このページは Cloud Translation API によって翻訳されました。

VMware Horizon ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Omnissa Horizon（以前の VMware Horizon）ログを Google Security Operations に取り込む方法について説明します。パーサーは、まず正規表現（grok パターン）を使用して、未加工の syslog メッセージからフィールドを抽出します。次に、抽出されたフィールドを Chronicle UDM スキーマの対応するフィールドにマッピングし、分析用にデータを正規化して構造化します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認する
Omnissa Horizon 8 への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'VMWARE_HORIZON'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Omnissa Horizon（旧 VMware Horizon）の Syslog を構成する

Onmissa Horizon ウェブ UI にログインします。
[Settings] > [Event Configuration] に移動します。
[Syslog サーバーに送信] セクションで、[追加] をクリックします。
Bindplane エージェントの IP アドレスとポート番号を入力します（Bindplane プロトコルが UDP として構成されていることを確認してください）。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`ActionId`	metadata.product_log_id	未加工ログの「ActionId」の値は、「metadata.product_log_id」にマッピングされます。
`admin_domain`	principal.administrative_domain	未加工ログの「admin_domain」の値は、「principal.administrative_domain」にマッピングされます。
`BrokerName`	principal.hostname	未加工ログの「BrokerName」の値は、「principal.hostname」にマッピングされます。
`BrokerSessionId`	network.session_id	未加工ログの「BrokerSessionId」の値は「network.session_id」にマッピングされます。
`ClientIpAddress`	principal.ip	未加工ログの「ClientIpAddress」の値は「principal.ip」にマッピングされます。
`CurrentSessionLength`	network.session_duration.seconds	未加工ログの「CurrentSessionLength」の値は整数に変換され、「network.session_duration.seconds」にマッピングされます。
`description`	metadata.description	未加工ログの「description」の値は、「metadata.description」にマッピングされます。
`DesktopDisplayName`	principal.hostname	未加工ログの「DesktopDisplayName」の値は「principal.hostname」にマッピングされます。
`EventType`	metadata.product_event_type	未加工ログの「EventType」の値は、「metadata.product_event_type」にマッピングされます。
`ForwardedClientIpAddress`	principal.nat_ip	未加工ログの「ForwardedClientIpAddress」の値は、「principal.nat_ip」にマッピングされます。
`GlobalEntitlementName`	target.user.group_identifiers	未加工ログの「GlobalEntitlementName」の値は、「target.user.group_identifiers」にマッピングされます。
`host`	principal.hostname	未加工ログの「host」の値は「principal.hostname」にマッピングされます。
`MachineDnsName`	principal.url	未加工ログの「MachineDnsName」の値は「principal.url」にマッピングされます。
`MachineName`	intermediary.hostname	未加工ログの「MachineName」の値は、「intermediary.hostname」にマッピングされます。
`Module`	additional.fields	未加工ログの「Module」の値を持つキー「Module」が「additional.fields」配列に追加されます。
`pid`	principal.process.pid	未加工ログの「pid」の値は「principal.process.pid」にマッピングされます。
`PoolId`	additional.fields	未加工ログの「PoolId」の値を持つキー「PoolId」が「additional.fields」配列に追加されます。
`program`	principal.application	未加工ログの「program」の値は「principal.application」にマッピングされます。
`SessionType`	additional.fields	未加工ログの「SessionType」の値を持つキー「SessionType」が「additional.fields」配列に追加されます。
`Severity`	security_result.severity	未加工ログの「Severity」の値は大文字に変換され、汎用の Chronicle の重大度にマッピングされてから、「security_result.severity」にマッピングされます。
`timestamp`	metadata.event_timestamp	未加工ログの「timestamp」の値は Chronicle 形式に変換され、「metadata.event_timestamp」にマッピングされます。
`UserDisplayName`	target.user.user_display_name	未加工ログの「UserDisplayName」の値は、「target.user.user_display_name」にマッピングされます。
`UserName`	target.user.userid	未加工ログの「UserName」の値は、「target.user.userid」にマッピングされます。
`UserSID`	target.user.windows_sid	未加工ログの「UserSID」の値は、「target.user.windows_sid」にマッピングされます。
`ViewApiMethodName`	additional.fields	未加工ログの「ViewApiMethodName」の値を持つキー「ViewApiMethodName」が「additional.fields」配列に追加されます。
`ViewApiServiceName`	additional.fields	未加工ログの「ViewApiServiceName」の値を持つキー「ViewApiServiceName」が「additional.fields」配列に追加されます。
	extensions.auth.type	EventType フィールドが「ADMIN_USERLOGGEDOUT」、「AGENT_CONNECTED」、「AGENT_DISCONNECTED」、「AGENT_ENDED」、「AGENT_PENDING」、「AGENT_PENDING_EXPIRED」、「AGENT_RECONNECTED」、「BROKER_DESKTOP_REQUEST」、「BROKER_LMV_REMOTE_POD_DESKTOP_LAUNCH」、「BROKER_MACHINE_ALLOCATED」、「BROKER_USER_AUTHFAILED_BAD_USER_PASSWORD」、「BROKER_USER_LOCK_SSO」、「BROKER_USERLOGGEDIN」、「BROKER_USERLOGGEDOUT」、「VLSI_USERLOGGEDIN」、「VLSI_INSUFFICIENT_PERMISSION」、「VLSI_USERLOGGEDIN_REST」、「TIMING_PROFILER_TUNNEL_CONNECTION」、「TIMING_PROFILER_GET_LAUNCH_ITEMS」、「TIMING_PROFILER_USER_AUTHENTICATION」のいずれかの場合、値は「SSO」に設定されます。
	metadata.event_type	値は「EventType」フィールドによって決まります。EventType が ADMIN_USERLOGGEDOUT、AGENT_DISCONNECTED、AGENT_ENDED、AGENT_PENDING_EXPIRED、BROKER_USER_LOCK_SSO、BROKER_USERLOGGEDOUT のいずれかの場合、metadata.event_type は USER_LOGOUT になります。「EventType」が「AGENT_CONNECTED」、「AGENT_PENDING」、「AGENT_RECONNECTED」、「BROKER_USERLOGGEDIN」、「VLSI_USERLOGGEDIN」、「VLSI_INSUFFICIENT_PERMISSION」、「VLSI_USERLOGGEDIN_REST」のいずれかの場合、「metadata.event_type」は「USER_LOGIN」です。EventType が「TIMING_PROFILER_GET_LAUNCH_ITEMS」の場合、metadata.event_type は「STATUS_UNCATEGORIZED」です。「EventType」が「AGENT_SHUTDOWN」の場合、「metadata.event_type」は「STATUS_SHUTDOWN」です。「EventType」が「AGENT_STARTUP」または「BROKER_LMV_REMOTE_POD_DESKTOP_LAUNCH」のいずれかの場合、「metadata.event_type」は「STATUS_STARTUP」です。それ以外の場合、「metadata.event_type」は「GENERIC_EVENT」です。
	metadata.log_type	値は「VMWARE_HORIZON」に設定されます。
	metadata.product_name	値は「HORIZON」に設定されます。
	metadata.vendor_name	値は「VMWARE」に設定されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。