Recolha registos de auditoria do Workday

Este documento explica como carregar registos de auditoria do Workday para o Google Security Operations através do AWS S3. O analisador identifica primeiro o tipo de evento específico nos registos com base na análise de padrões dos dados CSV. Em seguida, extrai e estrutura os campos relevantes de acordo com o tipo identificado, mapeando-os para um modelo de dados unificado (UDM) para uma análise de segurança consistente.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

• Instância do Google SecOps
• Acesso privilegiado ao AWS
• Acesso privilegiado ao Workday

Configure o contentor do AWS S3 e o IAM para o Google SecOps

1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor.
2. Guarde o nome e a região do contentor para referência futura (por exemplo, workday-audit-logs).
3. Crie um utilizador seguindo este guia do utilizador: criar um utilizador do IAM.
4. Selecione o utilizador criado.
5. Selecione o separador Credenciais de segurança.
6. Clique em Criar chave de acesso na secção Chaves de acesso.
7. Selecione Serviço de terceiros como Exemplo de utilização.
8. Clicar em Seguinte.
9. Opcional: adicione a etiqueta de descrição.
10. Clique em Criar chave de acesso.
11. Clique em Transferir ficheiro CSV para guardar a chave de acesso e a chave de acesso secreta para referência futura.
12. Clique em Concluído.
13. Selecione o separador Autorizações.
14. Clique em Adicionar autorizações na secção Políticas de autorizações.
15. Selecione Adicionar autorizações.
16. Selecione Anexar políticas diretamente.
17. Pesquise e selecione a política AmazonS3FullAccess.
18. Clicar em Seguinte.
19. Clique em Adicionar autorizações.

Crie um utilizador do sistema de integração (ISU) do Workday

1. No Workday, pesquise Create Integration System User > OK.
2. Preencha o campo Nome de utilizador (por exemplo, audit_s3_user).
3. Clique em OK.
4. Reponha a palavra-passe acedendo a Ações relacionadas > Segurança > Repor palavra-passe.
5. Selecione Manter regras de palavras-passe para evitar que a palavra-passe expire.
6. Pesquise Criar grupo de segurança > Grupo de segurança do sistema de integração (sem restrições).
7. Indique um nome (por exemplo, ISU_Audit_S3) e adicione o ISU a Integration System Users.
8. Pesquise Políticas de segurança de domínio para a área funcional > Sistema.
9. Para Rasto de auditoria, selecione Ações > Editar autorizações.
10. Em Obter apenas, adicione o grupo ISU_Audit_S3.
11. Clique em OK > Ativar alterações pendentes da política de segurança.

Configure o relatório personalizado do Workday

1. No Workday, pesquise Create Custom Report.
2. Indique os seguintes detalhes de configuração:
   • Nome: introduza um nome exclusivo (por exemplo, Audit_Trail_BP_JSON).
   • Tipo: selecione Avançadas.
   • Origem de dados: selecione Rasto de auditoria – Processo empresarial.
   • Clique em OK.
   • Opcional: adicione filtros em Tipo de processo empresarial ou Data de entrada em vigor.
3. Aceda ao separador Saída.
4. Selecione Ativar como serviço Web, Otimizado para o desempenho e selecione Formato JSON.
5. Clique em OK > Concluído.
6. Abra o relatório e clique em Partilhar > adicione ISU_Audit_S3 com autorização de visualização > OK.
7. Aceda a Ações relacionadas > Serviço Web > Ver URLs.
8. Copie o URL JSON (por exemplo, https://wd-services1.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json).

Configure a política e a função de IAM para carregamentos do S3

1. JSON da política (substitua workday-audit-logs se tiver introduzido um nome de contentor diferente):

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowPutWorkdayObjects",
         "Effect": "Allow",
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::workday-audit-logs/*"
       }
     ]
   }
   

2. Aceda a AWS console > IAM > Policies > Create policy > separador JSON.

3. Copie e cole a política.

4. Clique em Seguinte > Criar política.

5. Aceda a IAM > Funções > Criar função > Serviço AWS > Lambda.

6. Anexe a política criada recentemente.

7. Dê o nome WriteWorkdayToS3Role à função e clique em Criar função.

Crie a função Lambda

1. Depois de criar a função, abra o separador Código, elimine o fragmento de código e cole o código abaixo (workday_audit_to_s3.py).

