收集 RSA Authentication Manager 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 RSA Authentication Manager 記錄擷取至 Google Security Operations。

RSA Authentication Manager (現為 RSA SecurID) 是一種多重驗證平台，可透過權杖、推播通知和生物特徵辨識提供雙重驗證。這項服務可管理使用者身分和驗證政策，並為企業的驗證嘗試產生稽核記錄。剖析器會從 RSA Authentication Manager CSV 格式的記錄檔中擷取欄位。它會使用 grok 剖析記錄訊息，然後將這些值對應至統合式資料模型 (UDM)。此外，也會為事件來源和類型設定預設中繼資料值。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
RSA Security Console (Operations Console) 的特殊權限

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令來驗證安裝：
```
sc query observiq-otel-collector
```

服務應顯示為「RUNNING」(執行中)。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。

執行下列指令來驗證安裝：

sudo systemctl status observiq-otel-collector

服務應顯示為啟用 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'RSA_AUTH_MANAGER'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

設定參數

替換下列預留位置：
- 接收器設定：
  - udplog：使用 udplog 進行 UDP 系統記錄，或使用 tcplog 進行 TCP 系統記錄
  - 0.0.0.0：要接聽的 IP 位址 (0.0.0.0 可接聽所有介面)
  - 514：要接聽的通訊埠號碼 (標準系統記錄通訊埠)
- 匯出工具設定：
  - creds_file_path：擷取驗證檔案的完整路徑：
    - Linux：/etc/bindplane-agent/ingestion-auth.json
    - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - YOUR_CUSTOMER_ID：從「取得客戶 ID」一節取得的客戶 ID
  - endpoint：區域端點網址：
    - 美國：malachiteingestion-pa.googleapis.com
    - 歐洲：europe-malachiteingestion-pa.googleapis.com
    - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    - 如需完整清單，請參閱「區域端點」
  - log_type：記錄類型，與 Chronicle 中顯示的完全相同 (RSA_AUTH_MANAGER)

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

  sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

  sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：
- 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服務控制台：
  1. 按下 Win+R 鍵，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 RSA Authentication Manager 上設定 Syslog 轉送

登入 RSA Security Console (Operations Console)。
依序前往「設定」>「系統設定」>「記錄」。
在「遠端記錄」下方，按一下「新增遠端記錄伺服器」。
請提供下列設定詳細資料：
- 主機名稱/IP 位址：輸入 Bindplane 代理程式主機的 IP 位址。
- 「Port」(通訊埠)：輸入 514。
- 「通訊協定」：選取「UDP」。
在「記錄層級」部分，設定記錄層級：
- 系統活動記錄：選取「資訊」或更高嚴重程度。
- 管理員活動記錄：選取「資訊」或更高等級。
- 執行階段驗證記錄：選取「資訊」或更高層級。
在「記錄檔格式」部分：
- 格式：選取「CSV」(逗號分隔值)。
按一下 [儲存]。
或者，您也可以在 RSA 設備上透過 CLI 進行設定：
```
manage-logging --set-remote-logging --host BINDPLANE_IP --port 514 --protocol UDP
```
- 將 BINDPLANE_IP 替換為 Bindplane 代理程式主機的 IP 位址。
檢查 Bindplane 代理程式記錄，確認系統記錄訊息是否已傳送。

UDM 對應表

記錄欄位	UDM 對應	邏輯
clientip	principal.asset.ip	原始記錄中的 column8 值。
clientip	principal.ip	原始記錄中的 column8 值。
第 1 欄	metadata.event_timestamp.seconds	從原始記錄的時間欄位 (第 1 欄) 剖析，使用「yyyy-MM-dd HH:mm:ss」和「yyyy-MM-dd HH: mm:ss」格式。
column12	security_result.action	根據 operation_status 欄位 (第 12 欄) 對應。「SUCCESS」和「ACCEPT」值會對應至 ALLOW，「FAIL」、「REJECT」、「DROP」、「DENY」和「NOT_ALLOWED」值會對應至 BLOCK，其他值則會對應至 UNKNOWN_ACTION。
column18	principal.user.userid	原始記錄中第 18 欄的值。
column19	principal.user.first_name	原始記錄中的第 19 欄值。
column20	principal.user.last_name	原始記錄中的 column20 值。
column25	principal.hostname	原始記錄中的 column25 值。
column26	principal.asset.hostname	原始記錄中的第 26 欄值。
column27	metadata.product_name	原始記錄中的 column27 值。
第 3 欄	target.administrative_domain	原始記錄中的 column3 值。
column32	principal.user.group_identifiers	原始記錄中的 column32 值。
column5	security_result.severity	根據嚴重程度欄位 (第 5 欄) 對應。「INFO」、「INFORMATIONAL」會對應至 INFORMATIONAL，「WARN」、「WARNING」會對應至 WARNING，「ERROR」、「CRITICAL」、「FATAL」、「SEVERE」、「EMERGENCY」、「ALERT」會對應至 ERROR，「NOTICE」、「DEBUG」、「TRACE」會對應至 DEBUG，其他值則會對應至 UNKNOWN_SEVERITY。
column8	target.asset.ip	原始記錄中的 column8 值。
column8	target.ip	原始記錄中的 column8 值。
event_name	security_result.rule_name	原始記錄中的 column10 值。
host_name	intermediary.hostname	使用 grok 模式從原始記錄的部分擷取。
process_data	principal.process.command_line	使用 grok 模式從原始記錄的部分擷取。
摘要	security_result.summary	原始記錄中的 column13 值。
time_stamp	metadata.event_timestamp.seconds	使用 grok 模式從原始記錄的部分擷取。如果找不到，系統會從原始記錄的時間戳記欄位擷取時間戳記。�

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。