Workday-Audit-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Workday-Audit-Logs mit AWS S3 in Google Security Operations aufnehmen. Der Parser ermittelt zuerst den spezifischen Ereignistyp aus den Protokollen auf Grundlage einer Musteranalyse der CSV-Daten. Anschließend werden relevante Felder entsprechend dem ermittelten Typ extrahiert und strukturiert und einem einheitlichen Datenmodell (Unified Data Model, UDM) für eine konsistente Sicherheitsanalyse zugeordnet.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Google SecOps-Instanz
• Privilegierter Zugriff auf AWS
• Privilegierter Zugriff auf Workday

AWS S3-Bucket und IAM für Google SecOps konfigurieren

1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung (z. B. workday-audit-logs).
3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
4. Wählen Sie den erstellten Nutzer aus.
5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
7. Wählen Sie Drittanbieterdienst als Anwendungsfall aus.
8. Klicken Sie auf Weiter.
9. Optional: Fügen Sie ein Beschreibungstag hinzu.
10. Klicken Sie auf Zugriffsschlüssel erstellen.
11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) für die zukünftige Verwendung zu speichern.
12. Klicken Sie auf Fertig.
13. Wählen Sie den Tab Berechtigungen aus.
14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
15. Wählen Sie Berechtigungen hinzufügen aus.
16. Wählen Sie Richtlinien direkt anhängen aus.
17. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
18. Klicken Sie auf Weiter.
19. Klicken Sie auf Berechtigungen hinzufügen.

Workday-Integrationssystemnutzer erstellen

1. Suchen Sie in Workday nach Create Integration System User > OK.
2. Geben Sie den Nutzername ein, z. B. audit_s3_user.
3. Klicken Sie auf OK.
4. Setzen Sie das Passwort zurück, indem Sie zu Zugehörige Aktionen > Sicherheit > Passwort zurücksetzen gehen.
5. Wählen Sie Kennwortregeln beibehalten aus, damit das Passwort nicht abläuft.
6. Suchen Sie nach Create Security Group> Integration System Security Group (Unconstrained).
7. Geben Sie einen Namen an (z. B. ISU_Audit_S3) und fügen Sie den ISU zu Integration System Users (Integrationssystemnutzer) hinzu.
8. Suchen Sie nach Domain Security Policies for Functional Area > System (Domainsicherheitsrichtlinien für den Funktionsbereich > System).
9. Wählen Sie für Audit-Trail die Option Aktionen > Berechtigungen bearbeiten aus.
10. Fügen Sie unter Nur abrufen die Gruppe ISU_Audit_S3 hinzu.
11. Klicken Sie auf OK> Ausstehende Änderungen an der Sicherheitsrichtlinie aktivieren.

Benutzerdefinierten Workday-Bericht konfigurieren

1. Suchen Sie in Workday nach Create Custom Report (Benutzerdefinierten Bericht erstellen).
2. Geben Sie die folgenden Konfigurationsdetails an:
   • Name: Geben Sie einen eindeutigen Namen ein, z. B. Audit_Trail_BP_JSON.
   • Typ: Wählen Sie Erweitert aus.
   • Datenquelle: Wählen Sie Audit-Trail – Geschäftsprozess aus.
   • Klicken Sie auf OK.
   • Optional: Fügen Sie Filter für Business Process Type (Geschäftsprozessart) oder Effective Date (Gültigkeitsdatum) hinzu.
3. Rufen Sie den Tab Ausgabe auf.
4. Wählen Sie Als Webdienst aktivieren und Für Leistung optimiert aus und wählen Sie JSON-Format aus.
5. Klicken Sie auf OK> Fertig.
6. Öffnen Sie den Bericht, klicken Sie auf Freigeben> fügen Sie ISU_Audit_S3 mit der Berechtigung „Ansehen“ hinzu > OK.
7. Klicken Sie auf Zugehörige Aktionen > Webdienst > URLs ansehen.
8. Kopieren Sie die JSON-URL (z. B. https://wd-services1.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json).

IAM-Richtlinie und ‑Rolle für S3-Uploads konfigurieren

1. Policy JSON (ersetzen Sie workday-audit-logs, wenn Sie einen anderen Bucket-Namen eingegeben haben):

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowPutWorkdayObjects",
         "Effect": "Allow",
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::workday-audit-logs/*"
       }
     ]
   }
   

2. Rufen Sie die AWS-Konsole > IAM > Richtlinien > Richtlinie erstellen > JSON-Tab auf.

3. Kopieren Sie die Richtlinie und fügen Sie sie ein.

4. Klicken Sie auf Weiter > Richtlinie erstellen.

5. Rufen Sie IAM > Rollen > Rolle erstellen > AWS-Service > Lambda auf.

6. Hängen Sie die neu erstellte Richtlinie an.

7. Geben Sie der Rolle den Namen WriteWorkdayToS3Role und klicken Sie auf Rolle erstellen.

Lambda-Funktion erstellen

1. Nachdem die Funktion erstellt wurde, öffnen Sie den Tab Code, löschen Sie den Stub und fügen Sie den Code unten (workday_audit_to_s3.py) ein.

