RSA Authentication Manager ログを収集する
このドキュメントでは、Google Security Operations フォワーダーを使用して RSA Authentication Manager ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル RSA_AUTH_MANAGER が付加されたパーサーに適用されます。
RSA Authentication Manager を構成する
- 管理者認証情報を使用して RSA Authentication Manager Security コンソールにログインします。
- [セットアップ] メニューで [システム設定] をクリックします。
- [システム設定] ウィンドウの [基本設定] セクションで、[ロギング] を選択します。
- [インスタンスの選択] セクションで、環境で構成されているプライマリ インスタンス タイプを選択し、[次へ] をクリックして続行します。
- [設定を構成] セクションで、表示される次のセクションのログを構成します。
- ログレベル
- ログデータの宛先
- ログデータのマスキング
- [ログレベル] セクションで、次のログを構成します。
- [トレースログ] を [Fatal] に設定します。
- [管理監査ログ] を [成功] に設定します。
- [ランタイム監査ログ] を [成功] に設定します。
- [システムログ] を [警告] に設定します。
[ログデータの宛先] セクションで、次のログレベルのデータについて、[次のホスト名または IP アドレスの内部データベースとリモート syslog に保存] を選択し、Google Security Operations の IP アドレスを入力します。
- 管理監査ログデータ
- ランタイム監査ログデータ
- システムログ データ
Syslog メッセージは、UDP のより大きなポート番号で送信されます。
[ログデータのマスキング] セクションの [トークン シリアル番号をマスクする: 表示するトークン シリアル番号の桁数] フィールドに、使用可能なトークンに表示される桁数(12 など)に等しい最大値を入力します。
詳細については、ログデータのマスキングをご覧ください。
[保存] をクリックします。
RSA Authentication Manager のログを取り込むように Google Security Operations フォワーダーと syslog を構成する
- [SIEM の設定] > [フォワーダー] を選択します。
- [新しいフォワーダーの追加] をクリックします。
- [Forwarder name] フィールドに、フォワーダーの一意の名前を入力します。
- [Submit]、[Confirm] の順にクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [Collector name] フィールドに、コレクタの一意の名前を入力します。
- [ログタイプ] として [RSA] を選択します。
- [コレクタ タイプ] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- Protocol: コレクタが syslog データのリッスンに使用する接続プロトコルを指定します。
- アドレス: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- Port: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations フォワーダーのドキュメントをご覧ください。各フォワーダー タイプの要件については、タイプ別のフォワーダー構成をご覧ください。フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、RSA Authentication Manager CSV ログからフィールドを抽出し、ログ形式のバリエーションを処理します。最初に grok を使用してログ行を解析し、CSV フィルタリングを利用して個々のフィールドを抽出し、UDM との互換性を確保するために username、clientip、operation_status などの標準化された名前にマッピングします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
clientip |
principal.asset.ip |
未加工ログの column8 の値。 |
clientip |
principal.ip |
未加工ログの column8 の値。 |
column1 |
metadata.event_timestamp.seconds |
「yyyy-MM-dd HH:mm:ss」形式と「yyyy-MM-dd HH: mm:ss」形式を使用して、未加工ログの time フィールド(column1)から解析されます。 |
column12 |
security_result.action |
operation_status フィールド(column12)に基づいてマッピングされます。値「SUCCESS」と「ACCEPT」は ALLOW にマッピングされ、「FAIL」、「REJECT」、「DROP」、「DENY」、「NOT_ALLOWED」は BLOCK にマッピングされ、その他の値は UNKNOWN_ACTION にマッピングされます。 |
column18 |
principal.user.userid |
未加工ログの column18 の値。 |
column19 |
principal.user.first_name |
未加工ログの column19 の値。 |
column20 |
principal.user.last_name |
未加工ログの column20 の値。 |
column25 |
principal.hostname |
未加工ログの column25 の値。 |
column26 |
principal.asset.hostname |
未加工ログの column26 の値。 |
column27 |
metadata.product_name |
未加工ログの column27 の値。 |
column3 |
target.administrative_domain |
未加工ログの column3 の値。 |
column32 |
principal.user.group_identifiers |
未加工ログの column32 の値。 |
column5 |
security_result.severity |
severity フィールド(column5)に基づいてマッピングされます。値「INFO」、「INFORMATIONAL」は INFORMATIONAL にマッピングされ、「WARN」、「WARNING」は WARNING にマッピングされ、「ERROR」、「CRITICAL」、「FATAL」、「SEVERE」、「EMERGENCY」、「ALERT」は ERROR にマッピングされ、「NOTICE」、「DEBUG」、「TRACE」は DEBUG にマッピングされ、その他の値は UNKNOWN_SEVERITY にマッピングされます。 |
column8 |
target.asset.ip |
未加工ログの column8 の値。 |
column8 |
target.ip |
未加工ログの column8 の値。 |
event_name |
security_result.rule_name |
未加工ログの column10 の値。 |
host_name |
intermediary.hostname |
Grok パターンを使用して、未加工のログの <DATA> 部分から抽出されます。 |
process_data |
principal.process.command_line |
Grok パターンを使用して、未加工のログの <DATA> 部分から抽出されます。 |
summary |
security_result.summary |
未加工ログの column13 の値。 |
time_stamp |
metadata.event_timestamp.seconds |
Grok パターンを使用して、未加工のログの <DATA> 部分から抽出されます。見つからない場合、タイムスタンプは未加工ログの timestamp フィールドから抽出されます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。