (Operations Console).
  2. Buka Penyiapan > Setelan Sistem > Logging.
  3. Di bagian Remote Logging, klik Add Remote Log Server.
  4. Berikan detail konfigurasi berikut:
    • Hostname/IP Address: Masukkan alamat IP host agen Bindplane.
    • Port: Masukkan 514.
    • Protocol: Pilih UDP.
  5. Di bagian Tingkat Log, konfigurasikan tingkat logging:
    • Log Aktivitas Sistem: Pilih Info atau yang lebih tinggi.
    • Log Aktivitas Administrator: Pilih Info atau lebih tinggi.
    • Log Autentikasi Runtime: Pilih Info atau yang lebih tinggi.
  6. Di bagian Format Log:
    • Format: Pilih CSV (Comma-Separated Values).
  7. Klik Simpan.

  8. Atau, konfigurasikan melalui CLI di perangkat RSA:

    manage-logging --set-remote-logging --host BINDPLANE_IP --port 514 --protocol UDP
    • Ganti BINDPLANE_IP dengan alamat IP host agen Bindplane.

  9. Pastikan pesan syslog dikirim dengan memeriksa log agen Bindplane.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
clientip principal.asset.ip Nilai column8 dari log mentah.
clientip principal.ip Nilai column8 dari log mentah.
kolom1 metadata.event_timestamp.seconds Diuraikan dari kolom waktu (column1) dalam log mentah, menggunakan format "yyyy-MM-dd HH:mm:ss" dan "yyyy-MM-dd HH: mm:ss".
column12 security_result.action Dipetakan berdasarkan kolom operation_status (column12). Nilai "SUCCESS" dan "ACCEPT" dipetakan ke ALLOW, "FAIL", "REJECT", "DROP", "DENY", "NOT_ALLOWED" dipetakan ke BLOCK, dan nilai lainnya dipetakan ke UNKNOWN_ACTION.
column18 principal.user.userid Nilai column18 dari log mentah.
column19 principal.user.first_name Nilai column19 dari log mentah.
column20 principal.user.last_name Nilai column20 dari log mentah.
column25 principal.hostname Nilai column25 dari log mentah.
column26 principal.asset.hostname Nilai column26 dari log mentah.
column27 metadata.product_name Nilai column27 dari log mentah.
kolom3 target.administrative_domain Nilai column3 dari log mentah.
column32 principal.user.group_identifiers Nilai column32 dari log mentah.
column5 security_result.severity Dipetakan berdasarkan kolom severity (column5). Nilai "INFO", "INFORMATIONAL" dipetakan ke INFORMATIONAL, "WARN", "WARNING" dipetakan ke WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY", "ALERT" dipetakan ke ERROR, "NOTICE", "DEBUG", "TRACE" dipetakan ke DEBUG, dan nilai lainnya dipetakan ke UNKNOWN_SEVERITY.
column8 target.asset.ip Nilai column8 dari log mentah.
column8 target.ip Nilai column8 dari log mentah.
event_name security_result.rule_name Nilai column10 dari log mentah.
host_name intermediary.hostname Diekstrak dari bagian log mentah menggunakan pola grok.
process_data principal.process.command_line Diekstrak dari bagian log mentah menggunakan pola grok.
ringkasan security_result.summary Nilai column13 dari log mentah.
time_stamp metadata.event_timestamp.seconds Diekstrak dari bagian log mentah menggunakan pola grok. Jika tidak ditemukan, stempel waktu akan diekstrak dari kolom stempel waktu di log mentah.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.