SecureAuth Identity Platform-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie SecureAuth Identity Platform-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus verschiedenen Logformaten (SYSLOG, XML, Schlüssel/Wert-Paare) mithilfe von Grok- und XML-Filtern. Anschließend werden die extrahierten Felder den entsprechenden UDM-Attributen (Unified Data Model) zugeordnet, um die Daten mit Kontext zu Sicherheitsereignissen anzureichern und die Ausgabe für weitere Analysen zu standardisieren.

Hinweise

  • Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
  • Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
  • Prüfen Sie, ob Sie privilegierten Zugriff auf SecureAuth haben.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Konfigurationsdatei aufrufen:

    1. Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SECUREAUTH_SSO
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Get Google SecOps ingestion authentication file (Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen) gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  • Um den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

SecureAuth Identity Platform konfigurieren

  1. Melden Sie sich in der SecureAuth Identity-Konsole an.
  2. Wählen Sie Logs aus.
  3. Geben Sie im Abschnitt Log-Optionen die folgenden Konfigurationsdetails an:
    • Log-Instanz-ID: Geben Sie die Log-Instanz-ID, den Anwendungsnamen oder den Bereichsnamen ein, z. B. SecureAuth1.
    • Audit-Logs: Klicken Sie das Kästchen Syslog an.
    • Fehlerlogs: Klicken Sie das Kästchen Syslog an.
    • Syslog-Server: Geben Sie die IP-Adresse Ihres Bindplane-Agents ein.
    • Syslog-Port: Geben Sie die Portnummer des Bindplane-Agents ein, z. B. 514.
    • Syslog RFC spec: Wählen Sie RFC 5424 aus.
  4. Klicken Sie auf Speichern.

Unterstützte SecureAuth-Logformate

Der SecureAuth-Parser unterstützt Logs im Syslog- und XML-Format.

Unterstützte SecureAuth-Beispiellogs

  • SYSLOG + XML

    <150>Nov 25 18:42:24 192.168.1.1 <Root>
  <EventID>90010</EventID>
  <Priority>4</Priority>
  <Message>Session - Start</Message>
  <Category>AUDIT</Category>
  <UserHostAddress>10.0.0.1</UserHostAddress>
  <BrowserSession>48a28fd1-b4c6-4d9e-b24e-b1fd0d3b9407</BrowserSession>
  <RequestID>3e0e05e2-c2ef-41b1-8995-109676e653ed</RequestID>
  <Realm>DUMMY_REALM</Realm>
  <Appliance>DUMMY-APPLIANCE@dummycorp.com</Appliance>
  <Company>DUMMY CORP</Company>
  <Version>19.07.1.18</Version>
  <HostName>192.168.1.1</HostName>
</Root>

