收集 Workday 审核日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 AWS S3 将 Workday 审核日志注入到 Google Security Operations。解析器首先根据 CSV 数据的模式分析,从日志中识别出具体的事件类型。然后,它会根据识别出的类型提取相关字段并将其结构化,再将这些字段映射到统一数据模型 (UDM),以便进行一致的安全分析。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- 对 AWS 的特权访问权限
- 对 Workday 的特权访问权限
为 Google SecOps 配置 AWS S3 存储桶和 IAM
- 按照以下用户指南创建 Amazon S3 存储桶:创建存储桶。
- 保存存储桶名称和区域以供日后参考(例如
workday-audit-logs)。 - 按照以下用户指南创建用户:创建 IAM 用户。
- 选择创建的用户。
- 选择安全凭据标签页。
- 在访问密钥部分中,点击创建访问密钥。
- 选择第三方服务作为使用情形。
- 点击下一步。
- 可选:添加说明标记。
- 点击创建访问密钥。
- 点击下载 CSV 文件,保存访问密钥和密钥以供日后参考。
- 点击完成。
- 选择权限标签页。
- 在权限政策部分中,点击添加权限。
- 选择添加权限。
- 选择直接附加政策。
- 搜索并选择 AmazonS3FullAccess 政策。
- 点击下一步。
- 点击添加权限。
创建 Workday 集成系统用户 (ISU)
- 在 Workday 中,搜索 Create Integration System User > OK。
- 填写用户名(例如
audit_s3_user)。 - 点击确定。
- 依次前往相关操作 > 安全性 > 重置密码,重置密码。
- 选择维护密码规则以防止密码过期。
- 搜索 Create Security Group > Integration System Security Group (Unconstrained)。
- 提供名称(例如
ISU_Audit_S3),并将 ISU 添加到 Integration System Users。 - 搜索功能区域的网域安全政策 > 系统。
- 对于审核轨迹,请依次选择操作 > 编辑权限。
- 在 Get Only 下,添加
ISU_Audit_S3群组。 - 依次点击确定 > 激活待处理的安全政策更改。
配置 Workday 自定义报告
- 在 Workday 中,搜索 Create Custom Report。
- 提供以下配置详细信息:
- 名称:输入一个唯一名称(例如
Audit_Trail_BP_JSON)。 - 类型:选择高级。
- 数据源:选择审核轨迹 - 业务流程。
- 点击确定。
- 可选:添加业务流程类型或生效日期方面的过滤条件。
- 名称:输入一个唯一名称(例如
- 前往输出标签页。
- 选择启用为 Web 服务、针对性能进行优化,然后选择 JSON 格式。
- 依次点击确定> 完成。
- 打开报告,然后依次点击共享 > 添加
ISU_Audit_S3(具有查看权限)> 确定。 - 依次前往相关操作 > Web 服务 > 查看网址。
- 复制 JSON 网址(例如
https://wd-services1.workday.com/ccx/service/customreport2/<tenant>/<user>/Audit_Trail_BP_JSON?format=json)。
为 S3 上传配置 IAM 政策和角色
政策 JSON(如果您输入了其他存储桶名称,请替换
workday-audit-logs):{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutWorkdayObjects", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::workday-audit-logs/*" } ] }依次前往 AWS 控制台 > IAM > 政策 > 创建政策 > JSON 标签页。
复制并粘贴政策。
依次点击下一步 > 创建政策。
依次前往 IAM > 角色 > 创建角色 > AWS 服务 > Lambda。
附加新创建的政策。
将角色命名为
WriteWorkdayToS3Role,然后点击创建角色。
创建 Lambda 函数
| 设置 | 值 |
|---|---|
| 名称 | workday_audit_to_s3 |
| 运行时 | Python 3.13 |
| 架构 | x86_64 |
| 执行角色 | WriteWorkdayToS3Role |
创建函数后,打开 Code 标签页,删除桩代码并粘贴以下代码 (
workday_audit_to_s3.py)。#!/usr/bin/env python3 import os, json, gzip, io, uuid, base64, datetime as dt, urllib.request, urllib.error import boto3 WD_USER = os.environ["WD_USER"] WD_PASS = os.environ["WD_PASS"] WD_URL = os.environ["WD_URL"] S3_BUCKET = os.environ["S3_BUCKET_NAME"] def fetch_report() -> bytes: credentials = f"{WD_USER}:{WD_PASS}".encode() auth_header = b"Basic " + base64.b64encode(credentials) req = urllib.request.Request(WD_URL, headers={"Authorization": auth_header.decode()}) with urllib.request.urlopen(req, timeout=30) as