Esta página foi traduzida pela API Cloud Translation.

Coletar registros do VMware Workspace ONE UEM

Compatível com:

Google SecOps SIEM

Esse analisador extrai registros do VMware Workspace ONE UEM (antigo VMware AirWatch) nos formatos Syslog, CEF ou par de chave-valor. Ele normaliza campos como nomes de usuários, carimbos de data/hora e detalhes de eventos, mapeando-os para a UDM. O analisador processa vários tipos de eventos do Workspace ONE UEM, preenchendo os campos principal, destino e outros do UDM com base em dados e lógica de eventos específicos para diferentes formatos de registro.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Confirme que você tem acesso privilegiado ao console do VMware Workspace ONE.
Verifique se você tem um host Windows ou Linux com systemd.
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

Para instalação no Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para instalação no Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outras opções de instalação estão disponíveis neste guia de instalação.

Configurar o agente do Bindplane para ingerir Syslog e enviar ao Google SecOps

Acesse a máquina em que o Bindplane está instalado.

Edite o arquivo config.yaml da seguinte forma:

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as mudanças usando o seguinte comando: sudo systemctl bindplane restart

Como configurar o syslog no VMware Workspace ONE UEM

Faça login no console do Workspace ONE UEM:
Acesse Configurações > Sistema > Avançado > Syslog.
Marque a opção Ativar Syslog.
Especifique valores para os seguintes parâmetros de entrada:
- Endereço IP/nome do host: insira o endereço do seu agente do Bindplane.
- Porta: insira a porta designada (padrão: 514).
- Protocolo: selecione UDP ou TCP, dependendo da configuração do agente do Bindplane.
- Selecionar tipos de registros: escolha os registros que você quer enviar para o Google SecOps: registros de gerenciamento de dispositivos, registros de atividade do console, registros de compliance e registros de eventos.
- Defina o nível de registro (por exemplo, Info, Warning, Error).
Clique em Salvar para aplicar as configurações.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`AdminAccount`	`principal.user.userid`	O `AdminAccount` do registro bruto é mapeado para o campo `principal.user.userid`.
`Application`	`target.application`	O campo `Application` do registro bruto é mapeado para o campo `target.application`.
`ApplicationUUID`	`additional.fields`	O campo `ApplicationUUID` do registro bruto é adicionado como um par de chave-valor à matriz `additional.fields` na UDM. A chave é "ApplicationUUID".
`BytesReceived`	`network.received_bytes`	O campo `BytesReceived` do registro bruto é mapeado para o campo `network.received_bytes`.
`Device`	`target.hostname`	O campo `Device` do registro bruto é mapeado para o campo `target.hostname`.
`FriendlyName`	`target.hostname`	O campo `FriendlyName` do registro bruto é mapeado para o campo `target.hostname` quando `Device` não está disponível.
`GroupManagementData`	`security_result.description`	O campo `GroupManagementData` do registro bruto é mapeado para o campo `security_result.description`.
`Hmac`	`additional.fields`	O campo `Hmac` do registro bruto é adicionado como um par de chave-valor à matriz `additional.fields` na UDM. A chave é "Hmac".
`LoginSessionID`	`network.session_id`	O campo `LoginSessionID` do registro bruto é mapeado para o campo `network.session_id`.
`LogDescription`	`metadata.description`	O campo `LogDescription` do registro bruto é mapeado para o campo `metadata.description`.
`MessageText`	`metadata.description`	O campo `MessageText` do registro bruto é mapeado para o campo `metadata.description`.
`OriginatingOrganizationGroup`	`principal.user.group_identifiers`	O campo `OriginatingOrganizationGroup` do registro bruto é mapeado para o campo `principal.user.group_identifiers`.
`OwnershipType`	`additional.fields`	O campo `OwnershipType` do registro bruto é adicionado como um par de chave-valor à matriz `additional.fields` na UDM. A chave é "OwnershipType".
`Profile`	`target.resource.name`	O campo `Profile` do registro bruto é mapeado para o campo `target.resource.name` quando `ProfileName` não está disponível.
`ProfileName`	`target.resource.name`	O campo `ProfileName` do registro bruto é mapeado para o campo `target.resource.name`.
`Request Url`	`target.url`	O campo `Request Url` do registro bruto é mapeado para o campo `target.url`.
`SmartGroupName`	`target.group.group_display_name`	O campo `SmartGroupName` do registro bruto é mapeado para o campo `target.group.group_display_name`.
`Tags`	`additional.fields`	O campo `Tags` do registro bruto é adicionado como um par de chave-valor à matriz `additional.fields` na UDM. A chave é "Tags".
`User`	`target.user.userid`	O campo `User` do registro bruto é mapeado para o campo `target.user.userid`. O `Event Category` do registro bruto é adicionado como um par de chave-valor à matriz `additional.fields` na UDM. A chave é "Categoria do evento". O `Event Module` do registro bruto é adicionado como um par de chave-valor à matriz `additional.fields` na UDM. A chave é "Event Module". O `Event Source` do registro bruto é adicionado como um par de chave-valor à matriz `additional.fields` na UDM. A chave é "Origem do evento". Definido como "SSO" pelo analisador para eventos específicos. Derivado do carimbo de data/hora do registro bruto. O analisador extrai a data e a hora do registro bruto e as converte em um carimbo de data/hora da UDM. Determinado pelo analisador com base no `event_name` e em outros campos. Consulte o código do analisador para conferir a lógica de mapeamento. Definido como "AIRWATCH" pelo analisador. O `event_name` do registro bruto é mapeado para o campo `metadata.product_event_type`. Definido como "AirWatch" pelo analisador. Definido como "VMWare" pelo analisador. O `domain` do registro bruto é mapeado para o campo `principal.administrative_domain`. O `hostname` é extraído do campo `device_name` no registro bruto ou mapeado dos campos `Device` ou `FriendlyName`. O `sys_ip` do registro bruto é mapeado para o campo `principal.ip`. Extraído do registro bruto para determinados tipos de evento. Extraído do registro bruto para determinados tipos de evento. O `user_name` do registro bruto é mapeado para o campo `principal.user.userid`. Extraído do registro bruto para determinados tipos de evento. Definido pelo analisador para eventos específicos. Definido pelo analisador para eventos específicos. O `event_category` do registro bruto é mapeado para o campo `security_result.category_details`. Extraído do registro bruto para determinados tipos de evento. Extraído do registro bruto para determinados tipos de evento. O `domain` do registro bruto é mapeado para o campo `target.administrative_domain`. Criado combinando `DeviceSerialNumber` e `DeviceUdid` do registro bruto para o evento "DeleteDeviceRequested". Extraído do registro bruto para determinados tipos de evento. Extraído do registro bruto para determinados tipos de evento. O `sys_ip` ou outros endereços IP do registro bruto são mapeados para o campo `target.ip`. Extraído do registro bruto para determinados tipos de evento. Extraído do registro bruto para determinados tipos de evento. Definido pelo analisador para eventos específicos. Extraído do registro bruto para determinados tipos de evento. Extraído do registro bruto para determinados tipos de evento. Extraído do registro bruto para determinados tipos de evento.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.