NSX Identity Firewall 統合への ID プロバイダの追加

VMware Aria Operations for Logs と NSX Identity Firewall (IDFW) との統合を構成した後、GlobalProtect や ClearPass などの事前定義済みのサードパーティ ID プロバイダを構成に追加します。カスタムの ID プロバイダを追加することもできます。

前提条件

スーパー管理者ユーザー、または関連する権限を持つロールに関連付けられたユーザーとして VMware Aria Operations for Logs の Web ユーザーインターフェイスにログインしていることを確認します。詳細については、ロールの作成と変更を参照してください。Web ユーザーインターフェイスの URL 形式は https://operations-for-logs-host です。operations-for-logs-host は VMware Aria Operations for Logs 仮想アプライアンスの IP アドレスまたはホスト名です。
VMware Aria Operations for Logs に IDFW 統合構成があることを確認します。

手順

メインメニューを展開し、[統合] > [NSX Identity Firewall] に移動します。
[プロバイダ] で、[新規プロバイダ] をクリックします。

次の情報を入力します。


オプション	説明
[名前]	ID プロバイダの一意の名前。
[タイプ]	ID プロバイダのタイプ。事前定義されたプロバイダ（GlobalProtect や ClearPass など）、またはカスタムプロバイダを選択できます。事前定義されたプロバイダを選択する場合は、[ユーザー名]、[IP アドレス]、[ドメイン]、および [イベントタイプ] の正規表現パターンがプロバイダに基づいて入力されます。これらの値は変更できます。カスタムプロバイダを選択する場合は、[ユーザー名]、[IP アドレス]、および [ドメイン] の正規表現パターンを入力する必要があります。
[ユーザー名]	プロバイダからのログでユーザー名を特定するための正規表現パターン。
[IP アドレス]	プロバイダからのログで IP アドレスを特定するための正規表現パターン。
[ドメイン]	プロバイダからのログでドメインを特定するための正規表現パターン。
[イベントタイプ]	プロバイダからのログでイベントタイプを特定するための正規表現パターン。カスタムプロバイダのイベントタイプは `ログイン` であり、必須ではありません。別の値が必要な場合は、イベントタイプを識別する正規表現パターンを入力します。
[ソース]	1 つ以上のソース IP アドレスまたは FQDN。カンマを使用して複数のエントリを区切ることができます。最適なパフォーマンスとセキュリティを確保するために、 VMware Aria Operations for Logs はプロバイダに入力したソースからのログのみを解析します。最適なパフォーマンスを確保するため、VMware Aria Operations for Logs は選択したソースからのログにのみ正規表現パターンを適用します。セキュリティを確保するため、VMware Aria Operations for Logs は既知のソースから有効なデータのみを NSX Manager に送信します。

注：

Syslog を介してログを送信しているカスタムプロバイダの場合、フィールドの正規表現パターンが Syslog ヘッダーではなく、メッセージに適用されます。
正規表現パターンでは大文字と小文字が区別されます。
正規表現のフィールド定義には、Java ベースの正規表現を使用する必要があります。
VMware Aria Operations for Logs インスタンスのログを転送すると、プロバイダ構成に使用されるソースを変更できます。代わりに、ログを ID プロバイダから VMware Aria Operations for Logs に直接送信します。
プロバイダソースが NSX IDFW 統合構成の範囲内で一意であることを確認します。
事前定義されたプロバイダは、特定のバージョンの ID プロバイダ用に構成されており、VMware Aria Operations for Logs ユーザーインターフェイスで使用できます。他のバージョンでは、事前入力された正規表現パターンが正確でない場合があります。

[保存] をクリックします。

結果

VMware Aria Operations for Logs は、ID プロバイダからの認証ログを解析し、ユーザー ID と IP アドレスのマッピング情報を抽出して、データを NSX Manager に送信します。このデータに基づいて、IDFW は ID ベースのファイアウォールルールを定義し、アクセスコントロールのルールをユーザーに適用します。

例: GlobalProtect および ClearPass のログの正規表現解析

GlobalProtect プロバイダからの次のログサンプルを考えます。

Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john

次の表に、VMware Aria Operations for Logs が NSX Manager に送信するログサンプルの正規表現パターンと値のマッピングを示します。


オプション	正規表現パターン	ログ値
[ユーザー名]	`\\(\w+)\,`	`john`
[IP アドレス]	`\,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\,`	`10.20.30.40`
[ドメイン]	`\,(\w+)\\`	`vmware`
[イベントタイプ]	`USERID\,(\w+)\,`	`login`

ClearPass プロバイダからの次のログサンプルを考えます。

2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]

次の表に、VMware Aria Operations for Logs が NSX Manager に送信するログサンプルの正規表現パターンと値のマッピングを示します。


オプション	正規表現パターン	ログ値
[ユーザー名]	`Username=(\w+)`	`smith`
[IP アドレス]	`Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})`	`10.02.20.02`
[ドメイン]	`SOF6\s+(\w+)`	`vrealize`
[イベントタイプ]	`Auth.(\w+)-Status=`	`Login`