Raccogliere i log di accesso web di Broadcom Symantec SiteMinder

Supportato in:

Questo documento spiega come raccogliere i log di accesso web di Broadcom Symantec SiteMinder in Google Security Operations utilizzando un agente Bindplane. Il parser trasforma i log non elaborati in formato JSON in un modello UDM (Unified Data Model) strutturato. Estrae i campi dai messaggi di log non elaborati utilizzando i pattern grok, li rinomina e li mappa allo schema UDM, gestisce diversi tipi di eventi e formati utente e, infine, arricchisce i dati per l'analisi della sicurezza.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
  • Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso privilegiato a Symantec SiteMinder.

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:

    1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: CA_SSO_WEB
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurare Syslog su Symantec SiteMinder - 12.8

  1. Verifica che sul sistema sia in esecuzione un server X-windows.
  2. Apri una finestra del terminale.

  3. Imposta la variabile DISPLAY con il seguente comando:

    export DISPLAY=<IP_ADDRESS>:0.0
    • Sostituisci <IP_ADDRESS> con l'indirizzo IP del sistema da cui ti connetti alla console. Ad esempio, 192.168.1.100.

  4. Accedi al sistema che ospita la console.

  5. Vai alla directory <installation_directory>/siteminder/bin.

    • Sostituisci <installation_directory> con la posizione nel file system in cui è installato Policy Server. Ad esempio, /opt/CA/siteminder.

  6. Apri la console eseguendo questo comando:

    ./smconsole

  7. Fai clic sulla scheda Dati.

  8. Fai clic sull'elenco a discesa Database e seleziona Log di controllo.

  9. Fai clic sull'elenco a discesa Storage e poi seleziona Syslog.

  10. Seleziona il valore LOG_INFO nel campo Priority (Priorità).

  11. Seleziona il valore LOG_LOCAL0 nel campo Facility.

  12. Fai clic su OK.

Riavviare il server delle policy UNIX

  1. Accedi al sistema che ospita Policy Server con lo stesso account utente che ha installato Policy Server in origine.
  2. Apri la Console di gestione.
  3. Fai clic sulla scheda Stato, quindi sui pulsanti Interrompi.
  4. Attendi l'arresto di tutti i servizi.
  5. Nella stessa scheda Stato, fai clic sui pulsanti Avvia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
Azione event1.idm.read_only_udm.network.http.method Se il campo Action non è vuoto, viene mappato a event1.idm.read_only_udm.network.http.method. Se il valore è Visit, viene sostituito con GET
AgentName event1.idm.read_only_udm.target.hostname Mappato direttamente dal campo AgentName.
ClientIp event1.idm.read_only_udm.principal.ip Estratto dal campo ClientIp utilizzando un pattern grok per estrarre l'indirizzo IP.
DomainName event1.idm.read_only_udm.target.administrative_domain Mappato direttamente dal campo DomainName.
Evento event1.idm.read_only_udm.metadata.product_event_type Mappato direttamente dal campo Event.
Risorsa event1.idm.read_only_udm.target.url Mappato direttamente dal campo Resource.
SessionId event1.idm.read_only_udm.network.session_id Mappato direttamente dal campo SessionId.
Ora event1.idm.read_only_udm.metadata.event_timestamp Analizzato dal campo Time utilizzando i filtri della data per estrarre il timestamp.
Nome utente event1.idm.read_only_udm.target.user.userid La logica gestisce diversi formati del campo UserName ed estrae l'ID utente.
Nome utente event1.idm.read_only_udm.target.user.email_addresses La logica gestisce diversi formati del campo UserName ed estrae l'indirizzo email dell'utente.
Nome utente event1.idm.read_only_udm.target.user.group_identifiers La logica gestisce diversi formati del campo UserName ed estrae gli identificatori del gruppo.
event1.idm.read_only_udm.extensions.auth.type Imposta SSO nel codice del parser.
event1.idm.read_only_udm.intermediary.hostname Mappato da logstash.process.host.
event1.idm.read_only_udm.metadata.description Impostato sul valore del campo message in condizioni specifiche relative ai campi Event e AgentName.
event1.idm.read_only_udm.metadata.event_type Determinato in base al valore del campo Event. Valori possibili: USER_LOGIN, USER_LOGOUT, USER_UNCATEGORIZED, GENERIC_EVENT
event1.idm.read_only_udm.metadata.log_type Imposta CA_SSO_WEB nel codice del parser.
event1.idm.read_only_udm.metadata.product_name Imposta Web Access Management nel codice del parser.
event1.idm.read_only_udm.metadata.vendor_name Imposta Siteminder nel codice del parser.
event1.idm.read_only_udm.observer.hostname Imposta il valore di logstash.collect.host.
event1.idm.read_only_udm.security_result.action Determinato in base al valore del campo Event. Valori possibili: ALLOW, BLOCK

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.