Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux VMware Workspace ONE UEM

Compatible avec :

Google SecOps SIEM

Ce parseur extrait les journaux de VMware Workspace ONE UEM (anciennement VMware AirWatch) aux formats Syslog, CEF ou paire clé-valeur. Il normalise les champs tels que les noms d'utilisateur, les codes temporels et les détails des événements, en les mappant à l'UDM. L'analyseur gère différents types d'événements Workspace ONE UEM, en remplissant les champs "principal", "cible" et d'autres champs UDM en fonction de données et d'une logique d'événement spécifiques pour différents formats de journaux.

Avant de commencer

Assurez-vous de disposer d'une instance Google Security Operations.
Assurez-vous de disposer d'un accès privilégié à la console VMware Workspace ONE.
Assurez-vous de disposer d'un hôte Windows ou Linux avec systemd.
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent BindPlane

Pour installer sous Windows, exécutez le script suivant :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Pour installer sous Linux, exécutez le script suivant :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Vous trouverez d'autres options d'installation dans ce guide d'installation.

Configurer l'agent Bindplane pour ingérer les journaux Syslog et les envoyer à Google SecOps

Accédez à la machine sur laquelle Bindplane est installé.

Modifiez le fichier config.yaml comme suit :

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Redémarrez l'agent Bindplane pour appliquer les modifications à l'aide de la commande suivante : sudo systemctl bindplane restart

Configurer syslog dans VMware Workspace ONE UEM

Connectez-vous à la console Workspace ONE UEM :
Accédez à Paramètres > Système > Paramètres avancés > Syslog.
Cochez l'option Activer Syslog.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Adresse IP/Nom d'hôte : saisissez l'adresse de votre agent Bindplane.
- Port : saisissez le port désigné (par défaut : 514).
- Protocole : sélectionnez UDP ou TCP en fonction de la configuration de votre agent Bindplane.
- Sélectionner les types de journaux : sélectionnez les journaux que vous souhaitez envoyer à Google SecOps (journaux de gestion des appareils, journaux d'activité de la console, journaux de conformité, journaux d'événements).
- Définissez le niveau de journalisation (par exemple, Info, Avertissement ou Erreur).
Cliquez sur Enregistrer pour appliquer les paramètres.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`AdminAccount`	`principal.user.userid`	Le `AdminAccount` du journal brut est mappé au champ `principal.user.userid`.
`Application`	`target.application`	Le champ `Application` du journal brut est mappé sur le champ `target.application`.
`ApplicationUUID`	`additional.fields`	Le champ `ApplicationUUID` du journal brut est ajouté en tant que paire clé/valeur au tableau `additional.fields` dans l'UDM. La clé est "ApplicationUUID".
`BytesReceived`	`network.received_bytes`	Le champ `BytesReceived` du journal brut est mappé sur le champ `network.received_bytes`.
`Device`	`target.hostname`	Le champ `Device` du journal brut est mappé sur le champ `target.hostname`.
`FriendlyName`	`target.hostname`	Le champ `FriendlyName` du journal brut est mappé au champ `target.hostname` lorsque `Device` n'est pas disponible.
`GroupManagementData`	`security_result.description`	Le champ `GroupManagementData` du journal brut est mappé sur le champ `security_result.description`.
`Hmac`	`additional.fields`	Le champ `Hmac` du journal brut est ajouté en tant que paire clé/valeur au tableau `additional.fields` dans l'UDM. La clé est "Hmac".
`LoginSessionID`	`network.session_id`	Le champ `LoginSessionID` du journal brut est mappé sur le champ `network.session_id`.
`LogDescription`	`metadata.description`	Le champ `LogDescription` du journal brut est mappé sur le champ `metadata.description`.
`MessageText`	`metadata.description`	Le champ `MessageText` du journal brut est mappé sur le champ `metadata.description`.
`OriginatingOrganizationGroup`	`principal.user.group_identifiers`	Le champ `OriginatingOrganizationGroup` du journal brut est mappé sur le champ `principal.user.group_identifiers`.
`OwnershipType`	`additional.fields`	Le champ `OwnershipType` du journal brut est ajouté en tant que paire clé/valeur au tableau `additional.fields` dans l'UDM. La clé est "OwnershipType".
`Profile`	`target.resource.name`	Le champ `Profile` du journal brut est mappé au champ `target.resource.name` lorsque `ProfileName` n'est pas disponible.
`ProfileName`	`target.resource.name`	Le champ `ProfileName` du journal brut est mappé sur le champ `target.resource.name`.
`Request Url`	`target.url`	Le champ `Request Url` du journal brut est mappé sur le champ `target.url`.
`SmartGroupName`	`target.group.group_display_name`	Le champ `SmartGroupName` du journal brut est mappé sur le champ `target.group.group_display_name`.
`Tags`	`additional.fields`	Le champ `Tags` du journal brut est ajouté en tant que paire clé/valeur au tableau `additional.fields` dans l'UDM. La clé est "Tags".
`User`	`target.user.userid`	Le champ `User` du journal brut est mappé sur le champ `target.user.userid`. Le `Event Category` du journal brut est ajouté en tant que paire clé-valeur au tableau `additional.fields` de l'UDM. La clé est "Catégorie d'événement". Le `Event Module` du journal brut est ajouté en tant que paire clé-valeur au tableau `additional.fields` de l'UDM. La clé est "Event Module". Le `Event Source` du journal brut est ajouté en tant que paire clé-valeur au tableau `additional.fields` de l'UDM. La clé est "Source de l'événement". Défini sur "SSO" par l'analyseur pour des événements spécifiques. Dérivé du code temporel du journal brut. L'analyseur extrait la date et l'heure du journal brut et les convertit en code temporel UDM. Déterminé par l'analyseur en fonction de `event_name` et d'autres champs. Consultez le code du parseur pour connaître la logique de mappage. Définie sur "AIRWATCH" par l'analyseur. Le `event_name` du journal brut est mappé au champ `metadata.product_event_type`. Le parseur définit la valeur sur "AirWatch". Le parseur définit la valeur sur "VMWare". Le `domain` du journal brut est mappé au champ `principal.administrative_domain`. `hostname` est extrait du champ `device_name` dans le journal brut ou mappé à partir des champs `Device` ou `FriendlyName`. Le `sys_ip` du journal brut est mappé au champ `principal.ip`. Extraites du journal brut pour certains types d'événements. Extraites du journal brut pour certains types d'événements. Le `user_name` du journal brut est mappé au champ `principal.user.userid`. Extraites du journal brut pour certains types d'événements. Défini par l'analyseur pour des événements spécifiques. Défini par l'analyseur pour des événements spécifiques. Le `event_category` du journal brut est mappé au champ `security_result.category_details`. Extraites du journal brut pour certains types d'événements. Extraites du journal brut pour certains types d'événements. Le `domain` du journal brut est mappé au champ `target.administrative_domain`. Construit en combinant `DeviceSerialNumber` et `DeviceUdid` du journal brut pour l'événement "DeleteDeviceRequested". Extraites du journal brut pour certains types d'événements. Extraites du journal brut pour certains types d'événements. Les `sys_ip` ou d'autres adresses IP du journal brut sont mappés au champ `target.ip`. Extraites du journal brut pour certains types d'événements. Extraites du journal brut pour certains types d'événements. Défini par l'analyseur pour des événements spécifiques. Extraites du journal brut pour certains types d'événements. Extraites du journal brut pour certains types d'événements. Extraites du journal brut pour certains types d'événements.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.