Recopila registros de acceso web de Broadcom Symantec SiteMinder
En este documento, se explica cómo recopilar registros de acceso web de Broadcom Symantec SiteMinder en Google Security Operations con un agente de Bindplane. El analizador transforma los registros sin procesar con formato JSON en un modelo de datos unificado (UDM) estructurado. Extrae campos de los mensajes de registro sin procesar con patrones de Grok, los renombra y los asigna al esquema del UDM, controla diferentes tipos de eventos y formatos de usuario y, en última instancia, enriquece los datos para el análisis de seguridad.
Antes de comenzar
- Asegúrate de tener una instancia de Google SecOps.
- Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con
systemd. - Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
- Asegúrate de tener acceso con privilegios a Symantec SiteMinder.
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Collection Agents.
- Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Profile.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación en Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
- Para obtener más opciones de instalación, consulta esta guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
Accede al archivo de configuración:
- Ubica el archivo
config.yaml. Por lo general, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CA_SSO_WEB raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsReemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza
<customer_id>por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.jsona la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura Syslog en Symantec SiteMinder 12.8
- Verifica que un servidor X-windows se esté ejecutando en tu sistema.
- Abre una ventana de terminal.
Configura la variable DISPLAY con el siguiente comando:
export DISPLAY=<IP_ADDRESS>:0.0- Reemplaza
<IP_ADDRESS>por la dirección IP del sistema desde el que te conectas a la consola. (por ejemplo,192.168.1.100)
- Reemplaza
Accede al sistema que aloja la consola.
Ve al directorio
<installation_directory>/siteminder/bin.- Reemplaza
<installation_directory>por la ubicación en el sistema de archivos donde está instalado el servidor de políticas. (por ejemplo,/opt/CA/siteminder)
- Reemplaza
Para abrir la consola, ejecuta el siguiente comando:
./smconsoleHaz clic en la pestaña Datos.
Haz clic en la lista desplegable Base de datos y, luego, selecciona Registros de auditoría.
Haz clic en la lista desplegable Almacenamiento y, luego, selecciona Syslog.
Selecciona el valor LOG_INFO en el campo Prioridad.
Selecciona el valor LOG_LOCAL0 en el campo Facility.
Haz clic en Aceptar.
Reinicia el servidor de políticas de UNIX
- Accede al sistema que aloja el servidor de políticas con la misma cuenta de usuario con la que se instaló originalmente el servidor de políticas.
- Abre la Consola de administración.
- Haz clic en la pestaña Estado y, luego, en los botones Detener.
- Espera a que se detengan todos los servicios.
- En la misma pestaña Estado, haz clic en los botones Iniciar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| Acción | event1.idm.read_only_udm.network.http.method | Si el campo Action no está vacío, se asigna a event1.idm.read_only_udm.network.http.method. Si el valor es Visit, se reemplaza por GET. |
| AgentName | event1.idm.read_only_udm.target.hostname | Se asigna directamente desde el campo AgentName. |
| ClientIp | event1.idm.read_only_udm.principal.ip | Se extrae del campo ClientIp con un patrón de Grok para extraer la dirección IP. |
| DomainName | event1.idm.read_only_udm.target.administrative_domain | Se asigna directamente desde el campo DomainName. |
| Evento | event1.idm.read_only_udm.metadata.product_event_type | Se asigna directamente desde el campo Event. |
| Recurso | event1.idm.read_only_udm.target.url | Se asigna directamente desde el campo Resource. |
| ID sesión | event1.idm.read_only_udm.network.session_id | Se asigna directamente desde el campo SessionId. |
| Hora | event1.idm.read_only_udm.metadata.event_timestamp | Se analiza a partir del campo Time con filtros de fecha para extraer la marca de tiempo. |
| UserName | event1.idm.read_only_udm.target.user.userid | La lógica controla diferentes formatos del campo UserName y extrae el ID del usuario. |
| UserName | event1.idm.read_only_udm.target.user.email_addresses | La lógica controla diferentes formatos del campo UserName y extrae la dirección de correo electrónico del usuario. |
| UserName | event1.idm.read_only_udm.target.user.group_identifiers | La lógica controla diferentes formatos del campo UserName y extrae los identificadores de grupo. |
| event1.idm.read_only_udm.extensions.auth.type | Se establece en SSO en el código del analizador. |
|
| event1.idm.read_only_udm.intermediary.hostname | Se asignó desde logstash.process.host. |
|
| event1.idm.read_only_udm.metadata.description | Se establece en el valor del campo message en condiciones específicas relacionadas con los campos Event y AgentName. |
|
| event1.idm.read_only_udm.metadata.event_type | Se determina según el valor del campo Event. Valores posibles: USER_LOGIN, USER_LOGOUT, USER_UNCATEGORIZED, GENERIC_EVENT |
|
| event1.idm.read_only_udm.metadata.log_type | Se establece en CA_SSO_WEB en el código del analizador. |
|
| event1.idm.read_only_udm.metadata.product_name | Se establece en Web Access Management en el código del analizador. |
|
| event1.idm.read_only_udm.metadata.vendor_name | Se establece en Siteminder en el código del analizador. |
|
| event1.idm.read_only_udm.observer.hostname | Se establece en el valor de logstash.collect.host. |
|
| event1.idm.read_only_udm.security_result.action | Se determina según el valor del campo Event. Valores posibles: ALLOW, BLOCK |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.