Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di VMware Workspace ONE UEM

Supportato in:

Google secops SIEM

Questo parser estrae i log da VMware Workspace ONE UEM (precedentemente noto come VMware AirWatch) nei formati Syslog, CEF o coppia chiave-valore. Normalizza campi come nomi utente, timestamp e dettagli degli eventi, mappandoli all'UDM. Il parser gestisce vari tipi di eventi Workspace ONE UEM, compilando i campi principale, target e altri campi UDM in base a dati ed elementi logici specifici per diversi formati di log.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di disporre dell'accesso con privilegi alla console VMware Workspace ONE.
Assicurati di avere un host Windows o Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Per l'installazione di Windows, esegui il seguente script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Per l'installazione di Linux, esegui il seguente script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi alla macchina in cui è installato Bindplane.

Modifica il file config.yaml come segue:

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Riavvia Bindplane Agent per applicare le modifiche utilizzando il seguente comando: sudo systemctl bindplane restart

Configurazione di syslog in VMware Workspace ONE UEM

Accedi alla console Workspace ONE UEM:
Vai a Impostazioni > Sistema > Avanzate > Syslog.
Seleziona l'opzione per abilitare Syslog.
Specifica i valori per i seguenti parametri di input:
- Indirizzo IP/Nome host: inserisci l'indirizzo dell'agente Bindplane.
- Porta: inserisci la porta designata (impostazione predefinita: 514).
- Protocollo: seleziona UDP o TCP a seconda della configurazione dell'agente Bindplane.
- Seleziona tipi di log: seleziona i log che vuoi inviare a Google SecOps: log di gestione dei dispositivi, log attività console, log di conformità, log eventi
- Imposta il livello di log (ad esempio Info, Avviso, Errore).
Fai clic su Salva per applicare le impostazioni.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`AdminAccount`	`principal.user.userid`	`AdminAccount` del log non elaborato viene mappato al campo `principal.user.userid`.
`Application`	`target.application`	Il campo `Application` del log non elaborato è mappato al campo `target.application`.
`ApplicationUUID`	`additional.fields`	Il campo `ApplicationUUID` del log non elaborato viene aggiunto come coppia chiave-valore all'array `additional.fields` nell'UDM. La chiave è "ApplicationUUID".
`BytesReceived`	`network.received_bytes`	Il campo `BytesReceived` del log non elaborato è mappato al campo `network.received_bytes`.
`Device`	`target.hostname`	Il campo `Device` del log non elaborato è mappato al campo `target.hostname`.
`FriendlyName`	`target.hostname`	Il campo `FriendlyName` del log non elaborato viene mappato al campo `target.hostname` quando `Device` non è disponibile.
`GroupManagementData`	`security_result.description`	Il campo `GroupManagementData` del log non elaborato è mappato al campo `security_result.description`.
`Hmac`	`additional.fields`	Il campo `Hmac` del log non elaborato viene aggiunto come coppia chiave-valore all'array `additional.fields` nell'UDM. La chiave è "Hmac".
`LoginSessionID`	`network.session_id`	Il campo `LoginSessionID` del log non elaborato è mappato al campo `network.session_id`.
`LogDescription`	`metadata.description`	Il campo `LogDescription` del log non elaborato è mappato al campo `metadata.description`.
`MessageText`	`metadata.description`	Il campo `MessageText` del log non elaborato è mappato al campo `metadata.description`.
`OriginatingOrganizationGroup`	`principal.user.group_identifiers`	Il campo `OriginatingOrganizationGroup` del log non elaborato è mappato al campo `principal.user.group_identifiers`.
`OwnershipType`	`additional.fields`	Il campo `OwnershipType` del log non elaborato viene aggiunto come coppia chiave-valore all'array `additional.fields` nell'UDM. La chiave è "OwnershipType".
`Profile`	`target.resource.name`	Il campo `Profile` del log non elaborato viene mappato al campo `target.resource.name` quando `ProfileName` non è disponibile.
`ProfileName`	`target.resource.name`	Il campo `ProfileName` del log non elaborato è mappato al campo `target.resource.name`.
`Request Url`	`target.url`	Il campo `Request Url` del log non elaborato è mappato al campo `target.url`.
`SmartGroupName`	`target.group.group_display_name`	Il campo `SmartGroupName` del log non elaborato è mappato al campo `target.group.group_display_name`.
`Tags`	`additional.fields`	Il campo `Tags` del log non elaborato viene aggiunto come coppia chiave-valore all'array `additional.fields` nell'UDM. La chiave è "Tags".
`User`	`target.user.userid`	Il campo `User` del log non elaborato è mappato al campo `target.user.userid`. Il `Event Category` del log non elaborato viene aggiunto come coppia chiave-valore all'array `additional.fields` nell'UDM. La chiave è "Categoria evento". Il `Event Module` del log non elaborato viene aggiunto come coppia chiave-valore all'array `additional.fields` nell'UDM. La chiave è "Event Module". Il `Event Source` del log non elaborato viene aggiunto come coppia chiave-valore all'array `additional.fields` nell'UDM. La chiave è "Origine evento". Impostato su "SSO" dal parser per eventi specifici. Derivato dal timestamp del log non elaborato. Il parser estrae la data e l'ora dal log non elaborato e le converte in un timestamp UDM. Determinato dal parser in base a `event_name` e ad altri campi. Visualizza il codice del parser per la logica di mappatura. Impostato su "AIRWATCH" dal parser. `event_name` del log non elaborato viene mappato al campo `metadata.product_event_type`. Impostato su "AirWatch" dal parser. Impostato su "VMWare" dal parser. `domain` del log non elaborato viene mappato al campo `principal.administrative_domain`. `hostname` viene estratto dal campo `device_name` nel log non elaborato o mappato dai campi `Device` o `FriendlyName`. `sys_ip` del log non elaborato viene mappato al campo `principal.ip`. Estratti dal log non elaborato per determinati tipi di eventi. Estratti dal log non elaborato per determinati tipi di eventi. `user_name` del log non elaborato viene mappato al campo `principal.user.userid`. Estratti dal log non elaborato per determinati tipi di eventi. Impostato dal parser per eventi specifici. Impostato dal parser per eventi specifici. `event_category` del log non elaborato viene mappato al campo `security_result.category_details`. Estratti dal log non elaborato per determinati tipi di eventi. Estratti dal log non elaborato per determinati tipi di eventi. `domain` del log non elaborato viene mappato al campo `target.administrative_domain`. Costruito combinando `DeviceSerialNumber` e `DeviceUdid` dal log non elaborato per l'evento "DeleteDeviceRequested". Estratti dal log non elaborato per determinati tipi di eventi. Estratti dal log non elaborato per determinati tipi di eventi. `sys_ip` o altri indirizzi IP del log non elaborato vengono mappati al campo `target.ip`. Estratti dal log non elaborato per determinati tipi di eventi. Estratti dal log non elaborato per determinati tipi di eventi. Impostato dal parser per eventi specifici. Estratti dal log non elaborato per determinati tipi di eventi. Estratti dal log non elaborato per determinati tipi di eventi. Estratti dal log non elaborato per determinati tipi di eventi.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.