Automation Anywhere 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 Automation Anywhere 로그를 Google Security Operations로 처리하는 방법을 설명합니다. 파서는 SYSLOG + KV 형식 로그에서 주요 정보를 추출하여 구조화된 형식으로 변환하고 통합 데이터 모델 (UDM) 필드에 매핑하여 표준화된 보안 분석 및 이벤트 상관 분석을 지원합니다. 특히 로그 데이터에서 사용자 작업, 리소스 상호작용, 보안 결과를 식별하는 데 중점을 둡니다.
시작하기 전에
- Google SecOps 인스턴스가 있는지 확인합니다.
- Windows 2016 이상을 사용 중이거나
systemd와 함께 Linux 호스트를 사용하고 있는지 확인합니다. - 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
- Automation Anywhere에 대한 액세스 권한이 있는지 확인합니다.
Google SecOps 처리 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 처리 인증 파일을 다운로드합니다. Bindplane가 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
Windows 설치
- 관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
- 추가 설치 옵션은 이 설치 가이드를 참고하세요.
Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일에 액세스합니다.
config.yaml파일을 찾습니다. 일반적으로 Linux의/etc/bindplane-agent/디렉터리 또는 Windows의 설치 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano,vi, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: AUTOMATION_ANYWHERE raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels인프라에서 필요에 따라 포트와 IP 주소를 바꿉니다.
<customer_id>를 실제 고객 ID로 바꿉니다.Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json를 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart bindplane-agentWindows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
Automation Anywhere에서 Syslog 구성
- Automation Anywhere 관제실 웹 UI에 로그인합니다.
- 관리 > 설정 > 네트워크 설정으로 이동합니다.
- 더하기 (+)를 클릭합니다.
- syslog 구성 세부정보를 제공합니다.
- Syslog 서버: Bindplane IP 주소입니다.
- 포트: 바인드플레인 포트 번호입니다 (예: UDP의 경우
514). - 프로토콜: UDP를 선택합니다.
- 선택사항: 사용자 보안 연결: 이 구성은 TCP 통신에만 사용할 수 있습니다.
- 변경사항 저장을 클릭합니다.
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| 활동 위치 | metadata.event_timestamp | 이벤트 타임스탬프는 원시 로그의 ACTIVITY AT 필드에서 가져옵니다. |
| 작업을 수행한 관리자 | target.user.userid | 작업을 실행한 사용자는 원시 로그의 ACTION TAKEN BY 필드에서 가져옵니다. |
| 작업 유형 | security_result.summary | 취해진 조치의 요약은 원시 로그의 ACTION TYPE 필드에서 가져옵니다. |
| ITEM NAME | target.file.full_path | 이벤트와 관련된 파일 또는 항목의 이름은 원시 로그의 ITEM NAME 필드에서 가져옵니다. |
| REQUEST ID | target.user.product_object_id | 요청의 고유 식별자는 원시 로그의 REQUEST ID 필드에서 가져옵니다. |
| 소스 | metadata.product_event_type | 이벤트 소스는 원시 로그의 SOURCE 필드에서 가져옵니다. |
| 소스 기기 | target.hostname | target.ip | SOURCE DEVICE 필드에 유효한 IP 주소가 포함된 경우 target.ip에 매핑됩니다. 그렇지 않으면 target.hostname에 매핑됩니다. |
| STATUS | security_result.action | 보안 작업 (ALLOW, BLOCK, UNKNOWN_ACTION)은 원시 로그의 STATUS 필드를 기반으로 결정됩니다. Successful은 ALLOW에 매핑되고, Unsuccessful은 BLOCK에 매핑되며, Unknown은 UNKNOWN_ACTION에 매핑됩니다. |
| - | metadata.event_type | 이벤트 유형은 일련의 정규 표현식 일치를 사용하여 원시 로그의 ACTION TYPE 필드를 기반으로 결정됩니다. 일치하는 항목이 없으면 기본값은 GENERIC_EVENT입니다. |
| - | metadata.log_type | AUTOMATION_ANYWHERE로 설정합니다. |
| - | metadata.product_name | AUTOMATION_ANYWHERE로 설정합니다. |
| - | metadata.vendor_name | AUTOMATION_ANYWHERE로 설정합니다. |
| - | extensions.auth | USER_LOGIN 이벤트에 빈 객체가 추가됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.