SecureAuth Identity Platform 로그 수집
이 문서에서는 Bindplane을 사용하여 SecureAuth Identity Platform 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 grok 및 xml 필터를 사용하여 다양한 로그 형식 (SYSLOG, XML, 키-값 쌍)에서 필드를 추출합니다. 그런 다음 추출된 필드를 해당 UDM (통합 데이터 모델) 속성에 매핑하여 보안 이벤트 컨텍스트로 데이터를 보강하고 추가 분석을 위해 출력을 표준화합니다.
시작하기 전에
- Google Security Operations 인스턴스가 있는지 확인합니다.
- Windows 2016 이상 또는 systemd가 설치된 Linux 호스트를 사용하고 있는지 확인합니다.
- 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
- SecureAuth에 대한 권한 액세스 권한이 있는지 확인합니다.
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
- 다음 명령어를 실행합니다. - msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
- 다음 명령어를 실행합니다. - sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
- 추가 설치 옵션은 이 설치 가이드를 참고하세요.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
- 구성 파일에 액세스합니다. - config.yaml파일을 찾습니다. 일반적으로 Linux에서는- /etc/bindplane-agent/디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
- 텍스트 편집기 (예: nano,vi, 메모장)를 사용하여 파일을 엽니다.
 
- 다음과 같이 - config.yaml파일을 수정합니다.- receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SECUREAUTH_SSO raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
- 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다. 
- <customer_id>를 실제 고객 ID로 바꿉니다.
- Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 - /path/to/ingestion-authentication-file.json를 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
- Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다. - sudo systemctl restart bindplane-agent
- Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다. - net stop BindPlaneAgent && net start BindPlaneAgent
SecureAuth Identity Platform 구성
- SecureAuth Identity 콘솔에 로그인합니다.
- 로그를 선택합니다.
- 로그 옵션 섹션에 다음 구성 세부정보를 제공합니다.
- 로그 인스턴스 ID: 로그 인스턴스 ID, 애플리케이션 이름 또는 영역 이름을 입력합니다(예: SecureAuth1).
- 감사 로그: Syslog 체크박스를 선택합니다.
- 오류 로그: Syslog 체크박스를 선택합니다.
- Syslog Server: Bindplane 에이전트의 IP 주소를 입력합니다.
- Syslog 포트: Bindplane 에이전트 포트 번호를 입력합니다(예: 514).
- Syslog RFC 사양: RFC 5424를 선택합니다.
 
- 로그 인스턴스 ID: 로그 인스턴스 ID, 애플리케이션 이름 또는 영역 이름을 입력합니다(예: 
- 저장을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 | 
|---|---|---|
| action_msg | read_only_udm.target.process.command_line | action_msg필드의 값 | 
| 어플라이언스 | read_only_udm.principal.domain.name | Appliance필드의 값 | 
| 어플라이언스 | read_only_udm.target.administrative_domain | Appliance필드의 값 | 
| BrowserSession | read_only_udm.network.session_id | BrowserSession필드의 값 | 
| 고양이 | read_only_udm.metadata.product_event_type | cat필드의 값 | 
| 카테고리 | read_only_udm.metadata.product_event_type | Category필드의 값 | 
| cn1 | security_result.severity | cn1Label이 'Priority'인 경우cn1값에 따라 매핑됩니다. 1 - HIGH, 2 - MEDIUM, 3 또는 4 - LOW | 
| 회사 | read_only_udm.additional.fields.value.string_value | Company필드의 값 | 
| cs1 | read_only_udm.network.session_id | cs1Label이 'BrowserSession'일 때cs1필드의 값 | 
| cs3 | read_only_udm.additional.fields.value.string_value | cs3Label이 'CompanyName'일 때cs3필드 값 | 
| dst | read_only_udm.target.ip | dst필드의 값 | 
| 도메인 | read_only_udm.principal.domain.name | domain필드의 값 | 
