Mengumpulkan log RSA Authentication Manager

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log RSA Authentication Manager menggunakan forwarder Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan RSA_AUTH_MANAGER.

Mengonfigurasi RSA Authentication Manager

  1. Login ke konsol Keamanan RSA Authentication Manager menggunakan kredensial administrator.
  2. Di menu Penyiapan, klik Setelan sistem.
  3. Di jendela System settings, di bagian Basic settings, pilih Logging.
  4. Di bagian Select instance, pilih jenis instance Primary yang dikonfigurasi di lingkungan Anda, lalu klik Next untuk melanjutkan.
  5. Di bagian Configure settings, konfigurasikan log untuk bagian berikut yang ditampilkan:
    • Tingkat log
    • Tujuan data log
    • Penyamaran data log
  6. Di bagian Tingkat log, konfigurasikan log berikut:
    • Tetapkan Trace log ke Fatal.
    • Tetapkan Log audit administratif ke Sukses.
    • Tetapkan Log audit runtime ke Sukses.
    • Tetapkan System log ke Warning.

  7. Di bagian Log data destination, untuk data tingkat log berikut, pilih Save to internal database and remote syslog for the following hostname or IP address, lalu masukkan alamat IP Google Security Operations:

    • Data log audit administratif
    • Data log audit runtime
    • Data log sistem

    Pesan syslog dikirim melalui nomor port yang lebih tinggi untuk UDP.

  8. Di bagian Log data masking, di kolom Mask token serial number: number of digits of the token serial number to display, masukkan nilai maksimum, yang sama dengan jumlah digit yang muncul dalam token yang tersedia, seperti 12.

    Untuk mengetahui informasi selengkapnya, lihat Penyamarkan data log.

  9. Klik Simpan.

Mengonfigurasi forwarder dan syslog Google Security Operations untuk menyerap log RSA Authentication Manager

  1. Pilih Setelan SIEM > Penerima.
  2. Klik Tambahkan penerusan baru.
  3. Di kolom Nama pengirim, masukkan nama unik untuk pengirim.
  4. Klik Kirim, lalu klik Konfirmasi. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
  5. Di kolom Nama kolektor, ketik nama unik untuk kolektor.
  6. Pilih RSA sebagai Jenis log.
  7. Pilih Syslog sebagai Jenis kolektor.
  8. Konfigurasikan parameter input wajib berikut:
    • Protokol: menentukan protokol koneksi yang akan digunakan kolektor untuk memproses data syslog.
    • Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
    • Port: menentukan port target tempat kolektor berada dan memproses data syslog.
  9. Klik Kirim.

Untuk informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis forwarder, lihat Konfigurasi forwarder menurut jenis. Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini mengekstrak kolom dari log CSV RSA Authentication Manager, yang menangani variasi dalam format log. Fitur ini menggunakan grok untuk mengurai baris log pada awalnya, lalu memanfaatkan pemfilteran CSV untuk mengekstrak setiap kolom, memetakan kolom tersebut ke nama standar seperti username, clientip, dan operation_status untuk kompatibilitas UDM.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
clientip principal.asset.ip Nilai column8 dari log mentah.
clientip principal.ip Nilai column8 dari log mentah.
column1 metadata.event_timestamp.seconds Diurai dari kolom time (kolom1) dalam log mentah, menggunakan format "yyyy-MM-dd HH:mm:ss" dan "yyyy-MM-dd HH: mm:ss".
column12 security_result.action Dipetakan berdasarkan kolom operation_status (column12). Nilai "SUCCESS" dan "ACCEPT" dipetakan ke ALLOW, "FAIL", "REJECT", "DROP", "DENY", "NOT_ALLOWED" dipetakan ke BLOCK, dan nilai lainnya dipetakan ke UNKNOWN_ACTION.
column18 principal.user.userid Nilai column18 dari log mentah.
column19 principal.user.first_name Nilai column19 dari log mentah.
column20 principal.user.last_name Nilai column20 dari log mentah.
column25 principal.hostname Nilai column25 dari log mentah.
column26 principal.asset.hostname Nilai column26 dari log mentah.
column27 metadata.product_name Nilai column27 dari log mentah.
column3 target.administrative_domain Nilai column3 dari log mentah.
column32 principal.user.group_identifiers Nilai column32 dari log mentah.
column5 security_result.severity Dipetakan berdasarkan kolom severity (kolom5). Nilai "INFO", "INFORMATIONAL" dipetakan ke INFORMATIONAL, "WARN", "WARNING" dipetakan ke WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY", "ALERT" dipetakan ke ERROR, "NOTICE", "DEBUG", "TRACE" dipetakan ke DEBUG, dan nilai lainnya dipetakan ke UNKNOWN_SEVERITY.
column8 target.asset.ip Nilai column8 dari log mentah.
column8 target.ip Nilai column8 dari log mentah.
event_name security_result.rule_name Nilai column10 dari log mentah.
host_name intermediary.hostname Diekstrak dari bagian <DATA> log mentah menggunakan pola grok.
process_data principal.process.command_line Diekstrak dari bagian <DATA> log mentah menggunakan pola grok.
summary security_result.summary Nilai column13 dari log mentah.
time_stamp metadata.event_timestamp.seconds Diekstrak dari bagian <DATA> log mentah menggunakan pola grok. Jika tidak ditemukan, stempel waktu diekstrak dari kolom timestamp dalam log mentah.

Perubahan

2024-03-13

  • Mengubah pola Grok untuk mengurai data di header log.

2022-08-09

  • Peningkatan-Menghapus kondisi yang dihapus, menangani, dan mengurai log dengan pola GROK yang sesuai.

2022-06-13

  • Peningkatan-Menghapus kondisi penghapusan untuk log dengan event_name = ACCESS_DIRECTORY.