Lea y revise la documentación de Automation Anywhere

Automation 360

Cerrar contenidos

Contenidos

Abrir contenidos

Configurar la integración en SIEM

  • Actualizado: 2022/06/23
    • Automation 360 v.x
    • Explorar
    • Espacio de trabajo de RPA

Configurar la integración en SIEM

La Automation Anywhere Control Room admite herramientas de información de seguridad y gestión de eventos (SIEM, del inglés Security Information and Event Management) que ingresan registros de Registro de auditoría de su inquilino. Con la integración de SIEM, se pueden enviar los registros de auditoría a herramientas analíticas, como Splunk, QRadar, Sumologic y Arcsight.

Mediante el envío de las entradas del registro de auditoría a las herramientas de SIEM, puede integrar y aprovechar las funciones avanzadas de búsqueda y elaboración de informes de las soluciones de SIEM. Una vez configurado, los registros de auditoría de la Control Room se reenviarán al servidor de SIEM configurado.

Configure un servidor de SIEM paso a paso de modo que Automation 360 envíe los mensajes de auditoría al servidor de SIEM. En el siguiente ejemplo, se utiliza Sumo Logic como proveedor de SIEM. Utilice el mismo procedimiento para configurar cualquier otro servidor de SIEM.

Configuración de Sumo Logic

Para utilizar Sumo Logic como punto final de registro, deberá crear una cuenta de Sumo Logic, agregar una nueva fuente y guardar la dirección URL de la fuente HTTP. Para agregar una nueva fuente en el sitio web de Sumo Logic, realice los siguientes pasos:

  1. Después de crear su cuenta de Sumo Logic, aparece el asistente de configuración de Sumo Logic. Si ya tiene una cuenta, puede acceder al asistente si selecciona Asistente de configuración en el menú Administrar ubicado en la parte superior de la aplicación de Sumo Logic. En el Asistente de configuración, haga clic en Configurar la transmisión de datos.

    Aparece la ventana Seleccionar tipo de datos.

  2. Haga clic en Todas las otras fuentes.

    Aparece la ventana Configurar colección.

  3. Haga clic en Fuente HTTP.

    Aparece la ventana Configurar Fuente:Fuente HTTP.

  4. Ingrese un nombre en el campo Categoría de la fuente (por ejemplo, entrada Http) y seleccione una zona horaria para sus archivos de registro.

  5. Haga clic en Continuar para ver una url mágica como la que se muestra a continuación:
    https://endpoint1.collection.us2.sumologic.com/receiver/v1/http/ZaVnA4dhaV0nFJAEMuwFDGEEZUnDedm7hYhkdUJSAE44bmKKp1mp4LsYDCr2MzTA0C21czkqjz9UVjC1mk4lw512KQ7Usz3OAmNwCMWO09eK9r7h2VZT7B==

    Guarde esta URL en un editor. Lo necesitará cuando añada a Sumo Logic como punto final de registro de SIEM. Agregar Sumo Logic como un punto final de registro de SIEM

Agregar Sumo Logic como un punto final de registro de SIEM

Para configurar el servidor al cual se enviarán los registros de auditoría, realice los siguientes pasos:

Nota:

Esta tarea la realiza Control Room el administrador. Debe tener los derechos y permisos necesarios para completar esta tarea.

  1. Vaya a Administración > Configuración > Configuración de la integración de SIEM.

  2. Seleccione Habilitado y pegue el punto final del servidor de SIEM que copió anteriormente de Configuración de Sumo Logic.
    Nota: Asegúrese de consultar la documentación de su proveedor de SIEM para obtener información sobre los encabezados HTTP y los requisitos relativos a los atributos JSON (cuerpo de la solicitud).


  3. Seleccione el método de HTTP POST porque Sumo Logic acepta las entradas como método POST.
    Nota: El certificado de la herramienta de SIEM es opcional y depende del proveedor de SIEM. Algunos proveedores de SIEM requieren que se ingrese un certificado válido de la herramienta de SIEM.
  4. Ingrese un nombre para el Atributo del evento (por ejemplo, auditoría). Todos los mensajes de registro se registrarán en esta categoría y actuarán como clave para localizar todos los registros de eventos.
    Nota: El atributo de marca de tiempo es un campo opcional y depende de la asignación del proveedor de SIEM para este campo. Por ejemplo, Splunk requiere que el valor sea el tiempo y que esté asignado a uno de sus campos de marca de tiempo. La longitud máxima permitida es de 256 caracteres. Se permiten todos los caracteres especiales, excepto la barra invertida (\) y las comillas dobles ("). Hay que omitir estos caracteres.
  5. Haga clic en el signo más (+) y a fin de ingresar algunos pares de clave-valor para el cuerpo (atributos estáticos) que se envían junto con los registros. Los pares de clave-valor también aceptan caracteres especiales como entrada. Podrá configurar un máximo de 50 atributos.

  6. Haga clic en el signo más (+) a fin de introducir algunos pares de clave-valor para el encabezado que se enviarán con cada registro de datos de eventos. Los datos de encabezado son específicos del proveedor de SIEM. Por ejemplo, con Sumo Logic, admite nombres de encabezado que empiezan con la letra X (por ejemplo, X-Sumo-Fields). Podrá configurar un máximo de 50 encabezados.

    Para obtener más información sobre los datos de encabezado, consulte la documentación del proveedor de SIEM correspondiente.

Verificación de datos en Sumo Logic

La recepción de los registros de auditoría se verifica mediante la interfaz web de Sumo Logic. Una forma de hacerlo es buscar eventos con el nombre del recolector y la fuente. Realice los siguientes pasos para verificar los datos en Sumo Logic:
  1. Genere un registro de auditoría mediante la generación de un evento. Por ejemplo, cree un nuevo usuario (Crear un usuario).
  2. Vaya a Registro de auditoría para ver la entrada en los registros.

    En Sumo Logic, observará el evento registrado en la fuente que configuró cuando configure Sumo Logic. Configuración de Sumo Logic

  3. Vaya a Administrar datos > Colecciones.
  4. En la pestaña Colección, haga clic en el ícono Abrir en la búsqueda de registros que se encuentra junto a la fuente del registro correspondiente.

    Muestra los eventos filtrados por el colector y la fuente. Se muestra un evento de creación de usuario en formato JSON enviado a Sumo Logic a través de HTTPS.

Enviar comentarios