VMware Workspace ONE UEM-Protokolle erfassen

Unterstützt in:

Dieser Parser extrahiert Protokolle aus VMware Workspace ONE UEM (früher VMware AirWatch) im Syslog-, CEF- oder Schlüssel/Wert-Paar-Format. Dabei werden Felder wie Nutzernamen, Zeitstempel und Ereignisdetails normalisiert und dem UDM zugeordnet. Der Parser verarbeitet verschiedene Workspace ONE UEM-Ereignistypen und füllt die Felder „principal“, „target“ und andere UDM-Felder basierend auf bestimmten Ereignisdaten und Logik für verschiedene Protokollformate aus.

Hinweise

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie benötigen Zugriff auf die VMware Workspace ONE-Konsole.
  • Sie benötigen einen Windows- oder Linux-Host mit systemd.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei für die Datenaufnahmeauthentifizierung herunter.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profile.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

  1. Führen Sie für die Windows-Installation das folgende Script aus:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Führen Sie für die Linux-Installation das folgende Script aus:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Dateien aufnimmt und an Google SecOps sendet

  1. Rufen Sie den Computer auf, auf dem BindPlane installiert ist.

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Starten Sie den Bindplane-Agent mit dem folgenden Befehl neu, um die Änderungen anzuwenden: sudo systemctl bindplane restart

Syslog in VMware Workspace ONE UEM konfigurieren

  1. Melden Sie sich in der Workspace ONE UEM-Konsole an:
  2. Gehen Sie zu Einstellungen > System > Erweitert > Syslog.
  3. Aktivieren Sie die Option Syslog aktivieren.
  4. Geben Sie Werte für die folgenden Eingabeparameter an:
    • IP-Adresse/Hostname: Geben Sie die Adresse Ihres Bindplane-Agents ein.
    • Port: Geben Sie den Port ein (Standard: 514).
    • Protokoll: Wählen Sie je nach Bindplane-Agentkonfiguration UDP oder TCP aus.
    • Logtypen auswählen: Wählen Sie die Logs aus, die an Google SecOps gesendet werden sollen: Geräteverwaltungs-Logs, Console-Aktivitäts-Logs, Compliance-Logs und Ereignis-Logs.
    • Legen Sie die Protokollebene fest (z. B. Info, Warnung, Fehler).
  5. Klicken Sie auf Speichern, um die Einstellungen anzuwenden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
AdminAccount principal.user.userid AdminAccount aus dem Rohprotokoll wird dem Feld principal.user.userid zugeordnet.
Application target.application Das Feld Application aus dem Rohprotokoll wird dem Feld target.application zugeordnet.
ApplicationUUID additional.fields Das Feld ApplicationUUID aus dem Rohprotokoll wird dem Array additional.fields im UDM als Schlüssel/Wert-Paar hinzugefügt. Der Schlüssel lautet „ApplicationUUID“.
BytesReceived network.received_bytes Das Feld BytesReceived aus dem Rohprotokoll wird dem Feld network.received_bytes zugeordnet.
Device target.hostname Das Feld Device aus dem Rohprotokoll wird dem Feld target.hostname zugeordnet.
FriendlyName target.hostname Das Feld FriendlyName aus dem Rohprotokoll wird dem Feld target.hostname zugeordnet, wenn Device nicht verfügbar ist.
GroupManagementData security_result.description Das Feld GroupManagementData aus dem Rohprotokoll wird dem Feld security_result.description zugeordnet.
Hmac additional.fields Das Feld Hmac aus dem Rohprotokoll wird dem Array additional.fields im UDM als Schlüssel/Wert-Paar hinzugefügt. Der Schlüssel ist „Hmac“.
LoginSessionID network.session_id Das Feld LoginSessionID aus dem Rohprotokoll wird dem Feld network.session_id zugeordnet.
LogDescription metadata.description Das Feld LogDescription aus dem Rohprotokoll wird dem Feld metadata.description zugeordnet.
MessageText metadata.description Das Feld MessageText aus dem Rohprotokoll wird dem Feld metadata.description zugeordnet.
OriginatingOrganizationGroup principal.user.group_identifiers Das Feld OriginatingOrganizationGroup aus dem Rohprotokoll wird dem Feld principal.user.group_identifiers zugeordnet.
OwnershipType additional.fields Das Feld OwnershipType aus dem Rohprotokoll wird dem Array additional.fields im UDM als Schlüssel/Wert-Paar hinzugefügt. Der Schlüssel ist „OwnershipType“.
Profile target.resource.name Das Feld Profile aus dem Rohprotokoll wird dem Feld target.resource.name zugeordnet, wenn ProfileName nicht verfügbar ist.
ProfileName target.resource.name Das Feld ProfileName aus dem Rohprotokoll wird dem Feld target.resource.name zugeordnet.
Request Url target.url Das Feld Request Url aus dem Rohprotokoll wird dem Feld target.url zugeordnet.
SmartGroupName target.group.group_display_name Das Feld SmartGroupName aus dem Rohprotokoll wird dem Feld target.group.group_display_name zugeordnet.
Tags additional.fields Das Feld Tags aus dem Rohprotokoll wird dem Array additional.fields im UDM als Schlüssel/Wert-Paar hinzugefügt. Der Schlüssel ist „Tags“.
User target.user.userid Das Feld User aus dem Rohprotokoll wird dem Feld target.user.userid zugeordnet. Die Event Category aus dem Rohprotokoll wird dem additional.fields-Array im UDM als Schlüssel/Wert-Paar hinzugefügt. Der Schlüssel ist „Ereigniskategorie“. Die Event Module aus dem Rohprotokoll wird dem additional.fields-Array im UDM als Schlüssel/Wert-Paar hinzugefügt. Der Schlüssel lautet „Event Module“. Die Event Source aus dem Rohprotokoll wird dem additional.fields-Array im UDM als Schlüssel/Wert-Paar hinzugefügt. Der Schlüssel ist „Ereignisquelle“. Wird vom Parser für bestimmte Ereignisse auf „SSO“ festgelegt. Abgeleitet vom Zeitstempel des Rohlogs. Der Parser extrahiert das Datum und die Uhrzeit aus dem Rohprotokoll und wandelt sie in einen UDM-Zeitstempel um. Wird vom Parser anhand des Felds event_name und anderer Felder bestimmt. Die Zuordnungslogik finden Sie im Parsercode. Wird vom Parser auf „AIRWATCH“ festgelegt. event_name aus dem Rohprotokoll wird dem Feld metadata.product_event_type zugeordnet. Wird vom Parser auf „AirWatch“ festgelegt. Wird vom Parser auf „VMWare“ festgelegt. domain aus dem Rohprotokoll wird dem Feld principal.administrative_domain zugeordnet. hostname wird aus dem Feld device_name im Rohprotokoll extrahiert oder aus den Feldern Device oder FriendlyName zugeordnet. sys_ip aus dem Rohprotokoll wird dem Feld principal.ip zugeordnet. Aus dem Rohprotokoll für bestimmte Ereignistypen extrahiert. Aus dem Rohprotokoll für bestimmte Ereignistypen extrahiert. user_name aus dem Rohprotokoll wird dem Feld principal.user.userid zugeordnet. Aus dem Rohprotokoll für bestimmte Ereignistypen extrahiert. Wird vom Parser für bestimmte Ereignisse festgelegt. Wird vom Parser für bestimmte Ereignisse festgelegt. event_category aus dem Rohprotokoll wird dem Feld security_result.category_details zugeordnet. Aus dem Rohprotokoll für bestimmte Ereignistypen extrahiert. Aus dem Rohprotokoll für bestimmte Ereignistypen extrahiert. domain aus dem Rohprotokoll wird dem Feld target.administrative_domain zugeordnet. Zusammensetzung aus DeviceSerialNumber und DeviceUdid aus dem Rohprotokoll für das Ereignis „DeleteDeviceRequested“. Aus dem Rohprotokoll für bestimmte Ereignistypen extrahiert. Aus dem Rohprotokoll für bestimmte Ereignistypen extrahiert. Die sys_ip oder andere IP-Adressen aus dem Rohprotokoll werden dem Feld target.ip zugeordnet. Aus dem Rohprotokoll für bestimmte Ereignistypen extrahiert. Aus dem Rohprotokoll für bestimmte Ereignistypen extrahiert. Wird vom Parser für bestimmte Ereignisse festgelegt. Aus dem Rohprotokoll für bestimmte Ereignistypen extrahiert. Aus dem Rohprotokoll für bestimmte Ereignistypen extrahiert. Aus dem Rohprotokoll für bestimmte Ereignistypen extrahiert.

