SecureAuth Identity Platform 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 SecureAuth Identity Platform 로그를 Google Security Operations로 처리하는 방법을 설명합니다. 파서는 grok 및 xml 필터를 사용하여 다양한 로그 형식 (SYSLOG, XML, 키-값 쌍)에서 필드를 추출합니다. 그런 다음 추출된 필드를 해당하는 UDM (통합 데이터 모델) 속성에 매핑하여 보안 이벤트 컨텍스트로 데이터를 보강하고 추가 분석을 위해 출력을 표준화합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상을 사용 중이거나 systemd와 함께 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • SecureAuth에 대한 권한이 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 처리 인증 파일을 다운로드합니다. Bindplane가 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.

  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.

  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.

    1. config.yaml 파일을 찾습니다. 일반적으로 Linux의 /etc/bindplane-agent/ 디렉터리 또는 Windows의 설치 디렉터리에 있습니다.
    2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SECUREAUTH_SSO
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 인프라에서 필요에 따라 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent

  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent

SecureAuth Identity Platform 구성

  1. SecureAuth ID 콘솔에 로그인합니다.
  2. 로그를 선택합니다.
  3. 로그 옵션 섹션에 다음 구성 세부정보를 제공합니다.
    • 로그 인스턴스 ID: 로그 인스턴스 ID, 애플리케이션 이름 또는 영역 이름을 입력합니다(예: SecureAuth1).
    • 감사 로그: Syslog 체크박스를 선택합니다.
    • 오류 로그: Syslog 체크박스를 선택합니다.
    • Syslog Server: Bindplane 에이전트의 IP 주소를 입력합니다.
    • Syslog 포트: Bindplane 에이전트 포트 번호를 입력합니다(예: 514).
    • Syslog RFC 사양: RFC 5424를 선택합니다.
  4. 저장을 클릭합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
action_msg read_only_udm.target.process.command_line action_msg 필드의 값
어플라이언스 read_only_udm.principal.domain.name Appliance 필드의 값
어플라이언스 read_only_udm.target.administrative_domain Appliance 필드의 값
BrowserSession read_only_udm.network.session_id BrowserSession 필드의 값
고양이 read_only_udm.metadata.product_event_type cat 필드의 값
카테고리 read_only_udm.metadata.product_event_type Category 필드의 값
cn1 security_result.severity cn1Label이 'Priority'인 경우 cn1의 값을 기반으로 매핑됩니다. 1 - 높음, 2 - 중간, 3 또는 4 - 낮음
회사 read_only_udm.additional.fields.value.string_value Company 필드의 값
cs1 read_only_udm.network.session_id cs1Label이 'BrowserSession'인 경우 cs1 필드의 값
cs3 read_only_udm.additional.fields.value.string_value cs3Label이 'CompanyName'인 경우 cs3 필드의 값
dst read_only_udm.target.ip dst 필드의 값
도메인 read_only_udm.principal.domain.name domain 필드의 값
dvc read_only_udm.intermediary.ip dvc 필드의 값
EventID read_only_udm.metadata.product_log_id EventID 필드의 값
HostName read_only_udm.principal.hostname grok가 IP 주소와 일치하지 못할 때 HostName 필드의 값
HostName read_only_udm.principal.ip grok가 IP 주소와 일치하는 경우 HostName 필드의 값
ip read_only_udm.principal.ip ip 필드의 값
메시지 read_only_udm.metadata.description Message 필드의 값
메시지 security_result.description Message 필드의 값
nat_ip read_only_udm.principal.nat_ip nat_ip 필드의 값
우선순위 security_result.severity Priority 값을 기반으로 매핑됨: 1 - 높음, 2 - 중간, 3 또는 4 - 낮음
SAMLConsumerURL read_only_udm.target.url SAMLConsumerURL 필드의 값
sec_msg security_result.description sec_msg 필드의 값
SecureAuthIdPAppliance read_only_udm.target.administrative_domain SecureAuthIdPAppliance 필드의 값
SecureAuthIdPApplianceMachineName read_only_udm.target.hostname SecureAuthIdPApplianceMachineName 필드의 값
SecureAuthIdPDestinationSiteUrl read_only_udm.target.url SecureAuthIdPDestinationSiteUrl 필드의 값
SecureAuthIdPProductType read_only_udm.additional.fields.value.string_value SecureAuthIdPProductType 필드의 값
세션 read_only_udm.network.session_id session 필드의 값
spid read_only_udm.target.process.pid spid 필드의 값
src read_only_udm.principal.ip src 필드의 값
suser read_only_udm.target.user.userid suser 필드의 값
UserAgent read_only_udm.network.http.user_agent UserAgent 필드의 값
UserHostAddress read_only_udm.principal.nat_ip UserHostAddress 필드의 값
UserHostAddress read_only_udm.target.ip UserHostAddress 필드의 값
UserID read_only_udm.principal.user.userid UserID 필드의 값
버전 read_only_udm.metadata.product_version Version 필드의 값
read_only_udm.additional.fields.key 하드코딩된 값 - 'CompanyName'
read_only_udm.additional.fields.key 하드코딩된 값 - '회사'
read_only_udm.additional.fields.key 하드코딩된 값 - 'SecureAuthIdPProductType'
read_only_udm.extensions.auth.type 하드코딩된 값 - 'SSO'
read_only_udm.metadata.event_type SecureAuthIdPAuthGuiMode == 0이고 auth_result == Success인 경우 'USER_LOGIN', SecureAuthIdPAuthGuiMode == 0이고 auth_result ==WS-Trust success.인 경우 'USER_CHANGE_PERMISSIONS', SecureAuthIdPAuthGuiMode == 0이고 auth_result == Session Aborted인 경우 'USER_LOGOUT', UserHostAddress != and `HostName` !=인 경우 'NETWORK_CONNECTION', ip != or `HostName` !=인 경우 'STATUS_UPDATE', UserHostAddress != and `HostName` ==이고 UserID != ``인 경우 'USER_UNCATEGORIZED', 그 외의 경우 - 'GENERIC_EVENT'
read_only_udm.metadata.log_type 하드코딩된 값 - 'SECUREAUTH_SSO'
read_only_udm.metadata.product_name 하드코딩된 값 - 'SECUREAUTH_SSO'
read_only_udm.metadata.vendor_name 하드코딩된 값 - 'SECUREAUTH_SSO'
read_only_udm.target.user.email_addresses not_email가 false인 경우 user_email 필드의 값
security_result.severity cn1Label == Priority이고 cn1 == 1인 경우 'HIGH', cn1Label == Priority이고 cn1 == 2인 경우 'MEDIUM', cn1Label == Priority이고 cn1가 [3, 4]인 경우 'LOW', Priority == 1인 경우 'HIGH', Priority == 2인 경우 'MEDIUM', Priority가 [3, 4]인 경우 'LOW'

변경사항

2023-07-09

  • 새 로그 형식인 SYSLOG + KV에 대한 지원이 추가되었습니다.
  • 새 로그를 파싱하는 Grok 패턴을 추가했습니다.

2022-04-25

  • 새로 만든 파서: 고객별 버전을 업데이트하고 기본값으로 변환했습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.