收集 VMware Workspace ONE UEM 記錄

支援的國家/地區:

這個剖析器會以 Syslog、CEF 或鍵/值組合格式,從 VMware Workspace ONE UEM (舊稱 VMware AirWatch) 擷取記錄。並將使用者名稱、時間戳記和事件詳細資料等欄位正規化,然後對應至 UDM。剖析器會處理各種 Workspace ONE UEM 事件類型,並根據特定事件資料和不同記錄格式的邏輯,填入主體、目標和其他 UDM 欄位。

事前準備

  • 確認您有 Google Security Operations 執行個體。
  • 請確認您擁有 VMware Workspace ONE 控制台的特殊權限。
  • 確認您有搭載 systemd 的 Windows 或 Linux 主機。
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 從「機構詳細資料」部分複製並儲存客戶 ID

安裝 Bindplane 代理程式

  1. 如要在 Windows 上安裝,請執行下列指令碼:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. 如要在 Linux 上安裝,請執行下列指令碼:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 如需其他安裝選項,請參閱這份安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取安裝 Bindplane 的電腦。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 使用下列指令重新啟動 Bindplane 代理程式,以套用變更: sudo systemctl bindplane restart

在 VMware Workspace ONE UEM 中設定系統記錄

  1. 登入 Workspace ONE UEM 控制台:
  2. 依序前往「設定」>「系統」>「進階」>「系統記錄」
  3. 勾選「啟用系統記錄」選項。
  4. 指定下列輸入參數的值:
    • IP 位址/主機名稱:輸入 Bindplane 代理程式的位址。
    • 「Port」(通訊埠):輸入指定通訊埠 (預設為 514)。
    • 通訊協定:根據 Bindplane 代理程式設定,選取「UDP」或「TCP」
    • 選取記錄類型:選取要傳送至 Google SecOps 的記錄 - 裝置管理記錄、控制台活動記錄、法規遵循記錄、事件記錄
    • 設定記錄層級 (例如「資訊」、「警告」、「錯誤」)。
  5. 按一下「儲存」套用設定

UDM 對應表

記錄欄位 UDM 對應 邏輯
AdminAccount principal.user.userid 原始記錄檔中的 AdminAccount 會對應至 principal.user.userid 欄位。
Application target.application 原始記錄檔中的 Application 欄位會對應至 target.application 欄位。
ApplicationUUID additional.fields 原始記錄中的 ApplicationUUID 欄位會以鍵/值組合的形式,新增至 UDM 中的 additional.fields 陣列。索引鍵為「ApplicationUUID」。
BytesReceived network.received_bytes 原始記錄檔中的 BytesReceived 欄位會對應至 network.received_bytes 欄位。
Device target.hostname 原始記錄檔中的 Device 欄位會對應至 target.hostname 欄位。
FriendlyName target.hostname 如果 Device 無法使用,原始記錄中的 FriendlyName 欄位會對應至 target.hostname 欄位。
GroupManagementData security_result.description 原始記錄檔中的 GroupManagementData 欄位會對應至 security_result.description 欄位。
Hmac additional.fields 原始記錄中的 Hmac 欄位會以鍵/值組合的形式,新增至 UDM 中的 additional.fields 陣列。索引鍵為「Hmac」。
LoginSessionID network.session_id 原始記錄檔中的 LoginSessionID 欄位會對應至 network.session_id 欄位。
LogDescription metadata.description 原始記錄檔中的 LogDescription 欄位會對應至 metadata.description 欄位。
MessageText metadata.description 原始記錄檔中的 MessageText 欄位會對應至 metadata.description 欄位。
OriginatingOrganizationGroup principal.user.group_identifiers 原始記錄檔中的 OriginatingOrganizationGroup 欄位會對應至 principal.user.group_identifiers 欄位。
OwnershipType additional.fields 原始記錄中的 OwnershipType 欄位會以鍵/值組合的形式,新增至 UDM 中的 additional.fields 陣列。索引鍵為「OwnershipType」。
Profile target.resource.name 如果 ProfileName 無法使用,原始記錄中的 Profile 欄位會對應至 target.resource.name 欄位。
ProfileName target.resource.name 原始記錄檔中的 ProfileName 欄位會對應至 target.resource.name 欄位。
Request Url target.url 原始記錄檔中的 Request Url 欄位會對應至 target.url 欄位。
SmartGroupName target.group.group_display_name 原始記錄檔中的 SmartGroupName 欄位會對應至 target.group.group_display_name 欄位。
Tags additional.fields 原始記錄中的 Tags 欄位會以鍵/值組合的形式,新增至 UDM 中的 additional.fields 陣列。索引鍵為「Tags」。
User target.user.userid 原始記錄檔中的 User 欄位會對應至 target.user.userid 欄位。原始記錄中的 Event Category 會以鍵/值組合的形式新增至 UDM 的 additional.fields 陣列。索引鍵為「事件類別」。原始記錄中的 Event Module 會以鍵/值組合的形式新增至 UDM 的 additional.fields 陣列。鍵為「Event Module」,原始記錄中的 Event Source 會以鍵/值組合的形式新增至 UDM 的 additional.fields 陣列。索引鍵為「Event Source」。由剖析器針對特定事件設為「SSO」。衍生自原始記錄的時間戳記。剖析器會從原始記錄檔中擷取日期和時間,並轉換為 UDM 時間戳記。由剖析器根據 event_name 和其他欄位判斷。如需對應邏輯,請參閱剖析器程式碼。由剖析器設為「AIRWATCH」。原始記錄檔中的 event_name 會對應至 metadata.product_event_type 欄位。由剖析器設為「AirWatch」。由剖析器設為「VMWare」。原始記錄檔中的 domain 會對應至 principal.administrative_domain 欄位。系統會從原始記錄的 device_name 欄位擷取 hostname,或是從 DeviceFriendlyName 欄位對應 hostname。原始記錄檔中的 sys_ip 會對應至 principal.ip 欄位。從特定事件類型的原始記錄中擷取。從特定事件類型的原始記錄中擷取。原始記錄檔中的 user_name 會對應至 principal.user.userid 欄位。從特定事件類型的原始記錄中擷取。由剖析器針對特定事件設定。由剖析器針對特定事件設定。原始記錄檔中的 event_category 會對應至 security_result.category_details 欄位。從特定事件類型的原始記錄中擷取。從特定事件類型的原始記錄中擷取。原始記錄檔中的 domain 會對應至 target.administrative_domain 欄位。由「DeleteDeviceRequested」事件原始記錄中的 DeviceSerialNumberDeviceUdid 組合而成。從特定事件類型的原始記錄中擷取。從特定事件類型的原始記錄中擷取。原始記錄中的 sys_ip 或其他 IP 位址會對應至 target.ip 欄位。從特定事件類型的原始記錄中擷取。從特定事件類型的原始記錄中擷取。由剖析器針對特定事件設定。從特定事件類型的原始記錄中擷取。從特定事件類型的原始記錄中擷取。從特定事件類型的原始記錄中擷取。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。