Esta página foi traduzida pela API Cloud Translation.

Recolha registos do VMware Workspace ONE UEM

Compatível com:

Google secops SIEM

Este analisador extrai registos do VMware Workspace ONE UEM (anteriormente conhecido como VMware AirWatch) nos formatos Syslog, CEF ou par chave-valor. Normaliza campos como nomes de utilizadores, datas/horas e detalhes de eventos, mapeando-os para o UDM. O analisador processa vários tipos de eventos do Workspace ONE UEM, preenchendo os campos principal, destino e outros campos do UDM com base em dados e lógica de eventos específicos para diferentes formatos de registo.

Antes de começar

Certifique-se de que tem uma instância do Google Security Operations.
Certifique-se de que tem acesso privilegiado à consola do VMware Workspace ONE.
Certifique-se de que tem um anfitrião Windows ou Linux com systemd.
Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente na secção Detalhes da organização.

Instale o agente do Bindplane

Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para a instalação do Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Pode encontrar opções de instalação adicionais neste guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda à máquina onde o Bindplane está instalado.

Edite o ficheiro config.yaml da seguinte forma:

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as alterações através do seguinte comando: sudo systemctl bindplane restart

Configurar o Syslog no VMware Workspace ONE UEM

Inicie sessão na consola do Workspace ONE UEM:
Aceda a Definições > Sistema > Avançadas > Syslog.
Selecione a opção Ativar Syslog.
Especifique valores para os seguintes parâmetros de entrada:
- Endereço IP/nome de anfitrião: introduza o endereço do agente Bindplane.
- Porta: introduza a porta designada (predefinição: 514).
- Protocolo: selecione UDP ou TCP, consoante a configuração do agente Bindplane.
- Selecionar tipos de registos: selecione os registos que quer enviar para o Google SecOps: registos de gestão de dispositivos, registos de atividade da consola, registos de conformidade e registos de eventos
- Defina o nível de registo (por exemplo, Informação, Aviso, Erro).
Clique em Guardar para aplicar as definições

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`AdminAccount`	`principal.user.userid`	O `AdminAccount` do registo não processado é mapeado para o campo `principal.user.userid`.
`Application`	`target.application`	O campo `Application` do registo não processado é mapeado para o campo `target.application`.
`ApplicationUUID`	`additional.fields`	O campo `ApplicationUUID` do registo não processado é adicionado como um par de chave-valor à matriz `additional.fields` no UDM. A chave é "ApplicationUUID".
`BytesReceived`	`network.received_bytes`	O campo `BytesReceived` do registo não processado é mapeado para o campo `network.received_bytes`.
`Device`	`target.hostname`	O campo `Device` do registo não processado é mapeado para o campo `target.hostname`.
`FriendlyName`	`target.hostname`	O campo `FriendlyName` do registo não processado é mapeado para o campo `target.hostname` quando `Device` não está disponível.
`GroupManagementData`	`security_result.description`	O campo `GroupManagementData` do registo não processado é mapeado para o campo `security_result.description`.
`Hmac`	`additional.fields`	O campo `Hmac` do registo não processado é adicionado como um par de chave-valor à matriz `additional.fields` no UDM. A chave é "Hmac".
`LoginSessionID`	`network.session_id`	O campo `LoginSessionID` do registo não processado é mapeado para o campo `network.session_id`.
`LogDescription`	`metadata.description`	O campo `LogDescription` do registo não processado é mapeado para o campo `metadata.description`.
`MessageText`	`metadata.description`	O campo `MessageText` do registo não processado é mapeado para o campo `metadata.description`.
`OriginatingOrganizationGroup`	`principal.user.group_identifiers`	O campo `OriginatingOrganizationGroup` do registo não processado é mapeado para o campo `principal.user.group_identifiers`.
`OwnershipType`	`additional.fields`	O campo `OwnershipType` do registo não processado é adicionado como um par de chave-valor à matriz `additional.fields` no UDM. A chave é "OwnershipType".
`Profile`	`target.resource.name`	O campo `Profile` do registo não processado é mapeado para o campo `target.resource.name` quando `ProfileName` não está disponível.
`ProfileName`	`target.resource.name`	O campo `ProfileName` do registo não processado é mapeado para o campo `target.resource.name`.
`Request Url`	`target.url`	O campo `Request Url` do registo não processado é mapeado para o campo `target.url`.
`SmartGroupName`	`target.group.group_display_name`	O campo `SmartGroupName` do registo não processado é mapeado para o campo `target.group.group_display_name`.
`Tags`	`additional.fields`	O campo `Tags` do registo não processado é adicionado como um par de chave-valor à matriz `additional.fields` no UDM. A chave é "Tags".
`User`	`target.user.userid`	O campo `User` do registo não processado é mapeado para o campo `target.user.userid`. O `Event Category` do registo não processado é adicionado como um par de chave-valor à matriz `additional.fields` no UDM. A chave é "Categoria do evento". O `Event Module` do registo não processado é adicionado como um par de chave-valor à matriz `additional.fields` no UDM. A chave é "Event Module". O `Event Source` do registo não processado é adicionado como um par de chave-valor à matriz `additional.fields` no UDM. A chave é "Origem do evento". Definido como "SSO" pelo analisador para eventos específicos. Derivada da data/hora do registo não processado. O analisador extrai a data e a hora do registo não processado e converte-as numa data/hora da UDM. Determinado pelo analisador com base no elemento `event_name` e noutros campos. Consulte o código do analisador para ver a lógica de mapeamento. Definido como "AIRWATCH" pelo analisador. O `event_name` do registo não processado é mapeado para o campo `metadata.product_event_type`. Definido como "AirWatch" pelo analisador. Definido como "VMWare" pelo analisador. O `domain` do registo não processado é mapeado para o campo `principal.administrative_domain`. O `hostname` é extraído do campo `device_name` no registo não processado ou mapeado a partir dos campos `Device` ou `FriendlyName`. O `sys_ip` do registo não processado é mapeado para o campo `principal.ip`. Extraído do registo não processado para determinados tipos de eventos. Extraído do registo não processado para determinados tipos de eventos. O `user_name` do registo não processado é mapeado para o campo `principal.user.userid`. Extraído do registo não processado para determinados tipos de eventos. Definido pelo analisador para eventos específicos. Definido pelo analisador para eventos específicos. O `event_category` do registo não processado é mapeado para o campo `security_result.category_details`. Extraído do registo não processado para determinados tipos de eventos. Extraído do registo não processado para determinados tipos de eventos. O `domain` do registo não processado é mapeado para o campo `target.administrative_domain`. Construído através da combinação de `DeviceSerialNumber` e `DeviceUdid` do registo não processado para o evento "DeleteDeviceRequested". Extraído do registo não processado para determinados tipos de eventos. Extraído do registo não processado para determinados tipos de eventos. O `sys_ip` ou outros endereços IP do registo não processado são mapeados para o campo `target.ip`. Extraído do registo não processado para determinados tipos de eventos. Extraído do registo não processado para determinados tipos de eventos. Definido pelo analisador para eventos específicos. Extraído do registo não processado para determinados tipos de eventos. Extraído do registo não processado para determinados tipos de eventos. Extraído do registo não processado para determinados tipos de eventos.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.