收集 Broadcom Symantec SiteMinder Web Access 日志

支持的语言:

本文档介绍了如何使用 Bindplane 代理将 Broadcom Symantec SiteMinder Web Access 日志收集到 Google Security Operations。解析器会将原始 JSON 格式的日志转换为结构化的统一数据模型 (UDM)。它使用 Grok 模式从原始日志消息中提取字段,重命名这些字段并将其映射到 UDM 架构,处理不同的事件类型和用户格式,最终丰富数据以供安全分析。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机。
  • 如果通过代理运行,请确保防火墙端口处于开放状态。
  • 确保您拥有对 Symantec SiteMinder 的特权访问权限。

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    1. 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    2. 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: CA_SSO_WEB
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Symantec SiteMinder - 12.8 上配置 Syslog

  1. 验证 X-windows 服务器是否正在您的系统上运行。
  2. 打开一个终端窗口。

  3. 使用以下命令设置 DISPLAY 变量:

    export DISPLAY=<IP_ADDRESS>:0.0
    • <IP_ADDRESS> 替换为要连接到控制台的系统的 IP 地址。(例如,192.168.1.100)。

  4. 登录托管控制台的系统。

  5. 转到 <installation_directory>/siteminder/bin 目录。

    • <installation_directory> 替换为文件系统中安装 Policy Server 的位置。(例如,/opt/CA/siteminder)。

  6. 运行以下命令打开控制台:

    ./smconsole

  7. 点击数据标签页。

  8. 点击数据库下拉列表,然后选择审核日志

  9. 点击存储下拉列表,然后选择 Syslog

  10. 优先级字段中,选择值 LOG_INFO

  11. 设备字段中,选择值 LOG_LOCAL0

  12. 点击确定

重新启动 UNIX 政策服务器

  1. 使用最初安装 Policy Server 的同一用户账号登录托管 Policy Server 的系统。
  2. 打开管理控制台。
  3. 点击状态标签页,然后点击停止按钮。
  4. 等待所有服务停止。
  5. 在同一状态标签页中,点击开始按钮。

UDM 映射表

日志字段 UDM 映射 逻辑
操作 event1.idm.read_only_udm.network.http.method 如果 Action 字段不为空,则会映射到 event1.idm.read_only_udm.network.http.method。如果值为 Visit,则替换为 GET
AgentName event1.idm.read_only_udm.target.hostname 直接从 AgentName 字段映射。
ClientIp event1.idm.read_only_udm.principal.ip 使用 Grok 模式从 ClientIp 字段中提取 IP 地址。
DomainName event1.idm.read_only_udm.target.administrative_domain 直接从 DomainName 字段映射。
事件 event1.idm.read_only_udm.metadata.product_event_type 直接从 Event 字段映射。
资源 event1.idm.read_only_udm.target.url 直接从 Resource 字段映射。
SessionId event1.idm.read_only_udm.network.session_id 直接从 SessionId 字段映射。
时间 event1.idm.read_only_udm.metadata.event_timestamp 使用日期过滤条件从 Time 字段解析并提取时间戳。
用户名 event1.idm.read_only_udm.target.user.userid 该逻辑会处理 UserName 字段的不同格式,并提取用户 ID。
用户名 event1.idm.read_only_udm.target.user.email_addresses 该逻辑可处理 UserName 字段的不同格式,并提取用户电子邮件地址。
用户名 event1.idm.read_only_udm.target.user.group_identifiers 该逻辑可处理 UserName 字段的不同格式,并提取群组标识符。
event1.idm.read_only_udm.extensions.auth.type 在解析器代码中设置为 SSO
event1.idm.read_only_udm.intermediary.hostname logstash.process.host 映射。
event1.idm.read_only_udm.metadata.description 在与 EventAgentName 字段相关的特定条件下,设置为 message 字段的值。
event1.idm.read_only_udm.metadata.event_type 根据 Event 字段的值确定。可能的值:USER_LOGIN、USER_LOGOUT、USER_UNCATEGORIZED、GENERIC_EVENT
event1.idm.read_only_udm.metadata.log_type 在解析器代码中设置为 CA_SSO_WEB
event1.idm.read_only_udm.metadata.product_name 在解析器代码中设置为 Web Access Management
event1.idm.read_only_udm.metadata.vendor_name 在解析器代码中设置为 Siteminder
event1.idm.read_only_udm.observer.hostname 设置为 logstash.collect.host 的值。
event1.idm.read_only_udm.security_result.action 根据 Event 字段的值确定。可能的值:ALLOW、BLOCK

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。