Recoger registros de auditoría de Workday

En este documento se explica cómo ingerir registros de auditoría de Workday en Google Security Operations mediante AWS S3. En primer lugar, el analizador identifica el tipo de evento específico de los registros en función del análisis de patrones de los datos CSV. A continuación, extrae y estructura los campos relevantes según el tipo identificado, asignándolos a un modelo de datos unificado (UDM) para realizar un análisis de seguridad coherente.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

• Instancia de Google SecOps
• Acceso privilegiado a AWS
• Acceso privilegiado a Workday

Configurar un segmento de AWS S3 y IAM para Google SecOps

1. Crea un segmento de Amazon S3 siguiendo esta guía de usuario: Crear un segmento.
2. Guarda el nombre y la región del segmento para consultarlos más adelante (por ejemplo, workday-audit-logs).
3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
4. Selecciona el usuario creado.
5. Selecciona la pestaña Credenciales de seguridad.
6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
7. Selecciona Servicio de terceros como Caso práctico.
8. Haz clic en Siguiente.
9. Opcional: añade una etiqueta de descripción.
10. Haz clic en Crear clave de acceso.
11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para futuras consultas.
12. Haz clic en Listo.
13. Selecciona la pestaña Permisos.
14. Haz clic en Añadir permisos en la sección Políticas de permisos.
15. Selecciona Añadir permisos.
16. Seleccione Adjuntar políticas directamente.
17. Busca y selecciona la política AmazonS3FullAccess.
18. Haz clic en Siguiente.
19. Haz clic en Añadir permisos.

Crear un usuario del sistema de integración de Workday

1. En Workday, busca Create Integration System User (Crear usuario del sistema de integración) > OK (Aceptar).
2. Rellena el campo Nombre de usuario (por ejemplo, audit_s3_user).
3. Haz clic en Aceptar.
4. Para restablecer la contraseña, ve a Acciones relacionadas > Seguridad > Restablecer contraseña.
5. Selecciona Mantener reglas de contraseñas para evitar que la contraseña caduque.
6. Busca Create Security Group > Integration System Security Group (Unconstrained) (Crear grupo de seguridad > Grupo de seguridad del sistema de integración [sin restricciones]).
7. Proporciona un nombre (por ejemplo, ISU_Audit_S3) y añade el usuario del sistema de integración a Integration System Users (Usuarios del sistema de integración).
8. Busca Políticas de seguridad de dominio para el área funcional > Sistema.
9. En Registro de auditoría, selecciona Acciones > Editar permisos.
10. En Obtener solo, añade el grupo ISU_Audit_S3.
11. Haz clic en Aceptar > Activar cambios pendientes en la política de seguridad.

Configurar un informe personalizado de Workday

1. En Workday, busca Create Custom Report (Crear informe personalizado).
2. Proporcione los siguientes detalles de configuración:
   • Nombre: introduzca un nombre único (por ejemplo, Audit_Trail_BP_JSON).
   • Tipo: selecciona Avanzado.
   • Fuente de datos: selecciona Registro de auditoría: proceso empresarial.
   • Haz clic en Aceptar.
   • Opcional: Añade filtros en Tipo de proceso de empresa o Fecha de entrada en vigor.
3. Ve a la pestaña Salida.
4. Selecciona Habilitar como servicio web y Optimizado para el rendimiento y, a continuación, Formato JSON.
5. Haz clic en Aceptar > Hecho.
6. Abre el informe y haz clic en Compartir > añade ISU_Audit_S3 con permiso de lectura > Aceptar.
7. Vaya a Acciones relacionadas > Servicio web > Ver URLs.
8. Copia la URL JSON (por ejemplo, https://wd-services1.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json).

