Automation Anywhere

Automation Anywhere

關閉內容

內容

開啟內容

稽核記錄

  • 已更新:5/10/2019
    • 11.3.x
    • 探索
    • Enterprise

稽核記錄

AAE 平台為授權使用者提供所有自動化活動的全方位、集中式稽核記錄。對稽核記錄的角色型存取控制是透過 Control Room 來管理。稽核記錄會記載 60 個以上的動作。

稽核記錄會記載所有有效和無效的動作嘗試。事件會依據以下項目記錄:

  • 動作的執行者,即使用者名稱
  • 動作的來源,即 機器人執行器 或 Control Room
  • 事件的類型,即事件說明
  • 何時發生事件,即日期和時間
  • 事件發生的地方,即電腦名稱
  • 事件的結果,即事件的說明和狀態

所稽核的一些重要動作包括:

  • 登入和登出集中式 Control Room
  • 建立、更新及刪除使用者
  • 啟用、停用 CR 使用者
  • 對任何使用者的密碼進行任何變更
  • 建立、更新及刪除角色 (有助於追蹤安全性原則的變更、使用者存取權限的變更)
  • 建立、更新及刪除排程
  • 與 Credential Vault 連線
  • 建立、更新及刪除認證
  • 設定機器人的生產就緒版本
  • 從 CR 將機器人部署到遠端 機器人執行器
  • 暫停、繼續及停止正在進行的自動化
  • 機器人建立器機器人執行器 進行任何上傳和下載
  • 機器人建立器機器人執行器 進行機器人的任何簽入和簽出
  • 更新電子郵件設定、版本控制設定等項目
  • 啟用、停用安全記錄
  • 授權的變更

在 BotFarm 上建立 機器人執行器 執行個體、釋出虛擬機器、終止虛擬機器

圖 1. 稽核記錄

在 AAE 版本 11.3.2 中,可以設定 Control Room 來透過 Syslog 通訊協定將稽核記錄匯出到外部記錄整合和減量伺服器。這樣可以整合安全性事件與意外管理 (SEIM) 系統,例如 Splunk 或 LogRythm。請在 Control Room 的 [設定] -> [Syslog] 頁面中設定 Syslog 整合。請參閱底下的圖 1

圖 2. Control Room

Syslog 整合可以使用 UDP 或 TCP,而且可設定為在 Control Room 與遠端 Syslog 伺服器之間使用 TLS 加密。如需其他資訊,請參閱密碼編譯提供者清單

稽核記錄的 RBAC

系統會針對所有特殊權限及非特殊權限的角色將稽核自動化,以符合 NIST AC-6 中所定義的最佳實務。存取權僅限於檢視 (根據以角色和網域為基礎的「拒絕全部」及「允許例外」),這是按照稽核第 7 節中對於稽核和問責的規定 (NIST AU 1 到 15) 以及按照 NIST AC-2 自動化系統帳戶管理的要求。

如果角色沒有檢視稽核記錄的權限,則這些角色的所有成員不會看到「稽核追蹤」分頁。稽核會自動擷取與建立、修改、啟用、停用及移除使用者、機器人機器人建立器和機器人執行器有關的所有事件。

Control Room 機器人建立器 和 Runner 活動記錄

針對每個 機器人建立器機器人執行器,AAE 平台都會執行機器人、工作流程、報告等項目的完整活動記錄。

記錄的一些重要活動如下所示

  • 任務的建立、更新、刪除 (任務是一種機器人)
  • Task Run
  • 工作流程的建立、更新、刪除
  • Workflow Run
  • 報告的建立、更新、刪除
  • 執行報表
  • 機器人屬性的變更

稽核 機器人執行器 操作

Bot Insight 會擷取其他 機器人執行器 事件來審查及分析稽核記錄,以找出不適當或不尋常活動的跡象。您可以匯出 Bot Insight 記錄以進行進一步的分析。您可以使用自動化控制面板和報告並加以自訂,以識別異常活動並發出警示。這些功能符合 NIST AU-6 稽核審查分析和報告中所定義的最佳實務。

稽核記錄不可否認性

這些記錄受到保護,透過唯讀權限、自動化的事件擷取,以及將使用者的識別身分繫結至動作,來防止個人 (或代表個人處理行為) 不實地否認已執行的授權動作,這符合 NISGT AU-10 不可否認性和 AU-11 關聯的識別身分中所定義的最佳實務。

匯出稽核記錄

所有 CR 和 Bot Insight 機器人執行器 記錄都可以匯出到安全性事件資訊管理系統來進行進一步的分析,以根據 NIST AU-6 和 IR-5 的要求來支援組織事件回應工作。

傳送意見反饋