Raccogliere i log di RSA Authentication Manager

Supportato in:

Questo documento spiega come importare i log di RSA Authentication Manager in Google Security Operations utilizzando Bindplane.

RSA Authentication Manager (ora RSA SecurID) è una piattaforma di autenticazione a più fattori che fornisce l'autenticazione a due fattori utilizzando token, notifiche push e dati biometrici. Gestisce le identità utente, i criteri di autenticazione e genera log di controllo per i tentativi di autenticazione nell'intera azienda. Il parser estrae i campi dai log formattati in formato CSV di RSA Authentication Manager. Utilizza grok per analizzare il messaggio di log e quindi mappa questi valori al modello UDM (Unified Data Model). Imposta anche i valori predefiniti dei metadati per l'origine e il tipo di evento.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Windows Server 2016 o versioni successive oppure host Linux con systemd
  • Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
  • Accesso privilegiato alla console di sicurezza RSA (console operazioni)

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri Prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sc query observiq-otel-collector

Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Attendi il completamento dell'installazione.

  4. Verifica l'installazione eseguendo il comando:

    sudo systemctl status observiq-otel-collector

Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

  • Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'RSA_AUTH_MANAGER'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parametri di configurazione

  • Sostituisci i seguenti segnaposto:

    • Configurazione del ricevitore:

      • udplog: utilizza udplog per syslog UDP o tcplog per syslog TCP
      • 0.0.0.0: indirizzo IP su cui ascoltare (0.0.0.0 per ascoltare su tutte le interfacce)
      • 514: Numero di porta su cui ascoltare (porta syslog standard)

    • Configurazione dell'esportatore:

      • creds_file_path: percorso completo del file di autenticazione importazione:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: l'ID cliente della sezione Recupera ID cliente
      • endpoint: URL endpoint regionale:
        • Stati Uniti: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Per l'elenco completo, vedi Endpoint regionali.
      • log_type: Tipo di log esattamente come appare in Chronicle (RSA_AUTH_MANAGER)

Salvare il file di configurazione

  • Dopo la modifica, salva il file:
    • Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
    • Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifica che il servizio sia in esecuzione:

        sudo systemctl status observiq-otel-collector

    2. Controlla i log per individuare eventuali errori:

        sudo journalctl -u observiq-otel-collector -f

  • Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:

    • Prompt dei comandi o PowerShell come amministratore:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console dei servizi:

      1. Premi Win+R, digita services.msc e premi Invio.
      2. Individua observIQ OpenTelemetry Collector.

      3. Fai clic con il tasto destro del mouse e seleziona Riavvia.

      4. Verifica che il servizio sia in esecuzione:

        sc query observiq-otel-collector

      5. Controlla i log per individuare eventuali errori:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configura l'inoltro di Syslog su RSA Authentication Manager

  1. Accedi alla console di sicurezza RSA (Operations Console).
  2. Vai a Configurazione > Impostazioni di sistema > Registrazione.
  3. Nella sezione Registrazione remota, fai clic su Aggiungi server di log remoto.
  4. Fornisci i seguenti dettagli di configurazione:
    • Nome host/Indirizzo IP: inserisci l'indirizzo IP dell'host dell'agente Bindplane.
    • Porta: inserisci 514.
    • Protocollo: seleziona UDP.
  5. Nella sezione Livello di log, configura i livelli di logging:
    • Log delle attività di sistema: seleziona Informazioni o un livello superiore.
    • Log attività amministratore: seleziona Informazioni o un livello superiore.
    • Log di autenticazione runtime: seleziona Informazioni o un livello superiore.
  6. Nella sezione Formato log:
    • Formato: seleziona CSV (valori separati da virgole).
  7. Fai clic su Salva.

  8. In alternativa, configura tramite CLI sull'appliance RSA:

    manage-logging --set-remote-logging --host BINDPLANE_IP --port 514 --protocol UDP
    • Sostituisci BINDPLANE_IP con l'indirizzo IP dell'host dell'agente Bindplane.

  9. Verifica che i messaggi syslog vengano inviati controllando i log dell'agente Bindplane.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
clientip principal.asset.ip Il valore di column8 del log non elaborato.
clientip principal.ip Il valore di column8 del log non elaborato.
colonna1 metadata.event_timestamp.seconds Analizzato dal campo ora (colonna 1) nel log non elaborato, utilizzando i formati "aaaa-MM-gg HH:mm:ss" e "aaaa-MM-gg HH: mm:ss".
column12 security_result.action Mappatura eseguita in base al campo operation_status (colonna 12). I valori "SUCCESS" e "ACCEPT" vengono mappati su ALLOW, "FAIL", "REJECT", "DROP", "DENY", "NOT_ALLOWED" vengono mappati su BLOCK e gli altri valori vengono mappati su UNKNOWN_ACTION.
column18 principal.user.userid Il valore della colonna 18 del log non elaborato.
column19 principal.user.first_name Il valore della colonna 19 del log non elaborato.
column20 principal.user.last_name Il valore della colonna 20 del log non elaborato.
column25 principal.hostname Il valore della colonna 25 del log non elaborato.
column26 principal.asset.hostname Il valore della colonna 26 del log non elaborato.
column27 metadata.product_name Il valore della colonna 27 del log non elaborato.
colonna3 target.administrative_domain Il valore di column3 dal log non elaborato.
column32 principal.user.group_identifiers Il valore di column32 dal log non elaborato.
column5 security_result.severity Mappatura eseguita in base al campo gravità (colonna 5). I valori "INFO" e "INFORMATIONAL" vengono mappati su INFORMATIONAL, "WARN" e "WARNING" vengono mappati su WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" e "ALERT" vengono mappati su ERROR, "NOTICE", "DEBUG" e "TRACE" vengono mappati su DEBUG e gli altri valori vengono mappati su UNKNOWN_SEVERITY.
column8 target.asset.ip Il valore di column8 del log non elaborato.
column8 target.ip Il valore di column8 del log non elaborato.
event_name security_result.rule_name Il valore di column10 dal log non elaborato.
host_name intermediary.hostname Estratto dalla porzione del log non elaborato utilizzando i pattern grok.
process_data principal.process.command_line Estratto dalla porzione del log non elaborato utilizzando i pattern grok.
riepilogo security_result.summary Il valore della colonna 13 del log non elaborato.
time_stamp metadata.event_timestamp.seconds Estratto dalla porzione del log non elaborato utilizzando i pattern grok. Se non viene trovato, il timestamp viene estratto dal campo timestamp nel log non elaborato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.