Swimlane-Plattformlogs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Swimlane Platform-Logs mit Amazon S3 in Google Security Operations aufnehmen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Privilegierter Zugriff auf Swimlane (Kontoadministrator kann ein persönliches Zugriffstoken generieren)
  • Privilegierter Zugriff auf AWS (S3, IAM, Lambda, EventBridge)

Voraussetzungen für die Swimlane-Plattform erfassen (IDs, API-Schlüssel, Organisations-IDs, Tokens)

  1. Melden Sie sich als Account Admin in der Swimlane-Plattform an.
  2. Rufen Sie die Profiloptionen auf.
  3. Klicken Sie auf Profil, um den Profil-Editor zu öffnen.
  4. Rufen Sie den Bereich Persönliches Zugriffstoken auf.
  5. Klicken Sie auf Token generieren, um ein neues persönliches Zugriffstoken zu erstellen.
  6. Kopieren Sie das Token sofort und speichern Sie es sicher. Es wird nicht noch einmal angezeigt.
  7. Notieren Sie sich die folgenden Details für die Integration:
    • Persönliches Zugriffstoken (Personal Access Token, PAT): Wird im Private-Token-Header für API-Aufrufe verwendet.
    • Konto-ID: Erforderlich für den Audit Log API-Pfad /api/public/audit/account/{ACCOUNT_ID}/auditlogs. Wenden Sie sich an Ihren Swimlane-Administrator, wenn Sie Ihre Konto-ID nicht kennen.
    • Basis-URL: Ihre Swimlane-Domain (z. B. https://eu.swimlane.app, https://us.swimlane.app).

AWS S3-Bucket und IAM für Google SecOps konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket. Folgen Sie dazu dieser Anleitung: Bucket erstellen.
  2. Speichern Sie den Namen und die Region des Buckets zur späteren Verwendung (z. B. swimlane-audit).
  3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.
  4. Wählen Sie den erstellten Nutzer aus.
  5. Wählen Sie den Tab Sicherheitsanmeldedaten aus.
  6. Klicken Sie im Abschnitt Zugriffsschlüssel auf Zugriffsschlüssel erstellen.
  7. Wählen Sie als Anwendungsfall Drittanbieterdienst aus.
  8. Klicken Sie auf Weiter.
  9. Optional: Fügen Sie ein Beschreibungstag hinzu.
  10. Klicken Sie auf Zugriffsschlüssel erstellen.
  11. Klicken Sie auf CSV-Datei herunterladen, um den Access Key (Zugriffsschlüssel) und den Secret Access Key (geheimer Zugriffsschlüssel) zur späteren Verwendung zu speichern.
  12. Klicken Sie auf Fertig.
  13. Wählen Sie den Tab Berechtigungen aus.
  14. Klicken Sie im Bereich Berechtigungsrichtlinien auf Berechtigungen hinzufügen.
  15. Wählen Sie Berechtigungen hinzufügen aus.
  16. Wählen Sie Richtlinien direkt anhängen aus.
  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess und wählen Sie sie aus.
  18. Klicken Sie auf Weiter.
  19. Klicken Sie auf Berechtigungen hinzufügen.

IAM-Richtlinie und ‑Rolle für S3-Uploads konfigurieren

  1. Rufen Sie in der AWS-Konsole IAM > Richtlinien > Richtlinie erstellen > JSON-Tab auf.

  2. Geben Sie die folgende Richtlinie ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutSwimlaneAuditObjects",
      "Effect": "Allow",
      "Action": ["s3:PutObject"],
      "Resource": "arn:aws:s3:::swimlane-audit/swimlane/audit/*"
    },
    {
      "Sid": "AllowStateReadWrite",
      "Effect": "Allow",
      "Action": ["s3:GetObject", "s3:PutObject"],
      "Resource": "arn:aws:s3:::swimlane-audit/swimlane/audit/state.json"
    }
  ]
}
    • Ersetzen Sie swimlane-audit, wenn Sie einen anderen Bucket-Namen eingegeben haben.

