Recoger registros de VMware Workspace ONE UEM

Este analizador extrae registros de VMware Workspace ONE UEM (antes conocido como VMware AirWatch) en formatos Syslog, CEF o de pares clave-valor. Normaliza campos como nombres de usuario, marcas de tiempo y detalles de eventos, y los asigna al UDM. El analizador gestiona varios tipos de eventos de Workspace ONE UEM y rellena los campos principal, target y otros campos de UDM en función de datos de eventos y lógica específicos para diferentes formatos de registro.

Antes de empezar

• Asegúrate de que tienes una instancia de Google Security Operations.
• Asegúrate de que tienes acceso con privilegios a la consola de VMware Workspace ONE.
• Asegúrate de que tienes un host Windows o Linux con systemd.
• Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.

Obtener el archivo de autenticación de ingestión de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recogida.
3. Descarga el archivo de autenticación de ingestión.

Obtener el ID de cliente de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

1. Para instalar en Windows, ejecuta la siguiente secuencia de comandos:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Para instalar Linux, ejecuta la siguiente secuencia de comandos:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Puedes consultar otras opciones de instalación en esta guía de instalación.

Configurar el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps

1. Accede al equipo en el que está instalado Bindplane.

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
     tcplog:
       # Replace the below port <54525> and IP (0.0.0.0) with your specific values
       listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: 
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reinicia el agente de Bindplane para aplicar los cambios con el siguiente comando: sudo systemctl bindplane restart

Configurar syslog en VMware Workspace ONE UEM

1. Inicia sesión en la consola de Workspace ONE UEM:
2. Ve a Ajustes > Sistema > Avanzado > Syslog.
3. Marca la opción Habilitar Syslog.
4. Especifique valores para los siguientes parámetros de entrada:
   • Dirección IP o nombre de host: introduce la dirección de tu agente de Bindplane.
   • Puerto: introduce el puerto designado (predeterminado: 514).
   • Protocolo: selecciona UDP o TCP en función de la configuración de tu agente de Bindplane.
   • Seleccionar tipos de registro: selecciona los registros que quieras enviar a Google SecOps (registros de gestión de dispositivos, registros de actividad de la consola, registros de cumplimiento y registros de eventos).
   • Define el nivel de registro (por ejemplo, Info, Warning o Error).
5. Haga clic en Guardar para aplicar la configuración.

Tabla de asignación de UDM

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.