Diese Seite wurde von der Cloud Translation API übersetzt.

VMware Workspace ONE UEM-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Mit diesem Parser werden Logs aus VMware Workspace ONE UEM (früher VMware AirWatch) im Syslog-, CEF- oder Schlüssel/Wert-Paar-Format extrahiert. Sie normalisiert Felder wie Nutzernamen, Zeitstempel und Ereignisdetails und ordnet sie dem UDM zu. Der Parser verarbeitet verschiedene Workspace ONE UEM-Ereignistypen und füllt die Felder „principal“, „target“ und andere UDM-Felder basierend auf bestimmten Ereignisdaten und der Logik für verschiedene Logformate aus.

Hinweise

Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
Sie benötigen privilegierten Zugriff auf die VMware Workspace ONE-Konsole.
Sie benötigen einen Windows- oder Linux-Host mit systemd.
Wenn Sie die Software hinter einem Proxy ausführen, müssen die Firewallports geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Führen Sie für die Windows-Installation das folgende Skript aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Führen Sie für die Linux-Installation das folgende Skript aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Greifen Sie auf den Computer zu, auf dem BindPlane installiert ist.

Bearbeiten Sie die Datei config.yamlso:

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Starten Sie den Bindplane-Agent neu, um die Änderungen zu übernehmen. Verwenden Sie dazu den folgenden Befehl: sudo systemctl bindplane restart

