Raccogliere i log di controllo di Workday

Questo documento spiega come importare i log di controllo di Workday in Google Security Operations utilizzando AWS S3. Il parser identifica innanzitutto il tipo di evento specifico dai log in base all'analisi dei pattern dei dati CSV. Poi, estrae e struttura i campi pertinenti in base al tipo identificato, mappandoli a un modello UDM (Unified Data Model) per un'analisi di sicurezza coerente.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Istanza Google SecOps
• Accesso privilegiato ad AWS
• Accesso con privilegi a Workday

Configura il bucket AWS S3 e IAM per Google SecOps

1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket.
2. Salva il nome e la regione del bucket per riferimento futuro (ad esempio, workday-audit-logs).
3. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
4. Seleziona l'utente creato.
5. Seleziona la scheda Credenziali di sicurezza.
6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
7. Seleziona Servizio di terze parti come Caso d'uso.
8. Fai clic su Avanti.
9. (Facoltativo) Aggiungi il tag della descrizione.
10. Fai clic su Crea chiave di accesso.
11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per riferimento futuro.
12. Fai clic su Fine.
13. Seleziona la scheda Autorizzazioni.
14. Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
15. Seleziona Aggiungi autorizzazioni.
16. Seleziona Allega direttamente i criteri.
17. Cerca e seleziona il criterio AmazonS3FullAccess.
18. Fai clic su Avanti.
19. Fai clic su Aggiungi autorizzazioni.

Crea l'utente di sistema di integrazione (ISU) di Workday

1. In Workday, cerca Create Integration System User > Ok.
2. Compila il campo Nome utente (ad esempio, audit_s3_user).
3. Fai clic su OK.
4. Reimposta la password andando su Azioni correlate > Sicurezza > Reimposta password.
5. Seleziona Mantieni regole password per impedire la scadenza della password.
6. Cerca Create Security Group > Integration System Security Group (Unconstrained).
7. Fornisci un nome (ad esempio ISU_Audit_S3) e aggiungi l'utente di sistema integrato a Integration System Users (Utenti di sistema integrato).
8. Cerca Domain Security Policies for Functional Area > System.
9. Per Audit Trail, seleziona Azioni > Modifica autorizzazioni.
10. In Ottieni solo, aggiungi il gruppo ISU_Audit_S3.
11. Fai clic su Ok > Attiva modifiche in attesa del criterio di sicurezza.

Configurare il report personalizzato di Workday

1. In Workday, cerca Crea report personalizzato.
2. Fornisci i seguenti dettagli di configurazione:
   • Nome: inserisci un nome univoco (ad esempio, Audit_Trail_BP_JSON).
   • Tipo: seleziona Avanzate.
   • Origine dati: seleziona Audit trail - Business Process.
   • Fai clic su OK.
   • (Facoltativo) Aggiungi filtri per Tipo di processo aziendale o Data di validità.
3. Vai alla scheda Output.
4. Seleziona Attiva come servizio web, Ottimizzato per le prestazioni e Formato JSON.
5. Fai clic su Ok > Fine.
6. Apri il report e fai clic su Condividi > aggiungi ISU_Audit_S3 con autorizzazione di visualizzazione > Ok.
7. Vai ad Azioni correlate > Servizio web > Visualizza URL.
8. Copia l'URL JSON (ad esempio, https://wd-services1.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json).

Configura il ruolo e il criterio IAM per i caricamenti S3

1. JSON delle policy (sostituisci workday-audit-logs se hai inserito un nome del bucket diverso):

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowPutWorkdayObjects",
         "Effect": "Allow",
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::workday-audit-logs/*"
       }
     ]
   }
   

2. Vai alla console AWS > IAM > Policy > Crea policy > scheda JSON.

3. Copia e incolla le norme.

4. Fai clic su Avanti > Crea policy.

5. Vai a IAM > Ruoli > Crea ruolo > Servizio AWS > Lambda.

6. Allega il criterio appena creato.

7. Assegna al ruolo il nome WriteWorkdayToS3Role e fai clic su Crea ruolo.

Crea la funzione Lambda

1. Dopo aver creato la funzione, apri la scheda Codice, elimina lo stub e incolla il codice riportato di seguito (workday_audit_to_s3.py).

   #!/usr/bin/env python3
   
   import os, json, gzip, io, uuid, base64, datetime as dt, urllib.request, urllib.error
   import boto3
   
   WD_USER   = os.environ["WD_USER"]
   WD_PASS   = os.environ["WD_PASS"]
   WD_URL    = os.environ["WD_URL"]
   S3_BUCKET = os.environ["S3_BUCKET_NAME"]
   
   def fetch_report() -> bytes:
       credentials = f"{WD_USER}:{WD_PASS}".encode()
       auth_header = b"Basic " + base64.b64encode(credentials)
       req = urllib.request.Request(WD_URL, headers={"Authorization": auth_header.decode()})
       with urllib.request.urlopen(req, timeout=30) as r:
           return r.read()  # raw JSON bytes
   
   def upload(payload: bytes, ts: dt.datetime) -> None:
       key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz"
       buf = io.BytesIO()
       with gzip.GzipFile(fileobj=buf, mode="w") as gz:
           gz.write(payload)
       buf.seek(0)
       boto3.client("s3").upload_fileobj(buf, S3_BUCKET, key)
   
   def lambda_handler(event=None, context=None):
       now = dt.datetime.utcnow().replace(microsecond=0)
       data = fetch_report()
       upload(data, now)
       print(f"Uploaded Workday audit report ({len(data)} bytes raw)")
   
   if __name__ == "__main__":
       lambda_handler()
   

2. Vai a Configurazione > Variabili di ambiente > Modifica > Aggiungi nuova variabile di ambiente.

3. Inserisci le seguenti variabili di ambiente, sostituendo il valore con il tuo.

   Variabili di ambiente

   Chiave	Valori di esempio
   WD_USER	audit_s3_user
   WD_PASS	Wrokday-Password
   WD_URL	https://.../Audit_Trail_BP_JSON?format=json
   S3_BUCKET_NAME	workday-audit-logs

4. Dopo aver creato la funzione, rimani sulla relativa pagina (o apri Lambda > Funzioni > la tua funzione).

5. Seleziona la scheda Configurazione.

6. Nel riquadro Configurazione generale, fai clic su Modifica.

7. Modifica Timeout impostando 5 minuti (300 secondi) e fai clic su Salva.

Pianifica la funzione Lambda (EventBridge Scheduler)

1. Vai a Configurazione > Trigger > Aggiungi trigger > EventBridge Scheduler > Crea regola.
2. Fornisci i seguenti dettagli di configurazione:
   • Nome: daily-workday-audit export
   • Pattern di pianificazione: espressione cron.
   • Espressione: 20 2 * * ? * (viene eseguita ogni giorno alle 02:20 UTC).
3. Lascia invariate le altre impostazioni predefinite e fai clic su Crea.

Configura un feed in Google SecOps per importare gli audit log di Workday

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su + Aggiungi nuovo feed.
3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Workday Audit Logs).
4. Seleziona Amazon S3 V2 come Tipo di origine.
5. Seleziona Audit di Workday come Tipo di log.
6. Fai clic su Ottieni un service account.
7. Fai clic su Avanti.
8. Specifica i valori per i seguenti parametri di input:
   • URI S3: l'URI del bucket
     • s3://workday-audit-logs/.
       • Sostituisci workday-audit-logs con il nome effettivo del bucket.
   • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
   • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
   • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
   • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.
   • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
9. Fai clic su Avanti.
10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.