閱讀及檢閱 Automation Anywhere 文件

Automation 360

關閉內容

內容

開啟內容

設定 SIEM 整合

  • 已更新:2022/06/23
    • Automation 360 v.x
    • 探索
    • RPA 工作區

設定 SIEM 整合

Automation Anywhere Control Room 支援安全性資訊與事件管理 (SIEM) 工具,可從租用戶的稽核記錄中擷取記錄。透過 SIEM 整合,稽核記錄可傳送至 SplunkQRadarSumologicArcSight 等分析工具。

將稽核記錄項目推送至 SIEM 工具,即可整合並運用 SIEM 解決方案的進階搜尋與報告功能。完成設定後,Control Room 稽核記錄便會轉寄到設定的 SIEM 伺服器。

逐步設定 SIEM 伺服器,以便 Automation 360 將稽核訊息傳送到 SIEM 伺服器。在以下範例中,Sumo Logic 作為 SIEM 供應商。使用相同程序來設定任何其他 SIEM 伺服器。

設定 Sumo Logic

若要使用 Sumo Logic 作為登入端點,您必須建立 Sumo Logic 帳戶,新增一個新來源,並儲存 HTTP 來源 URL。若要在 Sumo Logic 網站中新增來源,請執行以下步驟:

  1. 建立 Sumo Logic 帳戶後,會出現 Sumo Logic 安裝精靈。如果您已經有帳戶,可以從 Sumo Logic 應用程式頂端的 [管理] 功能表選取 [安裝精靈] 來存取精靈。在 [安裝精靈] 中,按一下 [設定串流資料]

    這時會出現選取資料類型視窗。

  2. 按一下 [所有其他來源]

    會出現設定集合視窗。

  3. 按一下 [HTTP 來源]

    設定來源:HTTP 來源視窗隨即顯示。

  4. 在 [來源類別] (例如 Http 輸入) 中輸入名稱,然後為您的記錄檔案選取時區。

  5. 按一下 [繼續] 以查看 magic URL,如下所示:
    https://endpoint1.collection.us2.sumologic.com/receiver/v1/http/ZaVnA4dhaV0nFJAEMuwFDGEEZUnDedm7hYhkdUJSAE44bmKKp1mp4LsYDCr2MzTA0C21czkqjz9UVjC1mk4lw512KQ7Usz3OAmNwCMWO09eK9r7h2VZT7B==

    將此 URL 儲存在編輯器。當您將 Sumo Logic 新增為 SIEM 記錄端點時,就會需要用到。將 Sumo Logic 新增為 SIEM 登入端點

將 Sumo Logic 新增為 SIEM 登入端點

若要設定會傳送稽核記錄的伺服器,請執行以下步驟:

註:

Control Room 此任務由管理員執行。您必須擁有完成此任務所需的權限和權限。

  1. 瀏覽至 [管理] > [設定] > [SIEM 整合組態]

  2. 選取 [已啟用],然後貼上您先前從設定 Sumo Logic複製的 [SIEM 伺服器端點]。
    註: 請務必參閱 SIEM 供應商的說明文件,以取得與 HTTP 標頭和 JSON 屬性 (要求本文) 規定相關之資訊。


  3. 選取 POST HTTP 方法,因為 Sumo Logic 接受輸入時是將之視為 POST 方法。
    註: SIEM 工具憑證為選填欄位,是否需要輸入取決於 SIEM 供應商。部分 SIEM 供應商會要求您輸入有效的 SIEM 工具憑證。
  4. 輸入 [事件屬性] 的名稱 (例如,稽核)。所有記錄訊息都會記錄在此類別下,並作為尋找所有事件記錄的索引鍵。
    註: 時間戳記屬性為選填欄位,取決於 SIEM 供應商對此欄位的對應。例如,Splunk 規定此欄位的值必須為時間,且對應至其中一個時間戳記欄位。可輸入的長度上限為 256 個字元。允許所有特殊字元,但反斜線 (\) 和雙引號 (") 除外。不能輸入這些字元。
  5. 按一下加號 (+),輸入幾個 [本文的索引鍵值組] (靜態屬性),傳送記錄時會一併送出。索引鍵值組也可輸入特殊字元。您最多可設定 50 個屬性。

  6. 按一下加號 (+),輸入幾個 [標頭的索引鍵值組],每次傳送事件資料記錄時會一併送出。每個 SIEM 供應商支援的標頭資料各有不同。舉例而言,Sumo Logic 支援以字母 X 開頭的標頭名稱 (例如 X-Sumo-Fields)。您最多可設定 50 個標頭。

    如需標頭資料的詳細資訊,請參閱對應的 SIEM 供應商文件。

在 Sumo Logic 中驗證資料

稽核記錄的接收會使用 Sumo Logic 網頁介面來驗證。其中一種做法是使用收集器名稱和來源來搜尋事件。請執行下列步驟,在 Sumo Logic 中驗證資料:
  1. 透過產生事件來產生稽核記錄。例如,建立使用者 (建立使用者)。
  2. 移至 稽核記錄 查看記錄中的項目。

    在 Sumo Logic 中,您會注意到在設定 Sumo Logic 時所設定來源中記錄的事件。設定 Sumo Logic

  3. 瀏覽至 [管理資料] > [集合]
  4. [集合] 分頁上,按一下個別記錄來源旁的 [在記錄搜尋中開啟] 圖示。

    它會顯示經過收集器和來源篩選的事件。另外會顯示以 JSON 格式透過 HTTPS 傳送至 Sumo Logic 的使用者建立事件。

傳送意見反饋