收集 RSA Authentication Manager 日志

支持的语言:

本文档介绍了如何使用 Google Security Operations 转发器收集 RSA Authentication Manager 日志。

如需了解详情,请参阅将数据注入 Google Security Operations

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 RSA_AUTH_MANAGER 注入标签的解析器。

配置 RSA Authentication Manager

  1. 使用管理员凭据登录 RSA Authentication Manager Security 控制台。
  2. 设置菜单中,点击系统设置
  3. 系统设置窗口的基本设置部分,选择日志记录
  4. 选择实例部分中,选择环境中配置的主要实例类型,然后点击下一步继续。
  5. 配置设置部分中,为显示的以下部分配置日志:
    • 日志级别
    • 日志数据目标位置
    • 日志数据遮盖
  6. 日志级别部分中,配置以下日志:
    • 跟踪日志设置为严重
    • 管理审核日志设置为成功
    • 运行时审核日志设置为成功
    • 系统日志设置为警告
  7. 日志数据目的地部分,对于以下日志级别的数据,选择保存到内部数据库和远程 syslog(适用于以下主机名或 IP 地址),然后输入 Google Security Operations 的 IP 地址:

    • 管理审核日志数据
    • 运行时审核日志数据
    • 系统日志数据

    syslog 消息通过较高的 UDP 端口号进行传输。

  8. 日志数据遮盖部分中,在遮盖令牌序列号:要显示的令牌序列号位数字段中,输入最大值,该值等于可用令牌中显示的位数,例如 12。

    如需了解详情,请参阅日志数据遮盖

  9. 点击保存

配置 Google Security Operations 转发器和 syslog 以注入 RSA Authentication Manager 日志

  1. 依次选择 SIEM 设置 > 转发器
  2. 点击添加新转发器
  3. 转发器名称字段中,输入转发器的唯一名称。
  4. 点击提交,然后点击确认。转发器已添加,系统会显示添加收集器配置窗口。
  5. 收集器名称字段中,为收集器输入一个唯一名称。
  6. 选择 RSA 作为日志类型
  7. 选择 Syslog 作为收集器类型
  8. 配置以下必需的输入参数:
    • 协议:指定收集器将用于监听 syslog 数据的连接协议。
    • 地址:指定收集器所在的目标 IP 地址或主机名,收集器会在此地址监听 syslog 数据。
    • 端口:指定收集器所在的目标端口,并监听 syslog 数据。
  9. 点击提交

如需详细了解 Google Security Operations 转发器,请参阅 Google Security Operations 转发器文档。如需了解每种转发器类型的要求,请参阅按类型划分的转发器配置。如果您在创建转发器时遇到问题,请与 Google Security Operations 支持团队联系。

字段映射参考

此解析器可从 RSA Authentication Manager CSV 日志中提取字段,并处理日志格式的各种变体。它使用 Grok 来初步解析日志行,然后利用 CSV 过滤功能提取各个字段,并将它们映射到 usernameclientipoperation_status 等标准化名称,以实现 UDM 兼容性。

UDM 映射表

日志字段 UDM 映射 逻辑
clientip principal.asset.ip 原始日志中 column8 的值。
clientip principal.ip 原始日志中 column8 的值。
column1 metadata.event_timestamp.seconds 从原始日志的 time 字段(第 1 列)解析而来,采用“yyyy-MM-dd HH:mm:ss”和“yyyy-MM-dd HH: mm:ss”格式。
column12 security_result.action 根据 operation_status 字段(列 12)进行映射。值“SUCCESS”和“ACCEPT”映射到 ALLOW,“FAIL”“REJECT”“DROP”“DENY”“NOT_ALLOWED”映射到 BLOCK,其他值映射到 UNKNOWN_ACTION。
column18 principal.user.userid 原始日志中 column18 的值。
column19 principal.user.first_name 原始日志中 column19 的值。
column20 principal.user.last_name 原始日志中 column20 的值。
column25 principal.hostname 原始日志中 column25 的值。
column26 principal.asset.hostname 原始日志中 column26 的值。
column27 metadata.product_name 原始日志中 column27 的值。
column3 target.administrative_domain 原始日志中 column3 的值。
column32 principal.user.group_identifiers 原始日志中 column32 的值。
column5 security_result.severity 根据 severity 字段(第 5 列)进行映射。值“INFO”“INFORMATIONAL”映射到 INFORMATIONAL,“WARN”“WARNING”映射到 WARNING,“ERROR”“CRITICAL”“FATAL”“SEVERE”“EMERGENCY”“ALERT”映射到 ERROR,“NOTICE”“DEBUG”“TRACE”映射到 DEBUG,其他值映射到 UNKNOWN_SEVERITY。
column8 target.asset.ip 原始日志中 column8 的值。
column8 target.ip 原始日志中 column8 的值。
event_name security_result.rule_name 原始日志中 column10 的值。
host_name intermediary.hostname 使用 Grok 模式从原始日志的 <DATA> 部分提取。
process_data principal.process.command_line 使用 Grok 模式从原始日志的 <DATA> 部分提取。
summary security_result.summary 原始日志中 column13 的值。
time_stamp metadata.event_timestamp.seconds 使用 Grok 模式从原始日志的 <DATA> 部分提取。如果未找到,则从原始日志的 timestamp 字段中提取时间戳。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。