本頁面由 Cloud Translation API 翻譯而成。

收集 RSA Authentication Manager 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Google Security Operations 轉送器收集 RSA Authentication Manager 記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 RSA_AUTH_MANAGER 攝取標籤的剖析器。

設定 RSA Authentication Manager

使用管理員憑證登入 RSA Authentication Manager Security 控制台。
在「設定」選單中，按一下「系統設定」。
在「系統設定」視窗的「基本設定」部分，選取「記錄」。
在「選取執行個體」部分，選取環境中設定的「主要」執行個體類型，然後按一下「下一步」繼續。
在「設定」部分，為顯示的下列區段設定記錄：
- 記錄等級
- 記錄資料目的地
- 記錄檔資料遮蓋
在「記錄層級」部分，設定下列記錄：
- 將「追蹤記錄」設為「嚴重」。
- 將「管理員稽核記錄」設為「成功」。
- 將「Runtime audit log」(執行階段稽核記錄) 設為「Success」(成功)。
- 將「系統記錄」設為「警告」。
在「記錄檔資料目的地」部分，針對下列記錄檔層級資料，選取「Save to internal database and remote syslog for the following hostname or IP address」(將下列主機名稱或 IP 位址的資料儲存至內部資料庫和遠端系統記錄)，然後輸入 Google Security Operations 的 IP 位址：
- 管理稽核記錄資料
- 執行階段稽核記錄資料
- 系統記錄資料
系統記錄訊息會透過編號較高的 UDP 通訊埠傳輸。
在「記錄資料遮蓋」部分，於「遮蓋權杖序號：要顯示的權杖序號位數」欄位中，輸入最大值，該值等於可用權杖中顯示的位數，例如 12。

詳情請參閱「記錄資料遮蓋」。
按一下 [儲存]。

設定 Google Security Operations 轉送器和系統記錄，擷取 RSA Authentication Manager 記錄

依序選取「SIEM 設定」>「轉送器」。
按一下「新增轉寄者」。
在「轉寄者名稱」欄位中，輸入轉寄者的專屬名稱。
依序點選「提交」和「確認」。轉送器新增完成後，系統會顯示「新增收集器設定」視窗。
在「Collector name」(收集器名稱) 欄位中，輸入收集器的專屬名稱。
選取「RSA」做為「記錄類型」。
選取「Syslog」做為「收集器類型」。
設定下列必要輸入參數：
- 通訊協定：指定收集器用來監聽系統記錄資料的連線通訊協定。
- 地址：指定收集器所在位置的目標 IP 位址或主機名稱，並監聽系統記錄資料。
- 通訊埠：指定收集器所在位置的目標通訊埠，並監聽系統記錄檔資料。
按一下「提交」。

如要進一步瞭解 Google Security Operations 轉送器，請參閱 Google Security Operations 轉送器說明文件。如要瞭解各轉送器類型的相關規定，請參閱「依類型設定轉送器」。如果在建立轉寄者時遇到問題，請與 Google Security Operations 支援團隊聯絡。

欄位對應參考資料

這個剖析器會從 RSA Authentication Manager CSV 記錄中擷取欄位，並處理記錄格式的變化。這個外掛程式會先使用 grok 剖析記錄行，然後運用 CSV 篩選功能擷取個別欄位，並將這些欄位對應至標準化名稱 (例如 username、clientip 和 operation_status)，確保與 UDM 相容。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`clientip`	`principal.asset.ip`	原始記錄中的 column8 值。
`clientip`	`principal.ip`	原始記錄中的 column8 值。
`column1`	`metadata.event_timestamp.seconds`	使用「yyyy-MM-dd HH:mm:ss」和「yyyy-MM-dd HH: mm:ss」格式，從原始記錄的 `time` 欄位 (第 1 欄) 剖析。
`column12`	`security_result.action`	根據 `operation_status` 欄位 (第 12 欄) 對應。「SUCCESS」和「ACCEPT」值會對應至 ALLOW，「FAIL」、「REJECT」、「DROP」、「DENY」和「NOT_ALLOWED」值會對應至 BLOCK，其他值則會對應至 UNKNOWN_ACTION。
`column18`	`principal.user.userid`	原始記錄中第 18 欄的值。
`column19`	`principal.user.first_name`	原始記錄中的 column19 值。
`column20`	`principal.user.last_name`	原始記錄中的 column20 值。
`column25`	`principal.hostname`	原始記錄中的 column25 值。
`column26`	`principal.asset.hostname`	原始記錄中的第 26 欄值。
`column27`	`metadata.product_name`	原始記錄中的 column27 值。
`column3`	`target.administrative_domain`	原始記錄中的 column3 值。
`column32`	`principal.user.group_identifiers`	原始記錄中的 column32 值。
`column5`	`security_result.severity`	根據 `severity` 欄位 (第 5 欄) 對應。「INFO」、「INFORMATIONAL」會對應至 INFORMATIONAL；「WARN」、「WARNING」會對應至 WARNING；「ERROR」、「CRITICAL」、「FATAL」、「SEVERE」、「EMERGENCY」、「ALERT」會對應至 ERROR；「NOTICE」、「DEBUG」、「TRACE」會對應至 DEBUG；其他值則會對應至 UNKNOWN_SEVERITY。
`column8`	`target.asset.ip`	原始記錄中的 column8 值。
`column8`	`target.ip`	原始記錄中的 column8 值。
`event_name`	`security_result.rule_name`	原始記錄中的 column10 值。
`host_name`	`intermediary.hostname`	使用 grok 模式從原始記錄的 `<DATA>` 部分擷取。
`process_data`	`principal.process.command_line`	使用 grok 模式從原始記錄的 `<DATA>` 部分擷取。
`summary`	`security_result.summary`	原始記錄中的 column13 值。
`time_stamp`	`metadata.event_timestamp.seconds`	使用 grok 模式從原始記錄的 `<DATA>` 部分擷取。如果找不到，系統會從原始記錄的 `timestamp` 欄位擷取時間戳記。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。