Recopila registros de auditoría de Workday

En este documento, se explica cómo transferir registros de auditoría de Workday a Google Security Operations con AWS S3. Primero, el analizador identifica el tipo de evento específico en los registros según el análisis de patrones de los datos CSV. Luego, extrae y estructura los campos pertinentes según el tipo identificado, y los asigna a un modelo de datos unificado (UDM) para realizar un análisis de seguridad coherente.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Instancia de Google SecOps
• Acceso privilegiado a AWS
• Acceso con privilegios a Workday

Configura el bucket de AWS S3 y el IAM para Google SecOps

1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Crea un bucket.
2. Guarda el Nombre y la Región del bucket para futuras referencias (por ejemplo, workday-audit-logs).
3. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
4. Selecciona el usuario creado.
5. Selecciona la pestaña Credenciales de seguridad.
6. Haz clic en Crear clave de acceso en la sección Claves de acceso.
7. Selecciona Servicio de terceros como Caso de uso.
8. Haz clic en Siguiente.
9. Opcional: Agrega una etiqueta de descripción.
10. Haz clic en Crear clave de acceso.
11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para consultarlas en el futuro.
12. Haz clic en Listo.
13. Selecciona la pestaña Permisos.
14. Haz clic en Agregar permisos en la sección Políticas de permisos.
15. Selecciona Agregar permisos.
16. Selecciona Adjuntar políticas directamente.
17. Busca y selecciona la política AmazonS3FullAccess.
18. Haz clic en Siguiente.
19. Haz clic en Agregar permisos.

Crea un usuario del sistema de integración (ISU) de Workday

1. En Workday, busca Create Integration System User > OK.
2. Completa el Nombre de usuario (por ejemplo, audit_s3_user).
3. Haz clic en Aceptar.
4. Para restablecer la contraseña, ve a Acciones relacionadas > Seguridad > Restablecer contraseña.
5. Selecciona Mantener reglas de contraseñas para evitar que la contraseña venza.
6. Busca Create Security Group > Integration System Security Group (Unconstrained).
7. Proporciona un nombre (por ejemplo, ISU_Audit_S3) y agrega el ISU a Integration System Users.
8. Busca Políticas de seguridad del dominio para el área funcional > Sistema.
9. En Registro de auditoría, selecciona Acciones > Editar permisos.
10. En Get Only, agrega el grupo ISU_Audit_S3.
11. Haz clic en Aceptar > Activar cambios pendientes en la política de seguridad.

Configura el informe personalizado de Workday

1. En Workday, busca Create Custom Report.
2. Proporciona los siguientes detalles de configuración:
   • Nombre: Ingresa un nombre único (por ejemplo, Audit_Trail_BP_JSON).
   • Tipo: Selecciona Avanzado.
   • Fuente de datos: Selecciona Registro de auditoría: Proceso comercial.
   • Haz clic en Aceptar.
   • Opcional: Agrega filtros en Tipo de proceso comercial o Fecha de entrada en vigencia.
3. Ve a la pestaña Salida.
4. Selecciona Enable as Web Service, Optimized for Performance y JSON Format.
5. Haz clic en Aceptar > Listo.
6. Abre el informe y haz clic en Compartir > agregar ISU_Audit_S3 con permiso de visualización > Aceptar.
7. Ve a Acciones relacionadas > Servicio web > Ver URLs.
8. Copia la URL de JSON (por ejemplo, https://wd-services1.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json).

Configura la política y el rol de IAM para las cargas de S3

1. JSON de la política (reemplaza workday-audit-logs si ingresaste un nombre de bucket diferente):

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowPutWorkdayObjects",
         "Effect": "Allow",
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::workday-audit-logs/*"
       }
     ]
   }
   

2. Ve a la consola de AWS > IAM > Políticas > Crear política > pestaña JSON.

3. Copia y pega la política.

4. Haz clic en Siguiente > Crear política.

5. Ve a IAM > Roles > Crear rol > Servicio de AWS > Lambda.

6. Adjunta la política recién creada.

7. Asigna el nombre WriteWorkdayToS3Role al rol y haz clic en Crear rol.

Crea la función Lambda

1. Después de crear la función, abre la pestaña Code, borra el código auxiliar y pega el siguiente código (workday_audit_to_s3.py).

