Raccogliere i log di controllo di Aware

Supportato in:

Questo documento spiega come importare i log di controllo di Aware in Google Security Operations utilizzando Amazon S3.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso con privilegi al tenant Aware
  • Accesso con privilegi ad AWS (S3, IAM, Lambda, EventBridge)

Raccogli i prerequisiti di Aware (ID, chiavi API, ID organizzazione, token)

  1. Accedi alla console di amministrazione di Aware.
  2. Vai a Impostazioni di sistema > Integrazioni > Token API.
  3. Fai clic su + API Token e concedi l'autorizzazione Audit Logs Read-only (Audit log di sola lettura).
  4. Copia e salva in una posizione sicura i seguenti dettagli:
    • Token API
    • URL di base dell'API: https://api.aware.work/external/system/auditlogs/v1

Configura il bucket AWS S3 e IAM per Google SecOps

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
  2. Salva il nome e la regione del bucket per riferimento futuro (ad esempio, aware-audit-logs).
  3. Crea un utente seguendo questa guida: Creazione di un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per un utilizzo successivo.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Allega direttamente i criteri.
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Avanti.
  19. Fai clic su Aggiungi autorizzazioni.

Configura il ruolo e il criterio IAM per i caricamenti S3

  1. Nella console AWS, vai a IAM > Policy > Crea policy > Scheda JSON.

  2. Inserisci la seguente policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::aware-audit-logs/*"
    },
    {
      "Sid": "AllowGetStateObject",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aware-audit-logs/aware/state.json"
    }
  ]
}
    • Sostituisci aware-audit-logs se hai inserito un nome bucket diverso.

  3. Fai clic su Avanti > Crea criterio.

  4. Vai a IAM > Ruoli > Crea ruolo > Servizio AWS > Lambda.

  5. Allega il criterio appena creato.

  6. Assegna al ruolo il nome AwareAuditLambdaRole e fai clic su Crea ruolo.

Crea la funzione Lambda

  1. Nella console AWS, vai a Lambda > Funzioni > Crea funzione.
  2. Fai clic su Crea autore da zero.
  3. Fornisci i seguenti dettagli di configurazione:
Impostazione Valore
Nome aware-audit-poller
Tempo di esecuzione Python 3.13
Architettura x86_64
Ruolo di esecuzione AwareAuditLambdaRole

  1. Dopo aver creato la funzione, apri la scheda Codice, elimina lo stub e inserisci il seguente codice (aware-audit-poller.py):

    import boto3, gzip, io, json, os, time, urllib.parse
import urllib.request
from datetime import datetime, timedelta, timezone
from botocore.exceptions import ClientError

AWARE_ENDPOINT = "https://api.aware.work/external/system/auditlogs/v1"
API_TOKEN = os.environ["AWARE_API_TOKEN"]
BUCKET = os.environ["S3_BUCKET"]
PREFIX = os.environ.get("S3_PREFIX", "aware/audit/")
STATE_KEY = os.environ.get("STATE_KEY", "aware/state.json")
MAX_PER_PAGE = int(os.environ.get("MAX_PER_PAGE", "500"))

s3 = boto3.client("s3")

def _load_state():
    try:
        obj = s3.get_object(Bucket=BUCKET, Key=STATE_KEY)
        return json.loads(obj["Body"].read().decode("utf-8"))
    except ClientError as e:
        if e.response.get("Error", {}).get("Code") == "NoSuchKey":
            return {}
        raise

def _save_state(state):
    s3.put_object(Bucket=BUCKET, Key=STATE_KEY, Body=json.dumps(state).encode("utf-8"))

def handler(event, context):
    tz_utc = timezone.utc
    now = datetime.now(tz=tz_utc)

    state = _load_state()
    start_date = (
        datetime.fromisoformat(state["last_date"]).date() if "last_date" in state
        else (now - timedelta(days=1)).date()
    )
    end_date = now.date()

    total = 0
    day = start_date
    while day <= end_date:
        day_str = day.strftime("%Y-%m-%d")
        params = {"filter": f"startDate:{day_str},endDate:{day_str}", "limit": str(MAX_PER_PAGE)}
        offset = 1

