Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de la UEM de VMware Workspace ONE

Compatible con:

Google SecOps SIEM

Este analizador extrae registros de VMware Workspace ONE UEM (anteriormente conocido como VMware AirWatch) en formatos Syslog, CEF o de pares clave-valor. Normaliza campos como nombres de usuario, marcas de tiempo y detalles del evento, y los asigna al UDM. El analizador controla varios tipos de eventos de Workspace ONE UEM y completa los campos principal, objetivo y otros campos del UDM según los datos y la lógica de eventos específicos para diferentes formatos de registro.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de tener acceso con privilegios a la consola de VMware Workspace ONE.
Asegúrate de tener un host de Windows o Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración del SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Para la instalación en Windows, ejecuta la siguiente secuencia de comandos:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para la instalación en Linux, ejecuta la siguiente secuencia de comandos:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de Bindplane para que ingiera Syslog y lo envíe a Google SecOps

Accede a la máquina en la que está instalado Bindplane.

Edita el archivo config.yaml de la siguiente manera:

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios con el siguiente comando: sudo systemctl bindplane restart

Cómo configurar Syslog en VMware Workspace ONE UEM

Accede a la consola de Workspace ONE UEM:
Ve a Configuración > Sistema > Avanzada > Syslog.
Marca la opción para habilitar Syslog.
Especifica valores para los siguientes parámetros de entrada:
- Dirección IP o nombre de host: Ingresa la dirección de tu agente de BindPlane.
- Puerto: Ingresa el puerto designado (predeterminado: 514).
- Protocolo: Selecciona UDP o TCP según la configuración de tu agente de Bindplane.
- Select Log Types: Selecciona los registros que deseas enviar a Google SecOps: Registros de administración de dispositivos, Registros de actividad de la consola, Registros de cumplimiento, Registros de eventos
- Establece el nivel de registro (por ejemplo, Info, Warning o Error).
Haz clic en Guardar para aplicar la configuración.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`AdminAccount`	`principal.user.userid`	El `AdminAccount` del registro sin procesar se asigna al campo `principal.user.userid`.
`Application`	`target.application`	El campo `Application` del registro sin procesar se asigna al campo `target.application`.
`ApplicationUUID`	`additional.fields`	El campo `ApplicationUUID` del registro sin procesar se agrega como un par clave-valor al array `additional.fields` en el UDM. La clave es "ApplicationUUID".
`BytesReceived`	`network.received_bytes`	El campo `BytesReceived` del registro sin procesar se asigna al campo `network.received_bytes`.
`Device`	`target.hostname`	El campo `Device` del registro sin procesar se asigna al campo `target.hostname`.
`FriendlyName`	`target.hostname`	El campo `FriendlyName` del registro sin procesar se asigna al campo `target.hostname` cuando `Device` no está disponible.
`GroupManagementData`	`security_result.description`	El campo `GroupManagementData` del registro sin procesar se asigna al campo `security_result.description`.
`Hmac`	`additional.fields`	El campo `Hmac` del registro sin procesar se agrega como un par clave-valor al array `additional.fields` en el UDM. La clave es "Hmac".
`LoginSessionID`	`network.session_id`	El campo `LoginSessionID` del registro sin procesar se asigna al campo `network.session_id`.
`LogDescription`	`metadata.description`	El campo `LogDescription` del registro sin procesar se asigna al campo `metadata.description`.
`MessageText`	`metadata.description`	El campo `MessageText` del registro sin procesar se asigna al campo `metadata.description`.
`OriginatingOrganizationGroup`	`principal.user.group_identifiers`	El campo `OriginatingOrganizationGroup` del registro sin procesar se asigna al campo `principal.user.group_identifiers`.
`OwnershipType`	`additional.fields`	El campo `OwnershipType` del registro sin procesar se agrega como un par clave-valor al array `additional.fields` en el UDM. La clave es "OwnershipType".
`Profile`	`target.resource.name`	El campo `Profile` del registro sin procesar se asigna al campo `target.resource.name` cuando `ProfileName` no está disponible.
`ProfileName`	`target.resource.name`	El campo `ProfileName` del registro sin procesar se asigna al campo `target.resource.name`.
`Request Url`	`target.url`	El campo `Request Url` del registro sin procesar se asigna al campo `target.url`.
`SmartGroupName`	`target.group.group_display_name`	El campo `SmartGroupName` del registro sin procesar se asigna al campo `target.group.group_display_name`.
`Tags`	`additional.fields`	El campo `Tags` del registro sin procesar se agrega como un par clave-valor al array `additional.fields` en el UDM. La clave es "Tags".
`User`	`target.user.userid`	El campo `User` del registro sin procesar se asigna al campo `target.user.userid`. El `Event Category` del registro sin procesar se agrega como un par clave-valor al array `additional.fields` en el UDM. La clave es "Categoría del evento". El `Event Module` del registro sin procesar se agrega como un par clave-valor al array `additional.fields` en el UDM. La clave es "Event Module". El `Event Source` del registro sin procesar se agrega como un par clave-valor al array `additional.fields` en el UDM. La clave es "Event Source". El analizador lo establece como "SSO" para eventos específicos. Se deriva de la marca de tiempo del registro sin procesar. El analizador extrae la fecha y la hora del registro sin procesar y las convierte en una marca de tiempo del UDM. El analizador lo determina en función de `event_name` y otros campos. Consulta el código del analizador para ver la lógica de asignación. El analizador lo establece en "AIRWATCH". El `event_name` del registro sin procesar se asigna al campo `metadata.product_event_type`. El analizador lo establece en "AirWatch". El analizador lo establece en "VMWare". El `domain` del registro sin procesar se asigna al campo `principal.administrative_domain`. El `hostname` se extrae del campo `device_name` en el registro sin procesar o se asigna desde los campos `Device` o `FriendlyName`. El `sys_ip` del registro sin procesar se asigna al campo `principal.ip`. Se extrae del registro sin procesar para ciertos tipos de eventos. Se extrae del registro sin procesar para ciertos tipos de eventos. El `user_name` del registro sin procesar se asigna al campo `principal.user.userid`. Se extrae del registro sin procesar para ciertos tipos de eventos. El analizador lo establece para eventos específicos. El analizador lo establece para eventos específicos. El `event_category` del registro sin procesar se asigna al campo `security_result.category_details`. Se extrae del registro sin procesar para ciertos tipos de eventos. Se extrae del registro sin procesar para ciertos tipos de eventos. El `domain` del registro sin procesar se asigna al campo `target.administrative_domain`. Se construye combinando `DeviceSerialNumber` y `DeviceUdid` del registro sin procesar para el evento "DeleteDeviceRequested". Se extrae del registro sin procesar para ciertos tipos de eventos. Se extrae del registro sin procesar para ciertos tipos de eventos. La dirección `sys_ip` o cualquier otra dirección IP del registro sin procesar se asigna al campo `target.ip`. Se extrae del registro sin procesar para ciertos tipos de eventos. Se extrae del registro sin procesar para ciertos tipos de eventos. El analizador lo establece para eventos específicos. Se extrae del registro sin procesar para ciertos tipos de eventos. Se extrae del registro sin procesar para ciertos tipos de eventos. Se extrae del registro sin procesar para ciertos tipos de eventos.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.