Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Automation Anywhere

Compatible avec:

Google SecOps Siem

Ce document explique comment ingérer les journaux Automation Anywhere dans Google Security Operations à l'aide d'un agent Bindplane. L'analyseur extrait les informations clés des journaux au format SYSLOG + KV, les transforme en format structuré et les met en correspondance avec les champs du modèle de données unifié (UDM), ce qui permet d'effectuer une analyse de sécurité standardisée et une corrélation d'événements. Elle se concentre spécifiquement sur l'identification des actions des utilisateurs, des interactions avec les ressources et des résultats de sécurité à partir des données de journal.

Avant de commencer

Assurez-vous de disposer d'une instance Google SecOps.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès privilégié à Automation Anywhere.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir le numéro client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Profil.
Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.

Installer l'agent Bindplane

Installation de Windows

Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec des droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Autres ressources d'installation

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps

Accédez au fichier de configuration:
1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (nano, vi ou Bloc-notes, par exemple).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: AUTOMATION_ANYWHERE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP dans votre infrastructure si nécessaire.
Remplacez <customer_id> par le numéro client réel.
Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante:
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog sur Automation Anywhere

Connectez-vous à l'interface utilisateur Web de la salle de contrôle Automation Anywhere.
Accédez à Administration > Paramètres > Paramètres réseau.
Cliquez sur le signe plus (+).
Fournissez les informations de configuration de Syslog :
- Serveur Syslog: adresse IP de Bindplane.
- Port: numéro de port Bindplane (par exemple, 514 pour UDP).
- Protocole: sélectionnez UDP.
- Facultatif: Connexion sécurisée de l'utilisateur: cette configuration n'est disponible que pour la communication TCP.
Cliquez sur Enregistrer les modifications.

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
ACTIVITÉ À	metadata.event_timestamp	L'horodatage de l'événement est extrait du champ `ACTIVITY AT` du journal brut.
ACTION EXÉCUTÉE PAR	target.user.userid	L'utilisateur qui a effectué l'action est extrait du champ `ACTION TAKEN BY` du journal brut.
TYPE D'ACTION	security_result.summary	Un résumé de l'action effectuée est extrait du champ `ACTION TYPE` du journal brut.
NOM DE L'ARTICLE	target.file.full_path	Le nom du fichier ou de l'élément impliqué dans l'événement est extrait du champ `ITEM NAME` du journal brut.
NUMÉRO DE DEMANDE	target.user.product_object_id	Un identifiant unique de la requête est extrait du champ `REQUEST ID` du journal brut.
SOURCE	metadata.product_event_type	La source de l'événement est extraite du champ `SOURCE` du journal brut.
APPAREIL SOURCE	target.hostname \| target.ip	Si le champ `SOURCE DEVICE` contient une adresse IP valide, il est mappé sur target.ip. Sinon, il est mappé sur target.hostname.
ÉTAT	security_result.action	L'action de sécurité (ALLOW, BLOCK, UNKNOWN_ACTION) est déterminée en fonction du champ `STATUS` du journal brut: `Successful` est mappé sur ALLOW, `Unsuccessful` sur BLOCK et `Unknown` sur UNKNOWN_ACTION.
-	metadata.event_type	Le type d'événement est déterminé en fonction du champ `ACTION TYPE` du journal brut à l'aide d'une série de correspondances d'expressions régulières. Si aucune correspondance n'est trouvée, la valeur par défaut est `GENERIC_EVENT`.
-	metadata.log_type	Variable définie sur `AUTOMATION_ANYWHERE`.
-	metadata.product_name	Variable définie sur `AUTOMATION_ANYWHERE`.
-	metadata.vendor_name	Variable définie sur `AUTOMATION_ANYWHERE`.
-	extensions.auth	Un objet vide est ajouté pour les événements USER_LOGIN.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.