Collecter les journaux RSA Authentication Manager

Compatible avec :

Ce document explique comment collecter les journaux RSA Authentication Manager à l'aide d'un transmetteur Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion RSA_AUTH_MANAGER.

Configurer RSA Authentication Manager

  1. Connectez-vous à la console RSA Authentication Manager Security à l'aide des identifiants administrateur.
  2. Dans le menu Configuration, cliquez sur Paramètres système.
  3. Dans la fenêtre Paramètres système, dans la section Paramètres de base, sélectionnez Journalisation.
  4. Dans la section Sélectionner une instance, sélectionnez le type d'instance Principal configuré dans votre environnement, puis cliquez sur Suivant pour continuer.
  5. Dans la section Configurer les paramètres, configurez les journaux pour les sections suivantes qui s'affichent :
    • Niveaux de journalisation
    • Destination des données de journaux
    • Masquage des données de journaux
  6. Dans la section Niveaux de journalisation, configurez les journaux suivants :
    • Définissez Journal de trace sur Fatal.
    • Définissez Journal d'audit de l'administration sur Succès.
    • Définissez Journal d'audit de l'exécution sur Réussite.
    • Définissez Journal système sur Avertissement.
  7. Dans la section Destination des données de journaux, pour les données de niveau de journal suivantes, sélectionnez Enregistrer dans la base de données interne et le syslog distant pour le nom d'hôte ou l'adresse IP suivants, puis saisissez l'adresse IP de Google Security Operations :

    • Données du journal d'audit de la console d'administration
    • Données du journal d'audit du runtime
    • Données des journaux système

    Les messages Syslog sont transmis sur un numéro de port plus élevé pour UDP.

  8. Dans la section Masquage des données de journaux, dans le champ Masquer le numéro de série du jeton : nombre de chiffres du numéro de série du jeton à afficher, saisissez la valeur maximale, qui correspond au nombre de chiffres qui apparaissent dans les jetons disponibles (par exemple, 12).

    Pour en savoir plus, consultez Masquage des données de journaux.

  9. Cliquez sur Enregistrer.

Configurer le redirecteur et Syslog Google Security Operations pour ingérer les journaux RSA Authentication Manager

  1. Sélectionnez Paramètres SIEM > Transmetteurs.
  2. Cliquez sur Ajouter un nouveau transfert.
  3. Dans le champ Nom du transfert, saisissez un nom unique pour le transfert.
  4. Cliquez sur Envoyer, puis sur Confirmer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
  5. Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
  6. Sélectionnez RSA comme Type de journal.
  7. Sélectionnez Syslog comme type de collecteur.
  8. Configurez les paramètres d'entrée obligatoires suivants :
    • Protocole : spécifiez le protocole de connexion que le collecteur utilisera pour écouter les données Syslog.
    • Adresse : spécifiez l'adresse IP ou le nom d'hôte de la cible où réside le collecteur et où il écoute les données syslog.
    • Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
  9. Cliquez sur Envoyer.

Pour en savoir plus sur les redirecteurs Google Security Operations, consultez la documentation sur les redirecteurs Google Security Operations. Pour en savoir plus sur les exigences de chaque type de redirecteur, consultez Configuration des redirecteurs par type. Si vous rencontrez des problèmes lors de la création de redirecteurs, contactez l'assistance Google Security Operations.

Référence du mappage de champs

Cet analyseur extrait les champs des journaux CSV RSA Authentication Manager, en gérant les variations du format de journal. Il utilise grok pour analyser initialement les lignes de journaux, puis exploite le filtrage CSV pour extraire des champs individuels et les mapper à des noms standardisés tels que username, clientip et operation_status pour la compatibilité avec UDM.

Table de mappage UDM

Champ de journal Mappage UDM Logique
clientip principal.asset.ip Valeur de la colonne 8 du journal brut.
clientip principal.ip Valeur de la colonne 8 du journal brut.
column1 metadata.event_timestamp.seconds Analysé à partir du champ time (colonne 1) du journal brut, à l'aide des formats "yyyy-MM-dd HH:mm:ss" et "yyyy-MM-dd HH:mm:ss".
column12 security_result.action Mappé en fonction du champ operation_status (colonne 12). Les valeurs "SUCCESS" et "ACCEPT" correspondent à ALLOW, "FAIL", "REJECT", "DROP", "DENY" et "NOT_ALLOWED" correspondent à BLOCK, et les autres valeurs correspondent à UNKNOWN_ACTION.
column18 principal.user.userid Valeur de la colonne 18 du journal brut.
column19 principal.user.first_name Valeur de la colonne 19 du journal brut.
column20 principal.user.last_name Valeur de la colonne 20 du journal brut.
column25 principal.hostname Valeur de la colonne 25 du journal brut.
column26 principal.asset.hostname Valeur de la colonne 26 du journal brut.
column27 metadata.product_name Valeur de la colonne 27 du journal brut.
column3 target.administrative_domain Valeur de la colonne 3 du journal brut.
column32 principal.user.group_identifiers Valeur de la colonne 32 du journal brut.
column5 security_result.severity Mappé en fonction du champ severity (colonne 5). Les valeurs "INFO" et "INFORMATIONAL" sont associées à INFORMATIONAL, "WARN" et "WARNING" à WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" et "ALERT" à ERROR, "NOTICE", "DEBUG" et "TRACE" à DEBUG, et les autres valeurs à UNKNOWN_SEVERITY.
column8 target.asset.ip Valeur de la colonne 8 du journal brut.
column8 target.ip Valeur de la colonne 8 du journal brut.
event_name security_result.rule_name Valeur de la colonne 10 du journal brut.
host_name intermediary.hostname Extrait de la partie <DATA> du journal brut à l'aide de modèles Grok.
process_data principal.process.command_line Extrait de la partie <DATA> du journal brut à l'aide de modèles Grok.
summary security_result.summary Valeur de la colonne 13 du journal brut.
time_stamp metadata.event_timestamp.seconds Extrait de la partie <DATA> du journal brut à l'aide de modèles Grok. Si elle est introuvable, le code temporel est extrait du champ timestamp du journal brut.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.