Recolha registos de auditoria de administrador da Atlassian Cloud

Compatível com:

Este documento explica como carregar registos de auditoria de administrador do Atlassian Cloud para o Google Security Operations através do AWS S3. O analisador tenta primeiro processar a mensagem recebida como um objeto JSON. Se falhar, usa expressões regulares (padrões Grok) para extrair campos de vários formatos de registo do Atlassian Jira e, por fim, mapeia os dados extraídos para o modelo de dados unificado (UDM).

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado ao AWS
  • Acesso privilegiado ao Atlassian

Configure o AWS IAM e o contentor do S3

  1. Crie um contentor do Amazon S3 seguindo este manual do utilizador: Criar um contentor
  2. Inicie sessão na consola da AWS.
  3. Aceda a S3 > Criar contentor.
  4. Indique um nome para o contentor (por exemplo, atlassian-admin-audit-logs).
  5. Deixe as outras predefinições (ou configure a encriptação e o controlo de versões, se necessário).
  6. Clique em Criar.
  7. Guarde o Nome e a Região do contentor para referência futura.
  8. Crie um utilizador seguindo este guia do utilizador: criar um utilizador do IAM.
  9. Selecione o utilizador criado.
  10. Selecione o separador Credenciais de segurança.
  11. Clique em Criar chave de acesso na secção Chaves de acesso.
  12. Selecione Serviço de terceiros como Exemplo de utilização.
  13. Clicar em Seguinte.
  14. Opcional: adicione uma etiqueta de descrição.
  15. Clique em Criar chave de acesso.
  16. Clique em Transferir ficheiro CSV e armazene o ID de acesso e a chave de acesso secreta para referência futura.
  17. Clique em Concluído.
  18. No separador Autorizações em Políticas de autorizações, clique em Adicionar autorizações.
  19. Selecione Anexar políticas diretamente.
  20. Pesquise a política AmazonS3FullAccess.
  21. Selecione a política.
  22. Clicar em Seguinte.
  23. Clique em Adicionar autorizações.

Configure a chave da API no Atlassian

  1. Inicie sessão no Atlassian.
  2. Aceda a Definições > Chaves de API.
  3. Clique em Criar chave da API na parte superior direita.
  4. Indique um nome exclusivo e descritivo para a chave.
  5. Escolha uma nova data de validade em Expira a.
  1. Clique em Criar para guardar.
  2. Copie e guarde a chave da API e o ID da organização.
  3. Clique em Concluído.

Configure os pacotes necessários

  1. Inicie sessão no anfitrião de recolha de registos (por exemplo, uma VM da AWS) e execute o seguinte para configurar as credenciais da AWS:

    pip install boto3 requests
aws configure

Crie um script do Atlassian Log Puller

  1. Crie o seguinte ficheiro introduzindo sudo vi area1_to_s3.py e copie o seguinte código:

    • Ajuste o seguinte: 
    #!/usr/bin/env python3
import os, requests, boto3, datetime

# Settings
TOKEN = os.environ["ATL_TOKEN"]
ORG_ID = os.environ["ATL_ORG_ID"]
AWS_PROFILE = os.getenv("AWS_PROFILE")
BUCKET = "atlassian-admin-audit-logs"

def fetch_events(cursor=None):
    url = f"https://api.atlassian.com/admin/v1/orgs/{ORG_ID}/events"
    headers = {"Authorization":f"Bearer {TOKEN}"}
    params = {"limit":100, "cursor":cursor} if cursor else {"limit":100}
    resp = requests.get(url, headers=headers, params=params)
    resp.raise_for_status()
    return resp.json()

def upload_json(data, filename):
    session = boto3.Session(profile_name=AWS_PROFILE) if AWS_PROFILE else boto3.Session()
    session.client("s3").put_object(Bucket=BUCKET, Key=filename, Body=data, ContentType="application/json")
    print(f"Uploaded {filename}")

def main():
    today = datetime.datetime.utcnow().strftime("%Y-%m-%d")
    cursor = None
    count = 0
    while True:
        resp = fetch_events(cursor)
        key = f"audits/{today}/events_{count}.json"
        upload_json(resp["data"], key)
        count += 1
        cursor = resp.get("links",{}).get("next")
        if not cursor: break

if __name__=="__main__":
    main()

  2. Guarde e saia do vi clicando em esc > escreva :wq**.

Armazene variáveis de ambiente

  1. Crie um ficheiro seguro para armazenar variáveis de ambiente em /etc/atlassian_audit.env:

    export ATL_TOKEN="your_atlassian_key"
export ATL_ORG_ID="your_org_id"
export AWS_PROFILE="atlassian-logs"

  2. Certifique-se de que o ficheiro está seguro:

    chmod 600 /etc/atlassian_audit.env

Automatize com o Cron

  1. Crie um script de contentor para o Cron executando sudo vi /usr/local/bin/run_atlassian_audit.sh e, em seguida, copie o seguinte código:

    #!/usr/bin/env bash
source /etc/atlassian_audit.env
python3 /opt/scripts/export_atlassian_audit.py

  2. Torne o ficheiro executável:

    chmod +x /usr/local/bin/run_atlassian_audit.sh

  3. Configuração para execução diária às 02:00 UTC:

    crontab -e
0 2 * * * /usr/local/bin/run_atlassian_audit.sh >> /var/log/atl_audit.log 2>&1

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.