        out = io.BytesIO()
        gz = gzip.GzipFile(filename="aware_audit.jsonl", mode="wb", fileobj=out)
        wrote_any = False

        while True:
            q = urllib.parse.urlencode({**params, "offset": str(offset)})
            req = urllib.request.Request(f"{AWARE_ENDPOINT}?{q}")
            req.add_header("X-Aware-Api-Key", API_TOKEN)
            with urllib.request.urlopen(req, timeout=30) as resp:
                payload = json.loads(resp.read().decode("utf-8"))
            items = (payload.get("value") or {}).get("auditLogData") or []
            if not items:
                break
            for item in items:
                gz.write((json.dumps(item, separators=(",", ":")) + "n").encode("utf-8"))
                total += 1
                wrote_any = True
            offset += 1
            time.sleep(0.2)

        gz.close()
        if wrote_any:
            key = f"{PREFIX}{day.strftime('%Y/%m/%d')}/aware_audit_{now.strftime('%Y%m%d_%H%M%S')}.jsonl.gz"
            s3.put_object(
                Bucket=BUCKET,
                Key=key,
                Body=out.getvalue(),
                ContentType="application/json",
                ContentEncoding="gzip",
            )

        _save_state({"last_date": day.isoformat()})
        day += timedelta(days=1)

    return {"status": "ok", "written": total}

  2. Vai a Configurazione > Variabili di ambiente > Modifica > Aggiungi nuova variabile di ambiente.

  3. Inserisci le seguenti variabili di ambiente, sostituendole con i tuoi valori:

    Chiave Valore di esempio
    S3_BUCKET aware-audit-logs
    S3_PREFIX aware/audit/
    STATE_KEY aware/state.json
    AWARE_API_TOKEN <your-aware-api-token>
    MAX_PER_PAGE 500

  4. Dopo aver creato la funzione, rimani sulla relativa pagina (o apri Lambda > Funzioni > la tua funzione**).

  5. Seleziona la scheda Configurazione.

  6. Nel riquadro Configurazione generale, fai clic su Modifica.

  7. Modifica Timeout impostandolo su 5 minuti (300 secondi) e fai clic su Salva.

Creare una pianificazione EventBridge

  1. Vai a Amazon EventBridge > Scheduler > Crea pianificazione.
  2. Fornisci i seguenti dettagli di configurazione:
    • Programma ricorrente: Tariffa (1 hour).
    • Target: la tua funzione Lambda aware-audit-poller.
    • Nome: aware-audit-poller-1h
  3. Fai clic su Crea pianificazione.

(Facoltativo) Crea chiavi e utenti IAM di sola lettura per Google SecOps

  1. Nella console AWS, vai a IAM > Utenti > Aggiungi utenti.
  2. Fai clic su Add users (Aggiungi utenti).
  3. Fornisci i seguenti dettagli di configurazione:
    • Utente: secops-reader.
    • Tipo di accesso: Chiave di accesso - Accesso programmatico.
  4. Fai clic su Crea utente.
  5. Collega la criterio per la lettura minima (personalizzata): Utenti > secops-reader > Autorizzazioni > Aggiungi autorizzazioni > Collega le norme direttamente > Crea norma.

  6. Nell'editor JSON, inserisci la seguente policy:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::aware-audit-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::aware-audit-logs"
    }
  ]
}

  7. Imposta il nome su secops-reader-policy.

  8. Vai a Crea criterio > cerca/seleziona > Avanti > Aggiungi autorizzazioni.

  9. Vai a Credenziali di sicurezza > Chiavi di accesso > Crea chiave di accesso.

  10. Scarica il file CSV (questi valori vengono inseriti nel feed).

Configura un feed in Google SecOps per importare i log di controllo di Aware

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su + Aggiungi nuovo feed.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Aware Audit logs).
  4. Seleziona Amazon S3 V2 come Tipo di origine.
  5. Seleziona Aware Audit come Tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • URI S3: s3://aware-audit-logs/aware/audit/
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.