收集 VMware Workspace ONE UEM 記錄
支援以下發布途徑:
Google secops
Siem
這個剖析器會以 Syslog、CEF 或鍵/值組合格式,從 VMware Workspace ONE UEM (舊稱 VMware AirWatch) 擷取記錄。這個工具會將使用者名稱、時間戳記和事件詳細資料等欄位標準化,並對應至 UDM。剖析器會處理各種 Workspace ONE UEM 事件類型,並根據特定事件資料和不同記錄格式的邏輯,填入主要使用者、目標和其他 UDM 欄位。
事前準備
- 確認您有 Google Security Operations 執行個體。
- 請確認您具有 VMware Workspace ONE 主控台的特殊權限。
- 請確認您有 Windows 或 Linux 主機,且已安裝 systemd。
- 如果是透過 Proxy 執行,請確認防火牆通訊埠已開啟。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」部分的客戶 ID。
安裝 Bindplane 代理程式
- 如要在 Windows 上安裝,請執行下列指令碼:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - 針對Linux 安裝程序,請執行下列指令碼:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane Agent 擷取 Syslog 並傳送至 Google SecOps
- 存取已安裝 Bindplane 的電腦。
按照下列方式編輯
config.yaml檔案:receivers: tcplog: # Replace the below port <54525> and IP (0.0.0.0) with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels重新啟動 Bindplane 代理程式,使用下列指令套用變更:
sudo systemctl bindplane restart
在 VMware Workspace ONE UEM 中設定 syslog
- 登入 Workspace ONE UEM 主控台:
- 依序前往「設定」>「系統」>「進階」>「Syslog」。
- 勾選「啟用 Syslog」選項。
- 指定下列輸入參數的值:
- IP 位址/主機名稱:輸入 Bindplane 代理程式的位址。
- Port:輸入指定的通訊埠 (預設值:514)。
- 通訊協定:請根據 Bindplane 代理程式設定選取「UDP」或「TCP」。
- 選取記錄類型:選取要傳送至 Google SecOps 的記錄:裝置管理記錄、控制台活動記錄、法規遵循記錄、事件記錄
- 設定記錄層級 (例如「Info」、「Warning」、「Error」)。
- 按一下「儲存」套用設定
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
AdminAccount |
principal.user.userid |
原始記錄檔中的 AdminAccount 會對應至 principal.user.userid 欄位。 |
Application |
target.application |
原始記錄檔中的 Application 欄位會對應至 target.application 欄位。 |
ApplicationUUID |
additional.fields |
原始記錄檔中的 ApplicationUUID 欄位會以鍵/值組合形式新增至 UDM 中的 additional.fields 陣列。索引鍵為「ApplicationUUID」。 |
BytesReceived |
network.received_bytes |
原始記錄檔中的 BytesReceived 欄位會對應至 network.received_bytes 欄位。 |
Device |
target.hostname |
原始記錄檔中的 Device 欄位會對應至 target.hostname 欄位。 |
FriendlyName |
target.hostname |
當 Device 無法使用時,原始記錄檔中的 FriendlyName 欄位會對應至 target.hostname 欄位。 |
GroupManagementData |
security_result.description |
原始記錄檔中的 GroupManagementData 欄位會對應至 security_result.description 欄位。 |
Hmac |
additional.fields |
原始記錄檔中的 Hmac 欄位會以鍵/值組合形式新增至 UDM 中的 additional.fields 陣列。鍵為「Hmac」。 |
LoginSessionID |
network.session_id |
原始記錄檔中的 LoginSessionID 欄位會對應至 network.session_id 欄位。 |
LogDescription |
metadata.description |
原始記錄檔中的 LogDescription 欄位會對應至 metadata.description 欄位。 |
MessageText |
metadata.description |
原始記錄檔中的 MessageText 欄位會對應至 metadata.description 欄位。 |
OriginatingOrganizationGroup |
principal.user.group_identifiers |
原始記錄檔中的 OriginatingOrganizationGroup 欄位會對應至 principal.user.group_identifiers 欄位。 |
OwnershipType |
additional.fields |
原始記錄檔中的 OwnershipType 欄位會以鍵/值組合形式新增至 UDM 中的 additional.fields 陣列。索引鍵為「OwnershipType」。 |
Profile |
target.resource.name |
當 ProfileName 無法使用時,原始記錄檔中的 Profile 欄位會對應至 target.resource.name 欄位。 |