   #!/usr/bin/env python3
   
   import os, json, gzip, io, uuid, base64, datetime as dt, urllib.request, urllib.error
   import boto3
   
   WD_USER   = os.environ["WD_USER"]
   WD_PASS   = os.environ["WD_PASS"]
   WD_URL    = os.environ["WD_URL"]
   S3_BUCKET = os.environ["S3_BUCKET_NAME"]
   
   def fetch_report() -> bytes:
       credentials = f"{WD_USER}:{WD_PASS}".encode()
       auth_header = b"Basic " + base64.b64encode(credentials)
       req = urllib.request.Request(WD_URL, headers={"Authorization": auth_header.decode()})
       with urllib.request.urlopen(req, timeout=30) as r:
           return r.read()  # raw JSON bytes
   
   def upload(payload: bytes, ts: dt.datetime) -> None:
       key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"
       buf = io.BytesIO()
       with gzip.GzipFile(fileobj=buf, mode="w") as gz:
           gz.write(payload)
       buf.seek(0)
       boto3.client("s3").upload_fileobj(buf, S3_BUCKET, key)
   
   def lambda_handler(event=None, context=None):
       now = dt.datetime.utcnow().replace(microsecond=0)
       data = fetch_report()
       upload(data, now)
       print(f"Uploaded Workday audit report ({len(data)} bytes raw)")
   
   if __name__ == "__main__":
       lambda_handler()
   

2. Ve a Configuración > Variables de entorno > Editar > Agregar nueva variable de entorno.

3. Ingresa las siguientes variables de entorno y reemplaza los marcadores de posición por tus valores.

   Variables de entorno

   Clave	Valores de ejemplo
   WD_USER	audit_s3_user
   WD_PASS	Wrokday-Password
   WD_URL	https://.../Audit_Trail_BP_JSON?format=json
   S3_BUCKET_NAME	workday-audit-logs

4. Después de crear la función, permanece en su página (o abre Lambda > Functions > tu‑función).

5. Selecciona la pestaña Configuración.

6. En el panel Configuración general, haz clic en Editar.

7. Cambia Tiempo de espera a 5 minutos (300 segundos) y haz clic en Guardar.

Programa la función de Lambda (EventBridge Scheduler)

1. Ve a Configuración > Activadores > Agregar activador > EventBridge Scheduler > Crear regla.
2. Proporciona los siguientes detalles de configuración:
   • Nombre: daily-workday-audit export.
   • Patrón de programación: Expresión cron.
   • Expresión: 20 2 * * ? * (se ejecuta a diario a las 02:20 UTC).
3. Deja el resto con la configuración predeterminada y haz clic en Crear.

Configura un feed en Google SecOps para transferir registros de auditoría de Workday

1. Ve a SIEM Settings > Feeds.
2. Haz clic en + Agregar feed nuevo.
3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Workday Audit Logs).
4. Selecciona Amazon S3 V2 como el Tipo de fuente.
5. Selecciona Auditoría de jornada laboral como el Tipo de registro.
6. Haz clic en Obtener una cuenta de servicio.
7. Haz clic en Siguiente.
8. Especifica valores para los siguientes parámetros de entrada:
   • URI de S3: Es el URI del bucket.
     • s3://workday-audit-logs/.
       • Reemplaza workday-audit-logs por el nombre real del bucket.
   • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
   • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es 180 días.
   • ID de clave de acceso: Clave de acceso del usuario con acceso al bucket de S3.
   • Clave de acceso secreta: Clave secreta del usuario con acceso al bucket de S3.
   • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
   • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
9. Haz clic en Siguiente.
10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.