Collecter les journaux d'événements Bitwarden Enterprise

Compatible avec :

Ce document explique comment ingérer des journaux d'événements Bitwarden Enterprise dans Google Security Operations à l'aide d'Amazon S3. L'analyseur transforme les journaux d'événements bruts au format JSON en un format structuré conforme au modèle UDM de Chronicle. Il extrait les champs pertinents tels que les informations sur les utilisateurs, les adresses IP et les types d'événements, et les mappe aux champs UDM correspondants pour une analyse de sécurité cohérente.

Avant de commencer

  • Instance Google SecOps
  • Accès privilégié au locataire Bitwarden
  • Accès privilégié à AWS (S3, IAM, Lambda, EventBridge)

Obtenir la clé API et l'URL Bitwarden

  1. Dans la console d'administration Bitwarden.
  2. Accédez à Paramètres> Informations sur l'organisation> Afficher la clé API.
  3. Copiez et enregistrez les informations suivantes dans un emplacement sécurisé :
    • ID client
    • Code secret du client
  4. Déterminez vos points de terminaison Bitwarden (en fonction de la région) :
    • IDENTITY_URL: : https://identity.bitwarden.com/connect/token (UE : https://identity.bitwarden.eu/connect/token)
    • API_BASE: : https://api.bitwarden.com (UE : https://api.bitwarden.eu)

Configurer un bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket.
  2. Enregistrez le nom et la région du bucket pour référence ultérieure (par exemple, bitwarden-events).
  3. Créez un utilisateur en suivant ce guide : Créer un utilisateur IAM.
  4. Sélectionnez l'utilisateur créé.
  5. Sélectionnez l'onglet Informations d'identification de sécurité.
  6. Cliquez sur Créer une clé d'accès dans la section Clés d'accès.
  7. Sélectionnez Service tiers comme Cas d'utilisation.
  8. Cliquez sur Suivant.
  9. Facultatif : ajoutez un tag de description.
  10. Cliquez sur Créer une clé d'accès.
  11. Cliquez sur Télécharger le fichier CSV pour enregistrer la clé d'accès et la clé d'accès secrète pour une utilisation ultérieure.
  12. Cliquez sur OK.
  13. Sélectionnez l'onglet Autorisations.
  14. Cliquez sur Ajouter des autorisations dans la section Règles d'autorisation.
  15. Sélectionnez Ajouter des autorisations.
  16. Sélectionnez Joindre directement des règles.
  17. Recherchez et sélectionnez la règle AmazonS3FullAccess.
  18. Cliquez sur Suivant.
  19. Cliquez sur Ajouter des autorisations.

Configurer la stratégie et le rôle IAM pour les importations S3

  1. Accédez à la console AWS> IAM> Policies> Create policy> onglet JSON.

  2. Saisissez la règle suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutBitwardenObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::bitwarden-events/*"
    },
    {
      "Sid": "AllowGetStateObject",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::bitwarden-events/bitwarden/events/state.json"
    }
  ]
}
    • Remplacez bitwarden-events si vous avez saisi un autre nom de bucket.

  3. Cliquez sur Suivant > Créer une règle.

  4. Accédez à IAM > Rôles > Créer un rôle > Service AWS > Lambda.

  5. Associez la règle que vous venez de créer.

  6. Nommez le rôle WriteBitwardenToS3Role, puis cliquez sur Créer un rôle.

Créer la fonction Lambda

  1. Dans la console AWS, accédez à Lambda > Fonctions > Créer une fonction.
  2. Cliquez sur Créer à partir de zéro.

  3. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom bitwarden_events_to_s3
    Durée d'exécution Python 3.13
    Architecture x86_64
    Rôle d'exécution WriteBitwardenToS3Role

  4. Une fois la fonction créée, ouvrez l'onglet Code, supprimez le stub et saisissez le code suivant (bitwarden_events_to_s3.py) :

    #!/usr/bin/env python3

import os, json, time, urllib.parse
from urllib.request import Request, urlopen
from urllib.error import HTTPError, URLError
import boto3

IDENTITY_URL = os.environ.get("IDENTITY_URL", "https://identity.bitwarden.com/connect/token")
API_BASE = os.environ.get("API_BASE", "https://api.bitwarden.com").rstrip("/")
CID = os.environ["BW_CLIENT_ID"]          # organization.ClientId
CSECRET = os.environ["BW_CLIENT_SECRET"]  # organization.ClientSecret
BUCKET = os.environ["S3_BUCKET"]
PREFIX = os.environ.get("S3_PREFIX", "bitwarden/events/").strip("/")
STATE_KEY = os.environ.get("STATE_KEY", "bitwarden/events/state.json")
MAX_PAGES = int(os.environ.get("MAX_PAGES", "10"))

