Mengumpulkan log Workday HCM

Didukung di:

Parser ini mengekstrak data pengguna Workday HCM dari log berformat JSON. Fungsi ini menangani berbagai transformasi data, termasuk mengganti nama kolom, menggabungkan objek bertingkat, mengurai tanggal, dan mengisi kolom UDM untuk atribut pengguna, detail pekerjaan, dan struktur organisasi. Hal ini juga mencakup penanganan error untuk JSON yang salah format dan kolom penting yang tidak ada.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Workday.

Membuat Pengguna Sistem Integrasi (ISU) di Workday

  1. Login ke Workday dengan hak istimewa administratif.
  2. Ketik Create Integration System User di kotak penelusuran, lalu pilih tugas dari hasil penelusuran.
  3. Masukkan Nama Pengguna.
  4. Tetapkan Sandi.
  5. Tetapkan Menit Waktu Tunggu Sesi ke 0 untuk mencegah waktu tunggu ISU habis.
  6. Centang kotak Jangan Izinkan Sesi UI untuk meningkatkan keamanan dengan membatasi login UI.
  7. Buka tugas Mempertahankan Aturan Sandi.
  8. Kecualikan pengguna sistem integrasi dari masa berlaku sandi dengan menambahkannya ke kolom Pengguna Sistem yang dikecualikan dari masa berlaku sandi.

Membuat grup keamanan integrasi di Workday

  1. Ketik Create Security Group di kotak penelusuran, lalu pilih tugas dari hasil penelusuran.
  2. Temukan kolom Type of Tenanted Security Group, lalu pilih Integration System Security Group (Unconstrained).
  3. Berikan nama untuk grup keamanan.
  4. Klik Oke.
  5. Klik Edit untuk grup keamanan yang baru dibuat.
  6. Tetapkan Pengguna Sistem Integrasi dari langkah sebelumnya ke grup keamanan.
  7. Klik Selesai.

Memberikan akses domain ke grup keamanan di Workday

  1. Ketik Maintain Permissions for Security Group di kotak penelusuran, lalu pilih tugas dari hasil penelusuran.
  2. Pilih grup keamanan yang Anda buat dari daftar Grup Keamanan Sumber untuk mengubah izinnya.
  3. Klik Oke.
  4. Buka Maintain Permissions for Security Group > Domain Security Policy Permissions.
  5. Tetapkan izin yang diperlukan untuk setiap domain, seperti operasi GET.
  6. Klik Oke.
  7. Klik Done untuk menyimpan perubahan.

Mengaktifkan perubahan kebijakan keamanan di Workday

  1. Ketik Aktifkan Perubahan Kebijakan Keamanan yang Tertunda di kotak penelusuran, lalu pilih tugas dari hasil penelusuran.
  2. Mulai tugas Aktifkan Perubahan Kebijakan Keamanan yang Tertunda dengan memasukkan alasan audit Anda di kolom komentar, lalu klik OK.
  3. Selesaikan tugas di layar berikutnya dengan memilih kotak centang Konfirmasi, lalu klik Oke.

Mengonfigurasi feed di Google SecOps untuk menyerap log Workday

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Log Hari Kerja).
  4. Pilih Third Party API sebagai Source type.
  5. Pilih jenis log Workday.
  6. Klik Berikutnya.
  7. Tentukan nilai untuk parameter input berikut:
    • Nama Host API: FQDN endpoint REST API Workday Anda.
    • Tenant: Elemen jalur terakhir dari endpoint Workday API yang mengidentifikasi instance Anda.
    • Token Akses: Token akses OAuth.
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
@timestamp read_only_udm.metadata.event_timestamp.seconds Kolom @timestamp log mentah diganti namanya menjadi timestamp dan diuraikan sebagai stempel waktu dalam detik sejak epoch.
businessTitle read_only_udm.entity.entity.user.title Dipetakan langsung dari kolom businessTitle dalam log mentah.
descriptor read_only_udm.entity.entity.user.user_display_name Dipetakan langsung dari kolom descriptor dalam log mentah.
Employee_ID read_only_udm.entity.entity.user.employee_id Dipetakan langsung dari kolom Employee_ID dalam log mentah.
Employee_ID read_only_udm.entity.metadata.product_entity_id Dipetakan langsung dari kolom Employee_ID dalam log mentah jika id tidak ada.
gopher-supervisor.descriptor read_only_udm.entity.entity.user.managers.user_display_name Dipetakan langsung dari kolom gopher-supervisor.descriptor dalam log mentah, diganti namanya menjadi empmanager.user_display_name, lalu digabungkan ke dalam managers.
gopher-supervisor.id read_only_udm.entity.entity.user.managers.product_object_id Dipetakan langsung dari kolom gopher-supervisor.id dalam log mentah, diganti namanya menjadi empmanager.product_object_id, lalu digabungkan ke dalam managers.
gopher-supervisor.primaryWorkEmail read_only_udm.entity.entity.user.managers.email_addresses Dipetakan langsung dari kolom gopher-supervisor.primaryWorkEmail dalam log mentah, lalu digabungkan ke managers.
gopher-time-off.date read_only_udm.entity.entity.user.time_off.interval.start_time Diurai sebagai tanggal dari kolom gopher-time-off.date dalam array gopher-time-off di log mentah.
gopher-time-off.descriptor read_only_udm.entity.entity.user.time_off.description Dipetakan langsung dari kolom gopher-time-off.descriptor dalam array gopher-time-off dalam log mentah.
Hire_Date read_only_udm.entity.entity.user.hire_date Diurai sebagai tanggal dari kolom Hire_Date dalam log mentah.
id read_only_udm.entity.metadata.product_entity_id Dipetakan langsung dari kolom id dalam log mentah jika ada.
Job_Profile read_only_udm.entity.entity.user.title Dipetakan langsung dari kolom Job_Profile dalam log mentah jika businessTitle tidak ada.
Legal_Name_First_Name read_only_udm.entity.entity.user.first_name Dipetakan langsung dari kolom Legal_Name_First_Name dalam log mentah.
Legal_Name_Last_Name read_only_udm.entity.entity.user.last_name Dipetakan langsung dari kolom Legal_Name_Last_Name dalam log mentah.
location.descriptor read_only_udm.entity.entity.location.city Dipetakan langsung dari kolom location.descriptor dalam log mentah, diganti namanya menjadi _location.city, lalu menjadi entity.entity.location.city.
primarySupervisoryOrganization.descriptor read_only_udm.entity.entity.user.department Dipetakan langsung dari kolom primarySupervisoryOrganization.descriptor dalam log mentah.
primaryWorkEmail read_only_udm.entity.entity.user.email_addresses Dipetakan langsung dari kolom primaryWorkEmail dalam log mentah.
primaryWorkPhone read_only_udm.entity.entity.user.phone_numbers Dipetakan langsung dari kolom primaryWorkPhone dalam log mentah.
Termination_Date read_only_udm.entity.entity.user.termination_date Diurai sebagai tanggal dari kolom Termination_Date dalam log mentah.
Work_Email read_only_udm.entity.entity.user.email_addresses Dipetakan langsung dari kolom Work_Email dalam log mentah jika primaryWorkEmail tidak ada.
collection_time read_only_udm.metadata.event_timestamp.collected_timestamp collection_time log dipetakan ke collected_timestamp.

Perubahan

2022-09-15

  • Dimigrasikan ke parser default.

2022-05-11

  • Dimigrasikan ke parser default.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.