Raccogliere i log di RSA Authentication Manager

Supportato in:

Questo documento descrive come raccogliere i log di RSA Authentication Manager utilizzando un forwarder Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione RSA_AUTH_MANAGER.

Configura RSA Authentication Manager

  1. Accedi alla console RSA Authentication Manager Security utilizzando le credenziali di amministratore.
  2. Nel menu Configurazione, fai clic su Impostazioni di sistema.
  3. Nella finestra Impostazioni di sistema, seleziona Registrazione nella sezione Impostazioni di base.
  4. Nella sezione Seleziona istanza, seleziona il tipo di istanza Principale configurato nel tuo ambiente, quindi fai clic su Avanti per continuare.
  5. Nella sezione Configura impostazioni, configura i log per le seguenti sezioni visualizzate:
    • Livelli di log
    • Destinazione dei dati di log
    • Mascheramento dei dati di log
  6. Nella sezione Livelli di log, configura i seguenti log:
    • Imposta Trace log su Fatal.
    • Imposta Log di controllo amministrativo su Riuscito.
    • Imposta Log di controllo runtime su Riuscito.
    • Imposta Log di sistema su Avviso.
  7. Nella sezione Destinazione dei dati di log, per i seguenti dati del livello di log, seleziona Salva nel database interno e in syslog remoto per il seguente nome host o indirizzo IP, quindi inserisci l'indirizzo IP di Google Security Operations:

    • Dati dei log di controllo amministrativo
    • Dati del log di controllo di runtime
    • Dati dei log di sistema

    I messaggi Syslog vengono trasmessi tramite un numero di porta più alto per UDP.

  8. Nella sezione Mascheramento dei dati di log, nel campo Maschera numero di serie token: numero di cifre del numero di serie token da visualizzare, inserisci il valore massimo, pari al numero di cifre che compaiono nei token disponibili, ad esempio 12.

    Per ulteriori informazioni, consulta Mascheramento dei dati di log.

  9. Fai clic su Salva.

Configura l'inoltro e syslog di Google Security Operations per importare i log di RSA Authentication Manager

  1. Seleziona Impostazioni SIEM > Forwarder.
  2. Fai clic su Aggiungi nuovo inoltro.
  3. Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
  4. Fai clic su Invia e poi su Conferma. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
  5. Nel campo Nome del raccoglitore, digita un nome univoco per il raccoglitore.
  6. Seleziona RSA come Tipo di log.
  7. Seleziona Syslog come Tipo di raccoglitore.
  8. Configura i seguenti parametri di input obbligatori:
    • Protocollo: specifica il protocollo di connessione che il raccoglitore utilizzerà per ascoltare i dati syslog.
    • Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui si trova il raccoglitore e in cui ascolta i dati syslog.
    • Porta: specifica la porta di destinazione in cui risiede il raccoglitore e rimane in ascolto dei dati syslog.
  9. Fai clic su Invia.

Per saperne di più sui forwarder di Google Security Operations, consulta la documentazione sui forwarder di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di forwarder, consulta Configurazione del forwarder per tipo. Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser estrae i campi dai log CSV di RSA Authentication Manager, gestendo le variazioni nel formato del log. Utilizza grok per analizzare inizialmente le righe di log, quindi sfrutta il filtro CSV per estrarre i singoli campi, mappandoli a nomi standardizzati come username, clientip e operation_status per la compatibilità con UDM.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
clientip principal.asset.ip Il valore di column8 del log grezzo.
clientip principal.ip Il valore di column8 del log grezzo.
column1 metadata.event_timestamp.seconds Analizzato dal campo time (colonna 1) nel log non elaborato, utilizzando i formati "aaaa-MM-gg HH:mm:ss" e "aaaa-MM-gg HH: mm:ss".
column12 security_result.action Mappatura eseguita in base al campo operation_status (colonna 12). I valori "SUCCESS" e "ACCEPT" vengono mappati a ALLOW, "FAIL", "REJECT", "DROP", "DENY", "NOT_ALLOWED" vengono mappati a BLOCK e gli altri valori vengono mappati a UNKNOWN_ACTION.
column18 principal.user.userid Il valore della colonna 18 del log grezzo.
column19 principal.user.first_name Il valore della colonna 19 del log grezzo.
column20 principal.user.last_name Il valore della colonna 20 del log non elaborato.
column25 principal.hostname Il valore della colonna 25 del log grezzo.
column26 principal.asset.hostname Il valore della colonna 26 del log non elaborato.
column27 metadata.product_name Il valore della colonna 27 del log non elaborato.
column3 target.administrative_domain Il valore di column3 dal log non elaborato.
column32 principal.user.group_identifiers Il valore di column32 dal log non elaborato.
column5 security_result.severity Mappatura eseguita in base al campo severity (colonna 5). I valori "INFO" e "INFORMATIONAL" vengono mappati su INFORMATIONAL, "WARN" e "WARNING" su WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" e "ALERT" su ERROR, "NOTICE", "DEBUG" e "TRACE" su DEBUG, mentre gli altri valori vengono mappati su UNKNOWN_SEVERITY.
column8 target.asset.ip Il valore di column8 del log grezzo.
column8 target.ip Il valore di column8 del log grezzo.
event_name security_result.rule_name Il valore di column10 dal log non elaborato.
host_name intermediary.hostname Estratto dalla parte <DATA> del log non elaborato utilizzando i pattern grok.
process_data principal.process.command_line Estratto dalla parte <DATA> del log non elaborato utilizzando i pattern grok.
summary security_result.summary Il valore della colonna 13 del log non elaborato.
time_stamp metadata.event_timestamp.seconds Estratto dalla parte <DATA> del log non elaborato utilizzando i pattern grok. Se non viene trovato, il timestamp viene estratto dal campo timestamp nel log non elaborato.

Modifiche

2024-03-13

  • È stato modificato il pattern Grok per analizzare i dati nell'intestazione del log.

2022-08-09

  • Miglioramento: è stata rimossa la condizione di eliminazione, i log sono stati gestiti e analizzati con il pattern GROK appropriato.

2022-06-13

  • Miglioramento: rimossa la condizione di eliminazione per i log con event_name = ACCESS_DIRECTORY.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.