Broadcom Symantec SiteMinder Web Access のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して Broadcom Symantec SiteMinder Web Access ログを Google Security Operations に収集する方法について説明します。パーサーは、未加工の JSON 形式のログを構造化された統合データモデル(UDM)に変換します。Grok パターンを使用して未加工のログ メッセージからフィールドを抽出し、名前を変更して UDM スキーマにマッピングします。さまざまなイベントタイプとユーザー形式を処理し、最終的にセキュリティ分析用のデータを拡充します。
始める前に
- Google SecOps インスタンスがあることを確認します。
- Windows 2016 以降、または
systemdを使用する Linux ホストを使用していることを確認します。 - プロキシの背後で実行している場合は、ファイアウォール ポートが開いていることを確認します。
- Symantec SiteMinder への特権アクセス権があることを確認します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CA_SSO_WEB raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Symantec SiteMinder - 12.8 で Syslog を構成する
- システムで X-windows サーバーが実行されていることを確認します。
- ターミナル ウィンドウを開きます。
次のコマンドを使用して DISPLAY 変数を設定します。
export DISPLAY=<IP_ADDRESS>:0.0<IP_ADDRESS>は、コンソールに接続するシステムの IP アドレスに置き換えます。(例:192.168.1.100)。
コンソールをホストしているシステムにログインします。
<installation_directory>/siteminder/binディレクトリに移動します。<installation_directory>は、ポリシー サーバーがインストールされているファイル システム内の場所に置き換えます。(例:/opt/CA/siteminder)。
次のコマンドを実行してコンソールを開きます。
./smconsole[データ] タブをクリックします。
[データベース] プルダウン リストをクリックし、[監査ログ] を選択します。
[ストレージ] プルダウン リストをクリックし、[Syslog] を選択します。
[Priority] フィールドで値 [LOG_INFO] を選択します。
[Facility] フィールドで値 [LOG_LOCAL0] を選択します。
[OK] をクリックします。
UNIX Policy Server を再起動する
- Policy Server を最初にインストールしたユーザー アカウントと同じユーザー アカウントで、Policy Server をホストしているシステムにログインします。
- 管理コンソールを開きます。
- [ステータス] タブをクリックし、[停止] ボタンをクリックします。
- すべてのサービスが停止するまで待ちます。
- 同じ [ステータス] タブで、[開始] ボタンをクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| アクション | event1.idm.read_only_udm.network.http.method | Action フィールドが空でない場合、event1.idm.read_only_udm.network.http.method にマッピングされます。値が Visit の場合、GET に置き換えられます。 |
| AgentName | event1.idm.read_only_udm.target.hostname | AgentName フィールドから直接マッピングされます。 |
| ClientIp | event1.idm.read_only_udm.principal.ip | IP アドレスを抽出する Grok パターンを使用して、ClientIp フィールドから抽出されます。 |
| DomainName | event1.idm.read_only_udm.target.administrative_domain | DomainName フィールドから直接マッピングされます。 |
| イベント | event1.idm.read_only_udm.metadata.product_event_type | Event フィールドから直接マッピングされます。 |
| リソース | event1.idm.read_only_udm.target.url | Resource フィールドから直接マッピングされます。 |
| SessionId | event1.idm.read_only_udm.network.session_id | SessionId フィールドから直接マッピングされます。 |
| 時間 | event1.idm.read_only_udm.metadata.event_timestamp | 日付フィルタを使用して Time フィールドから解析され、タイムスタンプが抽出されます。 |
| ユーザー名 | event1.idm.read_only_udm.target.user.userid | このロジックは、UserName フィールドのさまざまな形式を処理し、ユーザー ID を抽出します。 |
| ユーザー名 | event1.idm.read_only_udm.target.user.email_addresses | このロジックは、UserName フィールドのさまざまな形式を処理し、ユーザーのメールアドレスを抽出します。 |
| ユーザー名 | event1.idm.read_only_udm.target.user.group_identifiers | このロジックは、UserName フィールドのさまざまな形式を処理し、グループ識別子を抽出します。 |
| event1.idm.read_only_udm.extensions.auth.type | パーサーコードで SSO に設定されます。 |
|
| event1.idm.read_only_udm.intermediary.hostname | logstash.process.host からマッピングされます。 |
|
| event1.idm.read_only_udm.metadata.description | Event フィールドと AgentName フィールドに関連する特定の条件の message フィールドの値に設定します。 |
|
| event1.idm.read_only_udm.metadata.event_type | Event フィールドの値に基づいて決定されます。有効な値: USER_LOGIN、USER_LOGOUT、USER_UNCATEGORIZED、GENERIC_EVENT |
|
| event1.idm.read_only_udm.metadata.log_type | パーサーコードで CA_SSO_WEB に設定されます。 |
|
| event1.idm.read_only_udm.metadata.product_name | パーサーコードで Web Access Management に設定されます。 |
|
| event1.idm.read_only_udm.metadata.vendor_name | パーサーコードで Siteminder に設定されます。 |
|
| event1.idm.read_only_udm.observer.hostname | logstash.collect.host の値に設定します。 |
|
| event1.idm.read_only_udm.security_result.action | Event フィールドの値に基づいて決定されます。有効な値: ALLOW、BLOCK |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。