이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Broadcom Symantec SiteMinder 웹 액세스 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Bindplane 에이전트를 사용하여 Google Security Operations로 Broadcom Symantec SiteMinder 웹 액세스 로그를 수집하는 방법을 설명합니다. 파서는 원시 JSON 형식 로그를 구조화된 통합 데이터 모델 (UDM)로 변환합니다. grok 패턴을 사용하여 원시 로그 메시지에서 필드를 추출하고, 이름을 바꾸고 UDM 스키마에 매핑하고, 다양한 이벤트 유형과 사용자 형식을 처리하고, 궁극적으로 보안 분석을 위해 데이터를 보강합니다.

시작하기 전에

Google SecOps 인스턴스가 있는지 확인합니다.
Windows 2016 이상을 사용 중이거나 systemd와 함께 Linux 호스트를 사용하고 있는지 확인합니다.
프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
Symantec SiteMinder에 대한 액세스 권한이 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
처리 인증 파일을 다운로드합니다. Bindplane가 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.

다음 명령어를 실행합니다.

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 설치

루트 또는 sudo 권한으로 터미널을 엽니다.

다음 명령어를 실행합니다.

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일에 액세스합니다.
1. config.yaml 파일을 찾습니다. 일반적으로 Linux의 /etc/bindplane-agent/ 디렉터리 또는 Windows의 설치 디렉터리에 있습니다.
2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

다음과 같이 config.yaml 파일을 수정합니다.

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: CA_SSO_WEB
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

인프라에서 필요에 따라 포트와 IP 주소를 바꿉니다.
<customer_id>를 실제 고객 ID로 바꿉니다.
Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
```
sudo systemctl restart bindplane-agent
```
Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Symantec SiteMinder에서 Syslog 구성 - 12.8

시스템에서 X-windows 서버가 실행 중인지 확인합니다.
터미널 창을 엽니다.
다음 명령어를 사용하여 DISPLAY 변수를 설정합니다.
```
export DISPLAY=<IP_ADDRESS>:0.0
```
- <IP_ADDRESS>를 콘솔에 연결하는 시스템의 IP 주소로 바꿉니다. (예: 192.168.1.100)
콘솔을 호스팅하는 시스템에 로그인합니다.
<installation_directory>/siteminder/bin 디렉터리로 이동합니다.
- <installation_directory>을 정책 서버가 설치된 파일 시스템의 위치로 바꿉니다. (예: /opt/CA/siteminder)
다음 명령어를 실행하여 콘솔을 엽니다.
```
./smconsole
```
데이터 탭을 클릭합니다.
데이터베이스 드롭다운 목록을 클릭한 다음 감사 로그를 선택합니다.
저장소 드롭다운 목록을 클릭한 다음 Syslog를 선택합니다.
Priority 필드에서 값 LOG_INFO를 선택합니다.
설비 필드에서 값 LOG_LOCAL0을 선택합니다.
확인을 클릭합니다.

UNIX 정책 서버 다시 시작

정책 서버를 처음 설치한 것과 동일한 사용자 계정으로 정책 서버를 호스팅하는 시스템에 로그인합니다.
관리 콘솔을 엽니다.
상태 탭을 클릭한 다음 중지 버튼을 클릭합니다.
모든 서비스가 중지될 때까지 기다립니다.
동일한 Status(상태) 탭에서 Start(시작) 버튼을 클릭합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
작업	event1.idm.read_only_udm.network.http.method	`Action` 필드가 비어 있지 않으면 `event1.idm.read_only_udm.network.http.method`에 매핑됩니다. 값이 `Visit`인 경우 `GET`로 대체됩니다.
AgentName	event1.idm.read_only_udm.target.hostname	`AgentName` 필드에서 직접 매핑됩니다.
ClientIp	event1.idm.read_only_udm.principal.ip	Grok 패턴을 사용하여 `ClientIp` 필드에서 추출하여 IP 주소를 추출합니다.
DomainName	event1.idm.read_only_udm.target.administrative_domain	`DomainName` 필드에서 직접 매핑됩니다.
이벤트	event1.idm.read_only_udm.metadata.product_event_type	`Event` 필드에서 직접 매핑됩니다.
리소스	event1.idm.read_only_udm.target.url	`Resource` 필드에서 직접 매핑됩니다.
SessionId	event1.idm.read_only_udm.network.session_id	`SessionId` 필드에서 직접 매핑됩니다.
시간	event1.idm.read_only_udm.metadata.event_timestamp	날짜 필터를 사용하여 `Time` 필드에서 파싱하여 타임스탬프를 추출합니다.
사용자 이름	event1.idm.read_only_udm.target.user.userid	로직은 다양한 형식의 `UserName` 필드를 처리하고 사용자 ID를 추출합니다.
사용자 이름	event1.idm.read_only_udm.target.user.email_addresses	이 로직은 다양한 형식의 `UserName` 필드를 처리하고 사용자 이메일 주소를 추출합니다.
사용자 이름	event1.idm.read_only_udm.target.user.group_identifiers	이 로직은 다양한 형식의 `UserName` 필드를 처리하고 그룹 식별자를 추출합니다.
	event1.idm.read_only_udm.extensions.auth.type	파서 코드에서 `SSO`로 설정합니다.
	event1.idm.read_only_udm.intermediary.hostname	`logstash.process.host`에서 매핑됩니다.
	event1.idm.read_only_udm.metadata.description	`Event` 및 `AgentName` 필드와 관련된 특정 조건에서 `message` 필드의 값으로 설정합니다.
	event1.idm.read_only_udm.metadata.event_type	`Event` 필드의 값을 기반으로 결정됩니다. 가능한 값: USER_LOGIN, USER_LOGOUT, USER_UNCATEGORIZED, GENERIC_EVENT
	event1.idm.read_only_udm.metadata.log_type	파서 코드에서 `CA_SSO_WEB`로 설정합니다.
	event1.idm.read_only_udm.metadata.product_name	파서 코드에서 `Web Access Management`로 설정합니다.
	event1.idm.read_only_udm.metadata.vendor_name	파서 코드에서 `Siteminder`로 설정합니다.
	event1.idm.read_only_udm.observer.hostname	`logstash.collect.host` 값으로 설정합니다.
	event1.idm.read_only_udm.security_result.action	`Event` 필드의 값을 기반으로 결정됩니다. 가능한 값: ALLOW, BLOCK

변경사항

2024-06-25

개선사항:

새로 처리된 syslog 형식을 파싱하는 Grok 패턴을 추가했습니다.

2022-08-08

개선사항:

헤더를 추가했습니다.
'principal.ip'에 매핑된 'ClientIp' 필드에 조건부 확인 및 grok 패턴이 추가되었습니다.
다음 필드에 대한 조건부 검사가 추가되었습니다.
'Action'이 'network.http.method'에 매핑되었습니다.
'AgentName'이 'target.hostname'에 매핑되었습니다.
'sm_user'가 'target.user.email_addresses'에 매핑됨
'sm_group'이 'target.user.group_identifiers'에 매핑되었습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.