Micro Focus NetIQ Access Manager-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie Micro Focus NetIQ Access Manager-Logs mit Bindplane in Google Security Operations erfassen. Micro Focus NetIQ Access Manager ist eine Lösung für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM), die Anwendungen und Daten durch zentralisierte Authentifizierung, Autorisierung und Single Sign-On (SSO) schützt.
Hinweise
- Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
- Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit
systemdverwenden. - Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
- Sie benötigen privilegierten Zugriff auf NetIQ Access Manager.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Greifen Sie auf die Konfigurationsdatei zu:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:5252" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: netiq_access raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsErsetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie
<customer_id>durch die tatsächliche Kunden-ID.Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart bindplane-agentWenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
net stop BindPlaneAgent && net start BindPlaneAgent
Identity Server-Prüfereignisse in NetIQ Access Manager konfigurieren
- Melden Sie sich in der NetIQ-Verwaltungskonsole an.
- Wählen Sie Geräte> Identitätsserver> Server> Bearbeiten> Audit und Protokollierung aus.
- Wählen Sie für Audit-Protokollierung die Option Aktiviert aus.
- Wenn Sie alle Ereignisse prüfen möchten, wählen Sie Alle auswählen aus.
- Klicken Sie auf Übernehmen> OK.
- Klicken Sie auf Server> Server aktualisieren.
Access Gateway-Audit-Ereignisse in NetIQ Access Manager konfigurieren
- Melden Sie sich in der NetIQ-Verwaltungskonsole an.
- Gehen Sie zu Geräte > Zugriffs-Gateways > Bearbeiten > Überprüfung.
- Klicken Sie auf Alle auswählen.
- Klicken Sie auf OK> OK.
- Klicken Sie auf der Seite Access Gateways (Zugriffsgateways) auf Aktualisieren.
Logging-Server in NetIQ Access Manager konfigurieren
- Melden Sie sich in der NetIQ-Verwaltungskonsole an.
- Klicken Sie auf Audit.
Geben Sie die folgenden Informationen an:
- Audit-Meldungen über Syslog: Wählen Sie diese Option aus, um Audit-Ereignisse an den Audit-Server zu senden.
- Dienst bei Ausfall des Prüfservers beenden: leer lassen.
- Server listening address (Server-Listening-Adresse): Geben Sie die IP-Adresse von Bindplane ein.
- Port: Geben Sie den Syslog-Port an, der für die Verbindung zu Bindplane verwendet wird.
- Format: Wählen Sie CSV aus.
- Audit-Ereignisse in der Managementkonsole: Wählen Sie Alle aus.
Wenn Syslog für die Prüfung ausgewählt ist, gehen Sie so vor:
- Ändern Sie in
nam.confden WertSYSLOG_DAEMONinrsyslog. Dadurch wird der Standard-Syslog-Daemon inrsysloggeändert. Wenn Sie die Datei
Auditlogging.cfgbearbeiten und die MakrosSERVERIPundSERVERPORTals leer festlegen möchten, führen Sie Folgendes aus:LOGDEST=syslog FORMAT=JSON SERVERIP= SERVERPORT=
- Ändern Sie in
Führen Sie Folgendes aus, um UDP zu konfigurieren:
#$ModLoad imtcp # load TCP listener $InputTCPServerRun 1290 $template ForwardFormat,"<%PRI%>%TIMESTAMP:::date-rfc3164% %HOSTNAME% %syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%\n" $ModLoad imudp local0.* @FORWARDERIP:PORT_NUMBER;ForwardFormatStarten Sie den Dienst
rsyslogneu.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten