Recolha registos de acesso Web do Broadcom Symantec SiteMinder

Compatível com:

Este documento explica como recolher registos de acesso Web do Broadcom Symantec SiteMinder para o Google Security Operations através de um agente do Bindplane. O analisador transforma os registos formatados JSON não processados num modelo de dados unificado (UDM) estruturado. Extrai campos das mensagens de registo não processadas através de padrões grok, muda-lhes o nome e mapeia-os para o esquema UDM, processa diferentes tipos de eventos e formatos de utilizadores e, em última análise, enriquece os dados para análise de segurança.

Antes de começar

  • Certifique-se de que tem uma instância do Google SecOps.
  • Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
  • Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
  • Certifique-se de que tem acesso privilegiado ao Symantec SiteMinder.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Agentes de recolha.
  3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

  1. Inicie sessão na consola Google SecOps.
  2. Aceda a Definições do SIEM > Perfil.
  3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

  1. Abra a Linha de comandos ou o PowerShell como administrador.

  2. Execute o seguinte comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

  1. Abra um terminal com privilégios de raiz ou sudo.

  2. Execute o seguinte comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

  1. Aceda ao ficheiro de configuração:

    1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

  2. Edite o ficheiro config.yaml da seguinte forma:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: CA_SSO_WEB
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID de cliente real.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configure o Syslog no Symantec SiteMinder – 12.8

  1. Verifique se um servidor X-windows está em execução no seu sistema.
  2. Abra uma janela de terminal.

  3. Defina a variável DISPLAY com o seguinte comando:

    export DISPLAY=<IP_ADDRESS>:0.0
    • Substitua <IP_ADDRESS> pelo endereço IP do sistema a partir do qual está a estabelecer ligação à consola. (Por exemplo, 192.168.1.100).

  4. Inicie sessão no sistema que aloja a consola.

  5. Aceda ao diretório <installation_directory>/siteminder/bin.

    • Substitua <installation_directory> pela localização no sistema de ficheiros onde o servidor de políticas está instalado. (Por exemplo, /opt/CA/siteminder).

  6. Abra a consola executando o seguinte comando:

    ./smconsole

  7. Clique no separador Dados.

  8. Clique na lista pendente Base de dados e, de seguida, selecione Registos de auditoria.

  9. Clique na lista pendente Armazenamento e, de seguida, selecione Syslog.

  10. Selecione o valor LOG_INFO no campo Prioridade.

  11. Selecione o valor LOG_LOCAL0 no campo Facility.

  12. Clique em OK.

Reinicie o servidor de políticas UNIX

  1. Inicie sessão no sistema que aloja o servidor de políticas com a mesma conta de utilizador que instalou originalmente o servidor de políticas.
  2. Abra a consola de gestão.
  3. Clique no separador Estado e, de seguida, clique nos botões Parar.
  4. Aguarde até que todos os serviços sejam interrompidos.
  5. No mesmo separador Estado, clique nos botões Iniciar.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
Ação event1.idm.read_only_udm.network.http.method Se o campo Action não estiver vazio, é mapeado para event1.idm.read_only_udm.network.http.method. Se o valor for Visit, é substituído por GET
AgentName event1.idm.read_only_udm.target.hostname Mapeado diretamente a partir do campo AgentName.
ClientIp event1.idm.read_only_udm.principal.ip Extraído do campo ClientIp através de um padrão grok para extrair o endereço IP.
DomainName event1.idm.read_only_udm.target.administrative_domain Mapeado diretamente a partir do campo DomainName.
Evento event1.idm.read_only_udm.metadata.product_event_type Mapeado diretamente a partir do campo Event.
Recurso event1.idm.read_only_udm.target.url Mapeado diretamente a partir do campo Resource.
SessionId event1.idm.read_only_udm.network.session_id Mapeado diretamente a partir do campo SessionId.
Hora event1.idm.read_only_udm.metadata.event_timestamp Analisado a partir do campo Time através de filtros de data para extrair a data/hora.
Nome de utilizador event1.idm.read_only_udm.target.user.userid A lógica processa diferentes formatos do campo UserName e extrai o ID do utilizador.
Nome de utilizador event1.idm.read_only_udm.target.user.email_addresses A lógica processa diferentes formatos do campo UserName e extrai o endereço de email do utilizador.
Nome de utilizador event1.idm.read_only_udm.target.user.group_identifiers A lógica processa diferentes formatos do campo UserName e extrai os identificadores de grupos.
event1.idm.read_only_udm.extensions.auth.type Definido como SSO no código do analisador.
event1.idm.read_only_udm.intermediary.hostname Mapeado a partir de logstash.process.host.
event1.idm.read_only_udm.metadata.description Definido para o valor do campo message em condições específicas relacionadas com os campos Event e AgentName.
event1.idm.read_only_udm.metadata.event_type Determinado com base no valor do campo Event. Valores possíveis: USER_LOGIN, USER_LOGOUT, USER_UNCATEGORIZED, GENERIC_EVENT
event1.idm.read_only_udm.metadata.log_type Definido como CA_SSO_WEB no código do analisador.
event1.idm.read_only_udm.metadata.product_name Definido como Web Access Management no código do analisador.
event1.idm.read_only_udm.metadata.vendor_name Definido como Siteminder no código do analisador.
event1.idm.read_only_udm.observer.hostname Definido para o valor de logstash.collect.host.
event1.idm.read_only_udm.security_result.action Determinado com base no valor do campo Event. Valores possíveis: ALLOW, BLOCK

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.