Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Automation Anywhere

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara memasukkan log Automation Anywhere ke Google Security Operations menggunakan agen Bindplane. Parser mengekstrak informasi penting dari log format SYSLOG + KV, mengubahnya menjadi format terstruktur, dan memetakannya ke kolom Model Data Terpadu (UDM), sehingga memungkinkan analisis keamanan dan korelasi peristiwa yang standar. Fitur ini secara khusus berfokus pada identifikasi tindakan pengguna, interaksi resource, dan hasil keamanan dari data log.

Sebelum memulai

Pastikan Anda memiliki instance Google SecOps.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses istimewa ke Automation Anywhere.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: AUTOMATION_ANYWHERE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog di Automation Anywhere

Login ke UI web Automation Anywhere Control Room.
Buka Administrasi > Setelan > Setelan jaringan.
Klik plus (+).
Berikan detail konfigurasi syslog:
- Server Syslog: Alamat IP Bindplane.
- Port: Nomor port Bindplane (misalnya, 514 untuk UDP).
- Protocol: Pilih UDP.
- Opsional: Koneksi Aman Pengguna: Konfigurasi ini hanya tersedia untuk komunikasi TCP.
Klik Simpan perubahan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
AKTIVITAS DI	metadata.event_timestamp	Stempel waktu peristiwa diambil dari kolom `ACTIVITY AT` dalam log mentah.
TINDAKAN YANG DIAMBIL OLEH	target.user.userid	Pengguna yang melakukan tindakan diambil dari kolom `ACTION TAKEN BY` di log mentah.
JENIS TINDAKAN	security_result.summary	Ringkasan tindakan yang dilakukan diambil dari kolom `ACTION TYPE` di log mentah.
NAMA ITEM	target.file.full_path	Nama file atau item yang terlibat dalam peristiwa diambil dari kolom `ITEM NAME` dalam log mentah.
ID PERMINTAAN	target.user.product_object_id	ID unik untuk permintaan diambil dari kolom `REQUEST ID` dalam log mentah.
SUMBER	metadata.product_event_type	Sumber peristiwa diambil dari kolom `SOURCE` dalam log mentah.
PERANGKAT SUMBER	target.hostname \| target.ip	Jika kolom `SOURCE DEVICE` berisi alamat IP yang valid, kolom tersebut dipetakan ke target.ip. Jika tidak, nilai ini dipetakan ke target.hostname.
STATUS	security_result.action	Tindakan keamanan (ALLOW, BLOCK, UNKNOWN_ACTION) ditentukan berdasarkan kolom `STATUS` dalam log mentah: `Successful` dipetakan ke ALLOW, `Unsuccessful` dipetakan ke BLOCK, `Unknown` dipetakan ke UNKNOWN_ACTION.
-	metadata.event_type	Jenis peristiwa ditentukan berdasarkan kolom `ACTION TYPE` di log mentah menggunakan serangkaian pencocokan ekspresi reguler. Jika tidak ditemukan kecocokan, setelan defaultnya adalah `GENERIC_EVENT`.
-	metadata.log_type	Tetapkan ke `AUTOMATION_ANYWHERE`.
-	metadata.product_name	Tetapkan ke `AUTOMATION_ANYWHERE`.
-	metadata.vendor_name	Tetapkan ke `AUTOMATION_ANYWHERE`.
-	extensions.auth	Objek kosong ditambahkan untuk peristiwa USER_LOGIN.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.