このページは Cloud Translation API によって翻訳されました。

SecureAuth Identity Platform のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して SecureAuth Identity Platform ログを Google Security Operations に取り込む方法について説明します。パーサーは、grok フィルタと XML フィルタを使用して、さまざまなログ形式（SYSLOG、XML、キーと値のペア）からフィールドを抽出します。次に、抽出されたフィールドを対応する UDM（統合データモデル）属性にマッピングし、セキュリティイベントコンテキストでデータを拡充して、さらなる分析のために出力を標準化します。

始める前に

Google Security Operations インスタンスがあることを確認します。
Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認します。
SecureAuth に対する特権アクセス権があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
2. テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SECUREAUTH_SSO
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

SecureAuth Identity Platform を構成する

SecureAuth Identity コンソールにログインします。
[ログ] を選択します。
[ログオプション] セクションで、次の構成の詳細を指定します。
- ログインスタンス ID: ログインスタンス ID、アプリケーション名、またはレルム名を入力します（例: SecureAuth1）。
- 監査ログ: [Syslog] チェックボックスをオンにします。
- エラーログ: [Syslog] チェックボックスをオンにします。
- Syslog サーバー: Bindplane エージェントの IP アドレスを入力します。
- Syslog ポート: Bindplane エージェントのポート番号（例: 514）を入力します。
- Syslog RFC spec: [RFC 5424] を選択します。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
action_msg	read_only_udm.target.process.command_line	`action_msg` フィールドの値
アプライアンス	read_only_udm.principal.domain.name	`Appliance` フィールドの値
アプライアンス	read_only_udm.target.administrative_domain	`Appliance` フィールドの値
BrowserSession	read_only_udm.network.session_id	`BrowserSession` フィールドの値
猫	read_only_udm.metadata.product_event_type	`cat` フィールドの値
カテゴリ	read_only_udm.metadata.product_event_type	`Category` フィールドの値
cn1	security_result.severity	`cn1Label` が「Priority」の場合、`cn1` の値に基づいてマッピングされます。1 - HIGH、2 - MEDIUM、3 または 4 - LOW
会社	read_only_udm.additional.fields.value.string_value	`Company` フィールドの値
cs1	read_only_udm.network.session_id	`cs1Label` が「BrowserSession」の場合の `cs1` フィールドの値
cs3	read_only_udm.additional.fields.value.string_value	`cs3Label` が「CompanyName」の場合の `cs3` フィールドの値
dst	read_only_udm.target.ip	`dst` フィールドの値
ドメイン	read_only_udm.principal.domain.name	`domain` フィールドの値
dvc	read_only_udm.intermediary.ip	`dvc` フィールドの値
EventID	read_only_udm.metadata.product_log_id	`EventID` フィールドの値
HostName	read_only_udm.principal.hostname	grok が IP アドレスの照合に失敗した場合の `HostName` フィールドの値
HostName	read_only_udm.principal.ip	Grok が IP アドレスと一致した場合の `HostName` フィールドの値
ip	read_only_udm.principal.ip	`ip` フィールドの値
メッセージ	read_only_udm.metadata.description	`Message` フィールドの値
メッセージ	security_result.description	`Message` フィールドの値
nat_ip	read_only_udm.principal.nat_ip	`nat_ip` フィールドの値
優先度	security_result.severity	`Priority` の値に基づいてマッピングされます。1 - HIGH、2 - MEDIUM、3 または 4 - LOW
SAMLConsumerURL	read_only_udm.target.url	`SAMLConsumerURL` フィールドの値
sec_msg	security_result.description	`sec_msg` フィールドの値
SecureAuthIdPAppliance	read_only_udm.target.administrative_domain	`SecureAuthIdPAppliance` フィールドの値
SecureAuthIdPApplianceMachineName	read_only_udm.target.hostname	`SecureAuthIdPApplianceMachineName` フィールドの値
SecureAuthIdPDestinationSiteUrl	read_only_udm.target.url	`SecureAuthIdPDestinationSiteUrl` フィールドの値
SecureAuthIdPProductType	read_only_udm.additional.fields.value.string_value	`SecureAuthIdPProductType` フィールドの値
セッション	read_only_udm.network.session_id	`session` フィールドの値
spid	read_only_udm.target.process.pid	`spid` フィールドの値
src	read_only_udm.principal.ip	`src` フィールドの値
suser	read_only_udm.target.user.userid	`suser` フィールドの値
UserAgent	read_only_udm.network.http.user_agent	`UserAgent` フィールドの値
UserHostAddress	read_only_udm.principal.nat_ip	`UserHostAddress` フィールドの値
UserHostAddress	read_only_udm.target.ip	`UserHostAddress` フィールドの値
UserID	read_only_udm.principal.user.userid	`UserID` フィールドの値
バージョン	read_only_udm.metadata.product_version	`Version` フィールドの値
	read_only_udm.additional.fields.key	ハードコードされた値 - 'CompanyName'
	read_only_udm.additional.fields.key	ハードコードされた値 - 「Company」
	read_only_udm.additional.fields.key	ハードコードされた値 - 「SecureAuthIdPProductType」
	read_only_udm.extensions.auth.type	ハードコードされた値 - 「SSO」
	read_only_udm.metadata.event_type	`SecureAuthIdPAuthGuiMode` == `0` かつ `auth_result` == `Success` の場合は「USER_LOGIN」、`SecureAuthIdPAuthGuiMode` == `0` かつ `auth_result` ==`WS-Trust success.` の場合は「USER_CHANGE_PERMISSIONS」、`SecureAuthIdPAuthGuiMode` == `0` かつ `auth_result` == `Session Aborted` の場合は「USER_LOGOUT」、`UserHostAddress` != and `HostName` != の場合は「NETWORK_CONNECTION」、`ip` != or `HostName` != の場合は「STATUS_UPDATE」、`UserHostAddress` != and `HostName` == かつ `UserID` != `` の場合は「USER_UNCATEGORIZED」、それ以外の場合は「GENERIC_EVENT」
	read_only_udm.metadata.log_type	ハードコードされた値 - 「SECUREAUTH_SSO」
	read_only_udm.metadata.product_name	ハードコードされた値 - 「SECUREAUTH_SSO」
	read_only_udm.metadata.vendor_name	ハードコードされた値 - 「SECUREAUTH_SSO」
	read_only_udm.target.user.email_addresses	`not_email` が false の場合の `user_email` フィールドの値
	security_result.severity	`cn1Label` == `Priority` かつ `cn1` == `1` の場合は「HIGH」、`cn1Label` == `Priority` かつ `cn1` == `2` の場合は「MEDIUM」、`cn1Label` == `Priority` かつ `cn1` が [`3`, `4`] の場合は「LOW」、`Priority` == `1` の場合は「HIGH」、`Priority` == `2` の場合は「MEDIUM」、`Priority` が [`3`, `4`] の場合は「LOW」

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。