Coletar registros do RSA Authentication Manager

Compatível com:

Este documento explica como ingerir registros do RSA Authentication Manager no Google Security Operations usando o Bindplane.

O RSA Authentication Manager (agora RSA SecurID) é uma plataforma de autenticação multifator que oferece autenticação de dois fatores usando tokens, notificações push e biometria. Ele gerencia identidades de usuários, políticas de autenticação e gera registros de auditoria para tentativas de autenticação em toda a empresa. O analisador extrai campos de registros formatados em CSV do RSA Authentication Manager. Ele usa o grok para analisar a mensagem de registro e mapeia esses valores para o Modelo de Dados Unificado (UDM). Ele também define valores de metadados padrão para a origem e o tipo do evento.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps
  • Windows Server 2016 ou mais recente ou host Linux com systemd
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
  • Acesso privilegiado ao console de segurança da RSA (console de operações)

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

  1. Abra o prompt de comando ou o PowerShell como administrador.

  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sc query observiq-otel-collector

O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.

  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Aguarde a conclusão da instalação.

  4. Execute o seguinte comando para confirmar a instalação:

    sudo systemctl status observiq-otel-collector

O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

  • Substitua todo o conteúdo de config.yaml pela seguinte configuração:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'RSA_AUTH_MANAGER'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parâmetros de configuração

  • Substitua os seguintes marcadores de posição:

    • Configuração do receptor:

      • udplog: use udplog para syslog UDP ou tcplog para syslog TCP.
      • 0.0.0.0: endereço IP para escutar (0.0.0.0 para escutar em todas as interfaces)
      • 514: número da porta a ser detectada (porta syslog padrão).

    • Configuração do exportador:

      • creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: ID do cliente da seção "Receber ID do cliente"
      • endpoint: URL do endpoint regional:
        • EUA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Consulte a lista completa em Endpoints regionais.
      • log_type: tipo de registro exatamente como aparece no Chronicle (RSA_AUTH_MANAGER)

Salve o arquivo de configuração.

  • Depois de editar, salve o arquivo:
    • Linux: pressione Ctrl+O, Enter e Ctrl+X.
    • Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart observiq-otel-collector

    1. Verifique se o serviço está em execução:

        sudo systemctl status observiq-otel-collector

    2. Verifique se há erros nos registros:

        sudo journalctl -u observiq-otel-collector -f

  • Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:

    • Prompt de comando ou PowerShell como administrador:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Console de serviços:

      1. Pressione Win+R, digite services.msc e pressione Enter.
      2. Localize o Coletor do OpenTelemetry da observIQ.

      3. Clique com o botão direito do mouse e selecione Reiniciar.

      4. Verifique se o serviço está em execução:

        sc query observiq-otel-collector

      5. Verifique se há erros nos registros:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurar o encaminhamento de syslog no RSA Authentication Manager

  1. Faça login no RSA Security Console (console de operações).
  2. Acesse Configuração > Configurações do sistema > Registro.
  3. Em Registro remoto, clique em Adicionar servidor de registro remoto.
  4. Informe os seguintes detalhes de configuração:
    • Nome do host/endereço IP: insira o endereço IP do host do agente Bindplane.
    • Porta: insira 514.
    • Protocolo: selecione UDP.
  5. Na seção Nível de registro, configure os níveis de geração de registros:
    • Registro de atividades do sistema: selecione Informações ou um nível mais alto.
    • Registro de atividades do administrador: selecione Informações ou um nível mais alto.
    • Registro de autenticação de ambiente de execução: selecione Informações ou um nível mais alto.
  6. Na seção Formato do registro:
    • Formato: selecione CSV (valores separados por vírgula).
  7. Clique em Salvar.

  8. Como alternativa, configure pela CLI no dispositivo RSA:

    manage-logging --set-remote-logging --host BINDPLANE_IP --port 514 --protocol UDP
    • Substitua BINDPLANE_IP pelo endereço IP do host do agente do Bindplane.

  9. Verifique se as mensagens syslog estão sendo enviadas conferindo os registros do agente Bindplane.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
clientip principal.asset.ip O valor de "column8" do registro bruto.
clientip principal.ip O valor de "column8" do registro bruto.
column1 metadata.event_timestamp.seconds Analisado do campo "time" (coluna 1) no registro bruto, usando os formatos "aaaa-MM-dd HH:mm:ss" e "aaaa-MM-dd HH: mm:ss".
column12 security_result.action Mapeamento com base no campo "operation_status" (coluna 12). Os valores "SUCCESS" e "ACCEPT" são mapeados para ALLOW, "FAIL", "REJECT", "DROP", "DENY", "NOT_ALLOWED" são mapeados para BLOCK, e outros valores são mapeados para UNKNOWN_ACTION.
column18 principal.user.userid O valor da coluna 18 do registro bruto.
column19 principal.user.first_name O valor da coluna 19 do registro bruto.
column20 principal.user.last_name O valor de "column20" do registro bruto.
column25 principal.hostname O valor da coluna25 do registro bruto.
column26 principal.asset.hostname O valor da coluna 26 do registro bruto.
column27 metadata.product_name O valor de "column27" do registro bruto.
column3 target.administrative_domain O valor de "column3" do registro bruto.
column32 principal.user.group_identifiers O valor de "column32" do registro bruto.
column5 security_result.severity Mapeado com base no campo "Gravidade" (coluna 5). Os valores "INFO" e "INFORMATIONAL" são mapeados para "INFORMATIONAL", "WARN" e "WARNING" são mapeados para "WARNING", "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" e "ALERT" são mapeados para "ERROR", "NOTICE", "DEBUG" e "TRACE" são mapeados para "DEBUG", e outros valores são mapeados para "UNKNOWN_SEVERITY".
column8 target.asset.ip O valor de "column8" do registro bruto.
column8 target.ip O valor de "column8" do registro bruto.
event_name security_result.rule_name O valor da coluna10 do registro bruto.
host_name intermediary.hostname Extraído da parte do registro bruto usando padrões grok.
process_data principal.process.command_line Extraído da parte do registro bruto usando padrões grok.
resumo security_result.summary O valor de "column13" do registro bruto.
time_stamp metadata.event_timestamp.seconds Extraído da parte do registro bruto usando padrões grok. Se não for encontrado, o carimbo de data/hora será extraído do campo correspondente no registro bruto.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.