r: return r.read() # raw JSON bytes def upload(payload: bytes, ts: dt.datetime) -> None: key = f"{ts:%Y/%m/%d}/workday-audit-{uuid.uuid4()}.json.gz" buf = io.BytesIO() with gzip.GzipFile(fileobj=buf, mode="w") as gz: gz.write(payload) buf.seek(0) boto3.client("s3").upload_fileobj(buf, S3_BUCKET, key) def lambda_handler(event=None, context=None): now = dt.datetime.utcnow().replace(microsecond=0) data = fetch_report() upload(data, now) print(f"Uploaded Workday audit report ({len(data)} bytes raw)") if __name__ == "__main__": lambda_handler()依次前往配置 > 环境变量 > 修改 > 添加新的环境变量。
输入以下环境变量,并将其替换为您的值。
环境变量
键 示例值 WD_USERaudit_s3_userWD_PASSWrokday-PasswordWD_URLhttps://.../Audit_Trail_BP_JSON?format=jsonS3_BUCKET_NAMEworkday-audit-logs创建函数后,请停留在其页面上(或依次打开 Lambda > 函数 > your‑function)。
选择配置标签页。
在常规配置面板中,点击修改。
将超时更改为 5 分钟(300 秒),然后点击保存。
安排 Lambda 函数的运行时间 (EventBridge Scheduler)
- 依次前往配置 > 触发器 > 添加触发器 > EventBridge Scheduler > 创建规则。
- 提供以下配置详细信息:
- 名称:
daily-workday-audit export。 - 调度模式:Cron 表达式。
- 表达式:
20 2 * * ? *(每天在世界协调时间 [UTC] 02:20 运行)。
- 名称:
- 将其余设置保留为默认值,然后点击创建。
在 Google SecOps 中配置 Feed 以注入 Workday 审核日志
- 依次前往 SIEM 设置> Feed。
- 点击 + 添加新 Feed。
- 在Feed 名称字段中,输入 Feed 的名称(例如
Workday Audit Logs)。 - 选择 Amazon S3 V2 作为来源类型。
- 选择 Workday 审核作为日志类型。
- 点击获取服务账号。
- 点击下一步。
- 为以下输入参数指定值:
- S3 URI:存储桶 URI
s3://workday-audit-logs/。- 将
workday-audit-logs替换为存储桶的实际名称。
- 将
- 来源删除选项:根据您的偏好设置选择删除选项。
- 文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
- 访问密钥 ID:有权访问 S3 存储桶的用户访问密钥。
- 私有访问密钥:有权访问 S3 存储桶的用户私有密钥。
- 资产命名空间:资产命名空间。
- 注入标签:要应用于此 Feed 中事件的标签。
- S3 URI:存储桶 URI
- 点击下一步。
- 在最终确定界面中查看新的 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
Account |
metadata.event_type | 如果“Account”字段不为空,则“metadata.event_type”字段设置为“USER_RESOURCE_UPDATE_CONTENT”。 |
Account |
principal.user.primaryId | 系统会使用 grok 模式从“账号”字段中提取用户 ID,并将其映射到 principal.user.primaryId。 |
Account |
principal.user.primaryName | 用户显示名称使用 grok 模式从“账号”字段中提取,并映射到“principal.user.primaryName”。 |
ActivityCategory |
metadata.event_type | 如果“ActivityCategory”字段为“READ”,则“metadata.event_type”字段设置为“RESOURCE_READ”。如果为“WRITE”,则设置为“RESOURCE_WRITTEN”。 |
ActivityCategory |
metadata.product_event_type | 直接从“ActivityCategory”字段映射。 |
AffectedGroups |
target.user.group_identifiers | 直接从“AffectedGroups”字段映射。 |
Area |
target.resource.attribute.labels.area.value | 直接从“Area”字段映射。 |
AuthType |
extensions.auth.auth_details | 直接从“AuthType”字段映射。 |
AuthType |
extensions.auth.type | 根据特定值,从“AuthType”字段映射到 UDM 中定义的不同身份验证类型。 |
CFIPdeConexion |
src.domain.name | 如果“CFIPdeConexion”字段不是有效的 IP 地址,则会映射到“src.domain.name”。 |
CFIPdeConexion |
target.ip | 如果“CFIPdeConexion”字段是有效的 IP 地址,则会映射到“target.ip”。 |
