配置与 SIEM 的集成

内容

Automation Anywhere Control Room 支持使用安全信息和事件管理 (SIEM) 工具从租户的审核日志提取日志。通过 SIEM 集成，审核日志可以发送到分析工具，例如 Splunk、QRadar、Sumologic 和 Arcsight。

通过将审核日志条目推送到 SIEM 工具，您可以集成和利用 SIEM 解决方案的高级搜索和报告功能。配置后，系统会将 Control Room 审核日志转发到配置的 SIEM 服务器。

逐步配置 SIEM 服务器，以便 Automation 360 将审核消息发送到 SIEM 服务器。在以下示例中，Sumo Logic 用作 SIEM 提供商。使用相同的过程配置任何其他 SIEM 服务器。

要将 Sumo Logic 用作日志记录端点，您需要创建 Sumo Logic 账户、添加新源并保存 HTTP 源 URL。要在 Sumo Logic 网站中添加新源，请执行以下步骤：

创建 Sumo Logic 账户后，会出现 Sumo Logic 设置向导。如果您已经有账户，则可以通过从 Sumo Logic 应用程序顶部的管理菜单中选择设置向导访问此向导。在设置向导中，单击设置流传输数据。

将出现选择数据类型窗口。
单击所有其他源。

将出现设置收集窗口。
单击 HTTP 源。

出现配置源：将出现 HTTP 源窗口。
在源类别中输入名称（例如 HTTP 输入）并为您的日志文件选择时区。
单击继续可以看到一个魔力 URL，如下所示：
```
https://endpoint1.collection.us2.sumologic.com/receiver/v1/http/ZaVnA4dhaV0nFJAEMuwFDGEEZUnDedm7hYhkdUJSAE44bmKKp1mp4LsYDCr2MzTA0C21czkqjz9UVjC1mk4lw512KQ7Usz3OAmNwCMWO09eK9r7h2VZT7B==
```
在编辑器中保存此 URL。将 Sumo Logic 添加为 SIEM 日志记录端点时，您将需要此 URL。添加 Sumo Logic 作为 SIEM 日志记录端点

要配置审核日志将发往的服务器，请执行以下步骤：

注：

此任务由 Control Room 管理员执行。您必须拥有完成此任务所需的权限。

导航到管理 > 设置 > SIEM 集成配置。
选择启用并粘贴您先前从设置 Sumo Logic 复制的 SIEM 服务器端点。
注：确保您参考 SIEM 提供商的文档以获取围绕 JSON 属性（请求正文）的 HTTP 标头和要求的相关信息。
选择 POST HTTP 方法，因为 Sumo Logic 会将输入作为 POST 方法予以接受。
注： SIEM 工具证书可选，取决于 SIEM 提供程序。某些 SIEM 提供商要求您输入有效的 SIEM 工具证书。
输入事件属性的名称（例如，审核）。所有日志消息都将记录在此类别下，并将作为查找所有事件日志的关键。
注：时间戳属性是可选字段，取决于 SIEM 提供商对该字段的映射。例如，Splunk 要求值是时间且映射到其中一个时间戳字段。允许的最大长度为 256 个字符。允许使用除反斜杠 (\) 和双引号 (") 之外的所有特殊字符。这些字符必须转义。
单击加号 (+) 以输入一些与日志一起送出的正文键值对（静态属性）。键值对也接受特殊字符作为输入。您最多可以配置 50 个属性。
单击加号 (+) 以输入一些与每个事件数据日志一起送出的标头键值对。标头数据特定于 SIEM 提供商。例如，对于 Sumo Logic，它支持以字母 X 开头的标头名称（例如 X-Sumo-Fields）。您最多可以配置 50 个标头。

有关标头数据的更多信息，请参阅相应 SIEM 提供商的文档。

使用 Sumo Logic Web 界面验证是否收到了审核日志。一种方法是使用收集器和源的名称搜索事件。执行以下步骤在 Sumo Logic 中验证数据：

通过生成事件来生成审核日志。例如，创建用户（创建用户）。
转到审核日志查看日志中的条目。
在 Sumo Logic 中，您会注意到在设置 Sumo Logic 时配置的源中记录的事件。设置 Sumo Logic
导航到管理数据 > 集合。
在集合选项卡上，单击相应日志源旁边的在日志搜索中打开图标。

它显示按收集器和源筛选的事件。将显示通过 HTTPS 发送到 Sumo Logic 的 JSON 格式的用户创建事件。