Collecter les journaux RSA Authentication Manager
Ce document explique comment collecter les journaux RSA Authentication Manager à l'aide d'un transmetteur Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion RSA_AUTH_MANAGER
.
Configurer RSA Authentication Manager
- Connectez-vous à la console RSA Authentication Manager Security à l'aide des identifiants administrateur.
- Dans le menu Configuration, cliquez sur Paramètres système.
- Dans la fenêtre Paramètres système, dans la section Paramètres de base, sélectionnez Journalisation.
- Dans la section Sélectionner une instance, sélectionnez le type d'instance Principal configuré dans votre environnement, puis cliquez sur Suivant pour continuer.
- Dans la section Configurer les paramètres, configurez les journaux pour les sections suivantes qui s'affichent :
- Niveaux de journalisation
- Destination des données de journaux
- Masquage des données de journaux
- Dans la section Niveaux de journalisation, configurez les journaux suivants :
- Définissez Journal de trace sur Fatal.
- Définissez Journal d'audit de l'administration sur Succès.
- Définissez Journal d'audit de l'exécution sur Réussite.
- Définissez Journal système sur Avertissement.
Dans la section Destination des données de journaux, pour les données de niveau de journal suivantes, sélectionnez Enregistrer dans la base de données interne et le syslog distant pour le nom d'hôte ou l'adresse IP suivants, puis saisissez l'adresse IP de Google Security Operations :
- Données du journal d'audit de la console d'administration
- Données du journal d'audit du runtime
- Données des journaux système
Les messages Syslog sont transmis sur un numéro de port plus élevé pour UDP.
Dans la section Masquage des données de journaux, dans le champ Masquer le numéro de série du jeton : nombre de chiffres du numéro de série du jeton à afficher, saisissez la valeur maximale, qui correspond au nombre de chiffres qui apparaissent dans les jetons disponibles (par exemple, 12).
Pour en savoir plus, consultez Masquage des données de journaux.
Cliquez sur Enregistrer.
Configurer le redirecteur et Syslog Google Security Operations pour ingérer les journaux RSA Authentication Manager
- Sélectionnez Paramètres SIEM > Transmetteurs.
- Cliquez sur Ajouter un nouveau transfert.
- Dans le champ Nom du transfert, saisissez un nom unique pour le transfert.
- Cliquez sur Envoyer, puis sur Confirmer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
- Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
- Sélectionnez RSA comme Type de journal.
- Sélectionnez Syslog comme type de collecteur.
- Configurez les paramètres d'entrée obligatoires suivants :
- Protocole : spécifiez le protocole de connexion que le collecteur utilisera pour écouter les données Syslog.
- Adresse : spécifiez l'adresse IP ou le nom d'hôte de la cible où réside le collecteur et où il écoute les données syslog.
- Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
- Cliquez sur Envoyer.
Pour en savoir plus sur les redirecteurs Google Security Operations, consultez la documentation sur les redirecteurs Google Security Operations. Pour en savoir plus sur les exigences de chaque type de redirecteur, consultez Configuration des redirecteurs par type. Si vous rencontrez des problèmes lors de la création de redirecteurs, contactez l'assistance Google Security Operations.
Référence du mappage de champs
Cet analyseur extrait les champs des journaux CSV RSA Authentication Manager, en gérant les variations du format de journal. Il utilise grok pour analyser initialement les lignes de journaux, puis exploite le filtrage CSV pour extraire des champs individuels et les mapper à des noms standardisés tels que username
, clientip
et operation_status
pour la compatibilité avec UDM.
Table de mappage UDM
Champ de journal | Mappage UDM | Logique |
---|---|---|
clientip |
principal.asset.ip |
Valeur de la colonne 8 du journal brut. |
clientip |
principal.ip |
Valeur de la colonne 8 du journal brut. |
column1 |
metadata.event_timestamp.seconds |
Analysé à partir du champ time (colonne 1) du journal brut, à l'aide des formats "yyyy-MM-dd HH:mm:ss" et "yyyy-MM-dd HH:mm:ss". |
column12 |
security_result.action |
Mappé en fonction du champ operation_status (colonne 12). Les valeurs "SUCCESS" et "ACCEPT" correspondent à ALLOW, "FAIL", "REJECT", "DROP", "DENY" et "NOT_ALLOWED" correspondent à BLOCK, et les autres valeurs correspondent à UNKNOWN_ACTION. |
column18 |
principal.user.userid |
Valeur de la colonne 18 du journal brut. |
column19 |
principal.user.first_name |
Valeur de la colonne 19 du journal brut. |
column20 |
principal.user.last_name |
Valeur de la colonne 20 du journal brut. |
column25 |
principal.hostname |
Valeur de la colonne 25 du journal brut. |
column26 |
principal.asset.hostname |
Valeur de la colonne 26 du journal brut. |
column27 |
metadata.product_name |
Valeur de la colonne 27 du journal brut. |
column3 |
target.administrative_domain |
Valeur de la colonne 3 du journal brut. |
column32 |
principal.user.group_identifiers |
Valeur de la colonne 32 du journal brut. |
column5 |
security_result.severity |
Mappé en fonction du champ severity (colonne 5). Les valeurs "INFO" et "INFORMATIONAL" sont associées à INFORMATIONAL, "WARN" et "WARNING" à WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" et "ALERT" à ERROR, "NOTICE", "DEBUG" et "TRACE" à DEBUG, et les autres valeurs à UNKNOWN_SEVERITY. |
column8 |
target.asset.ip |
Valeur de la colonne 8 du journal brut. |
column8 |
target.ip |
Valeur de la colonne 8 du journal brut. |
event_name |
security_result.rule_name |
Valeur de la colonne 10 du journal brut. |
host_name |
intermediary.hostname |
Extrait de la partie <DATA> du journal brut à l'aide de modèles Grok. |
process_data |
principal.process.command_line |
Extrait de la partie <DATA> du journal brut à l'aide de modèles Grok. |
summary |
security_result.summary |
Valeur de la colonne 13 du journal brut. |
time_stamp |
metadata.event_timestamp.seconds |
Extrait de la partie <DATA> du journal brut à l'aide de modèles Grok. Si elle est introuvable, le code temporel est extrait du champ timestamp du journal brut. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.