ChangedRelationship |
metadata.description | 直接从“ChangedRelationship”字段映射。 |
ClassOfInstance |
target.resource.attribute.labels.class_instance.value | 直接从“ClassOfInstance”字段映射。 |
column18 |
about.labels.utub.value | 直接从“column18”字段映射。 |
CreatedBy |
principal.user.userid | 使用 grok 模式从“CreatedBy”字段中提取 userid,并将其映射到“principal.user.userid”。 |
CreatedBy |
principal.user.user_display_name | 用户显示名使用 Grok 模式从“CreatedBy”字段中提取,并映射到“principal.user.user_display_name”。 |
Domain |
about.domain.name | 直接从“网域”字段映射。 |
EffectiveDate |
@timestamp | 在转换为“yyyy-MM-dd HH:mm:ss.SSSZ”格式后,解析为“@timestamp”。 |
EntryMoment |
@timestamp | 在转换为“ISO8601”格式后,解析为“@timestamp”。 |
EventType |
security_result.description | 直接从“EventType”字段映射。 |
Form |
target.resource.name | 直接从“表单”字段映射。 |
InstancesAdded |
about.resource.attribute.labels.instances_added.value | 直接从“InstancesAdded”字段映射。 |
InstancesAdded |
target.user.attribute.roles.instances_added.name | 直接从“InstancesAdded”字段映射。 |
InstancesRemoved |
about.resource.attribute.labels.instances_removed.value | 直接从“InstancesRemoved”字段映射。 |
InstancesRemoved |
target.user.attribute.roles.instances_removed.name | 直接从“InstancesRemoved”字段映射。 |
IntegrationEvent |
target.resource.attribute.labels.integration_event.value | 直接从“IntegrationEvent”字段映射。 |
IntegrationStatus |
security_result.action_details | 直接从“IntegrationStatus”字段映射。 |
IntegrationSystem |
target.resource.name | 直接从“IntegrationSystem”字段映射。 |
IP |
src.domain.name | 如果“IP”字段不是有效的 IP 地址,则会映射到“src.domain.name”。 |
IP |
src.ip | 如果“IP”字段是有效的 IP 地址,则会映射到“src.ip”。 |
IsDeviceManaged |
additional.fields.additional1.value.string_value | 如果“IsDeviceManaged”字段为“N”,则该值设置为“Successful”。否则,系统会将其设置为“登录失败”。 |
IsDeviceManaged |
additional.fields.additional2.value.string_value | 如果“IsDeviceManaged”字段为“N”,则该值设置为“Successful”。否则,该值会设置为“Invalid Credentials”(凭据无效)。 |
IsDeviceManaged |
additional.fields.additional3.value.string_value | 如果“IsDeviceManaged”字段为“N”,则该值设置为“Successful”。否则,系统会将其设置为“账号已锁定”。 |
IsDeviceManaged |
security_result.action_details | 直接从“IsDeviceManaged”字段映射。 |
OutputFiles |
about.file.full_path | 直接从“OutputFiles”字段映射。 |
Person |
principal.user.primaryId | 如果“Person”字段以“INT”开头,则使用 Grok 模式提取用户 ID 并将其映射到“principal.user.primaryId”。 |
Person |
principal.user.primaryName | 如果“Person”字段以“INT”开头,则使用 Grok 模式提取用户显示名称,并将其映射到“principal.user.primaryName”。 |
Person |
principal.user.user_display_name | 如果“Person”字段不是以“INT”开头,则直接映射到“principal.user.user_display_name”。 |
Person |
metadata.event_type | 如果“Person”字段不为空,则“metadata.event_type”字段设置为“USER_RESOURCE_UPDATE_CONTENT”。 |
ProcessedTransaction |