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
action_msg read_only_udm.target.process.command_line Wert des Felds action_msg
Appliance read_only_udm.principal.domain.name Wert des Felds Appliance
Appliance read_only_udm.target.administrative_domain Wert des Felds Appliance
BrowserSession read_only_udm.network.session_id Wert des Felds BrowserSession
cat read_only_udm.metadata.product_event_type Wert des Felds cat
Kategorie read_only_udm.metadata.product_event_type Wert des Felds Category
cn1 security_result.severity Wird basierend auf dem Wert von cn1 zugeordnet, wenn cn1Label „Priority“ (Priorität) ist: 1 – HIGH (HOCH), 2 – MEDIUM (MITTEL), 3 oder 4 – LOW (NIEDRIG)
Unternehmen read_only_udm.additional.fields.value.string_value Wert des Felds Company
cs1 read_only_udm.network.session_id Wert des Felds cs1, wenn cs1Label „BrowserSession“ ist
cs3 read_only_udm.additional.fields.value.string_value Wert des Felds cs3, wenn cs3Label „CompanyName“ ist
dst read_only_udm.target.ip Wert des Felds dst
Domain read_only_udm.principal.domain.name Wert des Felds domain
dvc read_only_udm.intermediary.ip Wert des Felds dvc
EventID read_only_udm.metadata.product_log_id Wert des Felds EventID
HostName read_only_udm.principal.hostname Wert des Felds „HostName“, wenn die IP-Adresse nicht mit „grok“ abgeglichen werden kann
HostName read_only_udm.principal.ip Wert des Felds HostName, wenn der Grok-Ausdruck mit der IP-Adresse übereinstimmt
ip read_only_udm.principal.ip Wert des Felds ip
Nachricht read_only_udm.metadata.description Wert des Felds Message
Nachricht security_result.description Wert des Felds Message
nat_ip read_only_udm.principal.nat_ip Wert des Felds nat_ip
Priorität security_result.severity Zuordnung basierend auf dem Wert von Priority: 1 – HIGH, 2 – MEDIUM, 3 oder 4 – LOW
SAMLConsumerURL read_only_udm.target.url Wert des Felds SAMLConsumerURL
sec_msg security_result.description Wert des Felds sec_msg
SecureAuthIdPAppliance read_only_udm.target.administrative_domain Wert des Felds SecureAuthIdPAppliance
SecureAuthIdPApplianceMachineName read_only_udm.target.hostname Wert des Felds SecureAuthIdPApplianceMachineName
SecureAuthIdPDestinationSiteUrl read_only_udm.target.url Wert des Felds SecureAuthIdPDestinationSiteUrl
SecureAuthIdPProductType read_only_udm.additional.fields.value.string_value Wert des Felds SecureAuthIdPProductType
Sitzung read_only_udm.network.session_id Wert des Felds session
spid read_only_udm.target.process.pid Wert des Felds spid
src read_only_udm.principal.ip Wert des Felds src
suser read_only_udm.target.user.userid Wert des Felds suser
User-Agent read_only_udm.network.http.user_agent Wert des Felds UserAgent
UserHostAddress read_only_udm.principal.nat_ip Wert des Felds UserHostAddress
UserHostAddress read_only_udm.target.ip Wert des Felds UserHostAddress
UserID read_only_udm.principal.user.userid Wert des Felds UserID
Version read_only_udm.metadata.product_version Wert des Felds Version
read_only_udm.additional.fields.key Hartcodierter Wert: „CompanyName“
read_only_udm.additional.fields.key Hartcodierter Wert: „Unternehmen“
read_only_udm.additional.fields.key Fest codierter Wert – „SecureAuthIdPProductType“
read_only_udm.extensions.auth.type Hartcodierter Wert: „SSO“
read_only_udm.metadata.event_type 'USER_LOGIN', wenn SecureAuthIdPAuthGuiMode == 0 und auth_result == Success, 'USER_CHANGE_PERMISSIONS', wenn SecureAuthIdPAuthGuiMode == 0 und auth_result ==WS-Trust success., 'USER_LOGOUT', wenn SecureAuthIdPAuthGuiMode == 0 und auth_result == Session Aborted, 'NETWORK_CONNECTION', wenn UserHostAddress != and `HostName` !=, 'STATUS_UPDATE', wenn ip != or `HostName` !=, 'USER_UNCATEGORIZED', wenn UserHostAddress != and `HostName` == und UserID != ``, andernfalls 'GENERIC_EVENT'
read_only_udm.metadata.log_type Hartcodierter Wert: „SECUREAUTH_SSO“
read_only_udm.metadata.product_name Hartcodierter Wert: „SECUREAUTH_SSO“
read_only_udm.metadata.vendor_name Hartcodierter Wert: „SECUREAUTH_SSO“
read_only_udm.target.user.email_addresses Wert des Felds user_email, wenn not_email „false“ ist
security_result.severity 'HIGH', wenn cn1Label == Priority und cn1 == 1, 'MEDIUM', wenn cn1Label == Priority und cn1 == 2, 'LOW', wenn cn1Label == Priority und cn1 in [3, 4], 'HIGH', wenn Priority == 1, 'MEDIUM', wenn Priority == 2, 'LOW', wenn Priority in [3, 4]

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten