Recopila registros de auditoría de administrador de Atlassian Cloud

Compatible con:

En este documento, se explica cómo transferir registros de auditoría de administrador de Atlassian Cloud a Google Security Operations con AWS S3. Primero, el analizador intenta procesar el mensaje entrante como un objeto JSON. Si eso falla, usa expresiones regulares (patrones de Grok) para extraer campos de varios formatos de registro de Atlassian Jira y, en última instancia, asigna los datos extraídos al modelo de datos unificado (UDM).

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a AWS
  • Acceso privilegiado a Atlassian

Configura IAM de AWS y el bucket de S3

  1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Cómo crear un bucket
  2. Accede a la consola de AWS.
  3. Ve a S3 > Crear bucket.
  4. Proporciona un nombre para el bucket (por ejemplo, atlassian-admin-audit-logs).
  5. Deja los otros valores predeterminados (o configura el encriptado y el control de versiones si es necesario).
  6. Haz clic en Crear.
  7. Guarda el Nombre y la Región del bucket para referencia futura.
  8. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
  9. Selecciona el usuario creado.
  10. Selecciona la pestaña Credenciales de seguridad.
  11. Haz clic en Crear clave de acceso en la sección Claves de acceso.
  12. Selecciona Servicio de terceros como Caso de uso.
  13. Haz clic en Siguiente.
  14. Opcional: Agrega una etiqueta de descripción.
  15. Haz clic en Crear clave de acceso.
  16. Haz clic en Descargar archivo CSV y almacena el ID de acceso y la clave de acceso secreta para consultarlos más adelante.
  17. Haz clic en Listo.
  18. En la pestaña Permisos, en Políticas de permisos, haz clic en Agregar permisos.
  19. Selecciona Adjuntar políticas directamente.
  20. Busca la política AmazonS3FullAccess.
  21. Selecciona la política.
  22. Haz clic en Siguiente.
  23. Haz clic en Agregar permisos.

Configura la clave de API en Atlassian

  1. Accede a Atlassian.
  2. Ve a Configuración > Claves de API.
  3. En la esquina superior derecha, haz clic en Crear clave de API.
  4. Proporciona un nombre único y descriptivo para la clave.
  5. Elige una nueva fecha de vencimiento en Vence el.
  1. Haz clic en Crear para guardar los cambios.
  2. Copia y guarda tu clave de API y tu ID de organización.
  3. Haz clic en Listo.

Configura los paquetes obligatorios

  1. Accede a tu host de recopilación de registros (por ejemplo, una VM de AWS) y ejecuta el siguiente comando para configurar las credenciales de AWS:

    pip install boto3 requests
aws configure

Crea la secuencia de comandos de Atlassian Log Puller

  1. Para crear el siguiente archivo, ingresa sudo vi area1_to_s3.py y copia el siguiente código:

    • Ajusta lo siguiente: 
    #!/usr/bin/env python3
import os, requests, boto3, datetime

# Settings
TOKEN = os.environ["ATL_TOKEN"]
ORG_ID = os.environ["ATL_ORG_ID"]
AWS_PROFILE = os.getenv("AWS_PROFILE")
BUCKET = "atlassian-admin-audit-logs"

def fetch_events(cursor=None):
    url = f"https://api.atlassian.com/admin/v1/orgs/{ORG_ID}/events"
    headers = {"Authorization":f"Bearer {TOKEN}"}
    params = {"limit":100, "cursor":cursor} if cursor else {"limit":100}
    resp = requests.get(url, headers=headers, params=params)
    resp.raise_for_status()
    return resp.json()

def upload_json(data, filename):
    session = boto3.Session(profile_name=AWS_PROFILE) if AWS_PROFILE else boto3.Session()
    session.client("s3").put_object(Bucket=BUCKET, Key=filename, Body=data, ContentType="application/json")
    print(f"Uploaded {filename}")

def main():
    today = datetime.datetime.utcnow().strftime("%Y-%m-%d")
    cursor = None
    count = 0
    while True:
        resp = fetch_events(cursor)
        key = f"audits/{today}/events_{count}.json"
        upload_json(resp["data"], key)
        count += 1
        cursor = resp.get("links",{}).get("next")
        if not cursor: break

if __name__=="__main__":
    main()

  2. Para guardar y salir de vi, haz clic en esc > escribe :wq**.

Almacena variables de entorno

  1. Crea un archivo seguro para almacenar variables de entorno en /etc/atlassian_audit.env:

    export ATL_TOKEN="your_atlassian_key"
export ATL_ORG_ID="your_org_id"
export AWS_PROFILE="atlassian-logs"

  2. Asegúrate de que el archivo sea seguro:

    chmod 600 /etc/atlassian_audit.env

Automatiza con Cron

  1. Ejecuta sudo vi /usr/local/bin/run_atlassian_audit.sh y, luego, copia el siguiente código para crear una secuencia de comandos de Wrapper para Cron:

    #!/usr/bin/env bash
source /etc/atlassian_audit.env
python3 /opt/scripts/export_atlassian_audit.py

  2. Haz que el archivo sea ejecutable:

    chmod +x /usr/local/bin/run_atlassian_audit.sh

  3. Configura la ejecución diaria a las 02:00 UTC:

    crontab -e
0 2 * * * /usr/local/bin/run_atlassian_audit.sh >> /var/log/atl_audit.log 2>&1

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.