收集 RSA Authentication Manager 日志
本文档介绍了如何使用 Google Security Operations 转发器收集 RSA Authentication Manager 日志。
如需了解详情,请参阅将数据注入 Google Security Operations。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 RSA_AUTH_MANAGER
注入标签的解析器。
配置 RSA Authentication Manager
- 使用管理员凭据登录 RSA Authentication Manager Security 控制台。
- 在设置菜单中,点击系统设置。
- 在系统设置窗口的基本设置部分,选择日志记录。
- 在选择实例部分中,选择环境中配置的主要实例类型,然后点击下一步继续。
- 在配置设置部分中,为显示的以下部分配置日志:
- 日志级别
- 日志数据目标位置
- 日志数据遮盖
- 在日志级别部分中,配置以下日志:
- 将跟踪日志设置为严重。
- 将管理审核日志设置为成功。
- 将运行时审核日志设置为成功。
- 将系统日志设置为警告。
在日志数据目的地部分,对于以下日志级别的数据,选择保存到内部数据库和远程 syslog(适用于以下主机名或 IP 地址),然后输入 Google Security Operations 的 IP 地址:
- 管理审核日志数据
- 运行时审核日志数据
- 系统日志数据
syslog 消息通过较高的 UDP 端口号进行传输。
在日志数据遮盖部分中,在遮盖令牌序列号:要显示的令牌序列号位数字段中,输入最大值,该值等于可用令牌中显示的位数,例如 12。
如需了解详情,请参阅日志数据遮盖。
点击保存。
配置 Google Security Operations 转发器和 syslog 以注入 RSA Authentication Manager 日志
- 依次选择 SIEM 设置 > 转发器。
- 点击添加新转发器。
- 在转发器名称字段中,输入转发器的唯一名称。
- 点击提交,然后点击确认。转发器已添加,系统会显示添加收集器配置窗口。
- 在收集器名称字段中,为收集器输入一个唯一名称。
- 选择 RSA 作为日志类型。
- 选择 Syslog 作为收集器类型。
- 配置以下必需的输入参数:
- 协议:指定收集器将用于监听 syslog 数据的连接协议。
- 地址:指定收集器所在的目标 IP 地址或主机名,收集器会在此地址监听 syslog 数据。
- 端口:指定收集器所在的目标端口,并监听 syslog 数据。
- 点击提交。
如需详细了解 Google Security Operations 转发器,请参阅 Google Security Operations 转发器文档。如需了解每种转发器类型的要求,请参阅按类型划分的转发器配置。如果您在创建转发器时遇到问题,请与 Google Security Operations 支持团队联系。
字段映射参考
此解析器可从 RSA Authentication Manager CSV 日志中提取字段,并处理日志格式的各种变体。它使用 Grok 来初步解析日志行,然后利用 CSV 过滤功能提取各个字段,并将它们映射到 username
、clientip
和 operation_status
等标准化名称,以实现 UDM 兼容性。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
clientip |
principal.asset.ip |
原始日志中 column8 的值。 |
clientip |
principal.ip |
原始日志中 column8 的值。 |
column1 |
metadata.event_timestamp.seconds |
从原始日志的 time 字段(第 1 列)解析而来,采用“yyyy-MM-dd HH:mm:ss”和“yyyy-MM-dd HH: mm:ss”格式。 |
column12 |
security_result.action |
根据 operation_status 字段(列 12)进行映射。值“SUCCESS”和“ACCEPT”映射到 ALLOW,“FAIL”“REJECT”“DROP”“DENY”“NOT_ALLOWED”映射到 BLOCK,其他值映射到 UNKNOWN_ACTION。 |
column18 |
principal.user.userid |
原始日志中 column18 的值。 |
column19 |
principal.user.first_name |
原始日志中 column19 的值。 |
column20 |
principal.user.last_name |
原始日志中 column20 的值。 |
column25 |
principal.hostname |
原始日志中 column25 的值。 |
column26 |
principal.asset.hostname |
原始日志中 column26 的值。 |
column27 |
metadata.product_name |
原始日志中 column27 的值。 |
column3 |
target.administrative_domain |
原始日志中 column3 的值。 |
column32 |
principal.user.group_identifiers |
原始日志中 column32 的值。 |
column5 |
security_result.severity |
根据 severity 字段(第 5 列)进行映射。值“INFO”“INFORMATIONAL”映射到 INFORMATIONAL,“WARN”“WARNING”映射到 WARNING,“ERROR”“CRITICAL”“FATAL”“SEVERE”“EMERGENCY”“ALERT”映射到 ERROR,“NOTICE”“DEBUG”“TRACE”映射到 DEBUG,其他值映射到 UNKNOWN_SEVERITY。 |
column8 |
target.asset.ip |
原始日志中 column8 的值。 |
column8 |
target.ip |
原始日志中 column8 的值。 |
event_name |
security_result.rule_name |
原始日志中 column10 的值。 |
host_name |
intermediary.hostname |
使用 Grok 模式从原始日志的 <DATA> 部分提取。 |
process_data |
principal.process.command_line |
使用 Grok 模式从原始日志的 <DATA> 部分提取。 |
summary |
security_result.summary |
原始日志中 column13 的值。 |
time_stamp |
metadata.event_timestamp.seconds |
使用 Grok 模式从原始日志的 <DATA> 部分提取。如果未找到,则从原始日志的 timestamp 字段中提取时间戳。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。