Raccogliere i log di Workday HCM

Supportato in:

Questo parser estrae i dati utente di Workday HCM dai log in formato JSON. Gestisce varie trasformazioni dei dati, tra cui la ridenominazione dei campi, l'unione di oggetti nidificati, l'analisi delle date e il completamento dei campi UDM per gli attributi utente, i dettagli sull'occupazione e la struttura organizzativa. Include anche la gestione degli errori per JSON con formato non corretto e campi critici mancanti.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso privilegiato a Workday.

Creare un utente del sistema di integrazione (ISU) in Workday

  1. Accedi a Workday con privilegi amministrativi.
  2. Digita Crea utente del sistema di integrazione nella barra di ricerca e seleziona l'attività dai risultati.
  3. Inserisci un nome utente.
  4. Imposta una password.
  5. Imposta Minuti di timeout sessione su 0 per evitare il timeout dell'ISU.
  6. Seleziona la casella di controllo Non consentire sessioni UI per migliorare la sicurezza limitando gli accessi all'interfaccia utente.
  7. Vai all'attività Gestire le regole delle password.
  8. Esenta l'utente di sistema di integrazione dalla scadenza della password aggiungendolo al campo Utenti di sistema esenti dalla scadenza della password.

Creare un gruppo di sicurezza di integrazione in Workday

  1. Digita Crea gruppo di sicurezza nella barra di ricerca e seleziona l'attività dai risultati.
  2. Individua il campo Tipo di gruppo di sicurezza basato su tenant e seleziona Gruppo di sicurezza del sistema di integrazione (senza vincoli).
  3. Fornisci un nome per il gruppo di sicurezza.
  4. Fai clic su OK.
  5. Fai clic su Modifica per il gruppo di sicurezza appena creato.
  6. Assegna al gruppo di sicurezza l'utente del sistema di integrazione del passaggio precedente.
  7. Fai clic su Fine.

Concedi l'accesso al dominio al gruppo di sicurezza in Workday

  1. Digita Gestisci le autorizzazioni per il gruppo di sicurezza nella barra di ricerca e seleziona l'attività dai risultati.
  2. Scegli il gruppo di sicurezza che hai creato dall'elenco Gruppo di sicurezza dell'origine per modificarne le autorizzazioni.
  3. Fai clic su OK.
  4. Vai a Gestisci le autorizzazioni per il gruppo di sicurezza > Autorizzazioni dei criteri di sicurezza del dominio.
  5. Assegna le autorizzazioni necessarie per ogni dominio, ad esempio le operazioni GET.
  6. Fai clic su OK.
  7. Fai clic su Fine per salvare le modifiche.

Attivare le modifiche ai criteri di sicurezza in Workday

  1. Digita Attiva modifiche ai criteri di sicurezza in attesa nella barra di ricerca e seleziona l'attività dai risultati.
  2. Avvia l'attività Attiva modifiche alle norme sulla sicurezza in attesa inserendo un motivo per il controllo nel campo dei commenti, quindi fai clic su OK.
  3. Completa l'attività nella schermata successiva selezionando la casella di controllo Conferma, quindi fai clic su OK.

Configura un feed in Google SecOps per importare i log di Workday

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di Workday).
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona il tipo di log Workday.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • Nome host dell'API: il FQDN dell'endpoint dell'API REST di Workday.
    • Tenant: l'ultimo elemento del percorso dell'endpoint dell'API Workday che identifica l'istanza.
    • Token di accesso: token di accesso OAuth.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
@timestamp read_only_udm.metadata.event_timestamp.seconds Il campo @timestamp del log non elaborato viene rinominato in timestamp e analizzato come timestamp in secondi dall'epoca.
businessTitle read_only_udm.entity.entity.user.title Mappato direttamente dal campo businessTitle nel log non elaborato.
descriptor read_only_udm.entity.entity.user.user_display_name Mappato direttamente dal campo descriptor nel log non elaborato.
Employee_ID read_only_udm.entity.entity.user.employee_id Mappato direttamente dal campo Employee_ID nel log non elaborato.
Employee_ID read_only_udm.entity.metadata.product_entity_id Mappato direttamente dal campo Employee_ID nel log non elaborato quando id non è presente.
gopher-supervisor.descriptor read_only_udm.entity.entity.user.managers.user_display_name Mappato direttamente dal campo gopher-supervisor.descriptor nel log non elaborato, rinominato in empmanager.user_display_name e poi unito a managers.
gopher-supervisor.id read_only_udm.entity.entity.user.managers.product_object_id Mappato direttamente dal campo gopher-supervisor.id nel log non elaborato, rinominato in empmanager.product_object_id e poi unito a managers.
gopher-supervisor.primaryWorkEmail read_only_udm.entity.entity.user.managers.email_addresses Mappato direttamente dal campo gopher-supervisor.primaryWorkEmail nel log non elaborato e poi unito a managers.
gopher-time-off.date read_only_udm.entity.entity.user.time_off.interval.start_time Analizzata come data dal campo gopher-time-off.date all'interno dell'array gopher-time-off nel log non elaborato.
gopher-time-off.descriptor read_only_udm.entity.entity.user.time_off.description Mappato direttamente dal campo gopher-time-off.descriptor all'interno dell'array gopher-time-off nel log non elaborato.
Hire_Date read_only_udm.entity.entity.user.hire_date Analizzata come data dal campo Hire_Date nel log non elaborato.
id read_only_udm.entity.metadata.product_entity_id Se presente, viene mappato direttamente dal campo id nel log non elaborato.
Job_Profile read_only_udm.entity.entity.user.title Mappato direttamente dal campo Job_Profile nel log non elaborato quando businessTitle non è presente.
Legal_Name_First_Name read_only_udm.entity.entity.user.first_name Mappato direttamente dal campo Legal_Name_First_Name nel log non elaborato.
Legal_Name_Last_Name read_only_udm.entity.entity.user.last_name Mappato direttamente dal campo Legal_Name_Last_Name nel log non elaborato.
location.descriptor read_only_udm.entity.entity.location.city Mappato direttamente dal campo location.descriptor nel log non elaborato, rinominato in _location.city e poi in entity.entity.location.city.
primarySupervisoryOrganization.descriptor read_only_udm.entity.entity.user.department Mappato direttamente dal campo primarySupervisoryOrganization.descriptor nel log non elaborato.
primaryWorkEmail read_only_udm.entity.entity.user.email_addresses Mappato direttamente dal campo primaryWorkEmail nel log non elaborato.
primaryWorkPhone read_only_udm.entity.entity.user.phone_numbers Mappato direttamente dal campo primaryWorkPhone nel log non elaborato.
Termination_Date read_only_udm.entity.entity.user.termination_date Analizzata come data dal campo Termination_Date nel log non elaborato.
Work_Email read_only_udm.entity.entity.user.email_addresses Mappato direttamente dal campo Work_Email nel log non elaborato quando primaryWorkEmail non è presente.
collection_time read_only_udm.metadata.event_timestamp.collected_timestamp collection_time del log è mappato a collected_timestamp.

Modifiche

2022-09-15

  • È stata eseguita la migrazione all'analizzatore sintattico predefinito.

2022-05-11

  • È stata eseguita la migrazione all'analizzatore sintattico predefinito.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.