   #!/usr/bin/env python3
   
   import os, json, gzip, io, uuid, base64, datetime as dt, urllib.request, urllib.error
   import boto3
   
   WD_USER   = os.environ["WD_USER"]
   WD_PASS   = os.environ["WD_PASS"]
   WD_URL    = os.environ["WD_URL"]
   S3_BUCKET = os.environ["S3_BUCKET_NAME"]
   
   def fetch_report() -> bytes:
       credentials = f"{WD_USER}:{WD_PASS}".encode()
       auth_header = b"Basic " + base64.b64encode(credentials)
       req = urllib.request.Request(WD_URL, headers={"Authorization": auth_header.decode()})
       with urllib.request.urlopen(req, timeout=30) as r:
           return r.read()  # raw JSON bytes
   
   def upload(payload: bytes, ts: dt.datetime) -> None:
       key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"
       buf = io.BytesIO()
       with gzip.GzipFile(fileobj=buf, mode="w") as gz:
           gz.write(payload)
       buf.seek(0)
       boto3.client("s3").upload_fileobj(buf, S3_BUCKET, key)
   
   def lambda_handler(event=None, context=None):
       now = dt.datetime.utcnow().replace(microsecond=0)
       data = fetch_report()
       upload(data, now)
       print(f"Uploaded Workday audit report ({len(data)} bytes raw)")
   
   if __name__ == "__main__":
       lambda_handler()
   

2. Aceda a Configuração > Variáveis de ambiente > Editar > Adicionar nova variável de ambiente.

3. Introduza as seguintes variáveis de ambiente, substituindo-as pelo seu valor.

   Variáveis de ambiente

   Chave	Exemplos de valores
   WD_USER	audit_s3_user
   WD_PASS	Wrokday-Password
   WD_URL	https://.../Audit_Trail_BP_JSON?format=json
   S3_BUCKET_NAME	workday-audit-logs

4. Depois de criar a função, permaneça na respetiva página (ou abra Lambda > Functions > your‑function).

5. Selecione o separador Configuração.

6. No painel Configuração geral, clique em Editar.

7. Altere Tempo limite para 5 minutos (300 segundos) e clique em Guardar.

Agende a função Lambda (EventBridge Scheduler)

1. Aceda a Configuration > Triggers > Add trigger > EventBridge Scheduler > Create rule.
2. Indique os seguintes detalhes de configuração:
   • Nome: daily-workday-audit export.
   • Padrão de agendamento: expressão cron.
   • Expressão: 20 2 * * ? * (executado diariamente às 02:20 UTC).
3. Deixe o resto como predefinição e clique em Criar.

Configure um feed no Google SecOps para carregar registos de auditoria do Workday

1. Aceda a Definições do SIEM > Feeds.
2. Clique em + Adicionar novo feed.
3. No campo Nome do feed, introduza um nome para o feed (por exemplo, Workday Audit Logs).
4. Selecione Amazon S3 V2 como o Tipo de origem.
5. Selecione Workday Audit como o Tipo de registo.
6. Clique em Obter uma conta de serviço.
7. Clicar em Seguinte.
8. Especifique valores para os seguintes parâmetros de entrada:
   • URI do S3: o URI do contentor
     • s3://workday-audit-logs/.
       • Substitua workday-audit-logs pelo nome real do contentor.
   • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
   • Idade máxima do ficheiro: inclua ficheiros modificados no último número de dias. A predefinição é 180 dias.
   • ID da chave de acesso: chave de acesso do utilizador com acesso ao contentor do S3.
   • Chave de acesso secreta: chave secreta do utilizador com acesso ao contentor do S3.
   • Espaço de nomes do recurso: o espaço de nomes do recurso.
   • Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.
9. Clicar em Seguinte.
10. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.