Automation Anywhere ドキュメントを読んで確認する

Automation 360

コンテンツを閉じる

コンテンツ

コンテンツを開く

SIEM との統合を設定

  • 更新済み: 2022/06/15
    • Automation 360 v.x
    • 概要
    • RPA Workspace

SIEM との統合を設定

Automation Anywhere Control Room は、テナントの「監査ログ」からログを取り込む Security Information and Event Management (SIEM) ツールをサポートしています。SIEM 統合で、監査ログを SplunkQRadarSumologic および Arcsight など分析ツールに送信できます。

監査ログ エントリを SIEM ツールにプッシュすることで、SIEM ソリューションの高度な検索機能およびレポート機能を統合して利用できます。Control Room 監査ログは、構成されると、構成された SIEM サーバーに転送されます。

SIEM サーバーを手順に従って構成し、Automation 360 により、監査メッセージが SIEM サーバーに送信されるようにしてください。次の例では、SIEM プロバイダーとして Sumo Logic が使用されています。その他の SIEM サーバーを構成する場合も、同じ手順を使用してください。

Sumo Logic の設定

ロギング エンドポイントとして Sumo Logic を使用するには、Sumo Logic アカウントを作成して、新しいソースを追加し、HTTP Source URL を保存することが必要になります。Sumo Logic Web サイトで新しいソースを追加するには、次の手順を実行します。

  1. Sumo Logic アカウントを作成すると、Sumo Logic Setup Wizard が表示されます。すでにアカウントをお持ちの場合は、Sumo Logic アプリケーションの上部にある [Manage] メニューから [Setup Wizard] を選択してこのウィザードにアクセスできます。[Setup Wizard] で、[Set Up Streaming Data] をクリックします。

    [Select Data Type] ウィンドウが表示されます。

  2. [All Other Sources] をクリックします。

    [Set Up Collection] ウィンドウが表示されます。

  3. [HTTP Source] をクリックします。

    [Configure Source: [HTTP Source] ウィンドウが表示されます。

  4. [Source Category] に名前を入力し (例: Http Input)、ログ ファイルのタイムゾーンを選択します。

  5. [Continue] をクリックすると、次のようなマジック URL が表示されます。
    https://endpoint1.collection.us2.sumologic.com/receiver/v1/http/ZaVnA4dhaV0nFJAEMuwFDGEEZUnDedm7hYhkdUJSAE44bmKKp1mp4LsYDCr2MzTA0C21czkqjz9UVjC1mk4lw512KQ7Usz3OAmNwCMWO09eK9r7h2VZT7B==

    この URL をエディターで保存します。この URL は、Sumo Logic を SIEM ロギング エンドポイントとして追加するときに必要になります。SIEM ロギング エンドポイントとして Sumo Logic を追加

SIEM ロギング エンドポイントとして Sumo Logic を追加

監査ログが送信されるようにサーバーを構成するには、次の手順を実行します。

注:

このタスクを実行するには、Control Room 管理者であり、必要な権限と許可を持っている必要があります。

  1. [管理] > [設定] > [SIEM 統合構成] の順に移動します。

  2. [有効] を選択し、「Sumo Logic の設定」から以前にコピーした [SIEM サーバー エンドポイント] を貼り付けます。
    注: HTTP ヘッダーおよび JSON 属性 (リクエスト本文) に関する要件については、SIEM プロバイダーのドキュメンテーションを参照するようにしてください。


  3. Sumo Logic が POST メソッドとして入力を受け入れるため、[POST] HTTP メソッドを選択します。
    注: SIEM ツールの証明書はオプションであり、SIEM プロバイダーによって異なります。SIEM プロバイダーによっては、SIEM ツールの有効な証明書の入力が必要な場合があります。
  4. [イベント属性] の名前を入力します (例: 監査)。すべてのログ メッセージは、このカテゴリの下に記録され、すべてのイベント ログを見つけるためのキーとして機能します。
    注: タイムスタンプ属性は、オプション フィールドであり、このフィールドの、SIEM プロバイダーのマッピングによって異なります。たとえば、Splunk では、この値は時間であること、およびいずれかのタイムスタンプ フィールドにマッピングされていることが必要です。最大許容文字数は「256」文字です。すべての特殊文字を使用できます。ただし、バックスラッシュ (\) とダブルクォーテーション (") は除きます。これらの文字はエスケープする必要があります。
  5. プラス (+) 記号をクリックして、ログとともに送出される [本文のキーと値のペア] (静的属性) を入力します。キーと値のペアは、特殊文字も入力として受け取ります。最大 50 個の属性を構成できます。

  6. プラス (+) 記号をクリックして、すべてのイベント データ ログとともに送出される [ヘッダーのキーと値のペア] を入力します。このヘッダー データは、SIEM プロバイダーに固有のものです。たとえば、Sumo Logic では、X で始まるヘッダー名 (例: X-Sumo-Fields) をサポートしています。最大 50 個のヘッダーを構成できます。

    ヘッダー データの詳細については、対応する SIEM プロバイダーのドキュメンテーションを参照してください。

Sumo Logic 内のデータの確認

監査ログの受信は、Sumo Logic の Web インターフェースを使用して確認します。これを行う 1 つの方法としては、コレクター名とソース名でイベントを検索します。次の手順を実行して、Sumo Logic 内のデータを確認します。
  1. イベントを発生させることで、監査ログを生成します。たとえば、ユーザーを作成します (「ユーザーを作成」)。
  2. 監査ログ」に移動して、ログ内のエントリを確認します。

    Sumo Logic で、Sumo Logic の設定時に構成したソースに記録されたイベントを確認できます。Sumo Logic の設定

  3. [Manage Data] > [Collections] の順に移動します。
  4. [Collection] タブで、それぞれのログ ソースの横にある [Open in Log Search] アイコンをクリックします。

    コレクターとソースでフィルタリングされたイベントが表示されます。HTTPS を通じて Sumo Logic に送信された JSON 形式のユーザー作成イベントが表示されます。

フィードバックを送る