Automation Anywhere 설명서 읽기 및 검토

Automation 360

콘텐츠 닫기

콘텐츠

콘텐츠 열기

SIEM과의 통합 구성

  • 업데이트: 2022/06/23
    • Automation 360 v.x
    • 탐색
    • RPA Workspace

SIEM과의 통합 구성

Automation Anywhere Control Room은 테넌트의 감사 로그에서 로그를 수집하는 SIEM(보안 정보 및 이벤트 관리) 도구를 지원합니다. SIEM 통합을 통해 감사 로그를 Splunk, QRadar, SumologicArcsight와 같은 분석 도구로 보낼 수 있습니다.

감사 로그 항목을 SIEM 도구로 보내면 SIEM 솔루션의 고급 검색 및 보고 기능을 통합하고 활용할 수 있습니다. 구성되면 Control Room 감사 로그는 구성된 SIEM 서버로 전달됩니다.

Automation 360이(가) 감사 메시지를 SIEM 서버로 보내도록 SIEM 서버를 단계별로 구성하십시오. 다음 예에서는 Sumo Logic이 SIEM 공급자로 사용됩니다. 다른 SIEM 서버도 동일한 절차로 구성합니다.

Sumo Logic 설정

Sumo Logic을 로깅 엔드포인트로 사용하려면 Sumo Logic 계정을 생성하고, 새 소스를 추가하고, HTTP 소스 URL을 저장해야 합니다. Sumo Logic 웹사이트에 새 소스를 추가하려면 다음 단계를 수행하십시오.

  1. Sumo Logic 계정을 생성하고 나면 Sumo Logic 설정 마법사가 나타납니다. 계정이 이미 있는 경우 Sumo Logic 애플리케이션 상단의 Manage(관리) 메뉴에서 Setup Wizard(설정 마법사)를 선택하여 마법사에 액세스할 수 있습니다. Setup Wizard(설정 마법사)에서 Set Up Streaming Data(스트리밍 데이터 설정)를 클릭합니다.

    Select Data Type(데이터 유형 선택) 창이 나타납니다.

  2. All Other Sources(기타 모든 소스)를 클릭합니다.

    Set Up Collection(컬렉션 설정) 창이 나타납니다.

  3. HTTP Source(HTTP 소스)를 클릭합니다.

    Configure Source: HTTP Source(소스 구성: HTTP 소스) 창이 나타납니다.

  4. Source Category(소스 카테고리)에 이름(예: Http 입력)을 입력하고 로그 파일의 시간대를 선택합니다.

  5. Continue(계속)를 클릭하면 다음과 같은 매직 URL이 표시됩니다.
    https://endpoint1.collection.us2.sumologic.com/receiver/v1/http/ZaVnA4dhaV0nFJAEMuwFDGEEZUnDedm7hYhkdUJSAE44bmKKp1mp4LsYDCr2MzTA0C21czkqjz9UVjC1mk4lw512KQ7Usz3OAmNwCMWO09eK9r7h2VZT7B==

    이 URL을 편집기에 저장합니다. 이 URL은 Sumo Logic을 SIEM 로깅 엔드포인트로 추가할 때 필요합니다. SIEM 로깅 엔드포인트로 Sumo Logic 추가

SIEM 로깅 엔드포인트로 Sumo Logic 추가

감사 로그를 보낼 서버를 구성하려면 다음 단계를 수행하십시오.

주:

이 태스크는 Control Room 관리자가 수행합니다. 이 작업을 완료하려면 필요한 권한과 인가가 있어야 합니다.

  1. 관리 > 설정 > SIEM Integration Configuration(SIEM 통합 구성)으로 이동합니다.

  2. Enabled(활성화됨)를 선택하고 이전에 Sumo Logic 설정에서 복사한 SIEM server endpoint(SIEM 서버 엔드포인트)를 붙여 넣습니다.
    주: JSON 속성(요청 본문)과 관련된 HTTP 헤더 및 요구 사항에 대한 정보를 얻으려면 SIEM 공급자의 설명서를 참조해야 합니다.


  3. Sumo Logic은 입력을 POST 메서드로 수락하므로 POST HTTP 메서드를 선택합니다.
    주: SIEM 도구 인증서는 선택 사항이며 SIEM 공급자에 따라 다릅니다. 일부 SIEM 공급자는 유효한 SIEM 도구 인증서를 입력하도록 요구합니다.
  4. Event attribute(이벤트 속성)의 이름(예: 감사)을 입력합니다. 모든 로그 메시지는 이 카테고리에 기록되며 모든 이벤트 로그를 찾는 키 역할을 합니다.
    주: 타임스탬프 속성은 선택적 필드이며 이 필드에 대한 SIEM 공급자의 매핑에 따라 다릅니다. 예를 들어 Splunk는 값이 time이고 해당 타임스탬프 필드 중 하나에 매핑되어야 합니다. 허용되는 최대 길이는 256자입니다. 백슬래시(\) 및 큰따옴표(")를 제외한 모든 특수 문자가 허용됩니다. 이러한 문자는 이스케이프되어야 합니다.
  5. 더하기(+) 기호를 클릭하여 로그와 함께 보내는 몇몇 key-value pairs for body(본문에 대한 키-값 쌍)(정적 속성)를 입력합니다. 키-값 쌍에는 특수 문자도 입력으로 사용됩니다. 최대 50개의 속성을 구성할 수 있습니다.

  6. 더하기(+) 기호를 클릭하여 모든 이벤트 데이터 로그와 함께 보낼 몇몇 key value pairs for header(헤더에 대한 키-값 쌍)를 입력합니다. 헤더 데이터는 SIEM 공급자에 따라 다릅니다. 예를 들어 Sumo Logic에서는 문자 X로 시작하는 헤더 이름(예: X-Sumo-Fields)을 지원합니다. 최대 50개의 헤더를 구성할 수 있습니다.

    헤더 데이터에 대한 자세한 내용은 해당 SIEM 공급자의 설명서를 참조하십시오.

Sumo Logic에서 데이터 확인

감사 로그 수신은 Sumo Logic 웹 인터페이스를 사용하여 확인됩니다. 이를 수행하는 한 가지 방법은 수집기 및 소스 이름을 사용하여 이벤트를 검색하는 것입니다. Sumo Logic에서 데이터를 확인하려면 다음 단계를 수행하십시오.
  1. 이벤트를 생성하여 감사 로그를 생성합니다. 예를 들어 사용자(사용자 생성)를 생성합니다.
  2. 감사 로그로 이동하여 로그의 항목을 봅니다.

    Sumo Logic에서는 Sumo Logic을 설정할 때 구성한 소스에 기록된 이벤트를 확인할 수 있습니다. Sumo Logic 설정

  3. Manage Data(데이터 관리) > Collections(컬렉션)로 이동합니다.
  4. Collection(컬렉션) 탭에서 해당 로그 소스 옆에 있는 Open in Log Search(로그 검색에서 열기) 아이콘을 클릭합니다.

    수집기 및 소스별로 필터링된 이벤트가 표시됩니다. HTTPS를 통해 Sumo Logic에 전송된 JSON 형식의 사용자 생성 이벤트가 표시됩니다.

피드백을 보내주십시오