Mengumpulkan log RSA Authentication Manager

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log RSA Authentication Manager menggunakan penerusan Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan RSA_AUTH_MANAGER.

Mengonfigurasi RSA Authentication Manager

  1. Login ke konsol RSA Authentication Manager Security menggunakan kredensial administrator.
  2. Di menu Penyiapan, klik Setelan sistem.
  3. Di jendela System settings, di bagian Basic settings, pilih Logging.
  4. Di bagian Pilih instance, pilih jenis instance Utama yang dikonfigurasi di lingkungan Anda, lalu klik Berikutnya untuk melanjutkan.
  5. Di bagian Konfigurasi setelan, konfigurasikan log untuk bagian berikut yang ditampilkan:
    • Tingkat log
    • Tujuan data log
    • Penyamaran data log
  6. Di bagian Tingkat log, konfigurasikan log berikut:
    • Setel Trace log ke Fatal.
    • Tetapkan Log audit administratif ke Berhasil.
    • Tetapkan Runtime audit log ke Success.
    • Setel Log sistem ke Peringatan.

  7. Di bagian Tujuan data log, untuk data tingkat log berikut, pilih Simpan ke database internal dan syslog jarak jauh untuk nama host atau alamat IP berikut, lalu masukkan alamat IP Google Security Operations:

    • Data log audit administratif
    • Data log audit runtime
    • Data log sistem

    Pesan Syslog ditransmisikan melalui nomor port yang lebih tinggi untuk UDP.

  8. Di bagian Penyamaran data log, di kolom Samarkan nomor seri token: jumlah digit nomor seri token yang akan ditampilkan, masukkan nilai maksimum, yang sama dengan jumlah digit yang muncul di token yang tersedia, seperti 12.

    Untuk mengetahui informasi selengkapnya, lihat Penyamaran data log.

  9. Klik Simpan.

Mengonfigurasi penerusan Google Security Operations dan syslog untuk menyerap log RSA Authentication Manager

  1. Pilih Setelan SIEM > Forwarder.
  2. Klik Tambahkan penerusan baru.
  3. Di kolom Nama penerusan, masukkan nama unik untuk penerusan.
  4. Klik Kirim, lalu klik Konfirmasi. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
  5. Di kolom Collector name, ketik nama unik untuk pengumpul.
  6. Pilih RSA sebagai Jenis log.
  7. Pilih Syslog sebagai Collector type.
  8. Konfigurasikan parameter input wajib berikut:
    • Protokol: tentukan protokol koneksi yang akan digunakan pengumpul untuk memproses data syslog.
    • Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
    • Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
  9. Klik Kirim.

Untuk mengetahui informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis penerusan, lihat Konfigurasi penerusan menurut jenis. Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini mengekstrak kolom dari log CSV RSA Authentication Manager, dengan menangani variasi dalam format log. Log ini menggunakan grok untuk mengurai baris log pada awalnya, lalu memanfaatkan pemfilteran CSV untuk mengekstrak setiap kolom, memetakannya ke nama standar seperti username, clientip, dan operation_status untuk kompatibilitas UDM.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
clientip principal.asset.ip Nilai column8 dari log mentah.
clientip principal.ip Nilai column8 dari log mentah.
column1 metadata.event_timestamp.seconds Diuraikan dari kolom time (column1) dalam log mentah, menggunakan format "yyyy-MM-dd HH:mm:ss" dan "yyyy-MM-dd HH: mm:ss".
column12 security_result.action Dipetakan berdasarkan kolom operation_status (column12). Nilai "SUCCESS" dan "ACCEPT" dipetakan ke ALLOW, "FAIL", "REJECT", "DROP", "DENY", "NOT_ALLOWED" dipetakan ke BLOCK, dan nilai lainnya dipetakan ke UNKNOWN_ACTION.
column18 principal.user.userid Nilai column18 dari log mentah.
column19 principal.user.first_name Nilai column19 dari log mentah.
column20 principal.user.last_name Nilai column20 dari log mentah.
column25 principal.hostname Nilai column25 dari log mentah.
column26 principal.asset.hostname Nilai column26 dari log mentah.
column27 metadata.product_name Nilai column27 dari log mentah.
column3 target.administrative_domain Nilai column3 dari log mentah.
column32 principal.user.group_identifiers Nilai column32 dari log mentah.
column5 security_result.severity Dipetakan berdasarkan kolom severity (column5). Nilai "INFO", "INFORMATIONAL" dipetakan ke INFORMATIONAL, "WARN", "WARNING" dipetakan ke WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY", "ALERT" dipetakan ke ERROR, "NOTICE", "DEBUG", "TRACE" dipetakan ke DEBUG, dan nilai lainnya dipetakan ke UNKNOWN_SEVERITY.
column8 target.asset.ip Nilai column8 dari log mentah.
column8 target.ip Nilai column8 dari log mentah.
event_name security_result.rule_name Nilai column10 dari log mentah.
host_name intermediary.hostname Diekstrak dari bagian <DATA> log mentah menggunakan pola grok.
process_data principal.process.command_line Diekstrak dari bagian <DATA> log mentah menggunakan pola grok.
summary security_result.summary Nilai column13 dari log mentah.
time_stamp metadata.event_timestamp.seconds Diekstrak dari bagian <DATA> log mentah menggunakan pola grok. Jika tidak ditemukan, stempel waktu akan diekstrak dari kolom timestamp dalam log mentah.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.