Esta página foi traduzida pela API Cloud Translation.

Coletar registros da Automation Anywhere

Compatível com:

Google SecOps SIEM

Este documento explica como fazer a ingestão de registros do Automation Anywhere no Google Security Operations usando um agente do Bindplane. O analisador extrai informações importantes dos registros de formato SYSLOG + KV, os transforma em um formato estruturado e os mapeia para os campos do modelo de dados unificado (UDM, na sigla em inglês), permitindo a análise de segurança padronizada e a correlação de eventos. Ele se concentra especificamente em identificar ações do usuário, interações com recursos e resultados de segurança nos dados de registro.

Antes de começar

Verifique se você tem uma instância do Google SecOps.
Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado ao Automation Anywhere.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: AUTOMATION_ANYWHERE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID real do cliente.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no Automation Anywhere

Faça login na UI da Web da Sala de controle da Automation Anywhere.
Acesse Administração > Configurações > Configurações de rede.
Clique no sinal de adição (+).
Informe os detalhes de configuração do syslog:
- Servidor Syslog: endereço IP do Bindplane.
- Porta: número da porta do Bindplane (por exemplo, 514 para UDP).
- Protocolo: selecione UDP.
- Opcional: Conexão segura do usuário: essa configuração está disponível apenas para comunicação TCP.
Clique em Salvar alterações.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
ATIVIDADE EM	metadata.event_timestamp	O carimbo de data/hora do evento é extraído do campo `ACTIVITY AT` no registro bruto.
AÇÃO TOMADA POR	target.user.userid	O usuário que realizou a ação é extraído do campo `ACTION TAKEN BY` no registro bruto.
ACTION TYPE	security_result.summary	Um resumo da ação tomada é extraído do campo `ACTION TYPE` no registro bruto.
NOME DO ITEM	target.file.full_path	O nome do arquivo ou item envolvido no evento é retirado do campo `ITEM NAME` no registro bruto.
ID DA SOLICITAÇÃO	target.user.product_object_id	Um identificador exclusivo da solicitação é retirado do campo `REQUEST ID` no registro bruto.
ORIGEM	metadata.product_event_type	A origem do evento é extraída do campo `SOURCE` no registro bruto.
DISPOSITIVO DE ORIGEM	target.hostname \| target.ip	Se o campo `SOURCE DEVICE` contiver um endereço IP válido, ele será associado a target.ip. Caso contrário, ele será mapeado para target.hostname.
STATUS	security_result.action	A ação de segurança (ALLOW, BLOCK, UNKNOWN_ACTION) é determinada com base no campo `STATUS` no registro bruto: `Successful` é mapeado para ALLOW, `Unsuccessful` é mapeado para BLOCK e `Unknown` é mapeado para UNKNOWN_ACTION.
-	metadata.event_type	O tipo de evento é determinado com base no campo `ACTION TYPE` no registro bruto usando uma série de correspondências de expressão regular. Se nenhuma correspondência for encontrada, o padrão será `GENERIC_EVENT`.
-	metadata.log_type	Defina como `AUTOMATION_ANYWHERE`.
-	metadata.product_name	Defina como `AUTOMATION_ANYWHERE`.
-	metadata.vendor_name	Defina como `AUTOMATION_ANYWHERE`.
-	extensions.auth	Um objeto vazio é adicionado para eventos USER_LOGIN.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.