   #!/usr/bin/env python3
   
   import os, json, gzip, io, uuid, base64, datetime as dt, urllib.request, urllib.error
   import boto3
   
   WD_USER   = os.environ["WD_USER"]
   WD_PASS   = os.environ["WD_PASS"]
   WD_URL    = os.environ["WD_URL"]
   S3_BUCKET = os.environ["S3_BUCKET_NAME"]
   
   def fetch_report() -> bytes:
       credentials = f"{WD_USER}:{WD_PASS}".encode()
       auth_header = b"Basic " + base64.b64encode(credentials)
       req = urllib.request.Request(WD_URL, headers={"Authorization": auth_header.decode()})
       with urllib.request.urlopen(req, timeout=30) as r:
           return r.read()  # raw JSON bytes
   
   def upload(payload: bytes, ts: dt.datetime) -> None:
       key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"
       buf = io.BytesIO()
       with gzip.GzipFile(fileobj=buf, mode="w") as gz:
           gz.write(payload)
       buf.seek(0)
       boto3.client("s3").upload_fileobj(buf, S3_BUCKET, key)
   
   def lambda_handler(event=None, context=None):
       now = dt.datetime.utcnow().replace(microsecond=0)
       data = fetch_report()
       upload(data, now)
       print(f"Uploaded Workday audit report ({len(data)} bytes raw)")
   
   if __name__ == "__main__":
       lambda_handler()
   

2. Klicken Sie auf Konfiguration> Umgebungsvariablen> Bearbeiten> Neue Umgebungsvariable hinzufügen.

3. Geben Sie die folgenden Umgebungsvariablen ein und ersetzen Sie die Platzhalter durch Ihre Werte.

   Umgebungsvariablen

   Schlüssel	Beispielwerte
   WD_USER	audit_s3_user
   WD_PASS	Wrokday-Password
   WD_URL	https://.../Audit_Trail_BP_JSON?format=json
   S3_BUCKET_NAME	workday-audit-logs

4. Bleiben Sie nach dem Erstellen der Funktion auf der zugehörigen Seite oder öffnen Sie Lambda > Funktionen > Ihre‑Funktion.

5. Wählen Sie den Tab Konfiguration aus.

6. Klicken Sie im Bereich Allgemeine Konfiguration auf Bearbeiten.

7. Ändern Sie Zeitlimit in 5 Minuten (300 Sekunden) und klicken Sie auf Speichern.

Lambda-Funktion planen (EventBridge Scheduler)

1. Gehen Sie zu Konfiguration > Trigger > Trigger hinzufügen > EventBridge Scheduler > Regel erstellen.
2. Geben Sie die folgenden Konfigurationsdetails an:
   • Name: daily-workday-audit export.
   • Zeitplanmuster: Cron-Ausdruck.
   • Ausdruck: 20 2 * * ? * (wird täglich um 02:20 Uhr UTC ausgeführt).
3. Lassen Sie die restlichen Einstellungen unverändert und klicken Sie auf Erstellen.

Feed in Google SecOps konfigurieren, um Workday-Audit-Logs aufzunehmen

1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
2. Klicken Sie auf + Neuen Feed hinzufügen.
3. Geben Sie im Feld Feed name einen Namen für den Feed ein, z. B. Workday Audit Logs.
4. Wählen Sie Amazon S3 V2 als Quelltyp aus.
5. Wählen Sie Workday Audit als Logtyp aus.
6. Klicken Sie auf Dienstkonto abrufen.
7. Klicken Sie auf Weiter.
8. Geben Sie Werte für die folgenden Eingabeparameter an:
   • S3-URI: Der Bucket-URI
     • s3://workday-audit-logs/.
       • Ersetzen Sie workday-audit-logs durch den tatsächlichen Namen des Buckets.
   • Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option zum Löschen aus.
   • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
   • Access Key ID (Zugriffsschlüssel-ID): Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
   • Geheimer Zugriffsschlüssel: Geheimer Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
   • Asset-Namespace: Der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
9. Klicken Sie auf Weiter.
10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten