Raccogliere i log di controllo dell'amministratore di Atlassian Cloud

Supportato in:

Questo documento spiega come importare i log di controllo dell'amministratore di Atlassian Cloud in Google Security Operations utilizzando AWS S3. Il parser tenta innanzitutto di elaborare il messaggio in arrivo come oggetto JSON. In caso contrario, utilizza le espressioni regolari (pattern Grok) per estrarre i campi da vari formati di log di Atlassian Jira, mappando infine i dati estratti al modello UDM (Unified Data Model).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato ad AWS
  • Accesso con privilegi ad Atlassian

Configura AWS IAM e il bucket S3

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
  2. Accedi alla console AWS.
  3. Vai a S3 > Crea bucket.
  4. Specifica un nome per il bucket (ad esempio, atlassian-admin-audit-logs).
  5. Lascia invariate le altre impostazioni predefinite (o configura la crittografia e il controllo delle versioni, se necessario).
  6. Fai clic su Crea.
  7. Salva il Nome e la Regione del bucket per riferimento futuro.
  8. Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
  9. Seleziona l'utente creato.
  10. Seleziona la scheda Credenziali di sicurezza.
  11. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  12. Seleziona Servizio di terze parti come Caso d'uso.
  13. Fai clic su Avanti.
  14. (Facoltativo) Aggiungi un tag di descrizione.
  15. Fai clic su Crea chiave di accesso.
  16. Fai clic su Scarica file CSV e memorizza l'ID accesso e la chiave di accesso segreta per riferimento futuro.
  17. Fai clic su Fine.
  18. Nella scheda Autorizzazioni in Norme relative alle autorizzazioni, fai clic su Aggiungi autorizzazioni.
  19. Seleziona Allega direttamente le norme.
  20. Cerca il criterio AmazonS3FullAccess.
  21. Seleziona la policy.
  22. Fai clic su Avanti.
  23. Fai clic su Aggiungi autorizzazioni.

Configurare la chiave API in Atlassian

  1. Accedi ad Atlassian.
  2. Vai a Impostazioni > Chiavi API.
  3. Fai clic su Crea chiave API in alto a destra.
  4. Fornisci un nome univoco e descrittivo per la chiave.
  5. Scegli una nuova data di scadenza in Scade il giorno.
  1. Fai clic su Crea per salvare.
  2. Copia e salva la chiave API e l'ID organizzazione.
  3. Fai clic su Fine.

Configura i pacchetti richiesti

  1. Accedi all'host di raccolta dei log (ad esempio una VM AWS) ed esegui il seguente comando per configurare le credenziali AWS:

    pip install boto3 requests
aws configure

Crea lo script Atlassian Log Puller

  1. Crea il seguente file inserendo sudo vi area1_to_s3.py e copia il seguente codice:

    • Modifica quanto segue: 
    #!/usr/bin/env python3
import os, requests, boto3, datetime

# Settings
TOKEN = os.environ["ATL_TOKEN"]
ORG_ID = os.environ["ATL_ORG_ID"]
AWS_PROFILE = os.getenv("AWS_PROFILE")
BUCKET = "atlassian-admin-audit-logs"

def fetch_events(cursor=None):
    url = f"https://api.atlassian.com/admin/v1/orgs/{ORG_ID}/events"
    headers = {"Authorization":f"Bearer {TOKEN}"}
    params = {"limit":100, "cursor":cursor} if cursor else {"limit":100}
    resp = requests.get(url, headers=headers, params=params)
    resp.raise_for_status()
    return resp.json()

def upload_json(data, filename):
    session = boto3.Session(profile_name=AWS_PROFILE) if AWS_PROFILE else boto3.Session()
    session.client("s3").put_object(Bucket=BUCKET, Key=filename, Body=data, ContentType="application/json")
    print(f"Uploaded {filename}")

def main():
    today = datetime.datetime.utcnow().strftime("%Y-%m-%d")
    cursor = None
    count = 0
    while True:
        resp = fetch_events(cursor)
        key = f"audits/{today}/events_{count}.json"
        upload_json(resp["data"], key)
        count += 1
        cursor = resp.get("links",{}).get("next")
        if not cursor: break

if __name__=="__main__":
    main()

  2. Salva ed esci da vi facendo clic su esc > digita :wq**.

Memorizzare le variabili di ambiente

  1. Crea un file sicuro per archiviare le variabili di ambiente in /etc/atlassian_audit.env:

    export ATL_TOKEN="your_atlassian_key"
export ATL_ORG_ID="your_org_id"
export AWS_PROFILE="atlassian-logs"

  2. Assicurati che il file sia sicuro:

    chmod 600 /etc/atlassian_audit.env

Automatizzare con Cron

  1. Crea uno script wrapper per Cron eseguendo sudo vi /usr/local/bin/run_atlassian_audit.sh e poi copia il seguente codice:

    #!/usr/bin/env bash
source /etc/atlassian_audit.env
python3 /opt/scripts/export_atlassian_audit.py

  2. Rendi eseguibile il file:

    chmod +x /usr/local/bin/run_atlassian_audit.sh

  3. Configura l'esecuzione giornaliera alle ore 02:00 UTC:

    crontab -e
0 2 * * * /usr/local/bin/run_atlassian_audit.sh >> /var/log/atl_audit.log 2>&1

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.