RSA Authentication Manager ログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して RSA Authentication Manager ログを Google Security Operations に取り込む方法について説明します。

RSA Authentication Manager(現在は RSA SecurID)は、トークン、プッシュ通知、生体認証を使用した 2 要素認証を提供する多要素認証プラットフォームです。ユーザー ID と認証ポリシーを管理し、企業全体の認証試行の監査ログを生成します。このパーサーは、RSA Authentication Manager の CSV 形式のログからフィールドを抽出します。grok を使用してログ メッセージを解析し、これらの値を統合データモデル(UDM)にマッピングします。また、イベントのソースとタイプのデフォルトのメタデータ値も設定します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows Server 2016 以降、または systemd を使用する Linux ホスト
  • プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
  • RSA Security Console(Operations Console)への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows のインストール

  1. 管理者としてコマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. インストールが完了するまで待ちます。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sc query observiq-otel-collector

サービスは RUNNING と表示されます。

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. インストールが完了するまで待ちます。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sudo systemctl status observiq-otel-collector

サービスが [アクティブ(実行中)] と表示されます。

その他のインストール リソース

その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

  • config.yaml の内容全体を次の構成に置き換えます。

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'RSA_AUTH_MANAGER'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

構成パラメータ

  • 各プレースホルダを次のように置き換えます。

    • レシーバーの構成:

      • udplog: UDP Syslog には udplog、TCP Syslog には tcplog を使用します。
      • 0.0.0.0: リッスンする IP アドレス(すべてのインターフェースでリッスンする場合は 0.0.0.0
      • 514: リッスンするポート番号(標準の syslog ポート)

    • エクスポータの構成:

      • creds_file_path: 取り込み認証ファイルのフルパス:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: 「顧客 ID を取得する」セクションの顧客 ID
      • endpoint: リージョン エンドポイント URL:
        • 米国: malachiteingestion-pa.googleapis.com
        • ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
        • アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
        • 完全なリストについては、リージョン エンドポイントをご覧ください。
      • log_type: Chronicle に表示されるログタイプ(RSA_AUTH_MANAGER

構成ファイルを保存する

  • 編集後、ファイルを保存します。
    • Linux: Ctrl+OEnterCtrl+X の順に押します。
    • Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart observiq-otel-collector

    1. サービスが実行されていることを確認します。

        sudo systemctl status observiq-otel-collector

    2. ログでエラーを確認します。

        sudo journalctl -u observiq-otel-collector -f

  • Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。

    • 管理者としてコマンド プロンプトまたは PowerShell を開きます。

      net stop observiq-otel-collector && net start observiq-otel-collector

    • サービス コンソール:

      1. Win+R キーを押し、「services.msc」と入力して Enter キーを押します。
      2. observIQ OpenTelemetry Collector を見つけます。

      3. 右クリックして [再起動] を選択します。

      4. サービスが実行されていることを確認します。

        sc query observiq-otel-collector

      5. ログでエラーを確認します。

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

RSA Authentication Manager で Syslog 転送を構成する

  1. RSA Security Console(Operations Console)にログインします。
  2. [Setup] > [System Settings] > [Logging] に移動します。
  3. [リモート ロギング] で、[リモート ログサーバーを追加] をクリックします。
  4. 次の構成の詳細を指定します。
    • ホスト名/IP アドレス: Bindplane エージェント ホストの IP アドレスを入力します。
    • ポート: 「514」と入力します。
    • Protocol: [UDP] を選択します。
  5. [ログレベル] セクションで、ロギングレベルを構成します。
    • システム アクティビティ ログ: [情報] 以上を選択します。
    • 管理者アクティビティ ログ: [情報] 以上を選択します。
    • Runtime Authentication Log: [Info] 以上を選択します。
  6. [ログ形式] セクションで次の操作を行います。
    • 形式: [CSV](カンマ区切り値)を選択します。
  7. [保存] をクリックします。

  8. または、RSA アプライアンスで CLI を使用して構成します。

    manage-logging --set-remote-logging --host BINDPLANE_IP --port 514 --protocol UDP
    • BINDPLANE_IP は、Bindplane エージェント ホストの IP アドレスに置き換えます。

  9. Bindplane エージェントのログを確認して、syslog メッセージが送信されていることを確認します。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
clientip principal.asset.ip 未加工ログの column8 の値。
clientip principal.ip 未加工ログの column8 の値。
column1 metadata.event_timestamp.seconds 「yyyy-MM-dd HH:mm:ss」形式と「yyyy-MM-dd HH: mm:ss」形式を使用して、未加工ログの時間フィールド(column1)から解析されます。
column12 security_result.action operation_status フィールド(列 12)に基づいてマッピングされます。値「SUCCESS」と「ACCEPT」は ALLOW にマッピングされ、「FAIL」、「REJECT」、「DROP」、「DENY」、「NOT_ALLOWED」は BLOCK にマッピングされ、その他の値は UNKNOWN_ACTION にマッピングされます。
column18 principal.user.userid 未加工ログの column18 の値。
column19 principal.user.first_name 未加工ログの column19 の値。
column20 principal.user.last_name 未加工ログの column20 の値。
column25 principal.hostname 未加工ログの column25 の値。
column26 principal.asset.hostname 未加工ログの column26 の値。
column27 metadata.product_name 未加工ログの column27 の値。
column3 target.administrative_domain 未加工ログの column3 の値。
column32 principal.user.group_identifiers 未加工ログの column32 の値。
column5 security_result.severity 重大度フィールド(column5)に基づいてマッピングされます。値「INFO」、「INFORMATIONAL」は INFORMATIONAL にマッピングされ、「WARN」、「WARNING」は WARNING にマッピングされ、「ERROR」、「CRITICAL」、「FATAL」、「SEVERE」、「EMERGENCY」、「ALERT」は ERROR にマッピングされ、「NOTICE」、「DEBUG」、「TRACE」は DEBUG にマッピングされ、その他の値は UNKNOWN_SEVERITY にマッピングされます。
column8 target.asset.ip 未加工ログの column8 の値。
column8 target.ip 未加工ログの column8 の値。
event_name security_result.rule_name 未加工ログの column10 の値。
host_name intermediary.hostname Grok パターンを使用して、未加工のログの 部分から抽出されます。
process_data principal.process.command_line Grok パターンを使用して、未加工のログの 部分から抽出されます。
概要 security_result.summary 未加工ログの column13 の値。
time_stamp metadata.event_timestamp.seconds Grok パターンを使用して、未加工のログの 部分から抽出されます。見つからない場合、タイムスタンプは未加工ログのタイムスタンプ フィールドから抽出されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。