Broadcom Symantec SiteMinder Web Access-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie mit einem Bindplane-Agent Protokolle für den Webzugriff von Broadcom Symantec SiteMinder in Google Security Operations erfassen. Der Parser wandelt Rohlogs im JSON-Format in ein strukturiertes einheitliches Datenmodell (Unified Data Model, UDM) um. Felder werden mithilfe von Grok-Mustern aus den Rohprotokollnachrichten extrahiert, umbenannt und dem UDM-Schema zugeordnet. Außerdem werden verschiedene Ereignistypen und Nutzerformate verarbeitet und die Daten für die Sicherheitsanalyse angereichert.
Hinweise
- Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
- Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit
systemdverwenden. - Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
- Sie benötigen privilegierten Zugriff auf Symantec SiteMinder.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
- Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Greifen Sie auf die Konfigurationsdatei zu:
- Suchen Sie die Datei
config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis/etc/bindplane-agent/oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano,vioder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yamlso:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CA_SSO_WEB raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsErsetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie
<customer_id>durch die tatsächliche Kunden-ID.Aktualisieren Sie
/path/to/ingestion-authentication-file.jsonauf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart bindplane-agentWenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
net stop BindPlaneAgent && net start BindPlaneAgent
Syslog in Symantec SiteMinder – 12.8 konfigurieren
- Prüfen Sie, ob auf Ihrem System ein X-Windows-Server ausgeführt wird.
- Öffnen Sie ein Terminalfenster.
Legen Sie die Variable DISPLAY mit dem folgenden Befehl fest:
export DISPLAY=<IP_ADDRESS>:0.0- Ersetzen Sie
<IP_ADDRESS>durch die IP-Adresse des Systems, von dem aus Sie eine Verbindung zur Konsole herstellen. Beispiel:192.168.1.100
- Ersetzen Sie
Melden Sie sich auf dem System an, auf dem die Console gehostet wird.
Wechseln Sie zum Verzeichnis
<installation_directory>/siteminder/bin.- Ersetzen Sie
<installation_directory>durch den Speicherort im Dateisystem, an dem der Policy Server installiert ist. Beispiel:/opt/CA/siteminder
- Ersetzen Sie
Öffnen Sie die Console mit dem folgenden Befehl:
./smconsoleKlicken Sie auf den Tab Daten.
Klicken Sie auf die Drop-down-Liste Datenbank und wählen Sie dann Audit-Logs aus.
Klicken Sie auf die Drop-down-Liste Speicher und wählen Sie dann Syslog aus.
Wählen Sie im Feld Priority (Priorität) den Wert LOG_INFO aus.
Wählen Sie im Feld Einrichtung den Wert LOG_LOCAL0 aus.
Klicken Sie auf OK.
UNIX Policy Server neu starten
- Melden Sie sich mit demselben Nutzerkonto, mit dem der Policy Server ursprünglich installiert wurde, im System an, auf dem der Policy Server gehostet wird.
- Öffnen Sie die Verwaltungskonsole.
- Klicken Sie auf den Tab Status und dann auf die Schaltflächen Beenden.
- Warten Sie, bis alle Dienste beendet wurden.
- Klicken Sie auf demselben Tab Status auf die Schaltflächen Start.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| Aktion | event1.idm.read_only_udm.network.http.method | Wenn das Feld Action nicht leer ist, wird es event1.idm.read_only_udm.network.http.method zugeordnet. Wenn der Wert Visit ist, wird er durch GET ersetzt. |
| AgentName | event1.idm.read_only_udm.target.hostname | Direkt aus dem Feld AgentName zugeordnet. |
| ClientIp | event1.idm.read_only_udm.principal.ip | Wird aus dem Feld ClientIp extrahiert. Dazu wird ein Grok-Muster verwendet, um die IP-Adresse zu extrahieren. |
| DomainName | event1.idm.read_only_udm.target.administrative_domain | Direkt aus dem Feld DomainName zugeordnet. |
| Ereignis | event1.idm.read_only_udm.metadata.product_event_type | Direkt aus dem Feld Event zugeordnet. |
| Ressource | event1.idm.read_only_udm.target.url | Direkt aus dem Feld Resource zugeordnet. |
| SessionId (Sitzungs-ID) | event1.idm.read_only_udm.network.session_id | Direkt aus dem Feld SessionId zugeordnet. |
| Zeit | event1.idm.read_only_udm.metadata.event_timestamp | Aus dem Feld Time geparst, wobei Datumsfilter zum Extrahieren des Zeitstempels verwendet werden. |
| Nutzername | event1.idm.read_only_udm.target.user.userid | Die Logik verarbeitet verschiedene Formate des Felds UserName und extrahiert die Nutzer-ID. |
| Nutzername | event1.idm.read_only_udm.target.user.email_addresses | Die Logik verarbeitet verschiedene Formate des Felds UserName und extrahiert die E-Mail-Adresse des Nutzers. |
| Nutzername | event1.idm.read_only_udm.target.user.group_identifiers | Die Logik verarbeitet verschiedene Formate des Felds UserName und extrahiert die Gruppenkennungen. |
| event1.idm.read_only_udm.extensions.auth.type | Auf SSO im Parsercode festgelegt. |
|
| event1.idm.read_only_udm.intermediary.hostname | Zugeordnet von logstash.process.host. |
|
| event1.idm.read_only_udm.metadata.description | Wird unter bestimmten Bedingungen in Bezug auf die Felder Event und AgentName auf den Wert des Felds message festgelegt. |
|
| event1.idm.read_only_udm.metadata.event_type | Wird anhand des Werts des Felds Event bestimmt. Mögliche Werte: USER_LOGIN, USER_LOGOUT, USER_UNCATEGORIZED, GENERIC_EVENT |
|
| event1.idm.read_only_udm.metadata.log_type | Auf CA_SSO_WEB im Parsercode festgelegt. |
|
| event1.idm.read_only_udm.metadata.product_name | Auf Web Access Management im Parsercode festgelegt. |
|
| event1.idm.read_only_udm.metadata.vendor_name | Auf Siteminder im Parsercode festgelegt. |
|
| event1.idm.read_only_udm.observer.hostname | Legen Sie den Wert auf logstash.collect.host fest. |
|
| event1.idm.read_only_udm.security_result.action | Wird anhand des Werts des Felds Event bestimmt. Mögliche Werte: ALLOW, BLOCK |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten