收集 RSA Authentication Manager 日志

支持的平台:

本文档介绍了如何使用 Bindplane 将 RSA Authentication Manager 日志注入到 Google Security Operations。

RSA Authentication Manager(现为 RSA SecurID)是一个多重身份验证平台,可使用令牌、推送通知和生物识别技术提供双重身份验证。它可管理用户身份、身份验证政策,并为整个企业的身份验证尝试生成审核日志。解析器从 RSA Authentication Manager CSV 格式的日志中提取字段。它使用 grok 解析日志消息,然后将这些值映射到统一数据模型 (UDM)。它还会为事件来源和类型设置默认元数据值。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • Windows Server 2016 或更高版本,或者具有 systemd 的 Linux 主机
  • 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
  • 对 RSA 安全控制台(运维控制台)的特权访问权限

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. 等待安装完成。

  4. 运行以下命令来验证安装:

    sc query observiq-otel-collector

该服务应显示为 RUNNING

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. 等待安装完成。

  4. 运行以下命令来验证安装:

    sudo systemctl status observiq-otel-collector

该服务应显示为有效(正在运行)

其他安装资源

如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

  • Linux

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

修改配置文件

  • config.yaml 的全部内容替换为以下配置:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'RSA_AUTH_MANAGER'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

配置参数

  • 替换以下占位符:

    • 接收器配置

      • udplog:使用 udplog 表示 UDP syslog,使用 tcplog 表示 TCP syslog
      • 0.0.0.0:要监听的 IP 地址(0.0.0.0 表示监听所有接口)
      • 514:要监听的端口号(标准 syslog 端口)

    • 导出器配置

      • creds_file_path:提取身份验证文件的完整路径:
        • Linux/etc/bindplane-agent/ingestion-auth.json
        • WindowsC:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID:从“获取客户 ID”部分获取的客户 ID
      • endpoint:区域端点网址:
        • 美国malachiteingestion-pa.googleapis.com
        • 欧洲europe-malachiteingestion-pa.googleapis.com
        • 亚洲asia-southeast1-malachiteingestion-pa.googleapis.com
        • 如需查看完整列表,请参阅区域级端点
      • log_type:日志类型,与在 Chronicle 中显示的完全一致 (RSA_AUTH_MANAGER)

保存配置文件

  • 修改后,保存文件:
    • Linux:依次按 Ctrl+OEnterCtrl+X
    • Windows:依次点击文件 > 保存

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart observiq-otel-collector

    1. 验证服务是否正在运行:

        sudo systemctl status observiq-otel-collector

    2. 检查日志是否存在错误:

        sudo journalctl -u observiq-otel-collector -f

  • 如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:

    • 以管理员身份运行命令提示符或 PowerShell:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • 服务控制台:

      1. Win+R,输入 services.msc,然后按 Enter 键。
      2. 找到 observIQ OpenTelemetry 收集器

      3. 右键点击并选择重新启动

      4. 验证服务是否正在运行:

        sc query observiq-otel-collector

      5. 检查日志是否存在错误:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

在 RSA Authentication Manager 上配置 Syslog 转发

  1. 登录 RSA Security Console(操作控制台)。
  2. 依次前往设置 > 系统设置 > 日志记录
  3. 远程日志记录下,点击添加远程日志服务器
  4. 提供以下配置详细信息:
    • 主机名/IP 地址:输入 Bindplane 代理主机 IP 地址。
    • 端口:输入 514
    • 协议:选择 UDP
  5. 日志级别部分,配置日志记录级别:
    • 系统活动日志:选择信息或更高级别。
    • 管理员活动日志:选择信息或更高级别。
    • 运行时身份验证日志:选择信息或更高级别。
  6. 日志格式部分中:
    • 格式:选择 CSV(逗号分隔值)。
  7. 点击保存

  8. 或者,通过 RSA 设备上的 CLI 进行配置:

    manage-logging --set-remote-logging --host BINDPLANE_IP --port 514 --protocol UDP
    • BINDPLANE_IP 替换为 Bindplane 代理主机 IP 地址。

  9. 通过检查 Bindplane 代理日志,验证是否正在发送 syslog 消息。

UDM 映射表

日志字段 UDM 映射 逻辑
clientip principal.asset.ip 原始日志中 column8 的值。
clientip principal.ip 原始日志中 column8 的值。
第 1 列 metadata.event_timestamp.seconds 使用“yyyy-MM-dd HH:mm:ss”和“yyyy-MM-dd HH: mm:ss”格式从原始日志的时间字段(第 1 列)解析。
column12 security_result.action 根据 operation_status 字段(第 12 列)进行映射。值“SUCCESS”和“ACCEPT”映射到 ALLOW,“FAIL”“REJECT”“DROP”“DENY”“NOT_ALLOWED”映射到 BLOCK,其他值映射到 UNKNOWN_ACTION。
column18 principal.user.userid 原始日志中 column18 的值。
column19 principal.user.first_name 原始日志中 column19 的值。
column20 principal.user.last_name 原始日志中 column20 的值。
column25 principal.hostname 原始日志中 column25 的值。
column26 principal.asset.hostname 原始日志中 column26 的值。
column27 metadata.product_name 原始日志中 column27 的值。
第 3 列 target.administrative_domain 原始日志中 column3 的值。
column32 principal.user.group_identifiers 原始日志中 column32 的值。
column5 security_result.severity 根据严重程度字段(第 5 列)进行映射。值“INFO”“INFORMATIONAL”映射到 INFORMATIONAL,“WARN”“WARNING”映射到 WARNING,“ERROR”“CRITICAL”“FATAL”“SEVERE”“EMERGENCY”“ALERT”映射到 ERROR,“NOTICE”“DEBUG”“TRACE”映射到 DEBUG,其他值映射到 UNKNOWN_SEVERITY。
column8 target.asset.ip 原始日志中 column8 的值。
column8 target.ip 原始日志中 column8 的值。
event_name security_result.rule_name 原始日志中 column10 的值。
host_name intermediary.hostname 使用 Grok 模式从原始日志的 部分提取
process_data principal.process.command_line 使用 Grok 模式从原始日志的 部分提取
摘要 security_result.summary 原始日志中 column13 的值。
time_stamp metadata.event_timestamp.seconds 使用 Grok 模式从原始日志的 部分提取。如果未找到,则从原始日志中的时间戳字段提取时间戳。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。