Diese Seite wurde von der Cloud Translation API übersetzt.

Automation Anywhere-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Automation Anywhere-Logs mithilfe eines Bindplane-Agents in Google Security Operations aufnehmen. Der Parser extrahiert wichtige Informationen aus Protokollen im SYSLOG- und KV-Format, wandelt sie in ein strukturiertes Format um und ordnet sie den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) zu. So können standardisierte Sicherheitsanalysen und Ereigniskorrelationen durchgeführt werden. Dabei geht es insbesondere darum, Nutzeraktionen, Ressourceninteraktionen und Sicherheitsergebnisse aus den Protokolldaten zu ermitteln.

Hinweise

Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
Sie benötigen privilegierten Zugriff auf Automation Anywhere.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Greifen Sie auf die Konfigurationsdatei zu:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: AUTOMATION_ANYWHERE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog in Automation Anywhere konfigurieren

Melden Sie sich in der Web-UI des Automation Anywhere Control Room an.
Gehen Sie zu Verwaltung > Einstellungen > Netzwerkeinstellungen.
Klicken Sie auf das Pluszeichen (+).
Geben Sie die Syslog-Konfigurationsdetails an:
- Syslog-Server: Bindplane-IP-Adresse.
- Port: Bindplane-Portnummer (z. B. 514 für UDP).
- Protokoll: Wählen Sie UDP aus.
- Optional: User Secure Connection (Sichere Nutzerverbindung): Diese Konfiguration ist nur für die TCP-Kommunikation verfügbar.
Klicken Sie auf Änderungen speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
AKTIVITÄT UM	metadata.event_timestamp	Der Zeitstempel des Ereignisses stammt aus dem Feld `ACTIVITY AT` im Rohlog.
Aktion durchgeführt von	target.user.userid	Der Nutzer, der die Aktion ausgeführt hat, wird aus dem Feld `ACTION TAKEN BY` im Rohlog übernommen.
AKTIONSTYP	security_result.summary	Eine Zusammenfassung der ergriffenen Maßnahme wird aus dem Feld `ACTION TYPE` im Rohlog entnommen.
ARTIKELNAME	target.file.full_path	Der Name der Datei oder des Elements, das am Ereignis beteiligt ist, wird aus dem Feld `ITEM NAME` im Rohlog übernommen.
ANTRAGS-ID	target.user.product_object_id	Eine eindeutige Kennung für die Anfrage wird aus dem Feld `REQUEST ID` im Rohlog entnommen.
Quelle	metadata.product_event_type	Die Quelle des Ereignisses stammt aus dem Feld `SOURCE` im Rohlog.
QUELLE	target.hostname \| target.ip	Wenn das Feld `SOURCE DEVICE` eine gültige IP-Adresse enthält, wird es target.ip zugeordnet. Andernfalls wird sie target.hostname zugeordnet.
STATUS	security_result.action	Die Sicherheitsaktion (ALLOW, BLOCK, UNKNOWN_ACTION) wird anhand des Felds `STATUS` im Rohlog bestimmt: `Successful` entspricht ALLOW, `Unsuccessful` entspricht BLOCK und `Unknown` entspricht UNKNOWN_ACTION.
-	metadata.event_type	Der Ereignistyp wird anhand des Felds `ACTION TYPE` im Rohlog mithilfe einer Reihe von Abgleichen mit regulären Ausdrücken bestimmt. Wenn keine Übereinstimmung gefunden wird, wird standardmäßig `GENERIC_EVENT` verwendet.
-	metadata.log_type	Legen Sie `AUTOMATION_ANYWHERE` fest.
-	metadata.product_name	Legen Sie `AUTOMATION_ANYWHERE` fest.
-	metadata.vendor_name	Legen Sie `AUTOMATION_ANYWHERE` fest.
-	extensions.auth	Für USER_LOGIN-Ereignisse wird ein leeres Objekt hinzugefügt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten