Collecter les journaux Atlassian Jira

Compatible avec :

Présentation

Ce parseur gère les journaux Atlassian Jira aux formats SYSLOG et JSON. Il tente d'abord d'analyser le message au format JSON. Si cela échoue, il utilise des modèles Grok pour analyser les messages au format SYSLOG, en extrayant divers champs tels que les adresses IP, les noms d'utilisateur, les méthodes HTTP et les codes de réponse avant de les mapper à l'UDM. L'analyseur gère également des événements d'audit Jira spécifiques, y compris les réussites et les échecs de connexion, et mappe les champs pertinents aux attributs de résultats de sécurité dans l'UDM.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps.
  • Accès privilégié à Atlassian Jira.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Atlassian Jira).
  5. Sélectionnez Webhook comme type de source.
  6. Sélectionnez Atlassian Jira comme Type de journal.
  7. Cliquez sur Suivant.
  8. Facultatif : spécifiez les valeurs des paramètres d'entrée suivants :
    • Délimiteur de fractionnement : délimiteur utilisé pour séparer les lignes de journaux, tel que \n.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.
  9. Cliquez sur Suivant.
  10. Vérifiez la configuration du flux sur l'écran Finaliser, puis cliquez sur Envoyer.
  11. Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.
  12. Copiez et stockez la clé secrète. Vous ne pourrez plus afficher cette clé secrète. Si nécessaire, vous pouvez générer une nouvelle clé secrète, mais l'ancienne deviendra obsolète.
  13. Dans l'onglet Détails, copiez l'URL du point de terminaison du flux à partir du champ Informations sur le point de terminaison. Vous devez spécifier cette URL de point de terminaison dans votre application cliente.
  14. Cliquez sur OK.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • Délimiteur de fractionnement : délimiteur utilisé pour séparer les lignes de journaux, tel que \n.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.

  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

  • Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.

  • Copiez et stockez la clé secrète. Vous ne pourrez plus afficher cette clé secrète. Si nécessaire, vous pouvez générer une nouvelle clé secrète, mais l'ancienne deviendra obsolète.

  • Dans l'onglet Détails, copiez l'URL du point de terminaison du flux à partir du champ Informations sur le point de terminaison. Vous devez spécifier cette URL de point de terminaison dans votre application cliente.

Créer une clé API pour le flux de webhook

  1. Accédez à la consoleGoogle Cloud  > Identifiants.

    Accéder à "Identifiants"

  2. Cliquez sur Créer des identifiants, puis sélectionnez Clé API.

  3. Restreignez l'accès à la clé API à l'API Google Security Operations.

Spécifier l'URL du point de terminaison

  1. Dans votre application cliente, spécifiez l'URL du point de terminaison HTTPS fournie dans le flux de webhook.

  2. Activez l'authentification en spécifiant la clé API et la clé secrète dans l'en-tête personnalisé au format suivant :

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recommandation : Spécifiez la clé API en tant qu'en-tête au lieu de la spécifier dans l'URL. Si votre client de webhook n'accepte pas les en-têtes personnalisés, vous pouvez spécifier la clé API et la clé secrète à l'aide de paramètres de requête au format suivant :

    ENDPOINT_URL?key=API_KEY&secret=SECRET

Remplacez les éléments suivants :

  • ENDPOINT_URL : URL du point de terminaison du flux.
  • API_KEY : clé API pour s'authentifier auprès de Google Security Operations.
  • SECRET : clé secrète que vous avez générée pour authentifier le flux.

Créer un webhook dans Atlassian Jira pour Google SecOps

  1. Accédez à votre instance Jira en tant qu'administrateur.
  2. Accédez à Paramètres settings > Système > WebHooks.
  3. Cliquez sur Create a WebHook (Créer un WebHook).
  4. Configurez les détails suivants du webhook :
    • Nom : donnez un nom descriptif au webhook (par exemple, Intégration Google SecOps).
    • URL : saisissez l'URL du point de terminaison de l'API Google SecOps.
    • Événements : sélectionnez les événements Jira qui doivent déclencher le webhook. Choisissez les événements qui correspondent à vos besoins de surveillance de la sécurité (par exemple, "Problème créé", "Problème mis à jour" ou "Commentaire ajouté"). Si nécessaire, vous pouvez sélectionner Tous les événements.
    • Facultatif : Filtre JQL : utilisez un filtre JQL pour affiner les événements qui déclenchent le webhook. Cela vous permet de vous concentrer sur des projets, des types de problèmes ou d'autres critères spécifiques.
    • Exclure le corps : laissez cette option décochée. Le webhook doit envoyer les données d'événement au format JSON à Google SecOps.
  5. Cliquez sur Créer pour enregistrer la configuration du webhook.

