Hinzufügen eines Identitätsanbieters zu einer NSX Identity Firewall-Integration

Nachdem Sie die Integration von VMware Aria Operations for Logs mit NSX Identity Firewall (IDFW) konfiguriert haben, fügen Sie einen vordefinierten externen Identitätsanbieter wie GlobalProtect oder ClearPass zur Konfiguration hinzu. Sie können auch einen benutzerdefinierten Identitätsanbieter hinzufügen.

Voraussetzungen

Vergewissern Sie sich, dass Sie bei der VMware Aria Operations for Logs-Web-Benutzeroberfläche als Super-Admin-Benutzer oder als Benutzer mit einer Rolle angemeldet sind, die über die entsprechenden Berechtigungen verfügt. Weitere Informationen finden Sie unter Erstellen und Ändern von Rollen. Das URL-Format der Web-Benutzeroberfläche lautet https://operations-for-logs-host, wobei operations-for-logs-host die IP-Adresse oder der Hostname der virtuellen VMware Aria Operations for Logs-Appliance ist.
Stellen Sie sicher, dass Sie über eine IDFW-Integrationskonfiguration in VMware Aria Operations for Logs verfügen.

Prozedur

Erweitern Sie das Hauptmenü und navigieren Sie zu Integration > Identitätsbasierte NSX-Firewall.
Klicken Sie unter Anbieter auf Neuer Anbieter.

Geben Sie die folgenden Informationen ein:


Option	Beschreibung
Name	Ein eindeutiger Name für Ihren Identitätsanbieter.
Typ	Der Typ des Identitätsanbieters. Sie können einen vordefinierten Anbieter wie GlobalProtect oder ClearPass oder einen benutzerdefinierten Anbieter auswählen. Wenn Sie einen vordefinierten Anbieter auswählen, werden die regex-Muster für Benutzername, IP-Adresse, Domäne und Ereignistyp basierend auf dem Anbieter ausgefüllt. Sie können diese Werte ändern. Wenn Sie einen benutzerdefinierten Anbieter auswählen, müssen Sie die regex-Muster für Benutzername, IP-Adresse und Domäne eingeben.
Benutzername	Das regex-Muster zur Identifizierung des Benutzernamens in den Protokollen Ihres Anbieters.
IP-Adresse	Das regex-Muster zum Identifizieren der IP-Adresse in den Protokollen Ihres Anbieters.
Domäne	Das regex-Muster zum Identifizieren der Domäne in den Protokollen Ihres Anbieters.
Ereignistyp	Das regex-Muster zum Identifizieren des Ereignistyps in den Protokollen Ihres Anbieters. Der Ereignistyp für benutzerdefinierte Anbieter ist `Anmeldung` und ist nicht obligatorisch. Wenn Sie einen anderen Wert wünschen, geben Sie ein Regex-Muster ein, um den Ereignistyp zu identifizieren.
Quelle	Eine oder mehrere Quell-IP-Adressen oder FQDNs. Sie können mehrere Einträge durch Kommas trennen. VMware Aria Operations for Logs analysiert die Protokolle nur aus den Quellen, die Sie für Ihren Anbieter eingeben, um optimale Leistung und Sicherheit zu gewährleisten. Um eine optimale Leistung zu gewährleisten, wendet VMware Aria Operations for Logs die regex-Muster nur auf die Protokolle aus den ausgewählten Quellen an. Um die Sicherheit zu gewährleisten, sendet VMware Aria Operations for Logs nur gültige Daten aus bekannten Quellen an NSX Manager.

Hinweis:

Für benutzerdefinierte Anbieter, die Protokolle über Syslog senden, werden die regex-Muster für die Felder auf die Nachricht angewendet, nicht die Syslog-Header.
Bei regex-Mustern wird die Groß-/Kleinschreibung beachtet.
Für regex-Felddefinitionen müssen Sie Java-basiertes regex verwenden.
Die Weiterleitung von Protokollen von einer VMware Aria Operations for Logs-Instanz kann die Quelle ändern, die für die Anbieterkonfiguration verwendet wird. Senden Sie stattdessen Protokolle direkt vom Identitätsanbieter an VMware Aria Operations for Logs.
Stellen Sie sicher, dass eine Anbieterquelle innerhalb des Geltungsbereichs einer NSX-IDFW-Integrationskonfiguration eindeutig ist.
Vordefinierte Anbieter werden für bestimmte Versionen der Identitätsanbieter konfiguriert, die in der VMware Aria Operations for Logs-Benutzeroberfläche verfügbar sind. Das vorab aufgefüllte regex-Muster ist für andere Versionen möglicherweise nicht korrekt.

Klicken Sie auf Speichern.

Ergebnisse

VMware Aria Operations for Logs analysiert die Authentifizierungsprotokolle Ihres Identitätsanbieters, extrahiert Informationen über die Zuordnung von Benutzer-ID und IP und sendet die Daten an NSX Manager. Basierend auf diesen Daten definiert IDFW identitätsbasierte Firewall-Regeln und wendet die Regeln zur Zugriffssteuerung auf Benutzer an.

Beispiel: regex-Analyse für GlobalProtect- und ClearPass-Protokolle

Betrachten Sie das folgende Protokollbeispiel von einem GlobalProtect-Anbieter:

Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john

Die folgende Tabelle zeigt die Zuordnung zwischen den regex-Mustern und den Werten im Protokollbeispiel, das VMware Aria Operations for Logs an NSX Manager sendet.


Option	regex-Muster	Protokollwert
Benutzername	`\\(\w+)\,`	`john`
IP-Adresse	`\,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\,`	`10.20.30.40`
Domäne	`\,(\w+)\\`	`vmware`
Ereignistyp	`USERID\,(\w+)\,`	`login`

Betrachten Sie das folgende Protokollbeispiel von einem ClearPass-Anbieter:

2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]

Die folgende Tabelle zeigt die Zuordnung zwischen den regex-Mustern und den Werten im Protokollbeispiel, das VMware Aria Operations for Logs an NSX Manager sendet.


Option	regex-Muster	Protokollwert
Benutzername	`Username=(\w+)`	`smith`
IP-Adresse	`Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})`	`10.02.20.02`
Domäne	`SOF6\s+(\w+)`	`vrealize`
Ereignistyp	`Auth.(\w+)-Status=`	`Login`