| dvc | read_only_udm.intermediary.ip | dvc필드의 값 | 
| EventID | read_only_udm.metadata.product_log_id | EventID필드의 값 | 
| HostName | read_only_udm.principal.hostname | grok이 IP 주소와 일치하지 않는 경우 HostName필드의 값 | 
| HostName | read_only_udm.principal.ip | grok이 IP 주소와 일치할 때 HostName필드의 값 | 
| ip | read_only_udm.principal.ip | ip필드의 값 | 
| 메시지 | read_only_udm.metadata.description | Message필드의 값 | 
| 메시지 | security_result.description | Message필드의 값 | 
| nat_ip | read_only_udm.principal.nat_ip | nat_ip필드의 값 | 
| 우선순위 | security_result.severity | Priority값에 따라 매핑됩니다. 1 - 높음, 2 - 중간, 3 또는 4 - 낮음 | 
| SAMLConsumerURL | read_only_udm.target.url | SAMLConsumerURL필드의 값 | 
| sec_msg | security_result.description | sec_msg필드의 값 | 
| SecureAuthIdPAppliance | read_only_udm.target.administrative_domain | SecureAuthIdPAppliance필드의 값 | 
| SecureAuthIdPApplianceMachineName | read_only_udm.target.hostname | SecureAuthIdPApplianceMachineName필드의 값 | 
| SecureAuthIdPDestinationSiteUrl | read_only_udm.target.url | SecureAuthIdPDestinationSiteUrl필드의 값 | 
| SecureAuthIdPProductType | read_only_udm.additional.fields.value.string_value | SecureAuthIdPProductType필드의 값 | 
| 세션 | read_only_udm.network.session_id | session필드의 값 | 
| spid | read_only_udm.target.process.pid | spid필드의 값 | 
| src | read_only_udm.principal.ip | src필드의 값 | 
| suser | read_only_udm.target.user.userid | suser필드의 값 | 
| UserAgent | read_only_udm.network.http.user_agent | UserAgent필드의 값 | 
| UserHostAddress | read_only_udm.principal.nat_ip | UserHostAddress필드의 값 | 
| UserHostAddress | read_only_udm.target.ip | UserHostAddress필드의 값 | 
| UserID | read_only_udm.principal.user.userid | UserID필드의 값 | 
| 버전 | read_only_udm.metadata.product_version | Version필드의 값 | 
| read_only_udm.additional.fields.key | 하드 코딩된 값 - 'CompanyName' | |
| read_only_udm.additional.fields.key | 하드코딩된 값 - '회사' | |
| read_only_udm.additional.fields.key | 하드코딩된 값 - 'SecureAuthIdPProductType' | |
| read_only_udm.extensions.auth.type | 하드 코딩된 값 - 'SSO' | |
| read_only_udm.metadata.event_type | SecureAuthIdPAuthGuiMode==0및auth_result==Success인 경우 'USER_LOGIN',SecureAuthIdPAuthGuiMode==0및auth_result==WS-Trust success.인 경우 'USER_CHANGE_PERMISSIONS',SecureAuthIdPAuthGuiMode==0및auth_result==Session Aborted인 경우 'USER_LOGOUT',UserHostAddress!=and `HostName` !=인 경우 'NETWORK_CONNECTION',ip!=or `HostName` !=인 경우 'STATUS_UPDATE',UserHostAddress!=and `HostName` ==및UserID!= ''인 경우 'USER_UNCATEGORIZED', 그렇지 않은 경우 'GENERIC_EVENT' | |
| read_only_udm.metadata.log_type | 하드 코딩된 값 - 'SECUREAUTH_SSO' | |
| read_only_udm.metadata.product_name | 하드 코딩된 값 - 'SECUREAUTH_SSO' | |
| read_only_udm.metadata.vendor_name | 하드 코딩된 값 - 'SECUREAUTH_SSO' | |
| read_only_udm.target.user.email_addresses | not_email이 false일 때user_email필드의 값 | |
| security_result.severity | cn1Label==Priority및cn1==1인 경우 '높음',cn1Label==Priority및cn1==2인 경우 '보통',cn1Label==Priority및cn1이 [3,4]에 있는 경우 '낮음',Priority==1인 경우 '높음',Priority==2인 경우 '보통',Priority이 [3,4]에 있는 경우 '낮음' | 
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.