Nachdem Sie die Integration von vRealize Log Insight mit NSX Identity Firewall (IDFW) konfiguriert haben, fügen Sie einen vordefinierten externen Identitätsanbieter wie GlobalProtect oder ClearPass zur Konfiguration hinzu. Sie können auch einen benutzerdefinierten Identitätsanbieter hinzufügen.

Voraussetzungen

  • Vergewissern Sie sich, dass Sie bei der vRealize Log Insight-Web-Benutzeroberfläche als Super-Admin-Benutzer oder als Benutzer mit einer Rolle angemeldet sind, die über die entsprechenden Berechtigungen verfügt. Weitere Informationen hierzu finden Sie unter Erstellen und Ändern von Rollen. Das URL-Format der Web-Benutzeroberfläche lautet https://log-insight-host, wobei log-insight-host die IP-Adresse oder der Hostname der virtuellen vRealize Log Insight-Appliance ist.
  • Stellen Sie sicher, dass Sie über eine IDFW-Integrationskonfiguration in vRealize Log Insight verfügen.

Prozedur

  1. Erweitern Sie das Hauptmenü und navigieren Sie zu Integration > Identitätsbasierte NSX-Firewall.
  2. Klicken Sie unter Anbieter auf Neuer Anbieter.
  3. Geben Sie die folgenden Informationen ein:
    Option Beschreibung
    Name Ein eindeutiger Name für Ihren Identitätsanbieter.
    Typ

    Der Typ des Identitätsanbieters. Sie können einen vordefinierten Anbieter wie GlobalProtect oder ClearPass oder einen benutzerdefinierten Anbieter auswählen.

    Wenn Sie einen vordefinierten Anbieter auswählen, werden die regex-Muster für Benutzername, IP-Adresse, Domäne und Ereignistyp basierend auf dem Anbieter ausgefüllt. Sie können diese Werte ändern.

    Wenn Sie einen benutzerdefinierten Anbieter auswählen, müssen Sie die regex-Muster für Benutzername, IP-Adresse und Domäne eingeben.
    Benutzername Das regex-Muster zur Identifizierung des Benutzernamens in den Protokollen Ihres Anbieters.
    IP-Adresse Das regex-Muster zum Identifizieren der IP-Adresse in den Protokollen Ihres Anbieters.
    Domäne Das regex-Muster zum Identifizieren der Domäne in den Protokollen Ihres Anbieters.
    Ereignistyp

    Das regex-Muster zum Identifizieren des Ereignistyps in den Protokollen Ihres Anbieters.

    Der Ereignistyp für benutzerdefinierte Anbieter ist Anmeldung und ist nicht obligatorisch. Wenn Sie einen anderen Wert wünschen, geben Sie ein Regex-Muster ein, um den Ereignistyp zu identifizieren.
    Quelle

    Eine oder mehrere Quell-IP-Adressen oder FQDNs. Sie können mehrere Einträge durch Kommas trennen.

    vRealize Log Insight analysiert die Protokolle nur aus den Quellen, die Sie für Ihren Anbieter eingeben, um optimale Leistung und Sicherheit zu gewährleisten.
    • Um eine optimale Leistung zu gewährleisten, wendet vRealize Log Insight die regex-Muster nur auf die Protokolle aus den ausgewählten Quellen an.
    • Um die Sicherheit zu gewährleisten, sendet vRealize Log Insight nur gültige Daten aus bekannten Quellen an NSX Manager.
    Hinweis:
    • Für benutzerdefinierte Anbieter, die Protokolle über Syslog senden, werden die regex-Muster für die Felder auf die Nachricht angewendet, nicht die Syslog-Header.
    • Bei regex-Mustern wird die Groß-/Kleinschreibung beachtet.
    • Für regex-Felddefinitionen müssen Sie Java-basiertes regex verwenden.
    • Die Weiterleitung von Protokollen von einer vRealize Log Insight-Instanz kann die Quelle ändern, die für die Anbieterkonfiguration verwendet wird. Senden Sie stattdessen Protokolle direkt vom Identitätsanbieter an vRealize Log Insight.
    • Stellen Sie sicher, dass eine Anbieterquelle innerhalb des Geltungsbereichs einer NSX-IDFW-Integrationskonfiguration eindeutig ist.
    • Vordefinierte Anbieter werden für bestimmte Versionen der Identitätsanbieter konfiguriert, die in der vRealize Log Insight-Benutzeroberfläche verfügbar sind. Das vorab aufgefüllte regex-Muster ist für andere Versionen möglicherweise nicht korrekt.
  4. Klicken Sie auf Speichern.

Ergebnisse

vRealize Log Insight analysiert die Authentifizierungsprotokolle Ihres Identitätsanbieters, extrahiert Informationen über die Zuordnung von Benutzer-ID und IP und sendet die Daten an NSX Manager. Basierend auf diesen Daten definiert IDFW identitätsbasierte Firewall-Regeln und wendet die Regeln zur Zugriffssteuerung auf Benutzer an.

Beispiel: regex-Analyse für GlobalProtect- und ClearPass-Protokolle

  • Betrachten Sie das folgende Protokollbeispiel von einem GlobalProtect-Anbieter:

    Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john

    Die folgende Tabelle zeigt die Zuordnung zwischen den regex-Mustern und den Werten im Protokollbeispiel, das vRealize Log Insight an NSX Manager sendet.

    Option regex-Muster Protokollwert
    Benutzername \\(\w+)\, john
    IP-Adresse \,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\, 10.20.30.40
    Domäne \,(\w+)\\ vmware
    Ereignistyp USERID\,(\w+)\, login

  • Betrachten Sie das folgende Protokollbeispiel von einem ClearPass-Anbieter:

    2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]

    Die folgende Tabelle zeigt die Zuordnung zwischen den regex-Mustern und den Werten im Protokollbeispiel, das vRealize Log Insight an NSX Manager sendet.

    Option regex-Muster Protokollwert
    Benutzername Username=(\w+) smith
    IP-Adresse Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 10.02.20.02
    Domäne SOF6\s+(\w+) vrealize
    Ereignistyp Auth.(\w+)-Status= Login