Recopila registros de RSA Authentication Manager

Compatible con:

En este documento, se describe cómo puedes recopilar registros de RSA Authentication Manager con un agente de reenvío de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia RSA_AUTH_MANAGER.

Configura RSA Authentication Manager

  1. Accede a la consola de RSA Authentication Manager Security con credenciales de administrador.
  2. En el menú Configuración, haz clic en Configuración del sistema.
  3. En la ventana Configuración del sistema, en la sección Configuración básica, selecciona Logging.
  4. En la sección Seleccionar instancia, selecciona el tipo de instancia Principal configurado en tu entorno y, luego, haz clic en Siguiente para continuar.
  5. En la sección Configurar parámetros, configura los registros de las siguientes secciones que se muestran:
    • Niveles de registro
    • Destino de los datos de registros
    • Enmascaramiento de datos de registros
  6. En la sección Niveles de registro, configura los siguientes registros:
    • Establece Registro de seguimiento en Fatal.
    • Establece Registro de auditoría administrativa en Éxito.
    • Establece Registro de auditoría del entorno de ejecución en Éxito.
    • Establece Registro del sistema en Advertencia.

  7. En la sección Destino de los datos de registro, para los siguientes datos de nivel de registro, selecciona Guardar en la base de datos interna y en syslog remoto para el siguiente nombre de host o dirección IP y, luego, ingresa la dirección IP de Google Security Operations:

    • Datos del registro de auditoría administrativa
    • Datos del registro de auditoría del entorno de ejecución
    • Datos de registros del sistema

    Los mensajes de Syslog se transmiten a través de un número de puerto más alto para UDP.

  8. En la sección Log data masking, en el campo Mask token serial number: number of digits of the token serial number to display, ingresa el valor máximo, que es igual a la cantidad de dígitos que aparecen en los tokens disponibles, como 12.

    Para obtener más información, consulta Enmascaramiento de datos de registro.

  9. Haz clic en Guardar.

Configura el reenvío y el syslog de Google Security Operations para transferir los registros de RSA Authentication Manager

  1. Selecciona SIEM Settings > Forwarders.
  2. Haz clic en Agregar un nuevo reenvío.
  3. En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
  4. Haz clic en Enviar y, luego, en Confirmar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
  5. En el campo Nombre del recopilador, escribe un nombre único para el recopilador.
  6. Selecciona RSA como el Tipo de registro.
  7. Selecciona Syslog como el Tipo de recopilador.
  8. Configura los siguientes parámetros de entrada obligatorios:
    • Protocolo: Especifica el protocolo de conexión que usará el recopilador para escuchar los datos de syslog.
    • Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
    • Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  9. Haz clic en Enviar.

Para obtener más información sobre los retransmisores de Google Security Operations, consulta la documentación de los retransmisores de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de reenvío, consulta Configuración del reenvío por tipo. Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador extrae campos de los registros CSV de RSA Authentication Manager y controla las variaciones en el formato de registro. Utiliza grok para analizar inicialmente las líneas de registro y, luego, aprovecha el filtrado de CSV para extraer campos individuales y asignarlos a nombres estandarizados, como username, clientip y operation_status, para la compatibilidad con UDM.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
clientip principal.asset.ip Es el valor de la columna8 del registro sin procesar.
clientip principal.ip Es el valor de la columna8 del registro sin procesar.
column1 metadata.event_timestamp.seconds Se analizó a partir del campo time (columna 1) en el registro sin procesar, con los formatos "aaaa-MM-dd HH:mm:ss" y "aaaa-MM-dd HH: mm:ss".
column12 security_result.action Se asigna según el campo operation_status (columna 12). Los valores "SUCCESS" y "ACCEPT" se asignan a ALLOW, "FAIL", "REJECT", "DROP", "DENY" y "NOT_ALLOWED" se asignan a BLOCK, y otros valores se asignan a UNKNOWN_ACTION.
column18 principal.user.userid Es el valor de la columna18 del registro sin procesar.
column19 principal.user.first_name Es el valor de la columna19 del registro sin procesar.
column20 principal.user.last_name Es el valor de la columna 20 del registro sin procesar.
column25 principal.hostname Es el valor de la columna 25 del registro sin procesar.
column26 principal.asset.hostname Es el valor de la columna 26 del registro sin procesar.
column27 metadata.product_name Es el valor de la columna 27 del registro sin procesar.
column3 target.administrative_domain Es el valor de la columna 3 del registro sin procesar.
column32 principal.user.group_identifiers Es el valor de la columna32 del registro sin procesar.
column5 security_result.severity Se asigna según el campo severity (columna5). Los valores "INFO" y "INFORMATIONAL" se asignan a INFORMATIONAL, los valores "WARN" y "WARNING" se asignan a WARNING, los valores "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" y "ALERT" se asignan a ERROR, los valores "NOTICE", "DEBUG" y "TRACE" se asignan a DEBUG, y otros valores se asignan a UNKNOWN_SEVERITY.
column8 target.asset.ip Es el valor de la columna8 del registro sin procesar.
column8 target.ip Es el valor de la columna8 del registro sin procesar.
event_name security_result.rule_name Es el valor de la columna10 del registro sin procesar.
host_name intermediary.hostname Se extrae de la parte <DATA> del registro sin procesar con patrones de Grok.
process_data principal.process.command_line Se extrae de la parte <DATA> del registro sin procesar con patrones de Grok.
summary security_result.summary Es el valor de la columna 13 del registro sin procesar.
time_stamp metadata.event_timestamp.seconds Se extrae de la parte <DATA> del registro sin procesar con patrones de Grok. Si no se encuentra, la marca de tiempo se extrae del campo timestamp en el registro sin procesar.

Cambios

2024-03-13

  • Se modificó el patrón de Grok para analizar los datos del encabezado del registro.

2022-08-09

  • Mejora: Se quitó la condición de descarte, se controlaron y analizaron los registros con el patrón GROK adecuado.

2022-06-13

  • Mejora: Se quitó la condición de descarte para los registros con event_name = ACCESS_DIRECTORY.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.