Coletar registros de auditoria do Workday

Este documento explica como ingerir registros de auditoria do Workday no Google Security Operations usando o AWS S3. Primeiro, o analisador identifica o tipo de evento específico nos registros com base na análise de padrões dos dados CSV. Em seguida, ele extrai e estrutura os campos relevantes de acordo com o tipo identificado, mapeando-os para um modelo de dados unificado (UDM) para uma análise de segurança consistente.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Instância do Google SecOps
• Acesso privilegiado à AWS
• Acesso privilegiado ao Workday

Configurar o bucket do AWS S3 e o IAM para o Google SecOps

1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket.
2. Salve o Nome e a Região do bucket para referência futura (por exemplo, workday-audit-logs).
3. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
4. Selecione o usuário criado.
5. Selecione a guia Credenciais de segurança.
6. Clique em Criar chave de acesso na seção Chaves de acesso.
7. Selecione Serviço de terceiros como Caso de uso.
8. Clique em Próxima.
9. Opcional: adicione uma tag de descrição.
10. Clique em Criar chave de acesso.
11. Clique em Fazer o download do arquivo CSV para salvar a chave de acesso e a chave de acesso secreta para referência futura.
12. Clique em Concluído.
13. Selecione a guia Permissões.
14. Clique em Adicionar permissões na seção Políticas de permissões.
15. Selecione Adicionar permissões.
16. Selecione Anexar políticas diretamente.
17. Pesquise e selecione a política AmazonS3FullAccess.
18. Clique em Próxima.
19. Clique em Adicionar permissões

Criar um usuário do sistema de integração do Workday (ISU, na sigla em inglês)

1. No Workday, pesquise Create Integration System User > OK.
2. Preencha o campo Nome de usuário (por exemplo, audit_s3_user).
3. Clique em OK.
4. Para redefinir a senha, acesse Ações relacionadas > Segurança > Redefinir senha.
5. Selecione Manter regras de senha para evitar que a senha expire.
6. Pesquise Criar grupo de segurança > Grupo de segurança do sistema de integração (sem restrições).
7. Forneça um nome (por exemplo, ISU_Audit_S3) e adicione o ISU a Usuários do sistema de integração.
8. Pesquise Políticas de segurança de domínio para área funcional > Sistema.
9. Em Registro de auditoria, selecione Ações > Editar permissões.
10. Em Get Only, adicione o grupo ISU_Audit_S3.
11. Clique em OK > Ativar mudanças pendentes na política de segurança.

Configurar um relatório personalizado do Workday

1. No Workday, pesquise Criar relatório personalizado.
2. Informe os seguintes detalhes de configuração:
   • Nome: insira um nome exclusivo, por exemplo, Audit_Trail_BP_JSON.
   • Tipo: selecione Avançado.
   • Origem de dados: selecione Rastreamento de auditoria – Processo comercial.
   • Clique em OK.
   • Opcional: adicione filtros em Tipo de processo de negócios ou Data de vigência.
3. Acesse a guia Saída.
4. Selecione Ativar como serviço da Web, Otimizado para desempenho e Formato JSON.
5. Clique em OK > Concluído.
6. Abra o relatório e clique em Compartilhar > adicionar ISU_Audit_S3 com permissão de visualização > OK.
7. Acesse Ações relacionadas > Serviço da Web > Ver URLs.
8. Copie o URL JSON (por exemplo, https://wd-services1.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json).

Configurar a política e o papel do IAM para uploads do S3

1. JSON da política (substitua workday-audit-logs se você tiver inserido um nome de bucket diferente):

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowPutWorkdayObjects",
         "Effect": "Allow",
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::workday-audit-logs/*"
       }
     ]
   }
   

2. Acesse Console da AWS > IAM > Políticas > Criar política > guia JSON.

3. Copie e cole a política.

4. Clique em Próxima > Criar política.

5. Acesse IAM > Funções > Criar função > Serviço da AWS > Lambda.

6. Anexe a política recém-criada.

7. Nomeie a função como WriteWorkdayToS3Role e clique em Criar função.

Criar a função Lambda

1. Depois que a função for criada, abra a guia Código, exclua o stub e cole o código abaixo (workday_audit_to_s3.py).

   #!/usr/bin/env python3
   
   import os, json, gzip, io, uuid, base64, datetime as dt, urllib.request, urllib.error
   import boto3
   
   WD_USER   = os.environ["WD_USER"]
   WD_PASS   = os.environ["WD_PASS"]
   WD_URL    = os.environ["WD_URL"]
   S3_BUCKET = os.environ["S3_BUCKET_NAME"]
   
   def fetch_report() -> bytes:
       credentials = f"{WD_USER}:{WD_PASS}".encode()
       auth_header = b"Basic " + base64.b64encode(credentials)
       req = urllib.request.Request(WD_URL, headers={"Authorization": auth_header.decode()})
       with urllib.request.urlopen(req, timeout=30) as r:
           return r.read()  # raw JSON bytes
   
   def upload(payload: bytes, ts: dt.datetime) -> None:
       key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"
       buf = io.BytesIO()
       with gzip.GzipFile(fileobj=buf, mode="w") as gz:
           gz.write(payload)
       buf.seek(0)
       boto3.client("s3").upload_fileobj(buf, S3_BUCKET, key)
   
   def lambda_handler(event=None, context=None):
       now = dt.datetime.utcnow().replace(microsecond=0)
       data = fetch_report()
       upload(data, now)
       print(f"Uploaded Workday audit report ({len(data)} bytes raw)")
   
   if __name__ == "__main__":
       lambda_handler()
   

2. Acesse Configuração > Variáveis de ambiente > Editar > Adicionar nova variável de ambiente.

3. Insira as seguintes variáveis de ambiente, substituindo pelo seu valor.

   Variáveis de ambiente

   Chave	Exemplos de valores
   WD_USER	audit_s3_user
   WD_PASS	Wrokday-Password
   WD_URL	https://.../Audit_Trail_BP_JSON?format=json
   S3_BUCKET_NAME	workday-audit-logs

4. Depois que a função for criada, permaneça na página dela ou abra Lambda > Functions > sua‑função.

5. Selecione a guia Configuração.

6. No painel Configuração geral, clique em Editar.

7. Mude Tempo limite para 5 minutos (300 segundos) e clique em Salvar.

Programar a função do Lambda (EventBridge Scheduler)

1. Acesse Configuração > Gatilhos > Adicionar gatilho > EventBridge Scheduler > Criar regra.
2. Informe os seguintes detalhes de configuração:
   • Nome: daily-workday-audit export.
   • Padrão de programação: expressão cron.
   • Expressão: 20 2 * * ? * (executado diariamente às 02h20 UTC).
3. Deixe o restante como padrão e clique em Criar.

Configurar um feed no Google SecOps para ingerir registros de auditoria do Workday

1. Acesse Configurações do SIEM > Feeds.
2. Clique em + Adicionar novo feed.
3. No campo Nome do feed, insira um nome para o feed (por exemplo, Workday Audit Logs).
4. Selecione Amazon S3 V2 como o Tipo de origem.
5. Selecione Auditoria do Workday como o Tipo de registro.
6. Clique em Gerar uma conta de serviço.
7. Clique em Próxima.
8. Especifique valores para os seguintes parâmetros de entrada:
   • URI do S3: o URI do bucket
     • s3://workday-audit-logs/.
       • Substitua workday-audit-logs pelo nome real do bucket.
   • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
   • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é 180 dias.
   • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
   • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.
   • Namespace do recurso: o namespace do recurso.
   • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
9. Clique em Próxima.
10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.