Workday HCM-Protokolle erfassen
Dieser Parser extrahiert Workday HCM-Nutzerdaten aus Logs im JSON-Format. Es unterstützt verschiedene Datentransformationen, darunter das Umbenennen von Feldern, das Zusammenführen verschachtelter Objekte, das Parsen von Datumsangaben und das Ausfüllen von UDM-Feldern für Nutzerattribute, Beschäftigungsdetails und die Organisationsstruktur. Außerdem ist die Fehlerbehandlung für fehlerhafte JSON-Daten und fehlende wichtige Felder enthalten.
Hinweis
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen Berechtigungen für Workday.
Integrationsnutzer in Workday erstellen
- Melden Sie sich mit Administratorberechtigungen in Workday an.
- Geben Sie in die Suchleiste Integrationssystemnutzer erstellen ein und wählen Sie die Aufgabe aus den Ergebnissen aus.
- Geben Sie einen Nutzernamen ein.
- Legen Sie ein Passwort fest.
- Legen Sie Session Timeout Minutes (Minuten für Sitzungsüberschreitung) auf
0
fest, um zu verhindern, dass die ISU eine Zeitüberschreitung erleidet. - Klicken Sie das Kästchen UI-Sitzungen nicht zulassen an, um die Sicherheit zu erhöhen, indem Sie Anmeldungen über die Benutzeroberfläche einschränken.
- Gehen Sie zur Aufgabe Passwortregeln verwalten.
- Sie können den Nutzer des Integrationssystems vom Ablauf des Passworts ausnehmen, indem Sie ihn in das Feld Systemnutzer, die vom Ablauf des Passworts ausgenommen sind aufnehmen.
Integrationssicherheitsgruppe in Workday erstellen
- Geben Sie in die Suchleiste Sicherheitsgruppe erstellen ein und wählen Sie die Aufgabe aus den Ergebnissen aus.
- Suchen Sie das Feld Typ der sicherheitsgebundenen Gruppe und wählen Sie Integration System Security Group (Unconstrained) aus.
- Geben Sie einen Namen für die Sicherheitsgruppe ein.
- Klicken Sie auf OK.
- Klicken Sie bei der neu erstellten Sicherheitsgruppe auf Bearbeiten.
- Weisen Sie der Sicherheitsgruppe den Nutzer des Integrationssystems aus dem vorherigen Schritt zu.
- Klicken Sie auf Fertig.
Domainzugriff für eine Sicherheitsgruppe in Workday gewähren
- Geben Sie in die Suchleiste Berechtigungen für Sicherheitsgruppe verwalten ein und wählen Sie die Aufgabe aus den Ergebnissen aus.
- Wählen Sie in der Liste Sicherheitsgruppe der Quelle die von Ihnen erstellte Sicherheitsgruppe aus, um ihre Berechtigungen zu ändern.
- Klicken Sie auf OK.
- Gehen Sie zu Berechtigungen für Sicherheitsgruppe verwalten > Berechtigungen für Domainsicherheitsrichtlinien.
- Weisen Sie jeder Domain die erforderlichen Berechtigungen zu, z. B. GET-Vorgänge.
- Klicken Sie auf OK.
- Klicken Sie auf Fertig, um die Änderungen zu speichern.
Änderungen an den Sicherheitsrichtlinien in Workday aktivieren
- Geben Sie in die Suchleiste Ausstehende Sicherheitsrichtlinienänderungen aktivieren ein und wählen Sie die Aufgabe aus den Ergebnissen aus.
- Starten Sie die Aufgabe Ausstehende Sicherheitsrichtlinienänderungen aktivieren, indem Sie im Kommentarfeld einen Grund für die Überprüfung eingeben und dann auf OK klicken.
- Schließen Sie die Aufgabe auf dem nächsten Bildschirm ab, indem Sie das Kästchen Bestätigen anklicken und dann auf OK klicken.
Feed in Google SecOps für die Aufnahme von Workday-Logs konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Workday-Protokolle.
- Wählen Sie Drittanbieter-API als Quelltyp aus.
- Wählen Sie den Protokolltyp Workday aus.
- Klicken Sie auf Weiter.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- API-Hostname: Der FQDN Ihres Workday-REST-API-Endpunkt.
- Tenant: Das letzte Pfadelement Ihres Workday API-Endpunkt, das Ihre Instanz identifiziert.
- Zugriffstoken: OAuth-Zugriffstoken.
- Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- Klicken Sie auf Weiter.
- Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
@timestamp |
read_only_udm.metadata.event_timestamp.seconds |
Das Feld @timestamp des Rohlogs wird in timestamp umbenannt und als Zeitstempel in Sekunden seit der Epoche geparst. |
businessTitle |
read_only_udm.entity.entity.user.title |
Direkt aus dem Feld businessTitle im Rohprotokoll zugeordnet. |
descriptor |
read_only_udm.entity.entity.user.user_display_name |
Direkt aus dem Feld descriptor im Rohprotokoll zugeordnet. |
Employee_ID |
read_only_udm.entity.entity.user.employee_id |
Direkt aus dem Feld Employee_ID im Rohprotokoll zugeordnet. |
Employee_ID |
read_only_udm.entity.metadata.product_entity_id |
Wird direkt aus dem Feld Employee_ID im Rohprotokoll zugeordnet, wenn id nicht vorhanden ist. |
gopher-supervisor.descriptor |
read_only_udm.entity.entity.user.managers.user_display_name |
Wird direkt aus dem Feld gopher-supervisor.descriptor im Rohprotokoll zugeordnet, in empmanager.user_display_name umbenannt und dann mit managers zusammengeführt. |
gopher-supervisor.id |
read_only_udm.entity.entity.user.managers.product_object_id |
Wird direkt aus dem Feld gopher-supervisor.id im Rohprotokoll zugeordnet, in empmanager.product_object_id umbenannt und dann mit managers zusammengeführt. |
gopher-supervisor.primaryWorkEmail |
read_only_udm.entity.entity.user.managers.email_addresses |
Direkt aus dem Feld gopher-supervisor.primaryWorkEmail im Rohprotokoll zugeordnet und dann mit managers zusammengeführt. |
gopher-time-off.date |
read_only_udm.entity.entity.user.time_off.interval.start_time |
Wird als Datum aus dem Feld gopher-time-off.date im Array gopher-time-off im Rohprotokoll geparst. |
gopher-time-off.descriptor |
read_only_udm.entity.entity.user.time_off.description |
Direkt aus dem Feld gopher-time-off.descriptor im Array gopher-time-off im Rohprotokoll zugeordnet. |
Hire_Date |
read_only_udm.entity.entity.user.hire_date |
Wird aus dem Feld Hire_Date im Rohprotokoll als Datum geparst. |
id |
read_only_udm.entity.metadata.product_entity_id |
Wird direkt aus dem Feld id im Rohprotokoll zugeordnet, sofern vorhanden. |
Job_Profile |
read_only_udm.entity.entity.user.title |
Wird direkt aus dem Feld Job_Profile im Rohprotokoll zugeordnet, wenn businessTitle nicht vorhanden ist. |
Legal_Name_First_Name |
read_only_udm.entity.entity.user.first_name |
Direkt aus dem Feld Legal_Name_First_Name im Rohprotokoll zugeordnet. |
Legal_Name_Last_Name |
read_only_udm.entity.entity.user.last_name |
Direkt aus dem Feld Legal_Name_Last_Name im Rohprotokoll zugeordnet. |
location.descriptor |
read_only_udm.entity.entity.location.city |
Wird direkt aus dem Feld location.descriptor im Rohprotokoll zugeordnet und in _location.city und dann in entity.entity.location.city umbenannt. |
primarySupervisoryOrganization.descriptor |
read_only_udm.entity.entity.user.department |
Direkt aus dem Feld primarySupervisoryOrganization.descriptor im Rohprotokoll zugeordnet. |
primaryWorkEmail |
read_only_udm.entity.entity.user.email_addresses |
Direkt aus dem Feld primaryWorkEmail im Rohprotokoll zugeordnet. |
primaryWorkPhone |
read_only_udm.entity.entity.user.phone_numbers |
Direkt aus dem Feld primaryWorkPhone im Rohprotokoll zugeordnet. |
Termination_Date |
read_only_udm.entity.entity.user.termination_date |
Wird aus dem Feld Termination_Date im Rohprotokoll als Datum geparst. |
Work_Email |
read_only_udm.entity.entity.user.email_addresses |
Wird direkt aus dem Feld Work_Email im Rohprotokoll zugeordnet, wenn primaryWorkEmail nicht vorhanden ist. |
collection_time |
read_only_udm.metadata.event_timestamp.collected_timestamp |
collection_time des Logs wird collected_timestamp zugeordnet. |
Änderungen
2022-09-15
- Migration zum Standardparser.
2022-05-11
- Migration zum Standardparser.