Mengumpulkan log Workday HCM
Parser ini mengekstrak data pengguna Workday HCM dari log berformat JSON. Fungsi ini menangani berbagai transformasi data, termasuk mengganti nama kolom, menggabungkan objek bertingkat, mengurai tanggal, dan mengisi kolom UDM untuk atribut pengguna, detail pekerjaan, dan struktur organisasi. Hal ini juga mencakup penanganan error untuk JSON yang salah format dan kolom penting yang tidak ada.
Sebelum memulai
- Pastikan Anda memiliki instance Google Chronicle.
- Pastikan Anda memiliki akses dengan hak istimewa ke Workday.
Membuat Pengguna Sistem Integrasi (ISU) di Workday
- Login ke Workday dengan hak istimewa administratif.
- Ketik Create Integration System User di kotak penelusuran, lalu pilih tugas dari hasil penelusuran.
- Masukkan Nama Pengguna.
- Tetapkan Sandi.
- Tetapkan Menit Waktu Tunggu Sesi ke
0
untuk mencegah waktu tunggu ISU habis. - Centang kotak Jangan Izinkan Sesi UI untuk meningkatkan keamanan dengan membatasi login UI.
- Buka tugas Mempertahankan Aturan Sandi.
- Kecualikan pengguna sistem integrasi dari masa berlaku sandi dengan menambahkannya ke kolom Pengguna Sistem yang dikecualikan dari masa berlaku sandi.
Membuat grup keamanan integrasi di Workday
- Ketik Create Security Group di kotak penelusuran, lalu pilih tugas dari hasil penelusuran.
- Temukan kolom Type of Tenanted Security Group, lalu pilih Integration System Security Group (Unconstrained).
- Berikan nama untuk grup keamanan.
- Klik Oke.
- Klik Edit untuk grup keamanan yang baru dibuat.
- Tetapkan Pengguna Sistem Integrasi dari langkah sebelumnya ke grup keamanan.
- Klik Done.
Memberikan akses domain ke grup keamanan di Workday
- Ketik Maintain Permissions for Security Group di kotak penelusuran, lalu pilih tugas dari hasil penelusuran.
- Pilih grup keamanan yang Anda buat dari daftar Grup Keamanan Sumber untuk mengubah izinnya.
- Klik Oke.
- Buka Maintain Permissions for Security Group > Domain Security Policy Permissions.
- Tetapkan izin yang diperlukan untuk setiap domain, seperti operasi GET.
- Klik Oke.
- Klik Done untuk menyimpan perubahan.
Mengaktifkan perubahan kebijakan keamanan di Workday
- Ketik Aktifkan Perubahan Kebijakan Keamanan yang Tertunda di kotak penelusuran, lalu pilih tugas dari hasil penelusuran.
- Mulai tugas Aktifkan Perubahan Kebijakan Keamanan yang Tertunda dengan memasukkan alasan audit Anda di kolom komentar, lalu klik OK.
- Selesaikan tugas di layar berikutnya dengan memilih kotak centang Konfirmasi, lalu klik Oke.
Mengonfigurasi feed di Google SecOps untuk menyerap log Workday
- Buka Setelan SIEM > Feed.
- Klik Tambahkan baru.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya, Log Hari Kerja).
- Pilih Third Party API sebagai Source type.
- Pilih jenis log Workday.
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- Nama Host API: FQDN endpoint REST API Workday Anda.
- Tenant: Elemen jalur terakhir dari endpoint Workday API yang mengidentifikasi instance Anda.
- Token Akses: Token akses OAuth.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
- Klik Berikutnya.
- Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
@timestamp |
read_only_udm.metadata.event_timestamp.seconds |
Kolom @timestamp log mentah diganti namanya menjadi timestamp dan diuraikan sebagai stempel waktu dalam detik sejak epoch. |
businessTitle |
read_only_udm.entity.entity.user.title |
Dipetakan langsung dari kolom businessTitle dalam log mentah. |
descriptor |
read_only_udm.entity.entity.user.user_display_name |
Dipetakan langsung dari kolom descriptor dalam log mentah. |
Employee_ID |
read_only_udm.entity.entity.user.employee_id |
Dipetakan langsung dari kolom Employee_ID dalam log mentah. |
Employee_ID |
read_only_udm.entity.metadata.product_entity_id |
Dipetakan langsung dari kolom Employee_ID dalam log mentah jika id tidak ada. |
gopher-supervisor.descriptor |
read_only_udm.entity.entity.user.managers.user_display_name |
Dipetakan langsung dari kolom gopher-supervisor.descriptor dalam log mentah, diganti namanya menjadi empmanager.user_display_name , lalu digabungkan ke dalam managers . |
gopher-supervisor.id |
read_only_udm.entity.entity.user.managers.product_object_id |
Dipetakan langsung dari kolom gopher-supervisor.id dalam log mentah, diganti namanya menjadi empmanager.product_object_id , lalu digabungkan ke dalam managers . |
gopher-supervisor.primaryWorkEmail |
read_only_udm.entity.entity.user.managers.email_addresses |
Dipetakan langsung dari kolom gopher-supervisor.primaryWorkEmail dalam log mentah, lalu digabungkan ke managers . |
gopher-time-off.date |
read_only_udm.entity.entity.user.time_off.interval.start_time |
Diurai sebagai tanggal dari kolom gopher-time-off.date dalam array gopher-time-off di log mentah. |
gopher-time-off.descriptor |
read_only_udm.entity.entity.user.time_off.description |
Dipetakan langsung dari kolom gopher-time-off.descriptor dalam array gopher-time-off di log mentah. |
Hire_Date |
read_only_udm.entity.entity.user.hire_date |
Diurai sebagai tanggal dari kolom Hire_Date dalam log mentah. |
id |
read_only_udm.entity.metadata.product_entity_id |
Dipetakan langsung dari kolom id dalam log mentah jika ada. |
Job_Profile |
read_only_udm.entity.entity.user.title |
Dipetakan langsung dari kolom Job_Profile dalam log mentah jika businessTitle tidak ada. |
Legal_Name_First_Name |
read_only_udm.entity.entity.user.first_name |
Dipetakan langsung dari kolom Legal_Name_First_Name dalam log mentah. |
Legal_Name_Last_Name |
read_only_udm.entity.entity.user.last_name |
Dipetakan langsung dari kolom Legal_Name_Last_Name dalam log mentah. |
location.descriptor |
read_only_udm.entity.entity.location.city |
Dipetakan langsung dari kolom location.descriptor dalam log mentah, diganti namanya menjadi _location.city , lalu menjadi entity.entity.location.city . |
primarySupervisoryOrganization.descriptor |
read_only_udm.entity.entity.user.department |
Dipetakan langsung dari kolom primarySupervisoryOrganization.descriptor dalam log mentah. |
primaryWorkEmail |
read_only_udm.entity.entity.user.email_addresses |
Dipetakan langsung dari kolom primaryWorkEmail dalam log mentah. |
primaryWorkPhone |
read_only_udm.entity.entity.user.phone_numbers |
Dipetakan langsung dari kolom primaryWorkPhone dalam log mentah. |
Termination_Date |
read_only_udm.entity.entity.user.termination_date |
Diurai sebagai tanggal dari kolom Termination_Date dalam log mentah. |
Work_Email |
read_only_udm.entity.entity.user.email_addresses |
Dipetakan langsung dari kolom Work_Email dalam log mentah jika primaryWorkEmail tidak ada. |
collection_time |
read_only_udm.metadata.event_timestamp.collected_timestamp |
collection_time log dipetakan ke collected_timestamp . |
Perubahan
2022-09-15
- Dimigrasikan ke parser default.
2022-05-11
- Dimigrasikan ke parser default.