Syslog in VMware Workspace ONE UEM konfigurieren

Melden Sie sich in der Workspace ONE UEM Console an:
Gehen Sie zu den Einstellungen > System > Erweitert > Syslog.
Aktivieren Sie die Option Syslog aktivieren.
Geben Sie Werte für die folgenden Eingabeparameter an:
- IP-Adresse/Hostname: Geben Sie die Adresse Ihres Bindplane-Agents ein.
- Port: Geben Sie den zugewiesenen Port ein (Standard: 514).
- Protokoll: Wählen Sie je nach Bindplane-Agent-Konfiguration UDP oder TCP aus.
- Logtypen auswählen: Wählen Sie die Logs aus, die Sie an Google SecOps senden möchten: Geräteverwaltungs-Logs, Konsolenaktivitäts-Logs, Compliance-Logs, Ereignis-Logs.
- Legen Sie die Protokollebene fest (z. B. Info, Warnung, Fehler).
Klicken Sie auf Speichern, um die Einstellungen zu übernehmen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`AdminAccount`	`principal.user.userid`	Der `AdminAccount` aus dem Rohlog wird dem Feld `principal.user.userid` zugeordnet.
`Application`	`target.application`	Das Feld `Application` aus dem Rohlog wird dem Feld `target.application` zugeordnet.
`ApplicationUUID`	`additional.fields`	Das Feld `ApplicationUUID` aus dem Rohlog wird als Schlüssel/Wert-Paar dem `additional.fields`-Array im UDM hinzugefügt. Der Schlüssel ist „ApplicationUUID“.
`BytesReceived`	`network.received_bytes`	Das Feld `BytesReceived` aus dem Rohlog wird dem Feld `network.received_bytes` zugeordnet.
`Device`	`target.hostname`	Das Feld `Device` aus dem Rohlog wird dem Feld `target.hostname` zugeordnet.
`FriendlyName`	`target.hostname`	Das Feld „`FriendlyName`“ aus dem Rohlog wird dem Feld „`target.hostname`“ zugeordnet, wenn „`Device`“ nicht verfügbar ist.
`GroupManagementData`	`security_result.description`	Das Feld `GroupManagementData` aus dem Rohlog wird dem Feld `security_result.description` zugeordnet.
`Hmac`	`additional.fields`	Das Feld `Hmac` aus dem Rohlog wird als Schlüssel/Wert-Paar dem `additional.fields`-Array im UDM hinzugefügt. Der Schlüssel ist „Hmac“.
`LoginSessionID`	`network.session_id`	Das Feld `LoginSessionID` aus dem Rohlog wird dem Feld `network.session_id` zugeordnet.
`LogDescription`	`metadata.description`	Das Feld `LogDescription` aus dem Rohlog wird dem Feld `metadata.description` zugeordnet.
`MessageText`	`metadata.description`	Das Feld `MessageText` aus dem Rohlog wird dem Feld `metadata.description` zugeordnet.
`OriginatingOrganizationGroup`	`principal.user.group_identifiers`	Das Feld `OriginatingOrganizationGroup` aus dem Rohlog wird dem Feld `principal.user.group_identifiers` zugeordnet.
`OwnershipType`	`additional.fields`	Das Feld `OwnershipType` aus dem Rohlog wird als Schlüssel/Wert-Paar dem `additional.fields`-Array im UDM hinzugefügt. Der Schlüssel ist „OwnershipType“.
`Profile`	`target.resource.name`	Das Feld „`Profile`“ aus dem Rohlog wird dem Feld „`target.resource.name`“ zugeordnet, wenn „`ProfileName`“ nicht verfügbar ist.
`ProfileName`	`target.resource.name`	Das Feld `ProfileName` aus dem Rohlog wird dem Feld `target.resource.name` zugeordnet.
`Request Url`	`target.url`	Das Feld `Request Url` aus dem Rohlog wird dem Feld `target.url` zugeordnet.
`SmartGroupName`	`target.group.group_display_name`	Das Feld `SmartGroupName` aus dem Rohlog wird dem Feld `target.group.group_display_name` zugeordnet.
`Tags`	`additional.fields`	Das Feld `Tags` aus dem Rohlog wird als Schlüssel/Wert-Paar dem `additional.fields`-Array im UDM hinzugefügt. Der Schlüssel ist „Tags“.
`User`	`target.user.userid`	Das Feld `User` aus dem Rohlog wird dem Feld `target.user.userid` zugeordnet. Die `Event Category` aus dem Rohlog wird als Schlüssel/Wert-Paar dem `additional.fields`-Array im UDM hinzugefügt. Der Schlüssel ist „Event Category“ (Ereigniskategorie). Die `Event Module` aus dem Rohlog wird als Schlüssel/Wert-Paar dem `additional.fields`-Array im UDM hinzugefügt. Der Schlüssel ist „Event Module“. Die `Event Source` aus dem Rohlog wird als Schlüssel/Wert-Paar dem `additional.fields`-Array im UDM hinzugefügt. Der Schlüssel ist „Event Source“ (Ereignisquelle). Wird vom Parser für bestimmte Ereignisse auf „SSO“ gesetzt. Abgeleitet vom Zeitstempel des Rohlogs. Der Parser extrahiert Datum und Uhrzeit aus dem Rohlog und wandelt sie in einen UDM-Zeitstempel um. Wird vom Parser basierend auf `event_name` und anderen Feldern bestimmt. Die Zuordnungslogik finden Sie im Parsercode. Wird vom Parser auf „AIRWATCH“ festgelegt. Der `event_name` aus dem Rohlog wird dem Feld `metadata.product_event_type` zugeordnet. Wird vom Parser auf „AirWatch“ festgelegt. Wird vom Parser auf „VMWare“ gesetzt. Der `domain` aus dem Rohlog wird dem Feld `principal.administrative_domain` zugeordnet. Der `hostname` wird aus dem Feld `device_name` im Rohlog extrahiert oder den Feldern `Device` oder `FriendlyName` zugeordnet. Der `sys_ip` aus dem Rohlog wird dem Feld `principal.ip` zugeordnet. Wird für bestimmte Ereignistypen aus dem Rohlog extrahiert. Wird für bestimmte Ereignistypen aus dem Rohlog extrahiert. Der `user_name` aus dem Rohlog wird dem Feld `principal.user.userid` zugeordnet. Wird für bestimmte Ereignistypen aus dem Rohlog extrahiert. Wird vom Parser für bestimmte Ereignisse festgelegt. Wird vom Parser für bestimmte Ereignisse festgelegt. Der `event_category` aus dem Rohlog wird dem Feld `security_result.category_details` zugeordnet. Wird für bestimmte Ereignistypen aus dem Rohlog extrahiert. Wird für bestimmte Ereignistypen aus dem Rohlog extrahiert. Der `domain` aus dem Rohlog wird dem Feld `target.administrative_domain` zugeordnet. Wird durch Kombinieren von `DeviceSerialNumber` und `DeviceUdid` aus dem Rohprotokoll für das Ereignis „DeleteDeviceRequested“ erstellt. Wird für bestimmte Ereignistypen aus dem Rohlog extrahiert. Wird für bestimmte Ereignistypen aus dem Rohlog extrahiert. Die `sys_ip`- oder andere IP-Adressen aus dem Rohlog werden dem Feld `target.ip` zugeordnet. Wird für bestimmte Ereignistypen aus dem Rohlog extrahiert. Wird für bestimmte Ereignistypen aus dem Rohlog extrahiert. Wird vom Parser für bestimmte Ereignisse festgelegt. Wird für bestimmte Ereignistypen aus dem Rohlog extrahiert. Wird für bestimmte Ereignistypen aus dem Rohlog extrahiert. Wird für bestimmte Ereignistypen aus dem Rohlog extrahiert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten