Mengumpulkan log Audit Admin Atlassian Cloud
Dokumen ini menjelaskan cara menyerap log Audit Admin Atlassian Cloud ke Google Security Operations menggunakan AWS S3. Parser pertama-tama mencoba memproses pesan masuk sebagai objek JSON. Jika gagal, parser akan menggunakan ekspresi reguler (pola Grok) untuk mengekstrak kolom dari berbagai format log Atlassian Jira, yang pada akhirnya memetakan data yang diekstrak ke model data terpadu (UDM).
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps
- Akses istimewa ke AWS
- Akses istimewa ke Atlassian
Mengonfigurasi AWS IAM dan Bucket S3
- Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
- Login ke Konsol AWS.
- Buka S3 > Create bucket.
- Berikan nama untuk bucket (misalnya,
atlassian-admin-audit-logs
). - Biarkan setelan default lainnya (atau konfigurasi enkripsi dan pembuatan versi jika diperlukan).
- Klik Buat.
- Simpan Nama dan Region bucket untuk referensi di masa mendatang.
- Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
- Pilih Pengguna yang dibuat.
- Pilih tab Kredensial keamanan.
- Klik Create Access Key di bagian Access Keys.
- Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
- Klik Berikutnya.
- Opsional: Tambahkan tag deskripsi.
- Klik Create access key.
- Klik Download file CSV, lalu simpan ID Akses dan Kunci Akses Rahasia untuk referensi di masa mendatang.
- Klik Selesai.
- Di tab Permissions di bagian Permissions policies, klik Add permissions.
- Pilih Lampirkan kebijakan secara langsung.
- Cari kebijakan AmazonS3FullAccess.
- Pilih kebijakan.
- Klik Berikutnya.
- Klik Tambahkan izin.
Mengonfigurasi Kunci API di Atlassian
- Login ke Atlassian.
- Buka Settings > API keys.
- Klik Buat kunci API di kanan atas.
- Berikan name yang unik dan deskriptif untuk Kunci.
- Pilih tanggal habis masa berlaku baru di bagian Berakhir pada.
- Klik Buat untuk menyimpan.
- Salin dan simpan API Key dan ID Organisasi Anda.
- Klik Selesai.
Konfigurasi paket yang diperlukan
Login ke host pengumpulan log Anda (misalnya, AWS VM) dan jalankan perintah berikut untuk mengonfigurasi kredensial AWS:
pip install boto3 requests aws configure
Membuat skrip Atlassian Log Puller
Buat file berikut dengan memasukkan
sudo vi area1_to_s3.py
dan salin kode berikut:- Sesuaikan hal berikut:
#!/usr/bin/env python3 import os, requests, boto3, datetime # Settings TOKEN = os.environ["ATL_TOKEN"] ORG_ID = os.environ["ATL_ORG_ID"] AWS_PROFILE = os.getenv("AWS_PROFILE") BUCKET = "atlassian-admin-audit-logs" def fetch_events(cursor=None): url = f"https://api.atlassian.com/admin/v1/orgs/{ORG_ID}/events" headers = {"Authorization":f"Bearer {TOKEN}"} params = {"limit":100, "cursor":cursor} if cursor else {"limit":100} resp = requests.get(url, headers=headers, params=params) resp.raise_for_status() return resp.json() def upload_json(data, filename): session = boto3.Session(profile_name=AWS_PROFILE) if AWS_PROFILE else boto3.Session() session.client("s3").put_object(Bucket=BUCKET, Key=filename, Body=data, ContentType="application/json") print(f"Uploaded {filename}") def main(): today = datetime.datetime.utcnow().strftime("%Y-%m-%d") cursor = None count = 0 while True: resp = fetch_events(cursor) key = f"audits/{today}/events_{count}.json" upload_json(resp["data"], key) count += 1 cursor = resp.get("links",{}).get("next") if not cursor: break if __name__=="__main__": main()
Simpan dan keluar dari
vi
dengan mengklikesc
> ketik:wq
**.
Menyimpan variabel lingkungan
Buat file aman untuk menyimpan variabel lingkungan di
/etc/atlassian_audit.env
:export ATL_TOKEN="your_atlassian_key" export ATL_ORG_ID="your_org_id" export AWS_PROFILE="atlassian-logs"
Pastikan file aman:
chmod 600 /etc/atlassian_audit.env
Mengotomatiskan dengan Cron
Buat skrip Wrapper untuk Cron dengan menjalankan
sudo vi /usr/local/bin/run_atlassian_audit.sh
, lalu salin kode berikut:#!/usr/bin/env bash source /etc/atlassian_audit.env python3 /opt/scripts/export_atlassian_audit.py
Setel agar file dapat dieksekusi:
chmod +x /usr/local/bin/run_atlassian_audit.sh
Konfigurasi agar berjalan setiap hari pukul 02.00 UTC:
crontab -e 0 2 * * * /usr/local/bin/run_atlassian_audit.sh >> /var/log/atl_audit.log 2>&1
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.