Mengumpulkan log Akses Web Broadcom Symantec SiteMinder

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Akses Web Broadcom Symantec SiteMinder ke Google Security Operations menggunakan agen Bindplane. Parser mengubah log berformat JSON mentah menjadi Model Data Terpadu (UDM) terstruktur. Alat ini mengekstrak kolom dari pesan log mentah menggunakan pola grok, mengganti nama dan memetakannya ke skema UDM, menangani berbagai jenis peristiwa dan format pengguna, dan pada akhirnya memperkaya data untuk analisis keamanan.

Sebelum memulai

  • Pastikan Anda memiliki instance Google SecOps.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di belakang proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses istimewa ke Symantec SiteMinder.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:

    1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: CA_SSO_WEB
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

  4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

  5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi Syslog di Symantec SiteMinder - 12.8

  1. Pastikan server X-window berjalan di sistem Anda.
  2. Buka jendela terminal.

  3. Tetapkan variabel DISPLAY dengan perintah berikut:

    export DISPLAY=<IP_ADDRESS>:0.0
    • Ganti <IP_ADDRESS> dengan alamat IP sistem yang Anda gunakan untuk terhubung ke konsol. (Misalnya, 192.168.1.100).

  4. Login ke sistem yang menghosting konsol.

  5. Buka direktori <installation_directory>/siteminder/bin.

    • Ganti <installation_directory> dengan lokasi di sistem file tempat Policy Server diinstal. (Misalnya, /opt/CA/siteminder).

  6. Buka konsol dengan menjalankan perintah berikut:

    ./smconsole

  7. Klik tab Data.

  8. Klik menu drop-down Database, lalu pilih Log Audit.

  9. Klik menu drop-down Storage, lalu pilih Syslog.

  10. Pilih nilai LOG_INFO di kolom Priority.

  11. Pilih nilai LOG_LOCAL0 di kolom Facility.

  12. Klik Oke.

Mulai ulang Server Kebijakan UNIX

  1. Login ke sistem yang menghosting Server Kebijakan dengan akun pengguna yang sama yang menginstal Server Kebijakan pada awalnya.
  2. Buka Konsol Pengelolaan.
  3. Klik tab Status, lalu klik tombol Hentikan.
  4. Tunggu hingga semua layanan berhenti.
  5. Di tab Status yang sama, klik tombol Start.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
Tindakan event1.idm.read_only_udm.network.http.method Jika kolom Action tidak kosong, kolom tersebut dipetakan ke event1.idm.read_only_udm.network.http.method. Jika nilainya adalah Visit, nilai tersebut akan diganti dengan GET
AgentName event1.idm.read_only_udm.target.hostname Dipetakan langsung dari kolom AgentName.
ClientIp event1.idm.read_only_udm.principal.ip Diekstrak dari kolom ClientIp menggunakan pola grok untuk mengekstrak alamat IP.
DomainName event1.idm.read_only_udm.target.administrative_domain Dipetakan langsung dari kolom DomainName.
Acara event1.idm.read_only_udm.metadata.product_event_type Dipetakan langsung dari kolom Event.
Resource event1.idm.read_only_udm.target.url Dipetakan langsung dari kolom Resource.
SessionId event1.idm.read_only_udm.network.session_id Dipetakan langsung dari kolom SessionId.
Waktu event1.idm.read_only_udm.metadata.event_timestamp Diuraikan dari kolom Time menggunakan filter tanggal untuk mengekstrak stempel waktu.
NamaPengguna event1.idm.read_only_udm.target.user.userid Logika menangani berbagai format kolom UserName dan mengekstrak ID pengguna.
NamaPengguna event1.idm.read_only_udm.target.user.email_addresses Logika ini menangani berbagai format kolom UserName dan mengekstrak alamat email pengguna.
NamaPengguna event1.idm.read_only_udm.target.user.group_identifiers Logika menangani berbagai format kolom UserName dan mengekstrak ID grup.
event1.idm.read_only_udm.extensions.auth.type Ditetapkan ke SSO dalam kode parser.
event1.idm.read_only_udm.intermediary.hostname Dipetakan dari logstash.process.host.
event1.idm.read_only_udm.metadata.description Ditetapkan ke nilai kolom message dalam kondisi tertentu yang terkait dengan kolom Event dan AgentName.
event1.idm.read_only_udm.metadata.event_type Ditentukan berdasarkan nilai kolom Event. Nilai yang mungkin: USER_LOGIN, USER_LOGOUT, USER_UNCATEGORIZED, GENERIC_EVENT
event1.idm.read_only_udm.metadata.log_type Ditetapkan ke CA_SSO_WEB dalam kode parser.
event1.idm.read_only_udm.metadata.product_name Ditetapkan ke Web Access Management dalam kode parser.
event1.idm.read_only_udm.metadata.vendor_name Ditetapkan ke Siteminder dalam kode parser.
event1.idm.read_only_udm.observer.hostname Tetapkan ke nilai logstash.collect.host.
event1.idm.read_only_udm.security_result.action Ditentukan berdasarkan nilai kolom Event. Nilai yang mungkin: ALLOW, BLOCK

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.