Automation Anywhere のログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane エージェントを使用して Automation Anywhere ログを Google Security Operations に取り込む方法について説明します。パーサーは、SYSLOG + KV 形式のログからキー情報を抽出し、構造化された形式に変換して、統合データモデル(UDM)フィールドにマッピングします。これにより、標準化されたセキュリティ分析とイベント相関が可能になります。特に、ログデータからユーザー アクション、リソースのインタラクション、セキュリティの結果を特定することに重点を置いています。

始める前に

  • Google SecOps インスタンスがあることを確認します。
  • Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
  • プロキシの背後で実行している場合は、ファイアウォール ポートが開いていることを確認します。
  • Automation Anywhere への特権アクセス権があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストール リソース

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

  1. 構成ファイルにアクセスします。

    1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストール ディレクトリにあります。
    2. テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。

  2. config.yaml ファイルを次のように編集します。

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: AUTOMATION_ANYWHERE
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。

  4. <customer_id> は、実際の顧客 ID に置き換えます。

  5. /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent

  • Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent

Automation Anywhere で Syslog を構成する

  1. Automation Anywhere Control Room ウェブ UI にログインします。
  2. [Administration] > [Settings] > [Network settings] に移動します。
  3. [プラス(+)] をクリックします。
  4. syslog 構成の詳細を指定します。
    • Syslog サーバー: Bindplane IP アドレス。
    • ポート: Bindplane ポート番号(UDP の場合は 514 など)。
    • Protocol: [UDP] を選択します。
    • 省略可: ユーザーの安全な接続: この構成は TCP 通信でのみ使用できます。
  5. [変更を保存] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
アクティビティ metadata.event_timestamp イベントのタイムスタンプは、未加工ログの ACTIVITY AT フィールドから取得されます。
特定の管理者による管理者操作: target.user.userid 操作を行ったユーザーは、未加工ログの ACTION TAKEN BY フィールドから取得されます。
ACTION TYPE security_result.summary 実行されたアクションの概要は、未加工ログの ACTION TYPE フィールドから取得されます。
商品名 target.file.full_path イベントに関与するファイルまたはアイテムの名前は、未加工ログの ITEM NAME フィールドから取得されます。
リクエスト ID target.user.product_object_id リクエストの一意の識別子は、未加工ログの REQUEST ID フィールドから取得されます。
ソース metadata.product_event_type イベントのソースは、未加工ログの SOURCE フィールドから取得されます。
ソースデバイス target.hostname | target.ip SOURCE DEVICE フィールドに有効な IP アドレスが含まれている場合、target.ip にマッピングされます。それ以外の場合は、target.hostname にマッピングされます。
ステータス security_result.action セキュリティ アクション(ALLOW、BLOCK、UNKNOWN_ACTION)は、未加工ログの STATUS フィールドに基づいて決定されます。Successful は ALLOW に、Unsuccessful は BLOCK に、Unknown は UNKNOWN_ACTION にマッピングされます。
- metadata.event_type イベントタイプは、一連の正規表現照合を使用して、未加工ログの ACTION TYPE フィールドに基づいて決定されます。一致するものが見つからない場合、デフォルトは GENERIC_EVENT です。
- metadata.log_type AUTOMATION_ANYWHERE に設定します。
- metadata.product_name AUTOMATION_ANYWHERE に設定します。
- metadata.vendor_name AUTOMATION_ANYWHERE に設定します。
- extensions.auth USER_LOGIN イベントに対して空のオブジェクトが追加されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。