Configurar la política y el rol de gestión de identidades y accesos para las subidas de S3

1. JSON de la política (sustituye workday-audit-logs si has introducido otro nombre de contenedor):

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowPutWorkdayObjects",
         "Effect": "Allow",
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::workday-audit-logs/*"
       }
     ]
   }
   

2. Ve a la consola de AWS > IAM > Políticas > Crear política > pestaña JSON.

3. Copia y pega la política.

4. Haz clic en Siguiente > Crear política.

5. Ve a IAM > Roles > Crear rol > Servicio de AWS > Lambda.

6. Adjunte la política que acaba de crear.

7. Dale el nombre WriteWorkdayToS3Role al rol y haz clic en Crear rol.

Crear la función Lambda

1. Una vez creada la función, abre la pestaña Código, elimina el stub y pega el código que aparece más abajo (workday_audit_to_s3.py).

   #!/usr/bin/env python3
   
   import os, json, gzip, io, uuid, base64, datetime as dt, urllib.request, urllib.error
   import boto3
   
   WD_USER   = os.environ["WD_USER"]
   WD_PASS   = os.environ["WD_PASS"]
   WD_URL    = os.environ["WD_URL"]
   S3_BUCKET = os.environ["S3_BUCKET_NAME"]
   
   def fetch_report() -> bytes:
       credentials = f"{WD_USER}:{WD_PASS}".encode()
       auth_header = b"Basic " + base64.b64encode(credentials)
       req = urllib.request.Request(WD_URL, headers={"Authorization": auth_header.decode()})
       with urllib.request.urlopen(req, timeout=30) as r:
           return r.read()  # raw JSON bytes
   
   def upload(payload: bytes, ts: dt.datetime) -> None:
       key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"
       buf = io.BytesIO()
       with gzip.GzipFile(fileobj=buf, mode="w") as gz:
           gz.write(payload)
       buf.seek(0)
       boto3.client("s3").upload_fileobj(buf, S3_BUCKET, key)
   
   def lambda_handler(event=None, context=None):
       now = dt.datetime.utcnow().replace(microsecond=0)
       data = fetch_report()
       upload(data, now)
       print(f"Uploaded Workday audit report ({len(data)} bytes raw)")
   
   if __name__ == "__main__":
       lambda_handler()
   

2. Ve a Configuración > Variables de entorno > Editar > Añadir nueva variable de entorno.

3. Introduce las siguientes variables de entorno y sustituye los valores por los tuyos.

   Variables de entorno

   Clave	Valores de ejemplo
   WD_USER	audit_s3_user
   WD_PASS	Wrokday-Password
   WD_URL	https://.../Audit_Trail_BP_JSON?format=json
   S3_BUCKET_NAME	workday-audit-logs

4. Una vez creada la función, permanece en su página (o abre Lambda > Funciones > tu‑función).

5. Seleccione la pestaña Configuración.

6. En el panel Configuración general, haz clic en Editar.

7. Cambia Tiempo de espera a 5 minutos (300 segundos) y haz clic en Guardar.

Programar la función Lambda (EventBridge Scheduler)

1. Ve a Configuración > Activadores > Añadir activador > EventBridge Scheduler > Crear regla.
2. Proporcione los siguientes detalles de configuración:
   • Nombre: daily-workday-audit export.
   • Patrón de programación: expresión cron.
   • Expresión: 20 2 * * ? * (se ejecuta todos los días a las 02:20 UTC).
3. Deja el resto de los ajustes como están y haz clic en Crear.

Configurar un feed en Google SecOps para ingerir registros de auditoría de Workday

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en + Añadir nuevo feed.
3. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Workday Audit Logs).
4. Selecciona Amazon S3 V2 como Tipo de fuente.
5. Seleccione Auditoría de Workday como Tipo de registro.
6. Haz clic en Obtener una cuenta de servicio.
7. Haz clic en Siguiente.
8. Especifique valores para los siguientes parámetros de entrada:
   • URI de S3: el URI del contenedor
     • s3://workday-audit-logs/.
       • Sustituye workday-audit-logs por el nombre real del segmento.
   • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
   • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
   • ID de clave de acceso: clave de acceso de usuario con acceso al segmento de S3.
   • Clave de acceso secreta: clave secreta del usuario con acceso al segmento de S3.
   • Espacio de nombres de recursos: el espacio de nombres de recursos.
   • Etiquetas de ingestión: etiqueta que se aplicará a los eventos de este feed.
9. Haz clic en Siguiente.
10. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.