Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log VMware Workspace ONE UEM

Didukung di:

Google SecOps SIEM

Parser ini mengekstrak log dari VMware Workspace ONE UEM (sebelumnya dikenal sebagai VMware AirWatch) dalam format Syslog, CEF, atau pasangan nilai kunci. Fungsi ini menormalisasi kolom seperti nama pengguna, stempel waktu, dan detail peristiwa, serta memetakan kolom tersebut ke UDM. Parser menangani berbagai jenis peristiwa Workspace ONE UEM, mengisi kolom utama, target, dan UDM lainnya berdasarkan data dan logika peristiwa tertentu untuk berbagai format log.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda memiliki akses dengan hak istimewa ke konsol VMware Workspace ONE.
Pastikan Anda memiliki host Windows atau Linux dengan systemd.
Jika berjalan di balik proxy, pastikan port firewall terbuka.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan Simpan ID pelanggan dari bagian Detail Organisasi.

Menginstal Agen BindPlane

Untuk penginstalan Windows, jalankan skrip berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Untuk penginstalan Linux, jalankan skrip berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses komputer tempat BindPlane diinstal.

Edit file config.yaml sebagai berikut:

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Mulai ulang Agen BindPlane untuk menerapkan perubahan menggunakan perintah berikut: sudo systemctl bindplane restart

Mengonfigurasi syslog di VMware Workspace ONE UEM

Login ke Konsol UEM Workspace ONE:
Buka Setelan > Sistem > Lanjutan > Syslog.
Centang opsi untuk Aktifkan Syslog.
Tentukan nilai untuk parameter input berikut:
- Alamat IP/Nama Host: masukkan alamat Agen BindPlane Anda.
- Port: masukkan port yang ditetapkan (default: 514).
- Protocol: pilih UDP atau TCP bergantung pada konfigurasi agen BindPlane Anda.
- Pilih Jenis Log: pilih log yang ingin Anda kirim ke Google SecOps - Log Pengelolaan Perangkat, Log Aktivitas Konsol, Log Kepatuhan, Log Peristiwa
- Tetapkan tingkat log (misalnya, Info, Peringatan, Error).
Klik Simpan untuk menerapkan setelan

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`AdminAccount`	`principal.user.userid`	`AdminAccount` dari log mentah dipetakan ke kolom `principal.user.userid`.
`Application`	`target.application`	Kolom `Application` dari log mentah dipetakan ke kolom `target.application`.
`ApplicationUUID`	`additional.fields`	Kolom `ApplicationUUID` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "ApplicationUUID".
`BytesReceived`	`network.received_bytes`	Kolom `BytesReceived` dari log mentah dipetakan ke kolom `network.received_bytes`.
`Device`	`target.hostname`	Kolom `Device` dari log mentah dipetakan ke kolom `target.hostname`.
`FriendlyName`	`target.hostname`	Kolom `FriendlyName` dari log mentah dipetakan ke kolom `target.hostname` jika `Device` tidak tersedia.
`GroupManagementData`	`security_result.description`	Kolom `GroupManagementData` dari log mentah dipetakan ke kolom `security_result.description`.
`Hmac`	`additional.fields`	Kolom `Hmac` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "Hmac".
`LoginSessionID`	`network.session_id`	Kolom `LoginSessionID` dari log mentah dipetakan ke kolom `network.session_id`.
`LogDescription`	`metadata.description`	Kolom `LogDescription` dari log mentah dipetakan ke kolom `metadata.description`.
`MessageText`	`metadata.description`	Kolom `MessageText` dari log mentah dipetakan ke kolom `metadata.description`.
`OriginatingOrganizationGroup`	`principal.user.group_identifiers`	Kolom `OriginatingOrganizationGroup` dari log mentah dipetakan ke kolom `principal.user.group_identifiers`.
`OwnershipType`	`additional.fields`	Kolom `OwnershipType` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "OwnershipType".
`Profile`	`target.resource.name`	Kolom `Profile` dari log mentah dipetakan ke kolom `target.resource.name` jika `ProfileName` tidak tersedia.
`ProfileName`	`target.resource.name`	Kolom `ProfileName` dari log mentah dipetakan ke kolom `target.resource.name`.
`Request Url`	`target.url`	Kolom `Request Url` dari log mentah dipetakan ke kolom `target.url`.
`SmartGroupName`	`target.group.group_display_name`	Kolom `SmartGroupName` dari log mentah dipetakan ke kolom `target.group.group_display_name`.
`Tags`	`additional.fields`	Kolom `Tags` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "Tag".
`User`	`target.user.userid`	Kolom `User` dari log mentah dipetakan ke kolom `target.user.userid`. `Event Category` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "Kategori Peristiwa". `Event Module` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "Modul Peristiwa". `Event Source` dari log mentah ditambahkan sebagai pasangan nilai kunci ke array `additional.fields` di UDM. Kuncinya adalah "Sumber Peristiwa". Ditetapkan ke "SSO" oleh parser untuk peristiwa tertentu. Berasal dari stempel waktu log mentah. Parser mengekstrak tanggal dan waktu dari log mentah dan mengonversinya menjadi stempel waktu UDM. Ditentukan oleh parser berdasarkan `event_name` dan kolom lainnya. Lihat kode parser untuk logika pemetaan. Ditetapkan ke "AIRWATCH" oleh parser. `event_name` dari log mentah dipetakan ke kolom `metadata.product_event_type`. Ditetapkan ke "AirWatch" oleh parser. Ditetapkan ke "VMWare" oleh parser. `domain` dari log mentah dipetakan ke kolom `principal.administrative_domain`. `hostname` diekstrak dari kolom `device_name` dalam log mentah atau dipetakan dari kolom `Device` atau `FriendlyName`. `sys_ip` dari log mentah dipetakan ke kolom `principal.ip`. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu. `user_name` dari log mentah dipetakan ke kolom `principal.user.userid`. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Ditetapkan oleh parser untuk peristiwa tertentu. Ditetapkan oleh parser untuk peristiwa tertentu. `event_category` dari log mentah dipetakan ke kolom `security_result.category_details`. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu. `domain` dari log mentah dipetakan ke kolom `target.administrative_domain`. Dibuat dengan menggabungkan `DeviceSerialNumber` dan `DeviceUdid` dari log mentah untuk peristiwa "DeleteDeviceRequested". Diekstrak dari log mentah untuk jenis peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu. `sys_ip` atau alamat IP lain dari log mentah dipetakan ke kolom `target.ip`. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Ditetapkan oleh parser untuk peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu. Diekstrak dari log mentah untuk jenis peristiwa tertentu.

Perubahan

2024-11-15

Peningkatan:
Menambahkan pola Grok untuk jenis log baru.

2024-10-17

Peningkatan:
Menambahkan dukungan untuk jenis log baru.

2024-10-07

Peningkatan:
Menambahkan dukungan untuk jenis log baru.

2024-09-23

Peningkatan:
Menambahkan dukungan untuk mengurai log yang tidak diuraikan.

2024-06-25

Peningkatan:
Memperbaiki pola Grok untuk memetakan "username" ke "principal.user.user_display_name".
Memetakan "device_type" ke "additional.fields".
Menambahkan pola Grok untuk jenis log baru.

2023-09-05

Perbaikan Bug:
Menambahkan pola Grok untuk mengurai log yang dihapus.

2023-05-05

Perbaikan Bug:
Mengubah pola Grok untuk mengurai log yang dihapus.

2023-04-26

Perbaikan Bug:
Menambahkan dukungan untuk berbagai jenis log berformat syslog.

2022-12-27

Perbaikan Bug:
Menambahkan dukungan untuk berbagai jenis log Format Syslog.
Menambahkan pemeriksaan bersyarat tertentu untuk menangani beberapa 'event_name'.

2022-09-02

Peningkatan:
Menulis grok untuk mengurai log format ccf yang tidak diuraikan.

2022-06-29

Peningkatan:
Log yang diuraikan dengan event_name sebagai "MergeGroupCompletedEvent"
memetakan "GroupManagementData" ke "security_result.description".
memetakan "EventSource", "EventModule" ke "event.idm.read_only_udm.additional.fields".
memetakan "cat" ke "security_result.category_details".
mengubah "event.idm.read_only_udm.metadata.event_type" dari "GENERIC_EVENT" menjadi "USER_UNCATEGORIZED" jika salah satu dari "principal.user.userid" atau "target.user.userid" ada.

2022-06-20

Peningkatan:
Kategori Peristiwa dipetakan ke _udm.additional.fields(event_category)
Menambahkan jenis peristiwa GENERIC_EVENT untuk SecurityInformation, SecurityInformationConfirmed(event_name) guna menangani log yang tidak diuraikan