target.resource.attribute.creation_time | 在转换为“dd/MM/yyyy HH:mm:ss,SSS (ZZZ)”“dd/MM/yyyy, HH:mm:ss,SSS (ZZZ)”或“MM/dd/yyyy, HH:mm:ss.SSS A ZZZ”格式后,解析为“target.resource.attribute.creation_time”。 |
ProgramBy |
principal.user.userid | 直接从“ProgramBy”字段映射。 |
RecurrenceEndDate |
principal.resource.attribute.last_update_time | 在转换为“yyyy-MM-dd”格式后,解析为“principal.resource.attribute.last_update_time”。 |
RecurrenceStartDate |
principal.resource.attribute.creation_time | 在转换为“yyyy-MM-dd”格式后,解析为“principal.resource.attribute.creation_time”。 |
RequestName |
metadata.description | 直接从“RequestName”字段映射。 |
ResponseMessage |
security_result.summary | 直接从“ResponseMessage”字段映射。 |
RestrictedToEnvironment |
security_result.about.hostname | 直接从“RestrictedToEnvironment”字段映射。 |
RevokedSecurity |
security_result.outcomes.outcomes.value | 直接从“RevokedSecurity”字段映射。 |
RunFrequency |
principal.resource.attribute.labels.run_frequency.value | 直接从“RunFrequency”字段映射。 |
ScheduledProcess |
principal.resource.name | 直接从“ScheduledProcess”字段映射。 |
SecuredTaskExecuted |
target.resource.name | 直接从“SecuredTaskExecuted”字段映射。 |
SecureTaskExecuted |
metadata.event_type | 如果“SecureTaskExecuted”字段包含“Create”,则“metadata.event_type”字段设置为“USER_RESOURCE_CREATION”。 |
SecureTaskExecuted |
target.resource.name | 直接从“SecureTaskExecuted”字段映射。 |
SentTime |
@timestamp | 在转换为“ISO8601”格式后,解析为“@timestamp”。 |
SessionId |
network.session_id | 直接从“SessionId”字段映射。 |
ShareBy |
target.user.userid | 直接从“ShareBy”字段映射。 |
SignOffTime |
additional.fields.additional4.value.string_value | “AuthFailMessage”字段值放置在“additional.fields”数组中,键为“Enterprise Interface Builder”。 |
SignOffTime |
metadata.description | 直接从“AuthFailMessage”字段映射。 |
SignOffTime |
metadata.event_type | 如果“SignOffTime”字段为空,则将“metadata.event_type”字段设置为“USER_LOGIN”。否则,该值会设置为“USER_LOGOUT”。 |
SignOffTime |
principal.user.attribute.last_update_time | 在转换为“ISO8601”格式后,解析为“principal.user.attribute.last_update_time”。 |
SignOnIp |
src.domain.name | 如果“SignOnIp”字段不是有效的 IP 地址,则会映射到“src.domain.name”。 |
SignOnIp |
src.ip | 如果“SignOnIp”字段是有效的 IP 地址,则会映射到“src.ip”。 |
Status |
metadata.product_event_type | 直接从“状态”字段映射。 |
SystemAccount |
principal.user.email_addresses | 电子邮件地址使用 grok 模式从“SystemAccount”字段中提取,并映射到“principal.user.email_addresses”。 |
SystemAccount |
principal.user.primaryId | 使用 grok 模式从“SystemAccount”字段中提取 userid,并将其映射到“principal.user.primaryId”。 |
SystemAccount |
principal.user.primaryName | 用户显示名使用 Grok 模式从“SystemAccount”字段中提取,并映射到“principal.user.primaryName”。 |
SystemAccount |
src.user.userid | 使用 Grok 模式从“SystemAccount”字段中提取辅助用户 ID,并将其映射到“src.user.userid”。 |
SystemAccount |
src.user.user_display_name | 辅助用户显示名使用 Grok 模式从“SystemAccount”字段中提取,并映射到“src.user.user_display_name”。 |
SystemAccount |
target.user.userid | 使用 Grok 模式从“SystemAccount”字段中提取目标用户 ID,并将其映射到“target.user.userid”。 |
Target |
target.user.user_display_name | 直接从“目标”字段映射。 |
Template |
about.resource.name | 直接从“模板”字段映射。 |
Tenant |
target.asset.hostname | 直接从“租户”字段映射。 |
TlsVersion |
network.tls.version | 直接从“TlsVersion”字段映射。 |
Transaction |
security_result.action_details | 直接从“交易”字段映射。 |
TransactionType |
security_result.summary | 直接从“TransactionType”字段映射。 |
TypeForm |
target.resource.resource_subtype | 直接从“TypeForm”字段映射。 |
UserAgent |
network.http.parsed_user_agent | 使用“useragent”过滤条件从“UserAgent”字段解析。 |
UserAgent |
network.http.user_agent | 直接从“UserAgent”字段映射。 |
WorkdayAccount |
target.user.user_display_name | 用户显示名使用 Grok 模式从“WorkdayAccount”字段中提取,并映射到“target.user.user_display_name”。 |
WorkdayAccount |
target.user.userid | 使用 grok 模式从“WorkdayAccount”字段中提取 userid,并将其映射到“target.user.userid”。 |
| additional.fields.additional1.key | 设置为“FailedSignOn”。 | |
| additional.fields.additional2.key | 设置为“InvalidCredentials”。 | |
| additional.fields.additional3.key | 设置为“AccountLocked”。 | |
| additional.fields.additional4.key | 设置为“Enterprise Interface Builder”。 | |
| metadata.event_type | 最初设置为“GENERIC_EVENT”,然后根据涉及其他字段的逻辑进行更新。 | |
| metadata.event_type | 对于特定事件类型,设置为“USER_CHANGE_PERMISSIONS”。 | |
| metadata.event_type | 对于特定事件类型,设置为“RESOURCE_WRITTEN”。 | |
| metadata.log_type | 硬编码为“WORKDAY_AUDIT”。 | |
| metadata.product_name | 硬编码为“Enterprise Interface Builder”。 | |
| metadata.vendor_name | 硬编码为“工作日”。 | |
| principal.asset.category | 如果“DeviceType”字段为“Phone”,则设置为“Phone”。 | |
| principal.resource.resource_type | 如果“ScheduledProcess”字段不为空,则硬编码为“TASK”。 | |
| security_result.action | 根据“FailedSignOn”“IsDeviceManaged”“InvalidCredentials”和“AccountLocked”字段的值设置为“ALLOW”或“FAIL”。 | |
| security_result.summary | 根据“FailedSignOn”“IsDeviceManaged”“InvalidCredentials”和“AccountLocked”字段的值,设置为“成功”或特定错误消息。 | |
| target.resource.resource_type | 对于特定事件类型,硬编码为“TASK”。 | |
| target.resource.resource_type | 如果“TypeForm”字段不为空,则硬编码为“DATASET”。 | |
message |
principal.user.email_addresses | 使用 Grok 模式从“message”字段中提取电子邮件地址,并在匹配特定模式时将其合并到“principal.user.email_addresses”中。 |
message |
src.user.userid | 如果“event.idm.read_only_udm.principal.user.userid”字段与从“message”字段中提取的“user_target”匹配,则清除该字段。 |
message |
src.user.user_display_name | 如果“event.idm.read_only_udm.principal.user.userid”字段与从“message”字段中提取的“user_target”匹配,则清除该字段。 |
message |
target.user.userid | 使用 grok 模式从“message”字段中提取 userid,并在匹配特定模式时将其映射到“target.user.userid”。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。