Micro Focus NetIQ Access Manager-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie mit Bindplane Micro Focus NetIQ Access Manager-Logs in Google Security Operations erfassen. Micro Focus NetIQ Access Manager ist eine IAM-Lösung (Identity and Access Management), die Anwendungen und Daten durch zentrale Authentifizierung, Autorisierung und Single Sign-On-Funktionen (SSO) schützt.
Hinweise
- Sie benötigen eine Google Security Operations-Instanz.
- Sie müssen Windows 2016 oder höher oder einen Linux-Host mit
systemdverwenden. - Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
- Sie benötigen Berechtigungen für NetIQ Access Manager.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profil.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Windows-Installation
- Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Weitere Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet
Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor, z. B.
nano,vioder Notepad.
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:5252" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: netiq_access raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsErsetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie
<customer_id>durch die tatsächliche Kundennummer.Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonim Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.
Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden
Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:
sudo systemctl restart bindplane-agentSie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:
net stop BindPlaneAgent && net start BindPlaneAgent
Identity Server-Auditereignisse in NetIQ Access Manager konfigurieren
- Melden Sie sich in der NetIQ-Verwaltungskonsole an.
- Wählen Sie Geräte > Identitätsserver > Server > Bearbeiten > Auditing und Logging aus.
- Wählen Sie für Audit-Protokollierung die Option Aktiviert aus.
- Wenn Sie alle Ereignisse prüfen möchten, wählen Sie Alle auswählen aus.
- Klicken Sie auf Übernehmen> OK.
- Klicken Sie auf Server > Server aktualisieren.
Access Gateway-Audit-Ereignisse in NetIQ Access Manager konfigurieren
- Melden Sie sich in der NetIQ-Verwaltungskonsole an.
- Gehen Sie zu Geräte > Zugangsgateways > Bearbeiten > Auditing.
- Klicken Sie auf Alle auswählen.
- Klicken Sie auf OK> OK.
- Klicken Sie auf der Seite Zugriffsgateways auf Aktualisieren.
Logging-Server in NetIQ Access Manager konfigurieren
- Melden Sie sich in der NetIQ-Verwaltungskonsole an.
- Klicken Sie auf Auditing (Auditing).
Geben Sie die folgenden Informationen an:
- Audit-Nachrichten über syslog: Wählen Sie diese Option aus, um Audit-Ereignisse an den Audit-Server zu senden.
- Dienst bei Audit-Serverfehler beenden: Lassen Sie dieses Feld leer.
- Server-Warteschlangenadresse: Geben Sie die IP-Adresse von Bindplane ein.
- Port: Geben Sie den Syslog-Port an, der für die Verbindung zu BindPlane verwendet wird.
- Format: Wählen Sie CSV aus.
- Audit-Ereignisse der Verwaltungskonsole: Wählen Sie Alle aus.
Wenn für die Prüfung syslog ausgewählt ist, gehen Sie so vor:
- Ändern Sie in
nam.confden WertSYSLOG_DAEMONinrsyslog. Dadurch wird der Standard-Syslog-Daemon inrsysloggeändert. Wenn Sie die Datei
Auditlogging.cfgbearbeiten und sowohl die MakrosSERVERIPals auchSERVERPORTals leer festlegen möchten, führen Sie Folgendes aus:LOGDEST=syslog FORMAT=JSON SERVERIP= SERVERPORT=
- Ändern Sie in
Führen Sie zum Konfigurieren von UDP Folgendes aus:
#$ModLoad imtcp # load TCP listener $InputTCPServerRun 1290 $template ForwardFormat,"<%PRI%>%TIMESTAMP:::date-rfc3164% %HOSTNAME% %syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%\n" $ModLoad imudp local0.* @FORWARDERIP:PORT_NUMBER;ForwardFormatStarten Sie den Dienst
rsyslogneu.
Änderungen
2024-12-12
- Neu erstellter Parser.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten