VMware Workspace ONE UEM ログを収集する

以下でサポートされています。

Google SecOpsSIEM

このパーサーは、VMware Workspace ONE UEM（旧称 VMware AirWatch）から Syslog、CEF、または Key-Value ペアの形式でログを抽出します。ユーザー名、タイムスタンプ、イベントの詳細などのフィールドを正規化し、UDM にマッピングします。パーサーは、さまざまな Workspace ONE UEM イベントタイプを処理し、特定のイベントデータとさまざまなログ形式のロジックに基づいてプリンシパル、ターゲット、その他の UDM フィールドにデータを入力します。

始める前に

Google Security Operations インスタンスがあることを確認します。
VMware Workspace ONE コンソールに特権アクセス権があることを確認します。
Windows または systemd を使用する Linux ホストがあることを確認します。
プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。

Google SecOps 取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細] セクションからお客様 ID をコピーして保存します。

BindPlane Agent をインストールする

Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane Agent を構成する

BindPlane がインストールされているマシンにアクセスします。

config.yaml ファイルを次のように編集します。

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

次のコマンドを使用して BindPlane Agent を再起動して、変更を適用します。 sudo systemctl bindplane restart

VMware Workspace ONE UEM で Syslog を構成する

Workspace ONE UEM コンソールにログインします。
[設定] > [システム] > [詳細設定] > [Syslog] に移動します。
[Syslog を有効にする] オプションをオンにします。
次の入力パラメータの値を指定します。
- IP アドレス / ホスト名: BindPlane Agent のアドレスを入力します。
- ポート: 指定したポートを入力します（デフォルト: 514）。
- プロトコル: BindPlane Agent の構成に応じて、UDP または TCP を選択します。
- ログの種類を選択: Google SecOps に送信するログ（デバイス管理ログ、コンソールアクティビティログ、コンプライアンスログ、イベントログ）を選択します。
- ログレベルを設定します（例: 情報、警告、エラー）。
[保存] をクリックして設定を適用します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`AdminAccount`	`principal.user.userid`	未加工ログの `AdminAccount` は `principal.user.userid` フィールドにマッピングされます。
`Application`	`target.application`	未加工ログの `Application` フィールドは `target.application` フィールドにマッピングされます。
`ApplicationUUID`	`additional.fields`	未加工ログの `ApplicationUUID` フィールドは、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「ApplicationUUID」です。
`BytesReceived`	`network.received_bytes`	未加工ログの `BytesReceived` フィールドは `network.received_bytes` フィールドにマッピングされます。
`Device`	`target.hostname`	未加工ログの `Device` フィールドは `target.hostname` フィールドにマッピングされます。
`FriendlyName`	`target.hostname`	`Device` が使用できない場合、未加工ログの `FriendlyName` フィールドは `target.hostname` フィールドにマッピングされます。
`GroupManagementData`	`security_result.description`	未加工ログの `GroupManagementData` フィールドは `security_result.description` フィールドにマッピングされます。
`Hmac`	`additional.fields`	未加工ログの `Hmac` フィールドは、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「Hmac」です。
`LoginSessionID`	`network.session_id`	未加工ログの `LoginSessionID` フィールドは `network.session_id` フィールドにマッピングされます。
`LogDescription`	`metadata.description`	未加工ログの `LogDescription` フィールドは `metadata.description` フィールドにマッピングされます。
`MessageText`	`metadata.description`	未加工ログの `MessageText` フィールドは `metadata.description` フィールドにマッピングされます。
`OriginatingOrganizationGroup`	`principal.user.group_identifiers`	未加工ログの `OriginatingOrganizationGroup` フィールドは `principal.user.group_identifiers` フィールドにマッピングされます。
`OwnershipType`	`additional.fields`	未加工ログの `OwnershipType` フィールドは、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「OwnershipType」です。
`Profile`	`target.resource.name`	`ProfileName` が使用できない場合、未加工ログの `Profile` フィールドは `target.resource.name` フィールドにマッピングされます。
`ProfileName`	`target.resource.name`	未加工ログの `ProfileName` フィールドは `target.resource.name` フィールドにマッピングされます。
`Request Url`	`target.url`	未加工ログの `Request Url` フィールドは `target.url` フィールドにマッピングされます。
`SmartGroupName`	`target.group.group_display_name`	未加工ログの `SmartGroupName` フィールドは `target.group.group_display_name` フィールドにマッピングされます。
`Tags`	`additional.fields`	未加工ログの `Tags` フィールドは、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「Tags」です。
`User`	`target.user.userid`	未加工ログの `User` フィールドは `target.user.userid` フィールドにマッピングされます。未加工ログの `Event Category` は、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「Event Category」です。未加工ログの `Event Module` は、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「Event Module」です。未加工ログの `Event Source` は、UDM の `additional.fields` 配列に Key-Value ペアとして追加されます。キーは「Event Source」です。特定のイベントでは、パーサーによって「SSO」に設定されます。未加工ログのタイムスタンプから取得されます。パーサーは、未加工ログから日時を抽出し、UDM タイムスタンプに変換します。`event_name` フィールドと他のフィールドに基づいてパーサーによって決定されます。マッピングロジックについては、パーサーコードをご覧ください。パーサーによって「AIRWATCH」に設定されます。未加工ログの `event_name` は `metadata.product_event_type` フィールドにマッピングされます。パーサーによって「AirWatch」に設定されます。パーサーによって「VMWare」に設定されます。未加工ログの `domain` は `principal.administrative_domain` フィールドにマッピングされます。`hostname` は、未加工ログの `device_name` フィールドから抽出されるか、`Device` フィールドまたは `FriendlyName` フィールドからマッピングされます。未加工ログの `sys_ip` は `principal.ip` フィールドにマッピングされます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントタイプでは、未加工ログから抽出されます。未加工ログの `user_name` は `principal.user.userid` フィールドにマッピングされます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントでは、パーサーによって設定されます。特定のイベントでは、パーサーによって設定されます。未加工ログの `event_category` は `security_result.category_details` フィールドにマッピングされます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントタイプでは、未加工ログから抽出されます。未加工ログの `domain` は `target.administrative_domain` フィールドにマッピングされます。「DeleteDeviceRequested」イベントの未加工ログから `DeviceSerialNumber` と `DeviceUdid` を組み合わせて作成されます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントタイプでは、未加工ログから抽出されます。未加工ログの `sys_ip` または他の IP アドレスは、`target.ip` フィールドにマッピングされます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントでは、パーサーによって設定されます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントタイプでは、未加工ログから抽出されます。特定のイベントタイプでは、未加工ログから抽出されます。

変更

2024-11-15

機能拡張
新しいタイプのログ用の Grok パターンを追加しました。

2024-10-17

機能拡張
新しいタイプのログのサポートを追加しました。

2024-10-07

機能拡張
新しいタイプのログのサポートを追加しました。

2024-09-23

機能拡張
未解析ログの解析サポートを追加しました。

2024-06-25

機能拡張
「username」を「principal.user.user_display_name」にマッピングするように Grok パターンを修正しました。
「device_type」を「additional.fields」にマッピングしました。
新しいタイプのログ用の Grok パターンを追加しました。

2023-09-05

バグの修正:
ドロップされたログを解析するように Grok パターンを追加しました。

2023-05-05

バグの修正:
ドロップされたログを解析するように Grok パターンを変更しました。

2023-04-26

バグの修正:
さまざまなタイプの Syslog 形式のログのサポートを追加しました。

2022-12-27

バグの修正:
さまざまなタイプの Syslog 形式のログのサポートを追加しました。
複数の「event_name」を処理するための特定の条件チェックを追加しました。

2022-09-02

機能拡張
未解析の ccf 形式のログを解析する Grok を作成しました。

2022-06-29

機能拡張
event_name が「MergeGroupCompletedEvent」のログを解析しました
「GroupManagementData」を「security_result.description」にマッピングしました。
「EventSource」、「EventModule」を「event.idm.read_only_udm.additional.fields」にマッピングしました。
「cat」を「security_result.category_details」にマッピングしました。
「principal.user.userid」または「target.user.userid」のいずれかが存在する場合に、「event.idm.read_only_udm.metadata.event_type」を「GENERIC_EVENT」から「USER_UNCATEGORIZED」に変更しました。

2022-06-20

機能拡張
Event Category を _udm.additional.fields(event_category) にマッピングしました
未解析ログを処理するための、SecurityInformation、SecurityInformationConfirmed（event_name）のイベントタイプ GENERIC_EVENT を追加しました

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps の専門家から回答を得る。