Mengumpulkan log audit CircleCI
Didukung di:
Google SecOps
SIEM
Parser ini mengekstrak kolom dari log audit CircleCI dalam format CSV dan JSON, lalu mentransformasinya ke dalam Model Data Terpadu (UDM). Proses ini menangani kedua format, melakukan transformasi dan pengayaan data, serta memetakan kolom yang diekstrak ke kolom UDM yang sesuai dalam objek event. Log ini berfokus pada tindakan pengguna, akses resource, dan peristiwa pembaruan, mengategorikannya, dan mengisi kolom UDM yang relevan seperti principal, target, network, dan metadata.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps.
- Akses istimewa ke CircleCI.
Menyiapkan feed
Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Feed name, masukkan nama untuk feed (misalnya, CircleCI Logs).
- Pilih Webhook sebagai Jenis sumber.
- Pilih CircleCI sebagai Jenis log.
- Klik Berikutnya.
- Opsional: Tentukan nilai untuk parameter input berikut:
- Pemisah pemisahan: pemisah yang digunakan untuk memisahkan baris log, seperti
\n. - Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
- Pemisah pemisahan: pemisah yang digunakan untuk memisahkan baris log, seperti
- Klik Berikutnya.
- Tinjau konfigurasi feed di layar Selesaikan, lalu klik Kirim.
- Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
- Salin dan simpan kunci rahasia. Anda tidak dapat melihat kunci rahasia ini lagi. Jika perlu, Anda dapat membuat ulang kunci rahasia baru, tetapi tindakan ini akan membuat kunci rahasia sebelumnya tidak berlaku.
- Dari tab Detail, salin URL endpoint feed dari kolom Informasi Endpoint. Anda perlu menentukan URL endpoint ini di aplikasi klien Anda.
- Klik Selesai.
Membuat kunci API untuk feed webhook
Buka konsolGoogle Cloud > Kredensial.
Klik Create credentials, lalu pilih API key.
Batasi akses kunci API ke Google Security Operations API.
Tentukan URL endpoint
- Di aplikasi klien Anda, tentukan URL endpoint HTTPS yang disediakan di feed webhook.
Aktifkan autentikasi dengan menentukan kunci API dan kunci rahasia sebagai bagian dari header kustom dalam format berikut:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRETRekomendasi: Tentukan kunci API sebagai header, bukan menentukannya di URL.
Jika klien webhook Anda tidak mendukung header kustom, Anda dapat menentukan kunci API dan kunci rahasia menggunakan parameter kueri dalam format berikut:
ENDPOINT_URL?key=API_KEY&secret=SECRETGanti kode berikut:
ENDPOINT_URL: URL endpoint feed.API_KEY: kunci API untuk mengautentikasi ke Google SecOps.SECRET: kunci rahasia yang Anda buat untuk mengautentikasi feed.
Mengonfigurasi webhook di CircleCI
- Login ke antarmuka web CircleCI.
- Pilih project yang ingin Anda masukkan lognya.
- Klik Setelan Project.
- Pilih Webhooks.
- Klik Tambahkan Webhook.
Tentukan nilai untuk parameter input berikut:
- Nama Webhook: berikan nama deskriptif (misalnya, Google SecOps).
- Endpoint URL: masukkan
<ENDPOINT_URL>endpoint Google SecOps API.
- Peristiwa: Pilih peristiwa CircleCI yang akan memicu webhook (misalnya, pilih workflow-completed untuk mengirim data setelah alur kerja selesai).
