Mengumpulkan log audit Workday

Dokumen ini menjelaskan cara menyerap log audit Workday ke Google Security Operations menggunakan AWS S3. Parser terlebih dahulu mengidentifikasi jenis peristiwa tertentu dari log berdasarkan analisis pola data CSV. Kemudian, kolom tersebut mengekstrak dan menyusun kolom yang relevan sesuai dengan jenis yang diidentifikasi, memetakannya ke model data terpadu (UDM) untuk analisis keamanan yang konsisten.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

• Instance Google SecOps
• Akses istimewa ke AWS
• Akses istimewa ke Workday

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket.
2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, workday-audit-logs).
3. Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
4. Pilih Pengguna yang dibuat.
5. Pilih tab Kredensial keamanan.
6. Klik Create Access Key di bagian Access Keys.
7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
8. Klik Berikutnya.
9. Opsional: Tambahkan tag deskripsi.
10. Klik Create access key.
11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk referensi di masa mendatang.
12. Klik Selesai.
13. Pilih tab Permissions.
14. Klik Tambahkan izin di bagian Kebijakan izin.
15. Pilih Tambahkan izin.
16. Pilih Lampirkan kebijakan secara langsung.
17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
18. Klik Berikutnya.
19. Klik Add permissions.

Membuat Pengguna Sistem Integrasi (ISU) Workday

1. Di Workday, cari Create Integration System User > OK.
2. Isi User Name (misalnya, audit_s3_user).
3. Klik Oke.
4. Setel ulang sandi dengan membuka Tindakan Terkait > Keamanan > Setel Ulang Sandi.
5. Pilih Pertahankan Aturan Sandi untuk mencegah masa berlaku sandi berakhir.
6. Telusuri Create Security Group > Integration System Security Group (Unconstrained).
7. Berikan nama (misalnya, ISU_Audit_S3) dan tambahkan ISU ke Pengguna Sistem Integrasi.
8. Cari Kebijakan Keamanan Domain untuk Area Fungsional > Sistem.
9. Untuk Audit Trail, pilih Tindakan > Edit Izin.
10. Di bagian Get Only, tambahkan grup ISU_Audit_S3.
11. Klik OKE > Aktifkan Perubahan Kebijakan Keamanan yang Tertunda.

Mengonfigurasi Laporan Kustom Workday

1. Di Workday, telusuri Create Custom Report.
2. Berikan detail konfigurasi berikut:
   • Nama: Masukkan nama unik (misalnya, Audit_Trail_BP_JSON).
   • Jenis: Pilih Lanjutan.
   • Sumber Data: Pilih Audit Trail – Business Process.
   • Klik Oke.
   • Opsional: Tambahkan filter pada Jenis Proses Bisnis atau Tanggal Mulai Berlaku.
3. Buka tab Output.
4. Pilih Aktifkan sebagai Layanan Web, Dioptimalkan untuk Performa, lalu pilih Format JSON.
5. Klik OK > Selesai.
6. Buka laporan, lalu klik Bagikan > tambahkan ISU_Audit_S3 dengan izin Lihat > OK.
7. Buka Related Actions > Web Service > View URLs.
8. Salin URL JSON (misalnya, https://wd-services1.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json).

Mengonfigurasi kebijakan dan peran IAM untuk upload S3

1. Policy JSON (ganti workday-audit-logs jika Anda memasukkan nama bucket yang berbeda):

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowPutWorkdayObjects",
         "Effect": "Allow",
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::workday-audit-logs/*"
       }
     ]
   }
   

2. Buka konsol AWS > IAM > Policies > Create policy > tab JSON.

3. Salin dan tempel kebijakan.

4. Klik Berikutnya > Buat kebijakan.

5. Buka IAM > Roles > Create role > AWS service > Lambda.

6. Lampirkan kebijakan yang baru dibuat.

7. Beri nama peran WriteWorkdayToS3Role, lalu klik Buat peran.

Buat fungsi Lambda

1. Setelah fungsi dibuat, buka tab Code, hapus stub, dan tempelkan kode di bawah (workday_audit_to_s3.py).

   #!/usr/bin/env python3
   
   import os, json, gzip, io, uuid, base64, datetime as dt, urllib.request, urllib.error
   import boto3
   
   WD_USER   = os.environ["WD_USER"]
   WD_PASS   = os.environ["WD_PASS"]
   WD_URL    = os.environ["WD_URL"]
   S3_BUCKET = os.environ["S3_BUCKET_NAME"]
   
   def fetch_report() -> bytes:
       credentials = f"{WD_USER}:{WD_PASS}".encode()
       auth_header = b"Basic " + base64.b64encode(credentials)
       req = urllib.request.Request(WD_URL, headers={"Authorization": auth_header.decode()})
       with urllib.request.urlopen(req, timeout=30) as r:
           return r.read()  # raw JSON bytes
   
   def upload(payload: bytes, ts: dt.datetime) -> None:
       key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"
       buf = io.BytesIO()
       with gzip.GzipFile(fileobj=buf, mode="w") as gz:
           gz.write(payload)
       buf.seek(0)
       boto3.client("s3").upload_fileobj(buf, S3_BUCKET, key)
   
   def lambda_handler(event=None, context=None):
       now = dt.datetime.utcnow().replace(microsecond=0)
       data = fetch_report()
       upload(data, now)
       print(f"Uploaded Workday audit report ({len(data)} bytes raw)")
   
   if __name__ == "__main__":
       lambda_handler()
   

2. Buka Configuration > Environment variables > Edit > Add new environment variable.

3. Masukkan variabel lingkungan berikut, lalu ganti dengan nilai Anda.

   Variabel lingkungan

   Kunci	Nilai Contoh
   WD_USER	audit_s3_user
   WD_PASS	Wrokday-Password
   WD_URL	https://.../Audit_Trail_BP_JSON?format=json
   S3_BUCKET_NAME	workday-audit-logs

4. Setelah fungsi dibuat, tetap buka halamannya (atau buka Lambda > Functions > your‑function).

5. Pilih tab Configuration

6. Di panel General configuration, klik Edit.

7. Ubah Waktu tunggu menjadi 5 menit (300 detik), lalu klik Simpan.

Jadwalkan fungsi Lambda (EventBridge Scheduler)

1. Buka Configuration > Triggers > Add trigger > EventBridge Scheduler > Create rule.
2. Berikan detail konfigurasi berikut:
   • Name: daily-workday-audit export.
   • Pola jadwal: Ekspresi cron.
   • Ekspresi: 20 2 * * ? * (berjalan setiap hari pada pukul 02.20 UTC).
3. Biarkan setelan lainnya dalam nilai default, lalu klik Create.

Mengonfigurasi feed di Google SecOps untuk menyerap log Audit Workday

1. Buka Setelan SIEM > Feed.
2. Klik + Tambahkan Feed Baru.
3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Workday Audit Logs).
4. Pilih Amazon S3 V2 sebagai Jenis sumber.
5. Pilih Audit Workday sebagai Jenis log.
6. Klik Dapatkan Akun Layanan.
7. Klik Berikutnya.
8. Tentukan nilai untuk parameter input berikut:
   • URI S3: URI bucket
     • s3://workday-audit-logs/.
       • Ganti workday-audit-logs dengan nama bucket yang sebenarnya.
   • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
   • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 Hari.
   • Access Key ID: Kunci akses pengguna dengan akses ke bucket s3.
   • Secret Access Key: Kunci rahasia pengguna dengan akses ke bucket s3.
   • Namespace aset: Namespace aset.
   • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
9. Klik Berikutnya.
10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.