Automation Anywhere-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie mithilfe eines Bindplane-Agents Automation Anywhere-Logs in Google Security Operations aufnehmen. Der Parser extrahiert wichtige Informationen aus SYSLOG- und KV-Format-Logs, wandelt sie in ein strukturiertes Format um und ordnet sie den Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) zu. So sind standardisierte Sicherheitsanalysen und Ereigniskorrelationen möglich. Dabei liegt der Schwerpunkt auf der Identifizierung von Nutzeraktionen, Ressourceninteraktionen und Sicherheitsergebnissen aus den Protokolldaten.

Hinweise

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
  • Sie benötigen einen privilegierten Zugriff auf Automation Anywhere.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profil.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Windows-Installation

  1. Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

  1. Rufen Sie die Konfigurationsdatei auf:

    1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: AUTOMATION_ANYWHERE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  • Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:

    net stop BindPlaneAgent && net start BindPlaneAgent

Syslog in Automation Anywhere konfigurieren

  1. Melden Sie sich in der Web-Benutzeroberfläche des Automation Anywhere Control Room an.
  2. Gehen Sie zu Verwaltung > Einstellungen > Netzwerkeinstellungen.
  3. Klicken Sie auf das Pluszeichen (+).
  4. Geben Sie die Details zur Syslog-Konfiguration an:
    • Syslog-Server: Bindebene-IP-Adresse.
    • Port: Bindplane-Portnummer (z. B. 514 für UDP).
    • Protokoll: Wählen Sie UDP aus.
    • Optional: User Secure Connection (Sichere Nutzerverbindung): Diese Konfiguration ist nur für die TCP-Kommunikation verfügbar.
  5. Klicken Sie auf Änderungen speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
AKTIVITÄT BEI metadata.event_timestamp Der Zeitstempel des Ereignisses wird aus dem Feld ACTIVITY AT im Rohprotokoll übernommen.
Aktion durchgeführt von target.user.userid Der Nutzer, der die Aktion ausgeführt hat, wird aus dem Feld ACTION TAKEN BY im Rohprotokoll übernommen.
AKTIONSTYP security_result.summary Eine Zusammenfassung der ausgeführten Aktion wird aus dem Feld ACTION TYPE im Rohprotokoll übernommen.
ARTIKELNAME target.file.full_path Der Name der Datei oder des Elements, das am Ereignis beteiligt ist, wird aus dem Feld ITEM NAME im Rohprotokoll übernommen.
ANSPRUCHS-ID target.user.product_object_id Eine eindeutige Kennung für die Anfrage wird aus dem Feld REQUEST ID im Rohprotokoll übernommen.
Quelle metadata.product_event_type Die Quelle des Ereignisses wird aus dem Feld SOURCE im Rohprotokoll übernommen.
QUELLENGERÄT target.hostname | target.ip Wenn das Feld SOURCE DEVICE eine gültige IP-Adresse enthält, wird es auf „target.ip“ zugeordnet. Andernfalls wird es auf „target.hostname“ zugeordnet.
STATUS security_result.action Die Sicherheitsaktion (ALLOW, BLOCK, UNKNOWN_ACTION) wird anhand des Felds STATUS im Rohprotokoll bestimmt: Successful entspricht ALLOW, Unsuccessful entspricht BLOCK und Unknown entspricht UNKNOWN_ACTION.
- metadata.event_type Der Ereignistyp wird anhand des Felds ACTION TYPE im Rohprotokoll mithilfe einer Reihe von regulären Ausdrucksübereinstimmungen ermittelt. Wenn keine Übereinstimmung gefunden wird, wird standardmäßig GENERIC_EVENT verwendet.
- metadata.log_type Legen Sie AUTOMATION_ANYWHERE fest.
- metadata.product_name Legen Sie AUTOMATION_ANYWHERE fest.
- metadata.vendor_name Legen Sie AUTOMATION_ANYWHERE fest.
- extensions.auth Für USER_LOGIN-Ereignisse wird ein leeres Objekt hinzugefügt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten