Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Automation Anywhere

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Automation Anywhere dans Google Security Operations à l'aide d'un agent Bindplane. L'analyseur extrait les informations clés des journaux au format SYSLOG+KV, les transforme en un format structuré et les mappe aux champs du modèle de données unifié (UDM), ce qui permet une analyse de sécurité et une corrélation des événements standardisées. Il se concentre plus particulièrement sur l'identification des actions des utilisateurs, des interactions avec les ressources et des résultats de sécurité à partir des données de journaux.

Avant de commencer

Assurez-vous de disposer d'une instance Google SecOps.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès privilégié à Automation Anywhere.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: AUTOMATION_ANYWHERE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog sur Automation Anywhere

Connectez-vous à l'interface utilisateur Web Automation Anywhere Control Room.
Accédez à Administration > Paramètres > Paramètres réseau.
Cliquez sur plus (+).
Fournissez les informations de configuration de Syslog :
- Serveur Syslog : adresse IP Bindplane.
- Port : numéro de port Bindplane (par exemple, 514 pour UDP).
- Protocole : sélectionnez UDP.
- Facultatif : Connexion sécurisée de l'utilisateur : cette configuration n'est disponible que pour la communication TCP.
Cliquez sur Enregistrer les modifications.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
ACTIVITÉ À	metadata.event_timestamp	L'horodatage de l'événement est extrait du champ `ACTIVITY AT` du journal brut.
ACTION EXÉCUTÉE PAR	target.user.userid	L'utilisateur ayant effectué l'action est extrait du champ `ACTION TAKEN BY` du journal brut.
TYPE D'ACTION	security_result.summary	Un résumé de l'action entreprise est extrait du champ `ACTION TYPE` du journal brut.
NOM DE L'ARTICLE	target.file.full_path	Le nom du fichier ou de l'élément concerné par l'événement est extrait du champ `ITEM NAME` du journal brut.
NUMÉRO DE DEMANDE	target.user.product_object_id	Un identifiant unique de la requête est extrait du champ `REQUEST ID` du journal brut.
SOURCE	metadata.product_event_type	La source de l'événement est extraite du champ `SOURCE` du journal brut.
APPAREIL SOURCE	target.hostname \| target.ip	Si le champ `SOURCE DEVICE` contient une adresse IP valide, il est mappé sur target.ip. Sinon, il est mappé sur target.hostname.
ÉTAT	security_result.action	L'action de sécurité (ALLOW, BLOCK, UNKNOWN_ACTION) est déterminée en fonction du champ `STATUS` dans le journal brut : `Successful` correspond à ALLOW, `Unsuccessful` correspond à BLOCK et `Unknown` correspond à UNKNOWN_ACTION.
-	metadata.event_type	Le type d'événement est déterminé en fonction du champ `ACTION TYPE` du journal brut à l'aide d'une série de correspondances d'expressions régulières. Si aucune correspondance n'est trouvée, la valeur par défaut est `GENERIC_EVENT`.
-	metadata.log_type	Variable définie sur `AUTOMATION_ANYWHERE`.
-	metadata.product_name	Variable définie sur `AUTOMATION_ANYWHERE`.
-	metadata.vendor_name	Variable définie sur `AUTOMATION_ANYWHERE`.
-	extensions.auth	Un objet vide est ajouté pour les événements USER_LOGIN.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.