ProfileName |
target.resource.name |
原始記錄檔中的 ProfileName 欄位會對應至 target.resource.name 欄位。 |
Request Url |
target.url |
原始記錄檔中的 Request Url 欄位會對應至 target.url 欄位。 |
SmartGroupName |
target.group.group_display_name |
原始記錄檔中的 SmartGroupName 欄位會對應至 target.group.group_display_name 欄位。 |
Tags |
additional.fields |
原始記錄檔中的 Tags 欄位會以鍵/值組合形式新增至 UDM 中的 additional.fields 陣列。索引鍵為「Tags」。 |
User |
target.user.userid |
原始記錄檔中的 User 欄位會對應至 target.user.userid 欄位。原始記錄中的 Event Category 會以鍵/值組合形式新增至 UDM 中的 additional.fields 陣列。鍵為「Event Category」。原始記錄中的 Event Module 會以鍵/值組合形式新增至 UDM 中的 additional.fields 陣列。鍵為「Event Module」。原始記錄中的 Event Source 會以鍵/值組合形式新增至 UDM 中的 additional.fields 陣列。鍵為「Event Source」。針對特定事件,由剖析器設為「SSO」。取自原始記錄的時間戳記。剖析器會從原始記錄檔中擷取日期和時間,並將其轉換為 UDM 時間戳記。由剖析器根據 event_name 和其他欄位決定。請參閱剖析器程式碼,瞭解對應邏輯。由剖析器設為「AIRWATCH」。原始記錄檔中的 event_name 會對應至 metadata.product_event_type 欄位。由剖析器設為「AirWatch」。由剖析器設為「VMWare」。原始記錄檔中的 domain 會對應至 principal.administrative_domain 欄位。hostname 會從原始記錄檔中的 device_name 欄位擷取,或從 Device 或 FriendlyName 欄位對應。原始記錄檔中的 sys_ip 會對應至 principal.ip 欄位。從特定事件類型的原始記錄中擷取。從特定事件類型的原始記錄中擷取。原始記錄檔中的 user_name 會對應至 principal.user.userid 欄位。從特定事件類型的原始記錄中擷取。此值由剖析器針對特定事件設定。此值由剖析器針對特定事件設定。原始記錄檔中的 event_category 會對應至 security_result.category_details 欄位。從特定事件類型的原始記錄中擷取。從特定事件類型的原始記錄中擷取。原始記錄檔中的 domain 會對應至 target.administrative_domain 欄位。透過結合「DeleteDeviceRequested」事件的原始記錄中的 DeviceSerialNumber 和 DeviceUdid 建構而成。從特定事件類型的原始記錄中擷取。從特定事件類型的原始記錄中擷取。原始記錄中的 sys_ip 或其他 IP 位址會對應至 target.ip 欄位。從特定事件類型的原始記錄中擷取。從特定事件類型的原始記錄中擷取。此值由剖析器針對特定事件設定。從特定事件類型的原始記錄中擷取。從特定事件類型的原始記錄中擷取。從特定事件類型的原始記錄中擷取。 |
異動
2024-11-15
- 改善:
- 新增 Grok 模式,適用於新類型的記錄檔。
2024-10-17
- 改善:
- 新增支援新類型的記錄。
2024-10-07
- 改善:
- 新增支援新的記錄類型。
2024-09-23
- 改善:
- 新增剖析未剖析記錄的支援功能。
2024-06-25
- 改善:
- 修正 Grok 模式,將「使用者名稱」對應至「principal.user.user_display_name」。
- 已將「device_type」對應至「additional.fields」。
- 新增 Grok 模式,用於處理新類型的記錄。
2023-09-05
- 修正錯誤:
- 新增 Grok 模式,用於剖析遺失的記錄。
2023-05-05
- 修正錯誤:
- 修改 Grok 模式,以便剖析遺漏的記錄。
2023-04-26
- 修正錯誤:
- 新增對不同類型的 syslog 格式記錄支援。
2022-12-27
- 修正錯誤:
- 新增支援不同類型的 Syslog 格式記錄。
- 新增特定條件檢查,以便處理多個「event_name」。
2022-09-02
- 改善:
- 編寫 grok 來剖析未剖析的 CFC 格式記錄。
2022-06-29
- 改善:
- 剖析的記錄 event_name 為「MergeGroupCompletedEvent」
- 將「GroupManagementData」對應至「security_result.description」。
- 將「EventSource」和「EventModule」對應至「event.idm.read_only_udm.additional.fields」。
- 將「cat」對應至「security_result.category_details」。
- 如果「principal.user.userid」或「target.user.userid」存在,則將「event.idm.read_only_udm.metadata.event_type」從「GENERIC_EVENT」修改為「USER_UNCATEGORIZED」。
2022-06-20
- 改善:
- 事件類別對應至 _udm.additional.fields(event_category)
- 新增事件類型 GENERIC_EVENT,用於處理 SecurityInformation、SecurityInformationConfirmed(event_name) 的未剖析記錄
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。