收集 Broadcom Symantec SiteMinder Web Access 日志

支持的平台:

本文档介绍了如何使用 Bindplane 代理将 Broadcom Symantec SiteMinder Web Access 日志收集到 Google 安全运营团队。解析器会将原始 JSON 格式的日志转换为结构化的统一数据模型 (UDM)。它使用 Grok 模式从原始日志消息中提取字段,重命名并将其映射到 UDM 架构,处理不同的事件类型和用户格式,最终丰富数据以进行安全分析。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用了带有 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。
  • 确保您拥有对 Symantec SiteMinder 的超级用户访问权限。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次选择 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    1. 找到 config.yaml 文件。通常,在 Linux 上,该目录位于 /etc/bindplane-agent/ 目录中;在 Windows 上,该目录位于安装目录中。
    2. 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: CA_SSO_WEB
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构中的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. 获取 Google SecOps 提取身份验证文件部分中,将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

在 Symantec SiteMinder 12.8 上配置 Syslog

  1. 验证您的系统上是否运行着 X-Windows 服务器
  2. 打开一个终端窗口。

  3. 使用以下命令设置 DISPLAY 变量:

    export DISPLAY=<IP_ADDRESS>:0.0
    • <IP_ADDRESS> 替换为您用于连接到控制台的系统的 IP 地址。(例如 192.168.1.100)。

  4. 登录托管控制台的系统。

  5. 转到 <installation_directory>/siteminder/bin 目录。

    • <installation_directory> 替换为文件系统中安装政策服务器的位置。(例如 /opt/CA/siteminder)。

  6. 运行以下命令打开控制台:

    ./smconsole

  7. 点击数据标签页。

  8. 点击数据库下拉列表,然后选择审核日志

  9. 点击存储空间下拉列表,然后选择 Syslog

  10. Priority(优先级)字段中,选择值 LOG_INFO

  11. 在“Facility”(设施)字段中,选择值 LOG_LOCAL0

  12. 点击确定

重启 UNIX 政策服务器

  1. 使用最初安装 Policy Server 时所用的用户账号登录托管 Policy Server 的系统。
  2. 打开管理控制台。
  3. 点击状态标签页,然后点击停止按钮。
  4. 等待所有服务停止。
  5. 在同一状态标签页中,点击开始按钮。

UDM 映射表

日志字段 UDM 映射 逻辑
操作 event1.idm.read_only_udm.network.http.method 如果 Action 字段不为空,则会映射到 event1.idm.read_only_udm.network.http.method。如果值为 Visit,则会替换为 GET
AgentName event1.idm.read_only_udm.target.hostname 直接从 AgentName 字段映射。
ClientIp event1.idm.read_only_udm.principal.ip 使用 grok 模式从 ClientIp 字段中提取 IP 地址。
DomainName event1.idm.read_only_udm.target.administrative_domain 直接从 DomainName 字段映射。
事件 event1.idm.read_only_udm.metadata.product_event_type 直接从 Event 字段映射。
资源 event1.idm.read_only_udm.target.url 直接从 Resource 字段映射。
SessionId event1.idm.read_only_udm.network.session_id 直接从 SessionId 字段映射。
时间 event1.idm.read_only_udm.metadata.event_timestamp 使用日期过滤条件从 Time 字段解析出来,以提取时间戳。
用户名 event1.idm.read_only_udm.target.user.userid 该逻辑会处理不同格式的 UserName 字段,并提取用户 ID。
用户名 event1.idm.read_only_udm.target.user.email_addresses 该逻辑会处理不同格式的 UserName 字段,并提取用户电子邮件地址。
用户名 event1.idm.read_only_udm.target.user.group_identifiers 该逻辑会处理不同格式的 UserName 字段,并提取群组标识符。
event1.idm.read_only_udm.extensions.auth.type 在解析器代码中设置为 SSO
event1.idm.read_only_udm.intermediary.hostname logstash.process.host 映射而来。
event1.idm.read_only_udm.metadata.description 在与 EventAgentName 字段相关的特定条件下,设置为 message 字段的值。
event1.idm.read_only_udm.metadata.event_type 根据 Event 字段的值确定。可能的值:USER_LOGIN、USER_LOGOUT、USER_UNCATEGORIZED、GENERIC_EVENT
event1.idm.read_only_udm.metadata.log_type 在解析器代码中设置为 CA_SSO_WEB
event1.idm.read_only_udm.metadata.product_name 在解析器代码中设置为 Web Access Management
event1.idm.read_only_udm.metadata.vendor_name 在解析器代码中设置为 Siteminder
event1.idm.read_only_udm.observer.hostname 设置为 logstash.collect.host 的值。
event1.idm.read_only_udm.security_result.action 根据 Event 字段的值确定。可能的值:ALLOW、BLOCK

变化

2024-06-25

增强功能

  • 添加了 Grok 模式,用于解析新提取的 syslog 格式。

2022-08-08

增强功能

  • 添加了标题。
  • 为映射到“principal.ip”的“ClientIp”字段添加了条件检查和 Grok 模式。
  • 为以下字段添加了条件检查:
  • “Action”已映射到“network.http.method”。
  • “AgentName”已映射到“target.hostname”。
  • “sm_user”映射到“target.user.email_addresses”
  • “sm_group”已映射到“target.user.group_identifiers”。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。