Workday HCM-Protokolle erfassen

Unterstützt in:

Dieser Parser extrahiert Workday HCM-Nutzerdaten aus Logs im JSON-Format. Es unterstützt verschiedene Datentransformationen, darunter das Umbenennen von Feldern, das Zusammenführen verschachtelter Objekte, das Parsen von Datumsangaben und das Ausfüllen von UDM-Feldern für Nutzerattribute, Beschäftigungsdetails und die Organisationsstruktur. Außerdem ist die Fehlerbehandlung für fehlerhafte JSON-Daten und fehlende wichtige Felder enthalten.

Hinweis

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für Workday.

Integrationsnutzer in Workday erstellen

  1. Melden Sie sich mit Administratorberechtigungen in Workday an.
  2. Geben Sie in die Suchleiste Integrationssystemnutzer erstellen ein und wählen Sie die Aufgabe aus den Ergebnissen aus.
  3. Geben Sie einen Nutzernamen ein.
  4. Legen Sie ein Passwort fest.
  5. Legen Sie Session Timeout Minutes (Minuten für Sitzungsüberschreitung) auf 0 fest, um zu verhindern, dass die ISU eine Zeitüberschreitung erleidet.
  6. Klicken Sie das Kästchen UI-Sitzungen nicht zulassen an, um die Sicherheit zu erhöhen, indem Sie Anmeldungen über die Benutzeroberfläche einschränken.
  7. Gehen Sie zur Aufgabe Passwortregeln verwalten.
  8. Sie können den Nutzer des Integrationssystems vom Ablauf des Passworts ausnehmen, indem Sie ihn in das Feld Systemnutzer, die vom Ablauf des Passworts ausgenommen sind aufnehmen.

Integrationssicherheitsgruppe in Workday erstellen

  1. Geben Sie in die Suchleiste Sicherheitsgruppe erstellen ein und wählen Sie die Aufgabe aus den Ergebnissen aus.
  2. Suchen Sie das Feld Typ der sicherheitsgebundenen Gruppe und wählen Sie Integration System Security Group (Unconstrained) aus.
  3. Geben Sie einen Namen für die Sicherheitsgruppe ein.
  4. Klicken Sie auf OK.
  5. Klicken Sie bei der neu erstellten Sicherheitsgruppe auf Bearbeiten.
  6. Weisen Sie der Sicherheitsgruppe den Nutzer des Integrationssystems aus dem vorherigen Schritt zu.
  7. Klicken Sie auf Fertig.

Domainzugriff für eine Sicherheitsgruppe in Workday gewähren

  1. Geben Sie in die Suchleiste Berechtigungen für Sicherheitsgruppe verwalten ein und wählen Sie die Aufgabe aus den Ergebnissen aus.
  2. Wählen Sie in der Liste Sicherheitsgruppe der Quelle die von Ihnen erstellte Sicherheitsgruppe aus, um ihre Berechtigungen zu ändern.
  3. Klicken Sie auf OK.
  4. Gehen Sie zu Berechtigungen für Sicherheitsgruppe verwalten > Berechtigungen für Domainsicherheitsrichtlinien.
  5. Weisen Sie jeder Domain die erforderlichen Berechtigungen zu, z. B. GET-Vorgänge.
  6. Klicken Sie auf OK.
  7. Klicken Sie auf Fertig, um die Änderungen zu speichern.

Änderungen an den Sicherheitsrichtlinien in Workday aktivieren

  1. Geben Sie in die Suchleiste Ausstehende Sicherheitsrichtlinienänderungen aktivieren ein und wählen Sie die Aufgabe aus den Ergebnissen aus.
  2. Starten Sie die Aufgabe Ausstehende Sicherheitsrichtlinienänderungen aktivieren, indem Sie im Kommentarfeld einen Grund für die Überprüfung eingeben und dann auf OK klicken.
  3. Schließen Sie die Aufgabe auf dem nächsten Bildschirm ab, indem Sie das Kästchen Bestätigen anklicken und dann auf OK klicken.

Feed in Google SecOps für die Aufnahme von Workday-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Workday-Protokolle.
  4. Wählen Sie Drittanbieter-API als Quelltyp aus.
  5. Wählen Sie den Protokolltyp Workday aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • API-Hostname: Der FQDN Ihres Workday-REST-API-Endpunkt.
    • Tenant: Das letzte Pfadelement Ihres Workday API-Endpunkt, das Ihre Instanz identifiziert.
    • Zugriffstoken: OAuth-Zugriffstoken.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
@timestamp read_only_udm.metadata.event_timestamp.seconds Das Feld @timestamp des Rohlogs wird in timestamp umbenannt und als Zeitstempel in Sekunden seit der Epoche geparst.
businessTitle read_only_udm.entity.entity.user.title Direkt aus dem Feld businessTitle im Rohprotokoll zugeordnet.
descriptor read_only_udm.entity.entity.user.user_display_name Direkt aus dem Feld descriptor im Rohprotokoll zugeordnet.
Employee_ID read_only_udm.entity.entity.user.employee_id Direkt aus dem Feld Employee_ID im Rohprotokoll zugeordnet.
Employee_ID read_only_udm.entity.metadata.product_entity_id Wird direkt aus dem Feld Employee_ID im Rohprotokoll zugeordnet, wenn id nicht vorhanden ist.
gopher-supervisor.descriptor read_only_udm.entity.entity.user.managers.user_display_name Wird direkt aus dem Feld gopher-supervisor.descriptor im Rohprotokoll zugeordnet, in empmanager.user_display_name umbenannt und dann mit managers zusammengeführt.
gopher-supervisor.id read_only_udm.entity.entity.user.managers.product_object_id Wird direkt aus dem Feld gopher-supervisor.id im Rohprotokoll zugeordnet, in empmanager.product_object_id umbenannt und dann mit managers zusammengeführt.
gopher-supervisor.primaryWorkEmail read_only_udm.entity.entity.user.managers.email_addresses Direkt aus dem Feld gopher-supervisor.primaryWorkEmail im Rohprotokoll zugeordnet und dann mit managers zusammengeführt.
gopher-time-off.date read_only_udm.entity.entity.user.time_off.interval.start_time Wird als Datum aus dem Feld gopher-time-off.date im Array gopher-time-off im Rohprotokoll geparst.
gopher-time-off.descriptor read_only_udm.entity.entity.user.time_off.description Direkt aus dem Feld gopher-time-off.descriptor im Array gopher-time-off im Rohprotokoll zugeordnet.
Hire_Date read_only_udm.entity.entity.user.hire_date Wird aus dem Feld Hire_Date im Rohprotokoll als Datum geparst.
id read_only_udm.entity.metadata.product_entity_id Wird direkt aus dem Feld id im Rohprotokoll zugeordnet, sofern vorhanden.
Job_Profile read_only_udm.entity.entity.user.title Wird direkt aus dem Feld Job_Profile im Rohprotokoll zugeordnet, wenn businessTitle nicht vorhanden ist.
Legal_Name_First_Name read_only_udm.entity.entity.user.first_name Direkt aus dem Feld Legal_Name_First_Name im Rohprotokoll zugeordnet.
Legal_Name_Last_Name read_only_udm.entity.entity.user.last_name Direkt aus dem Feld Legal_Name_Last_Name im Rohprotokoll zugeordnet.
location.descriptor read_only_udm.entity.entity.location.city Wird direkt aus dem Feld location.descriptor im Rohprotokoll zugeordnet und in _location.city und dann in entity.entity.location.city umbenannt.
primarySupervisoryOrganization.descriptor read_only_udm.entity.entity.user.department Direkt aus dem Feld primarySupervisoryOrganization.descriptor im Rohprotokoll zugeordnet.
primaryWorkEmail read_only_udm.entity.entity.user.email_addresses Direkt aus dem Feld primaryWorkEmail im Rohprotokoll zugeordnet.
primaryWorkPhone read_only_udm.entity.entity.user.phone_numbers Direkt aus dem Feld primaryWorkPhone im Rohprotokoll zugeordnet.
Termination_Date read_only_udm.entity.entity.user.termination_date Wird aus dem Feld Termination_Date im Rohprotokoll als Datum geparst.
Work_Email read_only_udm.entity.entity.user.email_addresses Wird direkt aus dem Feld Work_Email im Rohprotokoll zugeordnet, wenn primaryWorkEmail nicht vorhanden ist.
collection_time read_only_udm.metadata.event_timestamp.collected_timestamp collection_time des Logs wird collected_timestamp zugeordnet.

Änderungen

2022-09-15

  • Migration zum Standardparser.

2022-05-11

  • Migration zum Standardparser.