Coletar registros do RSA Authentication Manager

Compatível com:

Este documento descreve como coletar registros do RSA Authentication Manager usando um encaminhador do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google Security Operations.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão RSA_AUTH_MANAGER.

Configurar o RSA Authentication Manager

  1. Faça login no console do RSA Authentication Manager Security usando credenciais de administrador.
  2. No menu Configuração, clique em Configurações do sistema.
  3. Na janela Configurações do sistema, na seção Configurações básicas, selecione Registro em log.
  4. Na seção Selecionar instância, escolha o tipo de instância Principal configurado no seu ambiente e clique em Próxima para continuar.
  5. Na seção Configurar definições, configure os registros das seguintes seções que são exibidas:
    • Níveis de registro
    • Destino dos dados de registro
    • Mascaramento de dados de registros
  6. Na seção Níveis de registro, configure os seguintes registros:
    • Defina Registro de rastreamento como Fatal.
    • Defina Registro de auditoria administrativa como Sucesso.
    • Defina Registro de auditoria de tempo de execução como Sucesso.
    • Defina Registro do sistema como Aviso.

  7. Na seção Destino dos dados de registro, para os seguintes dados de nível de registro, selecione Salvar no banco de dados interno e no syslog remoto para o seguinte nome de host ou endereço IP e insira o endereço IP do Google Security Operations:

    • Dados do registro de auditoria administrativa
    • Dados do registro de auditoria de tempo de execução
    • Dados de registros do sistema

    As mensagens do Syslog são transmitidas por um número de porta mais alto para UDP.

  8. Na seção Mascaramento de dados de registro, no campo Mascarar número de série do token: número de dígitos do número de série do token a serem exibidos, insira o valor máximo, que é igual ao número de dígitos que aparecem nos tokens disponíveis, como 12.

    Para mais informações, consulte Mascaramento de dados de registro.

  9. Clique em Salvar.

Configurar o encaminhador e o syslog do Google Security Operations para ingerir registros do RSA Authentication Manager

  1. Selecione Configurações do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. No campo Nome do encaminhador, insira um nome exclusivo para ele.
  4. Clique em Enviar e em Confirmar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
  5. No campo Nome do coletor, digite um nome exclusivo para ele.
  6. Selecione RSA como o Tipo de registro.
  7. Selecione Syslog como o Tipo de coletor.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Protocolo: especifique o protocolo de conexão que o coletor vai usar para detectar dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e aguarda dados do syslog.
    • Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
  9. Clique em Enviar.

Para mais informações sobre encaminhadores do Google Security Operations, consulte a documentação sobre encaminhadores do Google Security Operations. Para informações sobre os requisitos de cada tipo de encaminhador, consulte Configuração do encaminhador por tipo. Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google Security Operations.

Referência de mapeamento de campos

Esse analisador extrai campos de registros CSV do RSA Authentication Manager, processando variações no formato do registro. Ele usa o grok para analisar inicialmente as linhas de registro e aproveita a filtragem de CSV para extrair campos individuais, mapeando-os para nomes padronizados como username, clientip e operation_status para compatibilidade com a UDM.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
clientip principal.asset.ip O valor da coluna8 do registro bruto.
clientip principal.ip O valor da coluna8 do registro bruto.
column1 metadata.event_timestamp.seconds Analisado do campo time (column1) no registro bruto, usando os formatos "aaaa-MM-dd HH:mm:ss" e "aaaa-MM-dd HH: mm:ss".
column12 security_result.action Mapeado com base no campo operation_status (column12). Os valores "SUCCESS" e "ACCEPT" são mapeados para ALLOW, "FAIL", "REJECT", "DROP", "DENY", "NOT_ALLOWED" são mapeados para BLOCK, e outros valores são mapeados para UNKNOWN_ACTION.
column18 principal.user.userid O valor da coluna 18 do registro bruto.
column19 principal.user.first_name O valor da coluna 19 do registro bruto.
column20 principal.user.last_name O valor da coluna20 do registro bruto.
column25 principal.hostname O valor da coluna25 do registro bruto.
column26 principal.asset.hostname O valor da coluna26 do registro bruto.
column27 metadata.product_name O valor de "column27" do registro bruto.
column3 target.administrative_domain O valor de "column3" do registro bruto.
column32 principal.user.group_identifiers O valor de "column32" do registro bruto.
column5 security_result.severity Mapeado com base no campo severity (column5). Os valores "INFO" e "INFORMATIONAL" são mapeados para "INFORMATIONAL"; "WARN" e "WARNING" são mapeados para "WARNING"; "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" e "ALERT" são mapeados para "ERROR"; "NOTICE", "DEBUG" e "TRACE" são mapeados para "DEBUG"; e outros valores são mapeados para "UNKNOWN_SEVERITY".
column8 target.asset.ip O valor da coluna8 do registro bruto.
column8 target.ip O valor da coluna8 do registro bruto.
event_name security_result.rule_name O valor da coluna10 do registro bruto.
host_name intermediary.hostname Extraído da parte <DATA> do registro bruto usando padrões grok.
process_data principal.process.command_line Extraído da parte <DATA> do registro bruto usando padrões grok.
summary security_result.summary O valor de "column13" do registro bruto.
time_stamp metadata.event_timestamp.seconds Extraído da parte <DATA> do registro bruto usando padrões grok. Se não for encontrado, o carimbo de data/hora será extraído do campo timestamp no registro bruto.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.