Coletar registros do Workday HCM
Esse analisador extrai dados de usuários do Workday HCM de registros formatados em JSON. Ele processa várias transformações de dados, incluindo renomear campos, mesclar objetos aninhados, analisar datas e preencher campos do UDM para atributos do usuário, detalhes de emprego e estrutura organizacional. Ele também inclui tratamento de erros para JSONs incorretos e campos essenciais ausentes.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se você tem acesso privilegiado ao Workday.
Criar um usuário do sistema de integração (ISU, na sigla em inglês) no Workday
- Faça login no Workday com privilégios administrativos.
- Digite Criar usuário do sistema de integração na barra de pesquisa e selecione a tarefa nos resultados.
- Digite um Nome de usuário.
- Defina uma senha.
- Defina Tempo limite da sessão (minutos) como
0
para evitar que o tempo limite da ISU expire. - Marque a caixa de seleção Não permitir sessões da interface para melhorar a segurança, restringindo os logins da UI.
- Acesse a tarefa Manter regras de senha.
- Para isentar o usuário do sistema de integração da expiração da senha, adicione essa pessoa ao campo Usuários do sistema isentos da expiração da senha.
Criar um grupo de segurança de integração no Workday
- Digite Criar grupo de segurança na barra de pesquisa e selecione a tarefa nos resultados.
- Localize o campo Tipo de grupo de segurança do locatário e selecione Grupo de segurança do sistema de integração (sem restrições).
- Dê um nome ao grupo de segurança.
- Clique em OK.
- Clique em Editar no grupo de segurança recém-criado.
- Atribua o Usuário do sistema de integração da etapa anterior ao grupo de segurança.
- Clique em Concluído.
Conceder acesso ao domínio ao grupo de segurança no Workday
- Digite Manter permissões para o grupo de segurança na barra de pesquisa e selecione a tarefa nos resultados.
- Escolha o grupo de segurança que você criou na lista Grupo de segurança da origem para modificar as permissões dele.
- Clique em OK.
- Acesse Manter permissões para o grupo de segurança > Permissões de política de segurança do domínio.
- Atribua as permissões necessárias para cada domínio, como operações GET.
- Clique em OK.
- Clique em Concluído para salvar as mudanças.
Ativar mudanças na política de segurança no Workday
- Digite Ativar as alterações pendentes na política de segurança na barra de pesquisa e selecione a tarefa nos resultados.
- Inicie a tarefa Ativar mudanças pendentes na política de segurança inserindo um motivo para a auditoria no campo de comentários e clique em OK.
- Para concluir a tarefa na próxima tela, marque a caixa de seleção Confirmar e clique em OK.
Configurar um feed no Google SecOps para processar registros do Workday
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Logs do Workday).
- Selecione API de terceiros como o Tipo de origem.
- Selecione o tipo de registro Workday.
- Clique em Próxima.
- Especifique valores para os seguintes parâmetros de entrada:
- Nome do host da API: o FQDN do endpoint de API REST do Workday.
- Tenant: o último elemento do caminho do endpoint de API do Workday que identifica sua instância.
- Token de acesso: token de acesso OAuth.
- Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
- Clique em Próxima.
- Revise a configuração do feed na tela Finalizar e clique em Enviar.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
@timestamp |
read_only_udm.metadata.event_timestamp.seconds |
O campo @timestamp do registro bruto é renomeado para timestamp e analisado como um carimbo de data/hora em segundos desde a época. |
businessTitle |
read_only_udm.entity.entity.user.title |
Mapeado diretamente do campo businessTitle no registro bruto. |
descriptor |
read_only_udm.entity.entity.user.user_display_name |
Mapeado diretamente do campo descriptor no registro bruto. |
Employee_ID |
read_only_udm.entity.entity.user.employee_id |
Mapeado diretamente do campo Employee_ID no registro bruto. |
Employee_ID |
read_only_udm.entity.metadata.product_entity_id |
Mapeado diretamente do campo Employee_ID no registro bruto quando id não está presente. |
gopher-supervisor.descriptor |
read_only_udm.entity.entity.user.managers.user_display_name |
Mapeado diretamente do campo gopher-supervisor.descriptor no registro bruto, renomeado para empmanager.user_display_name e mesclado em managers . |
gopher-supervisor.id |
read_only_udm.entity.entity.user.managers.product_object_id |
Mapeado diretamente do campo gopher-supervisor.id no registro bruto, renomeado para empmanager.product_object_id e mesclado em managers . |
gopher-supervisor.primaryWorkEmail |
read_only_udm.entity.entity.user.managers.email_addresses |
Mapeado diretamente do campo gopher-supervisor.primaryWorkEmail no registro bruto e mesclado em managers . |
gopher-time-off.date |
read_only_udm.entity.entity.user.time_off.interval.start_time |
Analisado como uma data do campo gopher-time-off.date dentro da matriz gopher-time-off no registro bruto. |
gopher-time-off.descriptor |
read_only_udm.entity.entity.user.time_off.description |
Mapeado diretamente do campo gopher-time-off.descriptor na matriz gopher-time-off no registro bruto. |
Hire_Date |
read_only_udm.entity.entity.user.hire_date |
Analisado como uma data do campo Hire_Date no registro bruto. |
id |
read_only_udm.entity.metadata.product_entity_id |
Mapeado diretamente do campo id no registro bruto, quando presente. |
Job_Profile |
read_only_udm.entity.entity.user.title |
Mapeado diretamente do campo Job_Profile no registro bruto quando businessTitle não está presente. |
Legal_Name_First_Name |
read_only_udm.entity.entity.user.first_name |
Mapeado diretamente do campo Legal_Name_First_Name no registro bruto. |
Legal_Name_Last_Name |
read_only_udm.entity.entity.user.last_name |
Mapeado diretamente do campo Legal_Name_Last_Name no registro bruto. |
location.descriptor |
read_only_udm.entity.entity.location.city |
Mapeado diretamente do campo location.descriptor no registro bruto, renomeado para _location.city e depois para entity.entity.location.city . |
primarySupervisoryOrganization.descriptor |
read_only_udm.entity.entity.user.department |
Mapeado diretamente do campo primarySupervisoryOrganization.descriptor no registro bruto. |
primaryWorkEmail |
read_only_udm.entity.entity.user.email_addresses |
Mapeado diretamente do campo primaryWorkEmail no registro bruto. |
primaryWorkPhone |
read_only_udm.entity.entity.user.phone_numbers |
Mapeado diretamente do campo primaryWorkPhone no registro bruto. |
Termination_Date |
read_only_udm.entity.entity.user.termination_date |
Analisado como uma data do campo Termination_Date no registro bruto. |
Work_Email |
read_only_udm.entity.entity.user.email_addresses |
Mapeado diretamente do campo Work_Email no registro bruto quando primaryWorkEmail não está presente. |
collection_time |
read_only_udm.metadata.event_timestamp.collected_timestamp |
O collection_time do registro é mapeado para collected_timestamp . |
Alterações
2022-09-15
- Migrado para o analisador padrão.
2022-05-11
- Migrado para o analisador padrão.