Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Automation Anywhere

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Automation Anywhere a Google Security Operations con un agente de Bindplane. El analizador extrae información clave de los registros en formato SYSLOG + KV, la transforma en un formato estructurado y la asigna a los campos del modelo de datos unificado (UDM), lo que permite un análisis de seguridad estandarizado y una correlación de eventos. Se enfoca específicamente en identificar las acciones del usuario, las interacciones con los recursos y los resultados de seguridad a partir de los datos de registro.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a Automation Anywhere.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: AUTOMATION_ANYWHERE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Cómo configurar Syslog en Automation Anywhere

Accede a la IU web de la Sala de control de Automation Anywhere.
Ve a Administración > Configuración > Configuración de red.
Haz clic en más (+).
Proporciona los detalles de configuración de Syslog:
- Servidor Syslog: Dirección IP de Bindplane.
- Puerto: Número de puerto de Bindplane (por ejemplo, 514 para UDP).
- Protocolo: Selecciona UDP.
- Opcional: Conexión segura del usuario: Esta configuración solo está disponible para la comunicación TCP.
Haz clic en Guardar cambios.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
ACTIVIDAD EN	metadata.event_timestamp	La marca de tiempo del evento se toma del campo `ACTIVITY AT` en el registro sin procesar.
ACCIÓN REALIZADA POR	target.user.userid	El usuario que realizó la acción se toma del campo `ACTION TAKEN BY` en el registro sin procesar.
TIPO DE ACCIÓN	security_result.summary	El resumen de la acción realizada se toma del campo `ACTION TYPE` en el registro sin procesar.
NOMBRE DEL ARTÍCULO	target.file.full_path	El nombre del archivo o elemento involucrado en el evento se toma del campo `ITEM NAME` en el registro sin procesar.
ID DE SOLICITUD	target.user.product_object_id	Se toma un identificador único para la solicitud del campo `REQUEST ID` en el registro sin procesar.
FUENTE	metadata.product_event_type	La fuente del evento se toma del campo `SOURCE` en el registro sin procesar.
DISPOSITIVO FUENTE	target.hostname \| target.ip	Si el campo `SOURCE DEVICE` contiene una dirección IP válida, se asigna a target.ip. De lo contrario, se asigna a target.hostname.
ESTADO	security_result.action	La acción de seguridad (ALLOW, BLOCK, UNKNOWN_ACTION) se determina según el campo `STATUS` en el registro sin procesar: `Successful` se asigna a ALLOW, `Unsuccessful` se asigna a BLOCK y `Unknown` se asigna a UNKNOWN_ACTION.
-	metadata.event_type	El tipo de evento se determina en función del campo `ACTION TYPE` del registro sin procesar con una serie de coincidencias de expresiones regulares. Si no se encuentra ninguna coincidencia, se establece el valor predeterminado `GENERIC_EVENT`.
-	metadata.log_type	Se define en `AUTOMATION_ANYWHERE`.
-	metadata.product_name	Se define en `AUTOMATION_ANYWHERE`.
-	metadata.vendor_name	Se define en `AUTOMATION_ANYWHERE`.
-	extensions.auth	Se agrega un objeto vacío para los eventos USER_LOGIN.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.