Klik Simpan untuk membuat webhook.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| account.id | read_only_udm.about.resource.attribute.labels.value | Nilai account.id dari log mentah ditetapkan ke kolom UDM read_only_udm.about.resource.attribute.labels.value dengan key yang sesuai adalah account_id. |
| tindakan | read_only_udm.metadata.product_event_type | Nilai action dari log mentah ditetapkan ke kolom UDM read_only_udm.metadata.product_event_type. |
| actor.id | read_only_udm.principal.user.product_object_id | Nilai actor.id dari log mentah ditetapkan ke kolom UDM read_only_udm.principal.user.product_object_id. |
| actor.name | read_only_udm.principal.user.userid | Awalan "github: " dihapus dari kolom actor.name dalam log mentah. Nilai yang tersisa ditetapkan ke kolom UDM read_only_udm.principal.user.userid. Jika actor.name ada di log mentah, nilai USER_RESOURCE_UPDATE_CONTENT akan ditetapkan ke read_only_udm.metadata.event_type. Jika tidak, USER_RESOURCE_ACCESS akan ditetapkan. |
| id | read_only_udm.metadata.product_log_id | Nilai id dari log mentah ditetapkan ke kolom UDM read_only_udm.metadata.product_log_id. Parser menetapkan read_only_udm.metadata.log_type ke CIRCLECI. Parser menetapkan read_only_udm.metadata.product_name ke CIRCLECI. Parser menetapkan read_only_udm.metadata.vendor_name ke CIRCLECI. |
| occurred_at | read_only_udm.metadata.event_timestamp | Nilai occurred_at dari log mentah diuraikan sebagai stempel waktu dan ditetapkan ke kolom UDM read_only_udm.metadata.event_timestamp. |
| organization.name | read_only_udm.target.administrative_domain | Awalan "github: " dihapus dari kolom organization.name dalam log mentah. Nilai yang tersisa ditetapkan ke kolom UDM read_only_udm.target.administrative_domain. |
| payload.job.id | read_only_udm.about.resource.attribute.labels.value | Nilai payload.job.id dari log mentah ditetapkan ke kolom UDM read_only_udm.about.resource.attribute.labels.value dengan key yang sesuai adalah job_id. |
| payload.job.job_name | read_only_udm.about.resource.attribute.labels.value | Nilai payload.job.job_name dari log mentah ditetapkan ke kolom UDM read_only_udm.about.resource.attribute.labels.value dengan key yang sesuai adalah job_name. |
| payload.job.job_status | read_only_udm.about.resource.attribute.labels.value | Nilai payload.job.job_status dari log mentah ditetapkan ke kolom UDM read_only_udm.about.resource.attribute.labels.value dengan key yang sesuai adalah job_status. |
| payload.workflow.id | read_only_udm.about.resource.attribute.labels.value | Nilai payload.workflow.id dari log mentah ditetapkan ke kolom UDM read_only_udm.about.resource.attribute.labels.value dengan key yang sesuai adalah workflow_id. |
| request.id | read_only_udm.network.session_id | Nilai request.id dari log mentah ditetapkan ke kolom UDM read_only_udm.network.session_id. |
| scope.id | read_only_udm.about.resource.attribute.labels.value | Nilai scope.id dari log mentah ditetapkan ke kolom UDM read_only_udm.about.resource.attribute.labels.value dengan key yang sesuai adalah scope_id. Parser awalnya menetapkan sec_action ke BLOCK. Jika kolom success dalam log mentah bernilai benar (true), sec_action akan diubah menjadi ALLOW. Nilai sec_action kemudian ditetapkan ke kolom UDM read_only_udm.security_result.action. |
| target.id | read_only_udm.target.resource.product_object_id | Nilai target.id dari log mentah ditetapkan ke kolom UDM read_only_udm.target.resource.product_object_id. |
| target.name | read_only_udm.target.resource.name | Awalan "github: " dihapus dari kolom target.name dalam log mentah. Nilai yang tersisa ditetapkan ke kolom UDM read_only_udm.target.resource.name. Parser menetapkan read_only_udm.target.resource.resource_type ke STORAGE_OBJECT. |
| version | read_only_udm.target.resource.attribute.labels.value | Nilai version dari log mentah dikonversi menjadi string dan ditetapkan ke kolom UDM read_only_udm.target.resource.attribute.labels.value dengan key yang sesuai adalah version. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.