Änderungen

2024-11-15

  • Verbesserung:
  • Grok-Muster für neue Protokolltypen wurden hinzugefügt.

2024-10-17

  • Verbesserung:
  • Unterstützung für neue Protokolltypen hinzugefügt.

2024-10-07

  • Verbesserung:
  • Unterstützung für neue Protokolltypen hinzugefügt.

2024-09-23

  • Verbesserung:
  • Unterstützung für das Parsen nicht geparster Protokolle hinzugefügt.

2024-06-25

  • Verbesserung:
  • Das Grok-Muster wurde korrigiert, um „username“ auf „principal.user.user_display_name“ abzubilden.
  • „device_type“ wurde in „additional.fields“ geändert.
  • Grok-Muster für neue Protokolltypen hinzugefügt

2023-09-05

  • Fehlerkorrektur:
  • Es wurde ein Grok-Muster zum Parsen von verworfenen Protokollen hinzugefügt.

2023-05-05

  • Fehlerkorrektur:
  • Das Grok-Muster wurde geändert, um gelöschte Protokolle zu parsen.

2023-04-26

  • Fehlerkorrektur:
  • Unterstützung für verschiedene syslog-formatierte Protokolle hinzugefügt.

2022-12-27

  • Fehlerkorrektur:
  • Unterstützung für verschiedene Arten von Syslog-Format-Protokollen hinzugefügt.
  • Es wurden spezielle bedingte Prüfungen hinzugefügt, um mehrere „event_name“-Werte zu verarbeiten.

2022-09-02

  • Verbesserung:
  • Grok wurde geschrieben, um die nicht geparsten Protokolle im ccf-Format zu analysieren.

2022-06-29

  • Verbesserung:
  • Geparsiertes Protokoll mit „MergeGroupCompletedEvent“ als „event_name“
  • „GroupManagementData“ wurde in „security_result.description“ umgewandelt.
  • „EventSource“ und „EventModule“ wurden in „event.idm.read_only_udm.additional.fields“ umgewandelt.
  • „cat“ wurde auf „security_result.category_details“ zugeordnet.
  • „event.idm.read_only_udm.metadata.event_type“ von „GENERIC_EVENT“ in „USER_UNCATEGORIZED“ geändert, wenn „principal.user.userid“ oder „target.user.userid“ vorhanden ist.

2022-06-20

  • Verbesserung:
  • Ereigniskategorie, die _udm.additional.fields(event_category) zugeordnet ist
  • Der Ereignistyp „GENERIC_EVENT“ für „SecurityInformation“, „SecurityInformationConfirmed(event_name)“ wurde hinzugefügt, um nicht geparste Protokolle zu verarbeiten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten