RSA Authentication Manager-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie RSA Authentication Manager-Logs mit einem Google Security Operations-Forwarder erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label RSA_AUTH_MANAGER.

RSA Authentication Manager konfigurieren

  1. Melden Sie sich mit Administratoranmeldedaten in der RSA Authentication Manager Security-Konsole an.
  2. Klicke im Menü Einrichtung auf Systemeinstellungen.
  3. Wählen Sie im Fenster Systemeinstellungen im Abschnitt Grundeinstellungen die Option Protokollierung aus.
  4. Wählen Sie im Abschnitt Instanz auswählen den in Ihrer Umgebung konfigurierten Instanztyp Primär aus und klicken Sie dann auf Weiter.
  5. Konfigurieren Sie im Bereich Einstellungen konfigurieren die Protokolle für die folgenden Abschnitte, die angezeigt werden:
    • Protokollebenen
    • Ziel für Protokolldaten
    • Maskierung von Logdaten
  6. Konfigurieren Sie im Abschnitt Logebenen die folgenden Logs:
    • Setzen Sie Trace log (Trace-Protokoll) auf Fatal (Schwerwiegend).
    • Setzen Sie Administratives Audit-Log auf Erfolg.
    • Legen Sie Runtime-Audit-Log auf Erfolg fest.
    • Setzen Sie Systemprotokoll auf Warnung.

  7. Wählen Sie im Abschnitt Ziel für Protokolldaten für die folgenden Protokollebenendaten die Option In interner Datenbank und Remote-Syslog für den folgenden Hostnamen oder die folgende IP-Adresse speichern aus und geben Sie dann die IP-Adresse von Google Security Operations ein:

    • Daten aus dem Audit-Log für Administratoren
    • Laufzeit-Audit-Log-Daten
    • Systemprotokolldaten

    Syslog-Nachrichten werden über eine höhere Portnummer für UDP übertragen.

  8. Geben Sie im Abschnitt Logdaten maskieren im Feld Token-Seriennummer maskieren: Anzahl der anzuzeigenden Ziffern der Token-Seriennummer den Maximalwert ein, der der Anzahl der Ziffern entspricht, die in verfügbaren Tokens angezeigt werden, z. B. 12.

    Weitere Informationen finden Sie unter Logdaten maskieren.

  9. Klicken Sie auf Speichern.

Google Security Operations-Forwarder und Syslog konfigurieren, um RSA Authentication Manager-Logs aufzunehmen

  1. Wählen Sie SIEM Settings > Forwarders aus.
  2. Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
  3. Geben Sie im Feld Name des Weiterleitungsdienstes einen eindeutigen Namen für den Weiterleitungsdienst ein.
  4. Klicken Sie auf Senden und dann auf Bestätigen. Der Weiterleiter wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
  5. Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
  6. Wählen Sie RSA als Protokolltyp aus.
  7. Wählen Sie Syslog als Collector-Typ aus.
  8. Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
    • Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwenden soll, um auf Syslog-Daten zu warten.
    • Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter dem sich der Collector befindet und auf Syslog-Daten wartet.
    • Port: Geben Sie den Zielport an, auf dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
  9. Klicken Sie auf Senden.

Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen. Informationen zu den Anforderungen für die einzelnen Forwarder-Typen finden Sie unter Forwarder-Konfiguration nach Typ. Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz zur Feldzuordnung

Dieser Parser extrahiert Felder aus CSV-Protokollen von RSA Authentication Manager und berücksichtigt dabei Abweichungen im Protokollformat. Die Logzeilen werden zuerst mit „grok“ geparst. Anschließend werden einzelne Felder mithilfe der CSV-Filterung extrahiert und standardisierten Namen wie username, clientip und operation_status zugeordnet, um die UDM-Kompatibilität zu gewährleisten.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
clientip principal.asset.ip Der Wert von „column8“ aus dem Rohlog.
clientip principal.ip Der Wert von „column8“ aus dem Rohlog.
column1 metadata.event_timestamp.seconds Wird aus dem Feld time (Spalte 1) im Rohprotokoll geparst, wobei die Formate „JJJJ-MM-TT HH:mm:ss“ und „JJJJ-MM-TT HH: mm:ss“ verwendet werden.
column12 security_result.action Zuordnung auf Grundlage des Felds operation_status (column12). Die Werte „SUCCESS“ und „ACCEPT“ werden ALLOW zugeordnet, „FAIL“, „REJECT“, „DROP“, „DENY“ und „NOT_ALLOWED“ werden BLOCK zugeordnet und andere Werte werden UNKNOWN_ACTION zugeordnet.
column18 principal.user.userid Der Wert von „column18“ aus dem Rohlog.
column19 principal.user.first_name Der Wert von „column19“ aus dem Rohlog.
column20 principal.user.last_name Der Wert von „column20“ aus dem Rohlog.
column25 principal.hostname Der Wert von „column25“ aus dem Rohlog.
column26 principal.asset.hostname Der Wert von „column26“ aus dem Rohlog.
column27 metadata.product_name Der Wert von „column27“ aus dem Rohlog.
column3 target.administrative_domain Der Wert von „column3“ aus dem Rohlog.
column32 principal.user.group_identifiers Der Wert von column32 aus dem Rohlog.
column5 security_result.severity Zuordnung auf Grundlage des Felds severity (column5). Die Werte „INFO“ und „INFORMATIONAL“ werden INFORMATIONAL zugeordnet, „WARN“ und „WARNING“ werden WARNING zugeordnet, „ERROR“, „CRITICAL“, „FATAL“, „SEVERE“, „EMERGENCY“ und „ALERT“ werden ERROR zugeordnet, „NOTICE“, „DEBUG“ und „TRACE“ werden DEBUG zugeordnet und andere Werte werden UNKNOWN_SEVERITY zugeordnet.
column8 target.asset.ip Der Wert von „column8“ aus dem Rohlog.
column8 target.ip Der Wert von „column8“ aus dem Rohlog.
event_name security_result.rule_name Der Wert von „column10“ aus dem Rohlog.
host_name intermediary.hostname Aus dem <DATA>-Teil des Rohlogs mit Grok-Mustern extrahiert.
process_data principal.process.command_line Aus dem <DATA>-Teil des Rohlogs mit Grok-Mustern extrahiert.
summary security_result.summary Der Wert von „column13“ aus dem Rohlog.
time_stamp metadata.event_timestamp.seconds Aus dem <DATA>-Teil des Rohlogs mit Grok-Mustern extrahiert. Wenn er nicht gefunden wird, wird der Zeitstempel aus dem Feld timestamp im Rohlog extrahiert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten