Coletar registros do Workday HCM

Compatível com:

Esse analisador extrai dados de usuários do Workday HCM de registros formatados em JSON. Ele processa várias transformações de dados, incluindo renomear campos, mesclar objetos aninhados, analisar datas e preencher campos do UDM para atributos do usuário, detalhes de emprego e estrutura organizacional. Ele também inclui a manipulação de erros para JSONs incorretos e campos essenciais ausentes.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado ao Workday.

Criar um usuário do sistema de integração (ISU, na sigla em inglês) no Workday

  1. Faça login no Workday com privilégios administrativos.
  2. Digite Criar usuário do sistema de integração na barra de pesquisa e selecione a tarefa nos resultados.
  3. Digite um Nome de usuário.
  4. Defina uma senha.
  5. Defina Tempo limite da sessão (minutos) como 0 para evitar que o tempo limite da ISU expire.
  6. Marque a caixa de seleção Não permitir sessões da interface para melhorar a segurança, restringindo os logins da interface.
  7. Acesse a tarefa Manter regras de senha.
  8. Para isentar o usuário do sistema de integração da expiração da senha, adicione essa pessoa ao campo Usuários do sistema isentos da expiração da senha.

Criar um grupo de segurança de integração no Workday

  1. Digite Criar grupo de segurança na barra de pesquisa e selecione a tarefa nos resultados.
  2. Localize o campo Tipo de grupo de segurança do locatário e selecione Grupo de segurança do sistema de integração (sem restrição).
  3. Dê um nome ao grupo de segurança.
  4. Clique em OK.
  5. Clique em Editar no grupo de segurança recém-criado.
  6. Atribua o Usuário do sistema de integração da etapa anterior ao grupo de segurança.
  7. Clique em Concluído.

Conceder acesso ao domínio ao grupo de segurança no Workday

  1. Digite Manter permissões para o grupo de segurança na barra de pesquisa e selecione a tarefa nos resultados.
  2. Escolha o grupo de segurança que você criou na lista Grupo de segurança da origem para modificar as permissões dele.
  3. Clique em OK.
  4. Acesse Manter permissões para o grupo de segurança > Permissões de política de segurança do domínio.
  5. Atribua as permissões necessárias para cada domínio, como operações GET.
  6. Clique em OK.
  7. Clique em Concluído para salvar as mudanças.

Ativar mudanças na política de segurança no Workday

  1. Digite Ativar as alterações pendentes na política de segurança na barra de pesquisa e selecione a tarefa nos resultados.
  2. Inicie a tarefa Ativar mudanças pendentes na política de segurança inserindo um motivo para a auditoria no campo de comentários e clique em OK.
  3. Para concluir a tarefa na próxima tela, marque a caixa de seleção Confirmar e clique em OK.

Configurar um feed no Google SecOps para processar registros do Workday

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Logs do Workday).
  4. Selecione API de terceiros como o Tipo de origem.
  5. Selecione o tipo de registro Workday.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Nome do host da API: o FQDN do endpoint da API REST do Workday.
    • Tenant: o último elemento de caminho do endpoint da API do Workday que identifica sua instância.
    • Token de acesso: token de acesso OAuth.
    • Namespace de recursos: o namespace de recursos.
    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
  8. Clique em Próxima.
  9. Revise a configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
@timestamp read_only_udm.metadata.event_timestamp.seconds O campo @timestamp do registro bruto é renomeado para timestamp e analisado como um carimbo de data/hora em segundos desde a época.
businessTitle read_only_udm.entity.entity.user.title Mapeado diretamente do campo businessTitle no registro bruto.
descriptor read_only_udm.entity.entity.user.user_display_name Mapeado diretamente do campo descriptor no registro bruto.
Employee_ID read_only_udm.entity.entity.user.employee_id Mapeado diretamente do campo Employee_ID no registro bruto.
Employee_ID read_only_udm.entity.metadata.product_entity_id Mapeado diretamente do campo Employee_ID no registro bruto quando id não está presente.
gopher-supervisor.descriptor read_only_udm.entity.entity.user.managers.user_display_name Mapeado diretamente do campo gopher-supervisor.descriptor no registro bruto, renomeado para empmanager.user_display_name e mesclado em managers.
gopher-supervisor.id read_only_udm.entity.entity.user.managers.product_object_id Mapeado diretamente do campo gopher-supervisor.id no registro bruto, renomeado para empmanager.product_object_id e mesclado em managers.
gopher-supervisor.primaryWorkEmail read_only_udm.entity.entity.user.managers.email_addresses Mapeado diretamente do campo gopher-supervisor.primaryWorkEmail no registro bruto e mesclado em managers.
gopher-time-off.date read_only_udm.entity.entity.user.time_off.interval.start_time Analisado como uma data do campo gopher-time-off.date dentro da matriz gopher-time-off no registro bruto.
gopher-time-off.descriptor read_only_udm.entity.entity.user.time_off.description Mapeado diretamente do campo gopher-time-off.descriptor na matriz gopher-time-off no registro bruto.
Hire_Date read_only_udm.entity.entity.user.hire_date Analisado como uma data do campo Hire_Date no registro bruto.
id read_only_udm.entity.metadata.product_entity_id Mapeado diretamente do campo id no registro bruto, quando presente.
Job_Profile read_only_udm.entity.entity.user.title Mapeado diretamente do campo Job_Profile no registro bruto quando businessTitle não está presente.
Legal_Name_First_Name read_only_udm.entity.entity.user.first_name Mapeado diretamente do campo Legal_Name_First_Name no registro bruto.
Legal_Name_Last_Name read_only_udm.entity.entity.user.last_name Mapeado diretamente do campo Legal_Name_Last_Name no registro bruto.
location.descriptor read_only_udm.entity.entity.location.city Mapeado diretamente do campo location.descriptor no registro bruto, renomeado para _location.city e depois para entity.entity.location.city.
primarySupervisoryOrganization.descriptor read_only_udm.entity.entity.user.department Mapeado diretamente do campo primarySupervisoryOrganization.descriptor no registro bruto.
primaryWorkEmail read_only_udm.entity.entity.user.email_addresses Mapeado diretamente do campo primaryWorkEmail no registro bruto.
primaryWorkPhone read_only_udm.entity.entity.user.phone_numbers Mapeado diretamente do campo primaryWorkPhone no registro bruto.
Termination_Date read_only_udm.entity.entity.user.termination_date Analisado como uma data do campo Termination_Date no registro bruto.
Work_Email read_only_udm.entity.entity.user.email_addresses Mapeado diretamente do campo Work_Email no registro bruto quando primaryWorkEmail não está presente.
collection_time read_only_udm.metadata.event_timestamp.collected_timestamp O collection_time do registro é mapeado para collected_timestamp.

Alterações

2022-09-15

  • Migrado para o analisador padrão.

2022-05-11

  • Migrado para o analisador padrão.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.