Coletar registros de auditoria do administrador do Atlassian Cloud

Compatível com:

Este documento explica como ingerir registros de auditoria do administrador do Atlassian Cloud no Google Security Operations usando o AWS S3. O analisador primeiro tenta processar a mensagem recebida como um objeto JSON. Se isso falhar, ele usará expressões regulares (padrões Grok) para extrair campos de vários formatos de registro do Atlassian Jira, mapeando os dados extraídos para o modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Acesso privilegiado à AWS
  • Acesso privilegiado ao Atlassian

Configurar o IAM da AWS e o bucket do S3

  1. Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
  2. Faça login no console da AWS.
  3. Acesse S3 > Criar bucket.
  4. Dê um nome ao bucket (por exemplo, atlassian-admin-audit-logs).
  5. Deixe os outros padrões ou configure a criptografia e o controle de versões, se necessário.
  6. Clique em Criar.
  7. Salve o Nome e a Região do bucket para referência futura.
  8. Crie um usuário seguindo este guia: Como criar um usuário do IAM.
  9. Selecione o usuário criado.
  10. Selecione a guia Credenciais de segurança.
  11. Clique em Criar chave de acesso na seção Chaves de acesso.
  12. Selecione Serviço de terceiros como Caso de uso.
  13. Clique em Próxima.
  14. Opcional: adicione uma tag de descrição.
  15. Clique em Criar chave de acesso.
  16. Clique em Fazer o download do arquivo CSV e armazene o ID de acesso e a chave de acesso secreta para referência futura.
  17. Clique em Concluído.
  18. Na guia Permissões, em Políticas de permissões, clique em Adicionar permissões.
  19. Selecione Anexar políticas diretamente.
  20. Pesquise a política AmazonS3FullAccess.
  21. Selecione a política.
  22. Clique em Próxima.
  23. Clique em Adicionar permissões

Configurar a chave de API no Atlassian

  1. Faça login no Atlassian.
  2. Acesse Configurações > Chaves de API.
  3. Clique em Criar chave de API no canto superior direito.
  4. Forneça um nome exclusivo e descritivo para a chave.
  5. Escolha uma nova data de validade em Validade em.
  1. Clique em Criar para salvar.
  2. Copie e salve a chave de API e o ID da organização.
  3. Clique em Concluído.

Configurar os pacotes necessários

  1. Faça login no host de coleta de registros (por exemplo, uma VM da AWS) e execute o seguinte para configurar as credenciais da AWS:

    pip install boto3 requests
aws configure

Criar script do Atlassian Log Puller

  1. Crie o arquivo a seguir inserindo sudo vi area1_to_s3.py e copie o código abaixo:

    • Ajuste o seguinte: 
    #!/usr/bin/env python3
import os, requests, boto3, datetime

# Settings
TOKEN = os.environ["ATL_TOKEN"]
ORG_ID = os.environ["ATL_ORG_ID"]
AWS_PROFILE = os.getenv("AWS_PROFILE")
BUCKET = "atlassian-admin-audit-logs"

def fetch_events(cursor=None):
    url = f"https://api.atlassian.com/admin/v1/orgs/{ORG_ID}/events"
    headers = {"Authorization":f"Bearer {TOKEN}"}
    params = {"limit":100, "cursor":cursor} if cursor else {"limit":100}
    resp = requests.get(url, headers=headers, params=params)
    resp.raise_for_status()
    return resp.json()

def upload_json(data, filename):
    session = boto3.Session(profile_name=AWS_PROFILE) if AWS_PROFILE else boto3.Session()
    session.client("s3").put_object(Bucket=BUCKET, Key=filename, Body=data, ContentType="application/json")
    print(f"Uploaded {filename}")

def main():
    today = datetime.datetime.utcnow().strftime("%Y-%m-%d")
    cursor = None
    count = 0
    while True:
        resp = fetch_events(cursor)
        key = f"audits/{today}/events_{count}.json"
        upload_json(resp["data"], key)
        count += 1
        cursor = resp.get("links",{}).get("next")
        if not cursor: break

if __name__=="__main__":
    main()

  2. Salve e saia do vi clicando em esc > e digite :wq**.

Armazenar variáveis de ambiente

  1. Crie um arquivo seguro para armazenar variáveis de ambiente em /etc/atlassian_audit.env:

    export ATL_TOKEN="your_atlassian_key"
export ATL_ORG_ID="your_org_id"
export AWS_PROFILE="atlassian-logs"

  2. Verifique se o arquivo está seguro:

    chmod 600 /etc/atlassian_audit.env

Automatizar com o Cron

  1. Crie um script de wrapper para o Cron executando sudo vi /usr/local/bin/run_atlassian_audit.sh e copie o seguinte código:

    #!/usr/bin/env bash
source /etc/atlassian_audit.env
python3 /opt/scripts/export_atlassian_audit.py

  2. Torne o arquivo executável:

    chmod +x /usr/local/bin/run_atlassian_audit.sh

  3. Configure para execução diária às 02:00 UTC:

    crontab -e
0 2 * * * /usr/local/bin/run_atlassian_audit.sh >> /var/log/atl_audit.log 2>&1

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.