HEADERS_FORM = {"Content-Type": "application/x-www-form-urlencoded"}
HEADERS_JSON = {"Accept": "application/json"}

s3 = boto3.client("s3")

def _read_state():
    try:
        obj = s3.get_object(Bucket=BUCKET, Key=STATE_KEY)
        j = json.loads(obj["Body"].read())
        return j.get("continuationToken")
    except Exception:
        return None

def _write_state(token):
    body = json.dumps({"continuationToken": token}).encode("utf-8")
    s3.put_object(Bucket=BUCKET, Key=STATE_KEY, Body=body, ContentType="application/json")

def _http(req: Request, timeout: int = 60, max_retries: int = 5):
    attempt, backoff = 0, 1.0
    while True:
        try:
            with urlopen(req, timeout=timeout) as r:
                return json.loads(r.read().decode("utf-8"))
        except HTTPError as e:
            # Retry on 429 and 5xx
            if (e.code == 429 or 500 <= e.code <= 599) and attempt < max_retries:
                time.sleep(backoff); attempt += 1; backoff *= 2; continue
            raise
        except URLError:
            if attempt < max_retries:
                time.sleep(backoff); attempt += 1; backoff *= 2; continue
            raise

def _get_token():
    body = urllib.parse.urlencode({
        "grant_type": "client_credentials",
        "scope": "api.organization",
        "client_id": CID,
        "client_secret": CSECRET,
    }).encode("utf-8")
    req = Request(IDENTITY_URL, data=body, method="POST", headers=HEADERS_FORM)
    data = _http(req, timeout=30)
    return data["access_token"], int(data.get("expires_in", 3600))

def _fetch_events(bearer: str, cont: str | None):
    params = {}
    if cont:
        params["continuationToken"] = cont
    qs = ("?" + urllib.parse.urlencode(params)) if params else ""
    url = f"{API_BASE}/public/events{qs}"
    req = Request(url, method="GET", headers={"Authorization": f"Bearer {bearer}", **HEADERS_JSON})
    return _http(req, timeout=60)

def _write_page(obj: dict, run_ts_s: int, page_index: int) -> str:
    # Make filename unique per page to avoid overwrites in the same second
    key = f"{PREFIX}/{time.strftime('%Y/%m/%d/%H%M%S', time.gmtime(run_ts_s))}-page{page_index:05d}-bitwarden-events.json"
    s3.put_object(
        Bucket=BUCKET,
        Key=key,
        Body=json.dumps(obj, separators=(",", ":")).encode("utf-8"),
        ContentType="application/json",
    )
    return key

def lambda_handler(event=None, context=None):
    bearer, _ttl = _get_token()
    cont = _read_state()
    run_ts_s = int(time.time())

    pages = 0
    written = 0
    while pages < MAX_PAGES:
        data = _fetch_events(bearer, cont)
        # write page
        _write_page(data, run_ts_s, pages)
        pages += 1

        # count entries (official shape: {"object":"list","data":[...], "continuationToken": "..."} )
        entries = []
        if isinstance(data.get("data"), list):
            entries = data["data"]
        elif isinstance(data.get("entries"), list):  # fallback if shape differs
            entries = data["entries"]
        written += len(entries)

        # next page token (official: "continuationToken")
        next_cont = data.get("continuationToken")
        if next_cont:
            cont = next_cont
            continue
        break

    # Save state only if there are more pages to continue in next run
    _write_state(cont if pages >= MAX_PAGES and cont else None)
    return {"ok": True, "pages": pages, "events_estimate": written, "nextContinuationToken": cont}

if __name__ == "__main__":
    print(lambda_handler())

  5. Accédez à Configuration> Variables d'environnement> Modifier> Ajouter une variable d'environnement.

  6. Saisissez les variables d'environnement suivantes en remplaçant les valeurs par les vôtres :

    Clé Exemple
    S3_BUCKET bitwarden-events
    S3_PREFIX bitwarden/events/
    STATE_KEY bitwarden/events/state.json
    BW_CLIENT_ID <organization client_id>
    BW_CLIENT_SECRET <organization client_secret>
    IDENTITY_URL https://identity.bitwarden.com/connect/token (UE : https://identity.bitwarden.eu/connect/token)
    API_BASE https://api.bitwarden.com (UE : https://api.bitwarden.eu)
    MAX_PAGES 10

  7. Une fois la fonction créée, restez sur sa page (ou ouvrez Lambda > Fonctions > votre-fonction).

  8. Accédez à l'onglet Configuration.

  9. Dans le panneau Configuration générale, cliquez sur Modifier.

  10. Définissez le délai avant expiration sur 5 minutes (300 secondes), puis cliquez sur Enregistrer.

Créer une programmation EventBridge

  1. Accédez à Amazon EventBridge> Scheduler> Create schedule (Créer une programmation).
  2. Fournissez les informations de configuration suivantes :
    • Planning récurrent : Tarif (1 hour).
    • Cible : votre fonction Lambda.
    • Nom : bitwarden-events-1h.
  3. Cliquez sur Créer la programmation.

