Lire et examiner la documentation Automation Anywhere

Automation 360

Fermer les contenus

Contenus

Ouvrir les contenus

Configurer l'intégration avec SIEM

  • Mis à jour le : 2022/06/23
    • Automation 360 v.x
    • Explorer
    • Espace de travail RPA

Configurer l'intégration avec SIEM

La Automation Anywhere Control Room prend en charge les outils de gestion des informations et des événements de sécurité (SIEM) qui ingèrent les journaux Journal d'audit de votre locataire. Grâce à l'intégration SIEM, les journaux d'audit peuvent être envoyés à des outils d'analyse, tels que Splunk, QRadar, Sumologic et Arcsight.

En transférant les entrées du journal d'audit aux outils SIEM, vous pouvez intégrer et exploiter les fonctionnalités de recherche et de création de rapports avancées des solutions SIEM. Une fois configurés, les journaux d'audit de la Control Room sont transférés au serveur SIEM configuré.

Configurez un serveur SIEM étape par étape. Ainsi, Automation 360 pourra envoyer les messages d'audit au serveur SIEM. Dans l'exemple suivant, Sumo Logic est utilisé comme fournisseur de SIEM. Procédez de la même façon pour configurer tout autre serveur SIEM.

Configuration de Sumo Logic

Pour utiliser Sumo Logic comme point de terminaison de la journalisation, vous devez créer un compte Sumo Logic, ajouter une nouvelle source et enregistrer l'URL de la source HTTP. Pour ajouter une nouvelle source sur le site Web de Sumo Logic, procédez comme suit :

  1. Après avoir créé votre compte Sumo Logic, l'assistant de configuration de Sumo Logic s'affiche. Si vous avez déjà un compte, vous pouvez accéder à l'assistant en sélectionnant Assistant de configuration dans le menu Gérer situé en haut de l'application Sumo Logic. Dans Assistant de configuration, cliquez sur Configurer les données en continu.

    La fenêtre Sélectionner le type de données s'affiche.

  2. Cliquez sur Toutes les autres sources.

    La fenêtre Configurer la collection s'affiche.

  3. Cliquez sur Source HTTP.

    La fenêtre Configurer la source :La fenêtre Source HTTP s'affiche.

  4. Saisissez un nom dans la catégorie Source (par ex, Entrée Http) et sélectionnez un fuseau horaire pour vos fichiers journaux.

  5. Cliquez sur Continuer pour voir apparaître une URL magique telle que :
    https://endpoint1.collection.us2.sumologic.com/receiver/v1/http/ZaVnA4dhaV0nFJAEMuwFDGEEZUnDedm7hYhkdUJSAE44bmKKp1mp4LsYDCr2MzTA0C21czkqjz9UVjC1mk4lw512KQ7Usz3OAmNwCMWO09eK9r7h2VZT7B==

    Enregistrez cette URL dans un éditeur. Vous en aurez besoin lorsque vous ajouterez Sumo Logic en tant que point de terminaison de la journalisation SIEM. Ajout de Sumo Logic en tant que point de terminaison de la journalisation SIEM

Ajout de Sumo Logic en tant que point de terminaison de la journalisation SIEM

Pour configurer le serveur où les journaux d'audit seront envoyés, procédez comme suit :

Remarque :

This task is performed by the Control Room administrator. You must have the necessary rights and permissions to complete this task.

  1. Accédez à Administration > Paramètres > Configuration de l'intégration SIEM.

  2. Sélectionnez Activé et collez le point de terminaison du serveur SIEM que vous avez copié auparavant depuis Configuration de Sumo Logic.
    Remarque : Veillez à vous référer à la documentation de votre fournisseur de SIEM pour obtenir les informations concernant les en-têtes HTTP et les exigences relatives aux attributs JSON (corps de la demande).


  3. Sélectionnez la méthode POST HTTP, car Sumo Logic accepte les entrées comme une méthode POST.
    Remarque : Le certificat de l'outil SIEM est facultatif et dépend du fournisseur SIEM. Certains fournisseurs SIEM vous demandent de saisir un certificat d'outil SIEM valide.
  4. Saisissez un nom pour l'Attribut d'événement (par exemple, audit). Tous les messages de journaux sont enregistrés dans cette catégorie et servent de clé pour localiser tous les journaux d'événements.
    Remarque : L'attribut Timestamp est un champ facultatif et dépend du mappage du fournisseur SIEM pour ce champ. Par exemple, Splunk exige que la valeur soit associée chronologiquement et mappée à l'un de ses champs timestamp. La longueur maximale autorisée est de 256 caractères. Tous les caractères spéciaux sont autorisés, sauf la barre oblique inversée (\) et les guillemets doubles ("). Ces caractères doivent être évités.
  5. Cliquez sur le signe plus (+) pour saisir quelques paires clé-valeur pour le corps (attributs statiques) qui sont envoyées avec les journaux. Les paires clé-valeur acceptent également les caractères spéciaux en entrée. Vous pouvez configurer au maximum 50 attributs.

  6. Cliquez sur le signe plus (+) pour saisir quelques paires clé-valeur pour l'en-tête à envoyer avec chaque journal de données d'événement. Les données d'en-tête sont spécifiques au fournisseur SIEM. Par exemple, avec Sumo Logic, les noms d'en-tête commençant par X (par exemple, X-Sumo-Fields) sont pris en charge. Vous pouvez configurer au maximum 50 en-têtes.

    Pour plus d'informations sur les données d'en-tête, consultez la documentation du fournisseur SIEM correspondant.

Vérification des données dans Sumo Logic

La réception des journaux d'audit est vérifiée à l'aide de l'interface Web de Sumo Logic. Une manière de procéder consiste à rechercher des événements en utilisant le nom du collecteur et de la source. Suivez les étapes ci-dessous pour vérifier les données dans Sumo Logic :
  1. Générez un journal d'audit en générant un événement. Par exemple, créez un utilisateur (Créer un utilisateur).
  2. Accédez à Journal d'audit pour voir l'entrée dans les journaux.

    Dans Sumo Logic, vous remarquerez que l'événement est enregistré dans la source que vous avez configurée lors de la configuration de Sumo Logic. Configuration de Sumo Logic

  3. Accédez à Gérer les données > Collections.
  4. Dans l'onglet Collection, cliquez sur l'icône Ouvrir dans la recherche de journaux à côté de la source du journal correspondant.

    Elle affiche les événements filtrés par collecteur et source. Un événement de création d'utilisateurs au format JSON envoyé à Sumo Logic via HTTPS s'affiche.

Envoyer le commentaire