Leggi e rivedi la documentazione di Automation Anywhere

Automation 360

Chiudi contenuti

Contenuti

Apri contenuti

Configurazione dell'integrazione con SIEM

  • Aggiornato: 2022/06/28
    • Automation 360 v.x
    • Esplora
    • Spazio di lavoro RPA

Configurazione dell'integrazione con SIEM

La Automation Anywhere Control Room supporta gli strumenti di gestione delle informazioni e degli eventi di sicurezza (SIEM, Security Information and Event Management), che prendono i log dal Registro di audit del tenant. Con l'integrazione di SIEM, i log di audit possono essere inviati a strumenti analitici come Splunk, QRadar, Sumologic e Arcsight.

Inviando le voci del log di audit agli strumenti SIEM, puoi integrare e sfruttare le funzioni avanzate di ricerca e reporting delle soluzioni SIEM. Una volta configurati, i log di audit della Control Room vengono inoltrati al server SIEM configurato.

Configura un server SIEM passo-passo per consentire la ricezione dei messaggi di audit inviati da Automation 360. Nell'esempio seguente il provider SIEM utilizzato è Sumo Logic. Utilizza la stessa procedura per configurare qualsiasi altro server SIEM.

Impostazione di Sumo Logic

Per utilizzare Sumo Logic come endpoint di registrazione, devi creare un account Sumo Logic, aggiungere una nuova fonte e salvare l'URL di origine HTTP. Per aggiungere una nuova fonte nel sito web di Sumo Logic, procedi nel seguente modo:

  1. Dopo aver creato l'account Sumo Logic, viene visualizzata l'Installazione guidata di Sumo Logic. Se già disponi di un account, puoi accedere alla procedura guidata selezionando Configurazione guidata dalla sezione Gestisci nella parte superiore dell'applicazione Sumo Logic. Nella Configurazione guidata, fai clic su Imposta dati streaming.

    Viene visualizzata la finestra Seleziona tipo di dati.

  2. Fai clic su Tutte le altre fonti.

    Viene visualizzata la finestra Imposta raccolta.

  3. Fai clic su Fonte HTTP.

    Viene visualizzata la finestra Configura fonte:Fonte HTTP.

  4. Inserisci un nome in Categoria fonte (ad esempio, Input http) e seleziona un fuso orario per i file di log.

  5. Fai clic su Continua per visualizzare un URL magico come quello mostrato di seguito:
    https://endpoint1.collection.us2.sumologic.com/receiver/v1/http/ZaVnA4dhaV0nFJAEMuwFDGEEZUnDedm7hYhkdUJSAE44bmKKp1mp4LsYDCr2MzTA0C21czkqjz9UVjC1mk4lw512KQ7Usz3OAmNwCMWO09eK9r7h2VZT7B==

    Salva l'URL in un editor. Ti servirà per aggiungerete Sumo Logic come endpoint di registrazione SIEM. Aggiunta di Sumo Logic come endpoint di registrazione SIEM

Aggiunta di Sumo Logic come endpoint di registrazione SIEM

Per configurare il server a cui saranno inviati i log di audit, procedi nel seguente modo:

Nota:

Questa attività viene eseguita Control Room dall'amministratore. È necessario disporre dei diritti e delle autorizzazioni necessarie per completare questa attività.

  1. Naviga su Amministrazione > Impostazioni > Configurazione integrazione di SIEM.

  2. Seleziona Abilitato e incolla l'endpoint del server SIEM copiato da Impostazione di Sumo Logic.
    Nota: Consulta la documentazione del tuo provider SIEM per le informazioni relative alle intestazioni HTTP e i requisiti degli attributi JSON (corpo della richiesta).


  3. Seleziona il metodo HTTP POST, in quanto Sumo Logic accetta gli input come metodo POST.
    Nota: Il certificato dello strumento SIEM è facoltativo e dipende dal provider SIEM. Alcuni provider SIEM richiedono l'inserimento di un certificato valido dello strumento SIEM.
  4. Specifica un nome per Attributo evento (ad esempio, audit). Tutti i messaggi di log saranno registrati in questa categoria e fungeranno da chiave per individuare tutti i log degli eventi.
    Nota: L'attributo Timestamp è un campo facoltativo e dipende dal mapping del provider SIEM per questo campo. Ad esempio, Splunk richiede il valore ora mappato in uno dei suoi campi timestamp. La lunghezza massima consentita è di 256 caratteri. Sono ammessi tutti i caratteri speciali, tranne la barra rovesciata (\) e le virgolette doppie ("). Questi caratteri devono essere preceduti da un carattere di escape.
  5. Fai clic sul segno + per inserire alcune coppie chiave-valore per il corpo (attributi statici) da inviare con i log. Le coppie chiave-valore accettano anche caratteri speciali. Potrai configurare massimo 50 attributi.

  6. Fai clic sul segno + per inserire alcune coppie chiave-valore per l'intestazione da inviare con tutti i log di dati degli eventi. I dati di intestazione sono specifici del provider SIEM. Ad esempio, Sumo Logic supporta i nomi di intestazioni che iniziano con X (come X-Sumo-Campi). Potrai configurare massimo 50 intestazioni.

    Per ulteriori informazioni sui dati di intestazione, consulta la documentazione del provider SIEM corrispondente.

Verifica dei dati in Sumo Logic

La ricezione dei log di audit viene verificata tramite l'interfaccia web di Sumo Logic. Un modo per farlo è cercare gli eventi utilizzando il nome del raccoglitore e della fonte. Procedi nel seguente modo per verificare i dati in Sumo Logic:
  1. Genera un log di audit creando un evento. Ad esempio, crea un utente (Crea un utente).
  2. Vai a Registro di audit per vedere la voce nei log.

    In Sumo Logic, vedrai l'evento registrato nella fonte configurata durante l'impostazione di Sumo Logic. Impostazione di Sumo Logic

  3. Naviga su Gestione dei dati > Raccolte.
  4. Nella scheda Raccolta, fai clic sull'icona Apri in Ricerca dei log accanto alla rispettiva fonte di log.

    Vengono visualizzati gli eventi filtrati per raccoglitore e fonte. Viene visualizzato un evento di creazione di un utente in formato JSON inviato a Sumo Logic tramite HTTPS.

Invia feedback