Facultatif : Créez un utilisateur et des clés IAM en lecture seule pour Google SecOps

  1. Dans la console AWS, accédez à IAM> Utilisateurs, puis cliquez sur Ajouter des utilisateurs.
  2. Fournissez les informations de configuration suivantes :
    • Utilisateur : saisissez un nom unique (par exemple, secops-reader).
    • Type d'accès : sélectionnez Clé d'accès – Accès programmatique.
    • Cliquez sur Créer un utilisateur.
  3. Associez une règle de lecture minimale (personnalisée) : Utilisateurs> sélectionnez secops-reader > Autorisations> Ajouter des autorisations> Associer des règles directement> Créer une règle

  4. Dans l'éditeur JSON, saisissez la stratégie suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::<your-bucket>/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::<your-bucket>"
    }
  ]
}

  5. Définissez le nom sur secops-reader-policy.

  6. Accédez à Créer une règle > recherchez/sélectionnez > Suivant > Ajouter des autorisations.

  7. Accédez à Identifiants de sécurité > Clés d'accès > Créer une clé d'accès.

  8. Téléchargez le CSV (ces valeurs sont saisies dans le flux).

Configurer un flux dans Google SecOps pour ingérer les journaux d'événements Bitwarden Enterprise

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur + Ajouter un flux.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Bitwarden Events).
  4. Sélectionnez Amazon S3 V2 comme type de source.
  5. Sélectionnez Événements Bitwarden comme Type de journal.
  6. Cliquez sur Suivant.
  7. Spécifiez les valeurs des paramètres d'entrée suivants :
    • URI S3 : s3://bitwarden-events/bitwarden/events/
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
    • Âge maximal des fichiers : 180 jours par défaut.
    • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
    • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
actingUserId target.user.userid Si enriched.actingUser.userId est vide ou nul, ce champ est utilisé pour renseigner le champ target.user.userid.
collectionID security_result.detection_fields.key Renseigne le champ key dans detection_fields dans security_result.
collectionID security_result.detection_fields.value Renseigne le champ value dans detection_fields dans security_result.
date metadata.event_timestamp Analysé et converti au format d'horodatage, puis mappé à event_timestamp.
enriched.actingUser.accessAll security_result.rule_labels.key Définit la valeur sur "Access_All" dans rule_labels de security_result.
enriched.actingUser.accessAll security_result.rule_labels.value Renseigne le champ value dans rule_labels de security_result avec la valeur de enriched.actingUser.accessAll convertie en chaîne.
enriched.actingUser.email target.user.email_addresses Renseigne le champ email_addresses dans target.user.
enriched.actingUser.id metadata.product_log_id Renseigne le champ product_log_id dans metadata.
enriched.actingUser.id target.labels.key Définit la valeur sur "ID" dans target.labels.
enriched.actingUser.id target.labels.value Renseigne le champ value dans target.labels avec la valeur de enriched.actingUser.id.
enriched.actingUser.name target.user.user_display_name Renseigne le champ user_display_name dans target.user.
enriched.actingUser.object target.labels.key Définit la valeur sur "Object" dans target.labels.
enriched.actingUser.object target.labels.value Renseigne le champ value dans target.labels avec la valeur de enriched.actingUser.object.
enriched.actingUser.resetPasswordEnrolled target.labels.key Définit la valeur sur "ResetPasswordEnrolled" dans target.labels.
enriched.actingUser.resetPasswordEnrolled target.labels.value Renseigne le champ value dans target.labels avec la valeur de enriched.actingUser.resetPasswordEnrolled convertie en chaîne.
enriched.actingUser.twoFactorEnabled security_result.rule_labels.key Définit la valeur sur "Two Factor Enabled" (Authentification à deux facteurs activée) dans rule_labels de security_result.
enriched.actingUser.twoFactorEnabled security_result.rule_labels.value Renseigne le champ value dans rule_labels de security_result avec la valeur de enriched.actingUser.twoFactorEnabled convertie en chaîne.
enriched.actingUser.userId target.user.userid Renseigne le champ userid dans target.user.
enriched.collection.id additional.fields.key Définit la valeur sur "Collection ID" dans additional.fields.
enriched.collection.id additional.fields.value.string_value Renseigne le champ string_value dans additional.fields avec la valeur de enriched.collection.id.
enriched.collection.object additional.fields.key Définit la valeur sur "Collection Object" dans additional.fields.
enriched.collection.object additional.fields.value.string_value Renseigne le champ string_value dans additional.fields avec la valeur de enriched.collection.object.
enriched.type metadata.product_event_type Renseigne le champ product_event_type dans metadata.
groupId target.user.group_identifiers Ajoute la valeur au tableau group_identifiers dans target.user.
ipAddress principal.ip Adresse IP extraite du champ et mappée à principal.ip.
N/A extensions.auth Un objet vide est créé par l'analyseur.
N/A metadata.event_type Déterminé en fonction de enriched.type et de la présence des informations principal et target. Valeurs possibles : USER_LOGIN, STATUS_UPDATE, GENERIC_EVENT.
N/A security_result.action Déterminé en fonction de enriched.type. Valeurs possibles : ALLOW, BLOCK.
objet additional.fields.key Définit la valeur sur "Object" dans additional.fields.
objet additional.fields.value Renseigne le champ value dans additional.fields avec la valeur de object.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.