このページは Cloud Translation API によって翻訳されました。

VMware Workspace ONE UEM ログを収集する

以下でサポートされています。

Google SecOps SIEM

このパーサーは、Syslog、CEF、Key-Value ペア形式の VMware Workspace ONE UEM（旧称 VMware AirWatch）からログを抽出します。ユーザー名、タイムスタンプ、イベントの詳細などのフィールドを正規化し、UDM にマッピングします。パーサーはさまざまな Workspace ONE UEM イベントタイプを処理し、特定のイベントデータとさまざまなログ形式のロジックに基づいて、プリンシパル、ターゲット、その他の UDM フィールドを入力します。

始める前に

Google Security Operations インスタンスがあることを確認します。
VMware Workspace ONE コンソールへの特権アクセス権があることを確認します。
Windows または systemd を使用する Linux ホストがあることを確認します。
プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM Settings] > [Collection Agents] に移動します。
Ingestion Authentication File をダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane Agent を構成する

Bindplane がインストールされているマシンにアクセスします。

config.yaml ファイルを次のように編集します。

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

次のコマンドを使用して Bindplane Agent を再起動して、変更を適用します。 sudo systemctl bindplane restart

VMware Workspace ONE UEM で Syslog を構成する

Workspace ONE UEM コンソールにログインします。
[設定] > [システム] > [詳細設定] > [Syslog] に移動します。
[Syslog を有効にする] オプションをオンにします。
次の入力パラメータの値を指定します。
- IP アドレス/ホスト名: Bindplane Agent のアドレスを入力します。
- ポート: 指定されたポートを入力します（デフォルト: 514）。
- プロトコル: Bindplane エージェントの構成に応じて、[UDP] または [TCP] を選択します。
- ログタイプを選択: Google SecOps に送信するログ（デバイス管理ログ、コンソールアクティビティログ、コンプライアンスログ、イベントログ）を選択します。
- ログレベルを設定します（例: 情報、警告、エラー）。
[保存] をクリックして設定を適用します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`AdminAccount`	`principal.user.userid`	未加工ログの `AdminAccount` は `principal.user.userid` フィールドにマッピングされます。
`Application`	`target.application`	未加工ログの `Application` フィールドは `target.application` フィールドにマッピングされます。
`ApplicationUUID`	`additional.fields`	未加工ログの `ApplicationUUID` フィールドは、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「ApplicationUUID」です。
`BytesReceived`	`network.received_bytes`	未加工ログの `BytesReceived` フィールドは `network.received_bytes` フィールドにマッピングされます。
`Device`	`target.hostname`	未加工ログの `Device` フィールドは `target.hostname` フィールドにマッピングされます。
`FriendlyName`	`target.hostname`	`Device` が使用できない場合、未加工ログの `FriendlyName` フィールドは `target.hostname` フィールドにマッピングされます。
`GroupManagementData`	`security_result.description`	未加工ログの `GroupManagementData` フィールドは `security_result.description` フィールドにマッピングされます。
`Hmac`	`additional.fields`	未加工ログの `Hmac` フィールドは、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「Hmac」です。
`LoginSessionID`	`network.session_id`	未加工ログの `LoginSessionID` フィールドは `network.session_id` フィールドにマッピングされます。
`LogDescription`	`metadata.description`	未加工ログの `LogDescription` フィールドは `metadata.description` フィールドにマッピングされます。
`MessageText`	`metadata.description`	未加工ログの `MessageText` フィールドは `metadata.description` フィールドにマッピングされます。
`OriginatingOrganizationGroup`	`principal.user.group_identifiers`	未加工ログの `OriginatingOrganizationGroup` フィールドは `principal.user.group_identifiers` フィールドにマッピングされます。
`OwnershipType`	`additional.fields`	未加工ログの `OwnershipType` フィールドは、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「OwnershipType」です。
`Profile`	`target.resource.name`	`ProfileName` が使用できない場合、未加工ログの `Profile` フィールドは `target.resource.name` フィールドにマッピングされます。
`ProfileName`	`target.resource.name`	未加工ログの `ProfileName` フィールドは `target.resource.name` フィールドにマッピングされます。
`Request Url`	`target.url`	未加工ログの `Request Url` フィールドは `target.url` フィールドにマッピングされます。
`SmartGroupName`	`target.group.group_display_name`	未加工ログの `SmartGroupName` フィールドは `target.group.group_display_name` フィールドにマッピングされます。
`Tags`	`additional.fields`	未加工ログの `Tags` フィールドは、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「Tags」です。
`User`	`target.user.userid`	未加工ログの `User` フィールドは `target.user.userid` フィールドにマッピングされます。未加工ログの `Event Category` は、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「Event Category」です。未加工ログの `Event Module` は、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「Event Module」です。未加工ログの `Event Source` は、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「Event Source」です。特定のイベントでは、パーサーによって「SSO」に設定されます。未加工ログのタイムスタンプから取得されます。パーサーは、未加工ログから日時を抽出し、UDM タイムスタンプに変換します。`event_name` などのフィールドに基づいてパーサーによって決定されます。マッピングロジックについては、パーサーコードをご覧ください。パーサーによって「AIRWATCH」に設定されます。未加工ログの `event_name` は `metadata.product_event_type` フィールドにマッピングされます。パーサーによって「AirWatch」に設定されます。パーサーによって「VMWare」に設定されます。未加工ログの `domain` は `principal.administrative_domain` フィールドにマッピングされます。`hostname` は、未加工ログの `device_name` フィールドから抽出されるか、`Device` フィールドまたは `FriendlyName` フィールドからマッピングされます。未加工ログの `sys_ip` は `principal.ip` フィールドにマッピングされます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントタイプでは、未加工ログから抽出されます。未加工ログの `user_name` は `principal.user.userid` フィールドにマッピングされます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントでは、パーサーによって設定されます。特定のイベントでは、パーサーによって設定されます。未加工ログの `event_category` は `security_result.category_details` フィールドにマッピングされます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントタイプでは、未加工ログから抽出されます。未加工ログの `domain` は `target.administrative_domain` フィールドにマッピングされます。「DeleteDeviceRequested」イベントの未加工ログから `DeviceSerialNumber` と `DeviceUdid` を組み合わせて作成されます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントタイプでは、未加工ログから抽出されます。未加工ログの `sys_ip` または他の IP アドレスは、`target.ip` フィールドにマッピングされます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントでは、パーサーによって設定されます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントタイプでは、未加工ログから抽出されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。