Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log VMware Workspace ONE UEM

Didukung di:

Google secops SIEM

Parser ini mengekstrak log dari VMware Workspace ONE UEM (sebelumnya dikenal sebagai VMware AirWatch) dalam format Syslog, CEF, atau pasangan nilai kunci. Hal ini menormalisasi kolom seperti nama pengguna, stempel waktu, dan detail peristiwa, lalu memetakannya ke UDM. Parser menangani berbagai jenis peristiwa Workspace ONE UEM, mengisi kolom principal, target, dan UDM lainnya berdasarkan data dan logika peristiwa tertentu untuk berbagai format log.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda memiliki akses istimewa ke konsol VMware Workspace ONE.
Pastikan Anda memiliki host Windows atau Linux dengan systemd.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka SIEM Settings > Collection Agents.
Download File Autentikasi Penyerapan.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan Simpan ID pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

Untuk penginstalan Windows, jalankan skrip berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Untuk penginstalan Linux, jalankan skrip berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk memproses Syslog dan mengirimkannya ke Google SecOps

Akses komputer tempat BindPlane diinstal.

Edit file config.yaml sebagai berikut:

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Mulai ulang Bindplane Agent untuk menerapkan perubahan menggunakan perintah berikut: sudo systemctl bindplane restart

Mengonfigurasi syslog di VMware Workspace ONE UEM

Login ke Konsol UEM Workspace ONE:
Buka Setelan > Sistem > Lanjutan > Syslog.
Centang opsi Enable Syslog.
Tentukan nilai untuk parameter input berikut:
- Alamat IP/Nama Host: masukkan alamat Bindplane Agent Anda.
- Port: masukkan port yang ditentukan (default: 514).
- Protocol: pilih UDP atau TCP bergantung pada konfigurasi agen Bindplane Anda.
- Pilih Jenis Log: pilih log yang ingin Anda kirim ke Google SecOps - Log Pengelolaan Perangkat, Log Aktivitas Konsol, Log Kepatuhan, Log Peristiwa
- Tetapkan tingkat log (misalnya, Info, Peringatan, Error).
Klik Simpan untuk menerapkan setelan

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`AdminAccount`	`principal.user.userid`	`AdminAccount` dari log mentah dipetakan ke kolom `principal.user.userid`.
`Application`	`target.application`	Kolom `Application` dari log mentah dipetakan ke kolom `target.application`.
`ApplicationUUID`	`additional.fields`	Kolom `ApplicationUUID` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "ApplicationUUID".
`BytesReceived`	`network.received_bytes`	Kolom `BytesReceived` dari log mentah dipetakan ke kolom `network.received_bytes`.
`Device`	`target.hostname`	Kolom `Device` dari log mentah dipetakan ke kolom `target.hostname`.
`FriendlyName`	`target.hostname`	Kolom `FriendlyName` dari log mentah dipetakan ke kolom `target.hostname` jika `Device` tidak tersedia.
`GroupManagementData`	`security_result.description`	Kolom `GroupManagementData` dari log mentah dipetakan ke kolom `security_result.description`.
`Hmac`	`additional.fields`	Kolom `Hmac` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "Hmac".
`LoginSessionID`	`network.session_id`	Kolom `LoginSessionID` dari log mentah dipetakan ke kolom `network.session_id`.
`LogDescription`	`metadata.description`	Kolom `LogDescription` dari log mentah dipetakan ke kolom `metadata.description`.
`MessageText`	`metadata.description`	Kolom `MessageText` dari log mentah dipetakan ke kolom `metadata.description`.
`OriginatingOrganizationGroup`	`principal.user.group_identifiers`	Kolom `OriginatingOrganizationGroup` dari log mentah dipetakan ke kolom `principal.user.group_identifiers`.
`OwnershipType`	`additional.fields`	Kolom `OwnershipType` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "OwnershipType".
`Profile`	`target.resource.name`	Kolom `Profile` dari log mentah dipetakan ke kolom `target.resource.name` jika `ProfileName` tidak tersedia.
`ProfileName`	`target.resource.name`	Kolom `ProfileName` dari log mentah dipetakan ke kolom `target.resource.name`.
`Request Url`	`target.url`	Kolom `Request Url` dari log mentah dipetakan ke kolom `target.url`.
`SmartGroupName`	`target.group.group_display_name`	Kolom `SmartGroupName` dari log mentah dipetakan ke kolom `target.group.group_display_name`.
`Tags`	`additional.fields`	Kolom `Tags` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "Tag".
`User`	`target.user.userid`	Kolom `User` dari log mentah dipetakan ke kolom `target.user.userid`. `Event Category` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "Kategori Peristiwa". `Event Module` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "Event Module". `Event Source` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "Sumber Peristiwa". Disetel ke "SSO" oleh parser untuk acara tertentu. Diperoleh dari stempel waktu log mentah. Parser mengekstrak tanggal dan waktu dari log mentah dan mengonversinya menjadi stempel waktu UDM. Ditentukan oleh parser berdasarkan `event_name` dan kolom lainnya. Lihat kode parser untuk logika pemetaan. Ditetapkan ke "AIRWATCH" oleh parser. `event_name` dari log mentah dipetakan ke kolom `metadata.product_event_type`. Ditetapkan ke "AirWatch" oleh parser. Ditetapkan ke "VMWare" oleh parser. `domain` dari log mentah dipetakan ke kolom `principal.administrative_domain`. `hostname` diekstrak dari kolom `device_name` di log mentah atau dipetakan dari kolom `Device` atau `FriendlyName`. `sys_ip` dari log mentah dipetakan ke kolom `principal.ip`. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu. `user_name` dari log mentah dipetakan ke kolom `principal.user.userid`. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Ditetapkan oleh parser untuk peristiwa tertentu. Ditetapkan oleh parser untuk peristiwa tertentu. `event_category` dari log mentah dipetakan ke kolom `security_result.category_details`. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu. `domain` dari log mentah dipetakan ke kolom `target.administrative_domain`. Dibuat dengan menggabungkan `DeviceSerialNumber` dan `DeviceUdid` dari log mentah untuk peristiwa "DeleteDeviceRequested". Diekstrak dari log mentah untuk jenis peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Alamat IP `sys_ip` atau alamat IP lainnya dari log mentah dipetakan ke kolom `target.ip`. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Ditetapkan oleh parser untuk peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.