Esta página foi traduzida pela API Cloud Translation.

Coletar registros da Automation Anywhere

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Automation Anywhere no Google Security Operations usando um agente do Bindplane. O analisador extrai informações importantes dos registros no formato SYSLOG + KV, transforma em um formato estruturado e mapeia para os campos do modelo de dados unificado (UDM), permitindo a análise de segurança padronizada e a correlação de eventos. Ele se concentra especificamente na identificação de ações do usuário, interações de recursos e resultados de segurança dos dados de registro.

Antes de começar

Verifique se você tem uma instância do Google SecOps.
Use o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado ao Automation Anywhere.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: AUTOMATION_ANYWHERE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Syslog no Automation Anywhere

Faça login na UI da Web da Sala de controle do Automation Anywhere.
Acesse Administração > Configurações > Configurações de rede.
Clique em mais (+).
Forneça os detalhes da configuração do Syslog:
- Servidor Syslog: endereço IP do Bindplane.
- Porta: número da porta do Bindplane (por exemplo, 514 para UDP).
- Protocolo: selecione UDP.
- Opcional: Conexão segura do usuário: essa configuração está disponível apenas para comunicação TCP.
Clique em Salvar alterações.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
ATIVIDADE EM	metadata.event_timestamp	O carimbo de data/hora do evento é extraído do campo `ACTIVITY AT` no log bruto.
AÇÃO TOMADA POR	target.user.userid	O usuário que realizou a ação é extraído do campo `ACTION TAKEN BY` no registro bruto.
TIPO DE AÇÃO	security_result.summary	Um resumo da ação realizada é extraído do campo `ACTION TYPE` no registro bruto.
NOME DO ITEM	target.file.full_path	O nome do arquivo ou item envolvido no evento é retirado do campo `ITEM NAME` no registro bruto.
ID DA SOLICITAÇÃO	target.user.product_object_id	Um identificador exclusivo da solicitação é extraído do campo `REQUEST ID` no registro bruto.
ORIGEM	metadata.product_event_type	A origem do evento é extraída do campo `SOURCE` no registro bruto.
DISPOSITIVO DE ORIGEM	target.hostname \| target.ip	Se o campo `SOURCE DEVICE` contiver um endereço IP válido, ele será mapeado para target.ip. Caso contrário, ele será mapeado para target.hostname.
STATUS	security_result.action	A ação de segurança (ALLOW, BLOCK, UNKNOWN_ACTION) é determinada com base no campo `STATUS` no registro bruto: `Successful` é mapeado para ALLOW, `Unsuccessful` é mapeado para BLOCK e `Unknown` é mapeado para UNKNOWN_ACTION.
-	metadata.event_type	O tipo de evento é determinado com base no campo `ACTION TYPE` no registro bruto usando uma série de correspondências de expressões regulares. Se nenhuma correspondência for encontrada, o padrão será `GENERIC_EVENT`.
-	metadata.log_type	Defina como `AUTOMATION_ANYWHERE`.
-	metadata.product_name	Defina como `AUTOMATION_ANYWHERE`.
-	metadata.vendor_name	Defina como `AUTOMATION_ANYWHERE`.
-	extensions.auth	Um objeto vazio é adicionado para eventos USER_LOGIN.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.