阅读和查看 Automation Anywhere 文档

Automation Anywhere

关闭内容

内容

打开内容

审核日志

  • 已更新:5/10/2019
    • 11.3.x
    • 探索
    • Enterprise

审核日志

AAE 平台为授权用户提供全面并集中记录所有自动化活动的审核日志记录。通过 Control Room 管理对审核日志的基于角色的访问控制。支持 60 多种操作的审核记录。

所有有效和无效的操作尝试都会进行审核记录。按照以下分类记录事件:

  • 操作执行者,即用户名
  • 操作源,即 Bot Runner 或 Control Room
  • 事件类型,即事件描述
  • 事件发生时间,即日期和时间
  • 事件发生位置,即计算机名称
  • 事件结果,即事件描述和状态

关键的审核操作包括:

  • 登录和退出中央 Control Room
  • 创建、更新和删除用户
  • 激活、停用 CR 用户
  • 任何用户的密码的任何更改
  • 创建、更新和删除角色(有助于跟踪安全策略更改、用户访问权限更改)
  • 创建、更新和删除计划
  • 连接到 Credential Vault
  • 创建、更新和删除凭证
  • 设置机器人的正式部署就绪版本
  • 机器人从 CR 部署到远程 Bot Runner
  • 暂停、恢复和停止进行中的自动化进程
  • Bot CreatorBot Runner 执行的任何上传和下载
  • Bot CreatorBot Runner 执行的任何机器人签入、签出
  • 更新电子邮件设置、版本控制设置等
  • 启用或禁用安全录制
  • 许可证更改

在 BotFarm 上创建 Bot Runner 实例,释放虚拟机,终止虚拟机

图 1. 审核日志

对于 AAE 11.3.2 版,Control Room 可配置为通过 Syslog 协议将审核日志导出到外部日志合并和缩减服务器。这样可实现与 Splunk 或 LogRythm 等安全事件管理 (SEIM) 系统的轻松集成。从 Control Room 中的“设置 -> Syslog”页面配置 Syslog 集成。请参阅以下图 1

图 2. Control Room

Syslog 集成可以使用 UDP 或 TCP,并可配置为在 Control Room 和远程 Syslog 服务器之间使用 TLS 加密。有关其他信息,请参阅加密提供程序列表

审核日志 RBAC

对所有权限和非权限角色的审核都自动执行,以符合 NIST AC-6 中规定的最佳实践。根据“审核”第 7 节(涉及审核与责任,NIST AU 1 至 15)中的规定以及 NIST AC-2“自动化系统账户管理”的要求,访问仅限为基于角色和域且采用拒绝一切但允许例外策略的仅供查看权限。

如果角色无权查看审核日志,则“审核线索”选项卡将对这些角色的所有成员都不可见。审核自动捕获与用户、机器人机器人 Creator 和 机器人 Runner 的创建、修改、启用、禁用和删除相关的所有事件。

Control Room Bot Creator 和 Runner 活动日志记录

对于每个 Bot CreatorBot Runner,AAE 平台都会对机器人、工作流、报告等执行全面的活动日志记录。

记录的部分关键活动如下所示

  • 任务创建、更新、删除(任务是一种机器人类型)
  • 任务运行
  • 工作流创建、更新、删除
  • 工作流运行
  • 报告创建、更新、删除
  • 报告运行
  • 机器人属性更改

Bot Runner 操作审核

Bot Insight 捕获其他 Bot Runner 事件,以便查看和分析审核记录中不当或异常活动的迹象。可导出 Bot Insight 日志以供进一步分析。可查看自动化控制面板和报告并进行自定义,以识别异常活动并发出警报。这些功能符合 NIST AU-6“审核分析和报告”中规定的最佳实践。

审核日志不可否认性

这些日志可以防止个人(或代表个人操作的进程)通过只读权限、自动事件捕获错误地拒绝已执行授权操作,并且可将用户身份绑定到操作,符合 NIST AU-10“不可否认性”和 AU-11“身份关联”规定的最佳实践。

审核日志导出

所有 CR 和 Bot Insight Bot Runner 日志都可以导出到安全事件信息管理系统进一步分析,以支持组织开展事件响应工作,因此符合 NIST AU-6 和 IR-5 要求。

发送反馈