Table de mappage UDM

Champ de journal Mappage UDM Logique
affectedObjects.id target.resource.attribute.labels.value Le champ id de chaque objet du tableau affectedObjects est mappé à un libellé avec la clé "ID_[index]", où [index] correspond à la position de l'objet dans le tableau.
affectedObjects.name target.resource.attribute.labels.value Le champ name de chaque objet du tableau affectedObjects est mappé à un libellé avec la clé "Name_[index]", où [index] correspond à la position de l'objet dans le tableau.
affectedObjects.type target.resource.attribute.labels.value Le champ type de chaque objet du tableau affectedObjects est associé à un libellé dont la clé est "Type_[index]", où [index] correspond à la position de l'objet dans le tableau.
associatedItems.0.id target.user.userid Si associatedItems.0.typeName est défini sur "USER", ce champ est mappé sur target.user.userid. Sinon, il est mappé à un libellé avec la clé "associatedItems Id" dans security_result.detection_fields.
associatedItems.0.name target.user.user_display_name Si associatedItems.0.typeName est défini sur "USER", ce champ est mappé sur target.user.user_display_name. Sinon, il est mappé à un libellé avec la clé "associatedItems Name" dans security_result.detection_fields.
associatedItems.0.parentId target.process.parent_process.pid Si associatedItems.0.typeName est défini sur "USER", ce champ est mappé sur target.process.parent_process.pid.
associatedItems.0.parentName target.resource.parent Si associatedItems.0.typeName est défini sur "USER", ce champ est mappé sur target.resource.parent.
associatedItems.0.typeName security_result.detection_fields.value Mappé à un libellé avec la clé "associatedItems TypeName" dans security_result.detection_fields.
author.id principal.user.userid Associé à principal.user.userid.
author.name principal.user.user_display_name Associé à principal.user.user_display_name.
author.type principal.resource.attribute.labels.value Mappé à un libellé avec la clé "Author Type" dans principal.resource.attribute.labels.
author.uri principal.url Associé à principal.url.
authorAccountId principal.user.userid Associé à principal.user.userid.
authorKey target.resource.attribute.labels.value Mappé à un libellé avec la clé "Author Key" dans target.resource.attribute.labels.
auditType.action security_result.summary Associé à security_result.summary. Également utilisé pour dériver security_result.action et metadata.event_type (USER_LOGIN si l'action contient "login", ALLOW si "successful", BLOCK si "failed").
auditType.area metadata.product_event_type Associé à metadata.product_event_type.
auditType.category security_result.category_details Associé à security_result.category_details.
category metadata.product_event_type Associé à metadata.product_event_type.
changedValues.changedFrom security_result.about.resource.attribute.labels.value Mappé à un libellé avec la clé "Changed From" dans security_result.about.resource.attribute.labels.
changedValues.changedTo security_result.about.resource.attribute.labels.value Mappé à un libellé avec la clé "Changed To" (Modifié en) dans security_result.about.resource.attribute.labels.
changedValues.fieldName security_result.about.resource.attribute.labels.value Mappé à un libellé avec la clé "FieldName" dans security_result.about.resource.attribute.labels.
changedValues.i18nKey security_result.about.resource.attribute.labels.value Mappé à un libellé avec la clé "FieldName" dans security_result.about.resource.attribute.labels.
changedValues.key security_result.about.resource.attribute.labels.value Mappé à un libellé avec la clé "Changed From" dans security_result.about.resource.attribute.labels.
changedValues.to security_result.about.resource.attribute.labels.value Mappé à un libellé avec la clé "Changed To" (Modifié en) dans security_result.about.resource.attribute.labels.
created metadata.event_timestamp Analysé et mappé sur metadata.event_timestamp.
dst_ip target.ip Associé à target.ip.
extraAttributes.name principal.resource.attribute.labels.value Mappé à un libellé avec la clé "Name" dans principal.resource.attribute.labels.
extraAttributes.value principal.resource.attribute.labels.value Mappé à un libellé avec la clé "Value" (Valeur) dans principal.resource.attribute.labels.
http_method network.http.method Associé à network.http.method.
http_referral_url network.http.referral_url Associé à network.http.referral_url.
id metadata.product_log_id Associé à metadata.product_log_id.
objectItem.id security_result.detection_fields.value Mappé à un libellé avec la clé "objectItem Id" dans security_result.detection_fields.
objectItem.name security_result.detection_fields.value Mappé à un libellé avec la clé "objectItem Name" dans security_result.detection_fields.
objectItem.typeName security_result.detection_fields.value Mappé à un libellé avec la clé "objectItem TypeName" dans security_result.detection_fields.
path principal.url Si la valeur n'est pas "-" ou "/status", elle est mappée sur principal.url.
protocol network.ip_protocol Si la valeur est "HTTP", elle est mappée sur network.ip_protocol.
remoteAddress principal.ip Associé à principal.ip.
response_code network.http.response_code Associé à network.http.response_code.
sent_bytes network.sent_bytes Associé à network.sent_bytes.
source principal.ip Analysé pour extraire les adresses IP et fusionné dans principal.ip.
src_ip1, src_ip2, src_ip3 principal.ip Associé à principal.ip.
summary metadata.description Associé à metadata.description.
user_agent network.http.user_agent Associé à network.http.user_agent.
user_name principal.user.userid Associé à principal.user.userid. Définissez sur "MACHINE" si auditType.action contient "login". Dérivé de date_time si syslog est analysé ou de created si JSON est analysé. Si timestamp est disponible au format JSON, il est utilisé à la place de created. Si aucun de ces éléments n'est présent, la valeur create_time du lot est utilisée. Dérivé en fonction de la présence d'autres champs : NETWORK_HTTP si dst_ip est présent, USER_UNCATEGORIZED si user_name ou (associatedItems.0.typeName est "USER" et associatedItems.0.id est présent) est présent, STATUS_UPDATE si src_ip1, src_ip2, src_ip3 ou remoteAddress est présent, ou GENERIC_EVENT dans le cas contraire. Remplacé par USER_LOGIN si auditType.action contient "login". Toujours défini sur "ATLASSIAN_JIRA". Toujours défini sur "ATLASSIAN_JIRA". Définissez la valeur sur "ALLOW" (AUTORISER) si auditType.action contient "login successful" (connexion réussie) et sur "BLOCK" (BLOQUER) si auditType.action contient "login failed" (connexion échouée).

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.