Lesen und beachten Sie die Automation Anywhere-Dokumentation

Automation 360

Inhalt schließen

Inhalte

Inhalt öffnen

SIEM-Integration einrichten

  • Aktualisiert: 2022/06/28
    • Automation 360 v.x
    • Erkunden
    • RPA Workspace

SIEM-Integration einrichten

Der Automation Anywhere Control Room unterstützt SIEM-Tools (Security Information and Event Management), in die Protokolle aus der Auditprotokoll Ihres Mandanten eingespielt werden können. Mit der SIEM-Integration können Audit-Protokolle an Analysetools gesendet werden, wie z. B. Splunk, QRadar, Sumo Logic und Arcsight.

Durch das Senden von Audit-Protokolleinträgen an SIEM-Tools können Sie die erweiterten Such- und Berichtsfunktionen von SIEM-Lösungen integrieren und nutzen. Nach der Konfiguration werden die Control Room-Auditprotokolle an den konfigurierten SIEM-Server weitergeleitet.

Sie können einen SIEM-Server Schritt für Schritt konfigurieren, sodass Automation 360 die Audit-Nachrichten an den SIEM-Server sendet. Im folgenden Beispiel wird Sumo Logic als SIEM-Anbieter verwendet. Gehen Sie bei der Konfiguration eines anderen SIEM-Servers gleichermaßen vor.

Sumo Logic einrichten

Um Sumo Logic als Protokollierungsendpunkt zu verwenden, müssen Sie ein Sumo Logic-Konto erstellen, eine neue Quelle hinzufügen und die HTTP-Quell-URL speichern. Um eine neue Quelle auf der Sumo Logic-Website hinzuzufügen, führen Sie die folgenden Schritte aus:

  1. Nachdem Sie Ihr Sumo Logic-Konto erstellt haben, erscheint der Sumo Logic-Einrichtungsassistent. Wenn Sie bereits ein Konto haben, können Sie den Assistenten aufrufen, indem Sie oben in der Sumo Logic-Anwendung im Menü Verwalten Einrichtungsassistent wählen. Klicken Sie im Einrichtungsassistent auf Streaming-Daten einrichten.

    Das Fenster Datentyp auswählen wird angezeigt.

  2. Klicken Sie auf Alle anderen Quellen.

    Das Fenster Sammlung einrichten wird angezeigt.

  3. Klicken Sie auf HTTP-Quelle.

    Das Fenster Quelle konfigurieren:Das Fenster HTTP-Quelle wird angezeigt.

  4. Geben Sie einen Namen in das Feld Quellenkategorie (z. B. HTTP-Eingabe) ein und wählen Sie eine Zeitzone für Ihre Protokolldateien.

  5. Klicken Sie auf Weiter, um eine Magic URL wie die folgende zu sehen:
    https://endpoint1.collection.us2.sumologic.com/receiver/v1/http/ZaVnA4dhaV0nFJAEMuwFDGEEZUnDedm7hYhkdUJSAE44bmKKp1mp4LsYDCr2MzTA0C21czkqjz9UVjC1mk4lw512KQ7Usz3OAmNwCMWO09eK9r7h2VZT7B==

    Speichern Sie diese URL in einem Texteditor. Sie benötigen sie, wenn Sie Sumo Logic als SIEM-Protokollierungsendpunkt hinzufügen. Sumo Logic als SIEM-Protokollierungsendpunkt hinzufügen

Sumo Logic als SIEM-Protokollierungsendpunkt hinzufügen

Um den Server zu konfigurieren, an den Audit-Datensätze gesendet werden sollen, gehen Sie wie folgt vor:

Anmerkung:

Um diese Aufgabe auszuführen, müssen Sie ein Control Room Administrator sein und über die erforderlichen Rechte und Berechtigungen verfügen.

  1. Navigieren Sie zu Administration > Einstellungen > SIEM-Integration konfigurieren.

  2. Wählen Sie Aktiviert und fügen Sie den SIEM-Server-Endpunkt ein, den Sie zuvor im Abschnitt Sumo Logic einrichten kopiert haben.
    Anmerkung: Ziehen Sie die Dokumentation Ihres SIEM-Anbieters zu Rate, um Informationen über die HTTP-Header und die Anforderungen bezüglich JSON-Attributen (Anforderungstext) zu erhalten.


  3. Wählen Sie die HTTP-Methode POST aus, da Sumo Logic Eingaben als POST-Methode akzeptiert.
    Anmerkung: Das SIEM-Tool-Zertifikat ist optional und hängt vom SIEM-Anbieter ab. Bei einigen SIEM-Anbietern müssen Sie ein gültiges Zertifikat für das SIEM-Tool eingeben.
  4. Geben Sie einen Namen für das Ereignis-Attribut ein (zum Beispiel „Audit“). Alle Protokollmeldungen werden unter dieser Kategorie gespeichert. Sie dient so also als Hilfsmittel zum Finden aller Ereignisprotokolle.
    Anmerkung: Das Zeitstempel-Attribut ist ein optionales Feld und hängt von der Zuordnung Ihres SIEM-Anbieters für dieses Feld ab. Für Splunk muss der Wert zum Beispiel vom Typ Zeit und einem der Zeitstempelfelder zugeordnet sein. Die maximal zulässige Länge beträgt 256 Zeichen. Alle Sonderzeichen außer Backslash (\) und doppelten Anführungszeichen (") sind erlaubt. Diese Zeichen müssen per Escape-Sequenz eingefügt werden.
  5. Klicken Sie auf das Plus-Zeichen (+), um einige Schlüssel-Wert-Paare für Anforderungstext (statische Attribute) einzugeben, die zusammen mit den Protokollen verschickt werden. Die Schlüssel-Wert-Paare können auch Sonderzeichen als Eingabe enthalten. Sie können maximal 50 Attribute konfigurieren.

  6. Klicken Sie auf das Plus-Zeichen (+), um einige Schlüssel-Wert-Paare für Header eingeben, die zusammen mit jedem Ereignisdatenprotokoll verschickt werden. Die Header-Daten sind spezifisch für den SIEM-Anbieter. Zum Beispiel unterstützt Sumo Logic Header-Namen, die mit dem Buchstaben X beginnen (z. B. X-Sumo-Felder). Sie können maximal 50 Header konfigurieren.

    Weitere Informationen über Header-Daten entnehmen Sie bitte der Dokumentation des jeweiligen SIEM-Anbieters.