Mengumpulkan log Automation Anywhere

Didukung di:

Dokumen ini menjelaskan cara menyerap log Automation Anywhere ke Google Security Operations menggunakan agen Bindplane. Parser mengekstrak informasi penting dari log format SYSLOG + KV, mengubahnya menjadi format terstruktur, dan memetakan ke kolom Unified Data Model (UDM), sehingga memungkinkan analisis keamanan standar dan korelasi peristiwa. Analisis ini secara khusus berfokus pada identifikasi tindakan pengguna, interaksi resource, dan hasil keamanan dari data log.

Sebelum memulai

  • Pastikan Anda memiliki instance Google SecOps.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di balik proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Automation Anywhere.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

  1. Akses file konfigurasi:

    1. Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

  2. Edit file config.yaml sebagai berikut:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: AUTOMATION_ANYWHERE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

  4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

  5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent

  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent

Mengonfigurasi Syslog di Automation Anywhere

  1. Login ke UI web Automation Anywhere Control Room.
  2. Buka Administrasi > Setelan > Setelan jaringan.
  3. Klik plus (+).
  4. Berikan detail konfigurasi syslog:
    • Server syslog: Alamat IP Bindplane.
    • Port: Nomor port Bindplane (misalnya, 514 untuk UDP).
    • Protocol: Pilih UDP.
    • Opsional: Koneksi Aman Pengguna: Konfigurasi ini hanya tersedia untuk komunikasi TCP.
  5. Klik Simpan perubahan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
AKTIVITAS DI metadata.event_timestamp Stempel waktu peristiwa diambil dari kolom ACTIVITY AT dalam log mentah.
TINDAKAN YANG DIAMBIL OLEH target.user.userid Pengguna yang melakukan tindakan diambil dari kolom ACTION TAKEN BY dalam log mentah.
JENIS TINDAKAN security_result.summary Ringkasan tindakan yang diambil diambil dari kolom ACTION TYPE dalam log mentah.
NAMA ITEM target.file.full_path Nama file atau item yang terlibat dalam peristiwa diambil dari kolom ITEM NAME dalam log mentah.
ID PERMINTAAN target.user.product_object_id ID unik untuk permintaan diambil dari kolom REQUEST ID dalam log mentah.
SUMBER metadata.product_event_type Sumber peristiwa diambil dari kolom SOURCE dalam log mentah.
PERANGKAT SUMBER target.hostname | target.ip Jika berisi alamat IP yang valid, kolom SOURCE DEVICE akan dipetakan ke target.ip. Jika tidak, nama host akan dipetakan ke target.hostname.
STATUS security_result.action Tindakan keamanan (ALLOW, BLOCK, UNKNOWN_ACTION) ditentukan berdasarkan kolom STATUS dalam log mentah: Successful dipetakan ke ALLOW, Unsuccessful dipetakan ke BLOCK, Unknown dipetakan ke UNKNOWN_ACTION.
- metadata.event_type Jenis peristiwa ditentukan berdasarkan kolom ACTION TYPE dalam log mentah menggunakan serangkaian pencocokan ekspresi reguler. Jika tidak ditemukan kecocokan, setelan defaultnya adalah GENERIC_EVENT.
- metadata.log_type Tetapkan ke AUTOMATION_ANYWHERE.
- metadata.product_name Tetapkan ke AUTOMATION_ANYWHERE.
- metadata.vendor_name Tetapkan ke AUTOMATION_ANYWHERE.
- extensions.auth Objek kosong ditambahkan untuk peristiwa USER_LOGIN.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.