Mengumpulkan log Audit Admin Atlassian Cloud

Dokumen ini menjelaskan cara menyerap log Audit Admin Atlassian Cloud ke Google Security Operations menggunakan AWS S3. Parser pertama-tama mencoba memproses pesan masuk sebagai objek JSON. Jika gagal, parser akan menggunakan ekspresi reguler (pola Grok) untuk mengekstrak kolom dari berbagai format log Atlassian Jira, yang pada akhirnya memetakan data yang diekstrak ke model data terpadu (UDM).

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

• Instance Google SecOps
• Akses istimewa ke AWS
• Akses istimewa ke Atlassian

Mengonfigurasi AWS IAM dan Bucket S3

1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
2. Login ke Konsol AWS.
3. Buka S3 > Create bucket.
4. Berikan nama untuk bucket (misalnya, atlassian-admin-audit-logs).
5. Biarkan setelan default lainnya (atau konfigurasi enkripsi dan pembuatan versi jika diperlukan).
6. Klik Buat.
7. Simpan Nama dan Region bucket untuk referensi di masa mendatang.
8. Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
9. Pilih Pengguna yang dibuat.
10. Pilih tab Kredensial keamanan.
11. Klik Create Access Key di bagian Access Keys.
12. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
13. Klik Berikutnya.
14. Opsional: Tambahkan tag deskripsi.
15. Klik Create access key.
16. Klik Download file CSV, lalu simpan ID Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang.
17. Klik Selesai.
18. Di tab Permissions di bagian Permissions policies, klik Add permissions.
19. Pilih Lampirkan kebijakan secara langsung.
20. Cari kebijakan AmazonS3FullAccess.
21. Pilih kebijakan.
22. Klik Berikutnya.
23. Klik Tambahkan izin.

Mengonfigurasi Kunci API di Atlassian

1. Login ke Atlassian.
2. Buka Settings > API keys.
3. Klik Buat kunci API di kanan atas.
4. Berikan name yang unik dan deskriptif untuk Kunci.
5. Pilih tanggal habis masa berlaku baru di bagian Berakhir pada.

1. Klik Buat untuk menyimpan.
2. Salin dan simpan API Key dan ID Organisasi Anda.
3. Klik Selesai.

Konfigurasi paket yang diperlukan

1. Login ke host pengumpulan log Anda (misalnya, AWS VM) dan jalankan perintah berikut untuk mengonfigurasi kredensial AWS:

   pip install boto3 requests
   aws configure
   

Membuat skrip Atlassian Log Puller

1. Buat file berikut dengan memasukkan sudo vi area1_to_s3.py dan salin kode berikut:

   • Sesuaikan hal berikut:

   #!/usr/bin/env python3
   import os, requests, boto3, datetime
   
   # Settings
   TOKEN = os.environ["ATL_TOKEN"]
   ORG_ID = os.environ["ATL_ORG_ID"]
   AWS_PROFILE = os.getenv("AWS_PROFILE")
   BUCKET = "atlassian-admin-audit-logs"
   
   def fetch_events(cursor=None):
       url = f"https://api.atlassian.com/admin/v1/orgs/{ORG_ID}/events"
       headers = {"Authorization":f"Bearer {TOKEN}"}
       params = {"limit":100, "cursor":cursor} if cursor else {"limit":100}
       resp = requests.get(url, headers=headers, params=params)
       resp.raise_for_status()
       return resp.json()
   
   def upload_json(data, filename):
       session = boto3.Session(profile_name=AWS_PROFILE) if AWS_PROFILE else boto3.Session()
       session.client("s3").put_object(Bucket=BUCKET, Key=filename, Body=data, ContentType="application/json")
       print(f"Uploaded {filename}")
   
   def main():
       today = datetime.datetime.utcnow().strftime("%Y-%m-%d")
       cursor = None
       count = 0
       while True:
           resp = fetch_events(cursor)
           key = f"audits/{today}/events_{count}.json"
           upload_json(resp["data"], key)
           count += 1
           cursor = resp.get("links",{}).get("next")
           if not cursor: break
   
   if __name__=="__main__":
       main()
   

2. Simpan dan keluar dari vi dengan mengklik esc > ketik :wq**.

Menyimpan variabel lingkungan

1. Buat file aman untuk menyimpan variabel lingkungan di /etc/atlassian_audit.env:

   export ATL_TOKEN="your_atlassian_key"
   export ATL_ORG_ID="your_org_id"
   export AWS_PROFILE="atlassian-logs"
   

2. Pastikan file aman:

   chmod 600 /etc/atlassian_audit.env
   

Mengotomatiskan dengan Cron

1. Buat skrip Wrapper untuk Cron dengan menjalankan sudo vi /usr/local/bin/run_atlassian_audit.sh, lalu salin kode berikut:

   #!/usr/bin/env bash
   source /etc/atlassian_audit.env
   python3 /opt/scripts/export_atlassian_audit.py
   

2. Setel agar file dapat dieksekusi:

   chmod +x /usr/local/bin/run_atlassian_audit.sh
   

3. Konfigurasi agar berjalan setiap hari pukul 02.00 UTC:

   crontab -e
   0 2 * * * /usr/local/bin/run_atlassian_audit.sh >> /var/log/atl_audit.log 2>&1
   

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.