設定 VMware Aria Operations for LogsNSX Identity Firewall (IDFW) 的整合後,將預先定義的第三方身分識別提供者 (例如 GlobalProtectClearPass) 新增至組態。您也可以新增自訂身分識別提供者。

必要條件

  • 確認您是以超級管理員使用者身分,或是以其相關聯角色具有相關權限的使用者身分,來登入 VMware Aria Operations for Logs Web 使用者介面。如需詳細資訊,請參閱建立和修改角色。Web 使用者介面的 URL 格式為 https://operations-for-logs-host,其中,operations-for-logs-hostVMware Aria Operations for Logs 虛擬應用裝置的 IP 位址或主機名稱。
  • 確認您在 VMware Aria Operations for Logs 中有 IDFW 整合組態。

程序

  1. 展開主功能表,並導覽至整合 > NSX 身分識別防火牆
  2. 在 [提供者] 下,按一下新增提供者
  3. 輸入以下資訊:
    選項 說明
    名稱 身分識別提供者的唯一名稱。
    類型

    身分識別提供者類型。您可以選取預先定義的提供者 (例如 GlobalProtectClearPass),或自訂提供者。

    如果您選取預先定義的提供者,則會根據提供者來填入使用者名稱IP 位址網域事件類型Regex 模式。您可以修改這些值。

    如果您選取自訂提供者,則必須輸入使用者名稱IP 位址網域Regex 模式。

    使用者名稱 在提供者的記錄中用於識別使用者名稱的 Regex 模式。
    IP 位址 在提供者的記錄中用於識別 IP 位址的 Regex 模式。
    網域 在提供者的記錄中用於識別網域的 Regex 模式。
    事件類型

    在提供者的記錄中用於識別事件類型的 Regex 模式。

    自訂提供者的事件類型為登入,並非強制性選項。如果需要其他值,請輸入 Regex 模式以識別事件類型。

    來源

    一或多個來源 IP 位址或 FQDN。您可以使用逗號分隔多個項目。

    為確保最佳效能和安全性, VMware Aria Operations for Logs 僅剖析您為提供者輸入的來源所傳來的記錄。
    • 為確保最佳效能,VMware Aria Operations for Logs 僅將 Regex 模式套用至所選來源的記錄。
    • 為確保安全性,VMware Aria Operations for Logs 僅將已知來源的有效資料傳送至 NSX Manager
    備註:
    • 對於透過 Syslog 傳送記錄的自訂提供者,欄位的 Regex 模式會套用至訊息,而不是 Syslog 標頭。
    • Regex 模式區分大小寫。
    • 對於 Regex 欄位定義,您必須使用 Java 型 Regex
    • VMware Aria Operations for Logs 執行個體轉送記錄可能會變更用於提供者組態的來源。請改為將記錄直接從身分識別提供者傳送至 VMware Aria Operations for Logs
    • 確保提供者來源在 NSX IDFW 整合組態範圍內是唯一的。
    • 某些版本的身分識別提供者已設定預先定義的提供者,在 VMware Aria Operations for Logs 使用者介面中供您使用。對於其他版本來說,預先填入的 Regex 模式可能不準確。
  4. 按一下儲存

結果

VMware Aria Operations for Logs 會剖析身分識別提供者的驗證記錄、擷取使用者識別碼對 IP 對應資訊,以及將資料傳送至 NSX Manager。IDFW 根據此資料來定義基於身分的防火牆規則,並將規則套用至使用者以控制存取。

範例: GlobalProtect 和 ClearPass 記錄的 Regex 剖析

  • 以下是來自 GlobalProtect 提供者的記錄範例:

    Apr 8 14:35:19 PA-500-GW-1-EAT1 1,2021/04/08 14:35:19,009401010000,USERID,login,2049,2021/04/08 14:35:19,vsys1,10.20.30.40,vmware\john,UID-SJC31,0,1,10800,0,0,agent,,79021111,0x8000000000000000,0,0,0,0,,PA-500-GW-1-EAT1,1,,2021/04/08 14:35:28,1,0x80000000,vmware\john

    下表顯示 Regex 模式與記錄範例 (由 VMware Aria Operations for Logs 傳送至 NSX Manager) 的值之間的對應。

    選項 Regex 模式 記錄值
    使用者名稱 \\(\w+)\, john
    IP 位址 \,(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\, 10.20.30.40
    網域 \,(\w+)\\ vmware
    事件類型 USERID\,(\w+)\, login
  • 以下是來自 ClearPass 提供者的記錄範例:

    2021-08-19 13:47:46,797 10.10.100.10 Insight Logs 10000111 1 0 Auth.Username=smith,Auth.Service=SOF6 vrealize SSID EAP-TLS Service,Auth.NAS-IP-Address=10.02.20.02,Auth.Host-MAC-Address=111aaaaab10b,Auth.Protocol=RADIUS,Auth.Login-Status=9002,Auth.Enforcement-Profiles=[Deny Access Profile]

    下表顯示 Regex 模式與記錄範例 (由 VMware Aria Operations for Logs 傳送至 NSX Manager) 的值之間的對應。

    選項 Regex 模式 記錄值
    使用者名稱 Username=(\w+) smith
    IP 位址 Address=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 10.02.20.02
    網域 SOF6\s+(\w+) vrealize
    事件類型 Auth.(\w+)-Status= Login