Leia e revise a documentação do Automation Anywhere

Automation 360

Fechar conteúdo

Contents (Conteúdo)

Abrir conteúdo

Configurar a integração com a SIEM

  • Atualizado: 2022/06/23
    • Automation 360 v.x
    • Explorar
    • Espaço de trabalho RPA

Configurar a integração com a SIEM

O Automation Anywhere Control Room suporta ferramentas de gestão de eventos e informações de segurança (SIEM) que ingerem logs de seus Log de auditoria inquilinos. Com a integração SIEM, os logs de auditoria podem ser enviados para ferramentas analíticas, tais como Splunk, QRadar, Sumologic e Arcsight.

Ao passar as entradas de log de auditoria para as ferramentas SIEM, você pode integrar e aproveitar os recursos avançados de busca e relatórios das soluções SIEM. Quando configurados, os logs de auditoria da Control Room serão encaminhados para o servidor SIEM configurado.

Configure um servidor SIEM seguindo o passo a passo para que o Automation 360 envie as mensagens de auditoria ao servidor SIEM. No exemplo a seguir, a Sumo Logic será utilizada como o provedor SIEM. Use o mesmo procedimento para configurar qualquer outro servidor SIEM.

Configurando o Sumo Logic

Para usar a Sumo Logic como um endpoint de registro, você precisará criar uma conta Sumo Logic, adicionar uma nova fonte e salvar o URL de origem HTTP. Para adicionar uma nova fonte no site da Sumo Logic, execute os seguintes passos:

  1. Depois de criar sua conta Sumo Logic, aparece o Sumo Logic Setup Wizard. Se você já tem uma conta, pode acessar o assistente selecionando Assistente de configuração no menu Gerenciar no topo do aplicativo Sumo Logic. No Assistente de configuração, clique em Configurar o fluxo de dados.

    Será exibida a janela Selecionar tipo de dados.

  2. Clique em Todas as outras fontes.

    Será exibida a janela Configurar coleção.

  3. Clique em Fonte HTTP.

    Surge a janela Configurar fonte:Será exibida a janela Fonte HTTP .

  4. Digite um nome em Categoria da fonte (por exemplo, Entrada Http) e selecione um fuso horário para seus arquivos de log.

  5. Clique em Continuar para consultar um url mágico, como o seguinte:
    https://endpoint1.collection.us2.sumologic.com/receiver/v1/http/ZaVnA4dhaV0nFJAEMuwFDGEEZUnDedm7hYhkdUJSAE44bmKKp1mp4LsYDCr2MzTA0C21czkqjz9UVjC1mk4lw512KQ7Usz3OAmNwCMWO09eK9r7h2VZT7B==

    Salve este URL em um editor. Você precisará dele ao adicionar a Sumo Logic como um endpoint de registro SIEM. Adicionando Sumo Logic como um endpoint de registro SIEM

Adicionando Sumo Logic como um endpoint de registro SIEM

Para configurar servidores para onde os logs de auditoria serão enviados, siga os passos seguintes:

Nota:

Esta tarefa é executada pelo Control Room administrador. Você deve ter os direitos e permissões necessários para concluir esta tarefa.

  1. Entre em Administração > Configurações > Configuração de integração SIEM.

  2. Selecione Habilitado e cole o Endpoint do servidor SIEM que você copiou de Configurando o Sumo Logic.
    Nota: Consulte a documentação de seu provedor SIEM para obter as informações sobre os cabeçalhos HTTP e as exigências relativas aos atributos JSON (corpo da solicitação).


  3. Selecione o método HTTP POST, pois a Sumo Logic aceita as entradas como um método POST.
    Nota: O certificado da ferramenta SIEM é opcional e depende do fornecedor da SIEM. Alguns provedores SIEM exigem que você insira um certificado de ferramenta SIEM válido.
  4. Digite um nome para o Atributo do evento (por exemplo, auditoria). Todas as mensagens de registro serão registradas sob esta categoria e funcionarão como chave para localizar todos os registros de eventos.
    Nota: O atributo timestamp é um campo opcional e depende do mapeamento do provedor SIEM para este campo. Por exemplo, o Splunk exige que o valor seja time e mapeado para um de seus campos de timestamp. O comprimento máximo permitido é de 256 caracteres. Todos os caracteres especiais são permitidos, exceto a contrabarra (\) e as aspas duplas ("). Estes dois caracteres precisam ter escape.
  5. Clique no + para inserir alguns pares de valores-chave para o corpo (atributos estáticos) que serão enviados junto com os logs. Os pares de valores-chave também aceitam caracteres especiais como entradas. Você poderá configurar no máximo 50 atributos.

  6. Clique no + para inserir alguns pares de valores chave para o cabeçalho que serão enviados junto com os logs de dados de eventos. Estes dados de cabeçalho são específicos para o provedor SIEM. Por exemplo, com a Sumo Logic, ele suporta o nomes de cabeçalho começando com a letra X (por exemplo, X-Sumo-Fields). Você poderá configurar no máximo 50 cabeçalhos.

    Para mais informações sobre os dados do cabeçalho, consulte a documentação do provedor SIEM correspondente.

Verificação de dados no Sumo Logic

A recepção dos logs de auditoria é verificada usando a interface web da Sumo Logic. Uma maneira de fazer isso é procurar eventos usando o nome do coletor e da fonte. Siga os passos abaixo para verificar os dados na Sumo Logic:
  1. Gere um log de auditoria através da geração de um evento. Por exemplo, crie um novo usuário (Criar um usuário).
  2. Ir até Log de auditoria para ver a entrada nos registros.

    Na Sumo Logic, você notará o evento registrado na fonte que você configurou ao definir a Sumo Logic. Configurando o Sumo Logic

  3. Vá até Gerenciar dados > Coleções.
  4. Na guia Coleção, clique no ícone Abrir em pesquisa de log ao lado da respectiva fonte de registro.

    Ela exibe eventos filtrados pelo coletor e pela fonte. Um evento de criação de usuários será exibido no formato JSON enviado à Sumo Logic via HTTPS.

Send Feedback (Enviar Feedback)