  3. Klicken Sie auf Weiter > Richtlinie erstellen.

  4. Rufen Sie IAM > Rollen > Rolle erstellen > AWS-Service > Lambda auf.

  5. Hängen Sie die neu erstellte Richtlinie und die von AWS verwaltete Richtlinie an:

    • Die oben erstellte benutzerdefinierte Richtlinie
    • service-role/AWSLambdaBasicExecutionRole (CloudWatch Logs)

  6. Geben Sie der Rolle den Namen WriteSwimlaneAuditToS3Role und klicken Sie auf Rolle erstellen.

Lambda-Funktion erstellen

  1. Rufen Sie in der AWS Console Lambda > Funktionen > Funktion erstellen auf.
  2. Klicken Sie auf Von Grund auf erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Name swimlane_audit_to_s3
    Laufzeit Python 3.13
    Architektur x86_64
    Ausführungsrolle WriteSwimlaneAuditToS3Role

  4. Nachdem die Funktion erstellt wurde, öffnen Sie den Tab Code, löschen Sie den Stub und geben Sie den folgenden Code ein (swimlane_audit_to_s3.py):

    #!/usr/bin/env python3
import os, json, gzip, io, uuid, datetime as dt, urllib.parse, urllib.request
import boto3

# ---- Environment ----
S3_BUCKET = os.environ["S3_BUCKET"]
S3_PREFIX = os.environ.get("S3_PREFIX", "swimlane/audit/")
STATE_KEY = os.environ.get("STATE_KEY", S3_PREFIX + "state.json")
BASE_URL = os.environ["SWIMLANE_BASE_URL"].rstrip("/")  # e.g., https://eu.swimlane.app
ACCOUNT_ID = os.environ["SWIMLANE_ACCOUNT_ID"]
TENANT_LIST = os.environ.get("SWIMLANE_TENANT_LIST", "")  # comma-separated; optional
INCLUDE_ACCOUNT = os.environ.get("INCLUDE_ACCOUNT", "true").lower() == "true"
PAGE_SIZE = int(os.environ.get("PAGE_SIZE", "100"))  # max 100
WINDOW_MINUTES = int(os.environ.get("WINDOW_MINUTES", "15"))  # time range per run
PAT_TOKEN = os.environ["SWIMLANE_PAT_TOKEN"]  # Personal Access Token
TIMEOUT = int(os.environ.get("TIMEOUT", "30"))

AUDIT_URL = f"{BASE_URL}/api/public/audit/account/{ACCOUNT_ID}/auditlogs"

s3 = boto3.client("s3")

# ---- Helpers ----

def _http(req: urllib.request.Request):
    return urllib.request.urlopen(req, timeout=TIMEOUT)

def _now():
    return dt.datetime.utcnow()

def get_state() -> dict:
    try:
        obj = s3.get_object(Bucket=S3_BUCKET, Key=STATE_KEY)
        return json.loads(obj["Body"].read())
    except Exception:
        return {}

def put_state(state: dict) -> None:
    state["updated_at"] = _now().isoformat() + "Z"
    s3.put_object(Bucket=S3_BUCKET, Key=STATE_KEY, Body=json.dumps(state).encode())

def build_url(from_dt: dt.datetime, to_dt: dt.datetime, page: int) -> str:
    params = {
        "pageNumber": str(page),
        "pageSize": str(PAGE_SIZE),
        "includeAccount": str(INCLUDE_ACCOUNT).lower(),
        "fromdate": from_dt.replace(microsecond=0).isoformat() + "Z",
        "todate": to_dt.replace(microsecond=0).isoformat() + "Z",
    }
    if TENANT_LIST:
        params["tenantList"] = TENANT_LIST
    return AUDIT_URL + "?" + urllib.parse.urlencode(params)

def fetch_page(url: str) -> dict:
    headers = {
        "Accept": "application/json",
        "Private-Token": PAT_TOKEN,
    }
    req = urllib.request.Request(url, headers=headers)
    with _http(req) as r:
        return json.loads(r.read())

def write_chunk(items: list[dict], ts: dt.datetime) -> str:
    key = f"{S3_PREFIX}{ts:%Y/%m/%d}/swimlane-audit-{uuid.uuid4()}.json.gz"
    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode="w") as gz:
        for rec in items:
            gz.write((json.dumps(rec) + "n").encode())
    buf.seek(0)
    s3.upload_fileobj(buf, S3_BUCKET, key)
    return key

def lambda_handler(event=None, context=None):
    state = get_state()

    # determine window
    to_dt = _now()
    from_dt = to_dt - dt.timedelta(minutes=WINDOW_MINUTES)
    if (prev := state.get("last_to_dt")):
        try:
            from_dt = dt.datetime.fromisoformat(prev.replace("Z", "+00:00"))
        except Exception:
            pass

    page = int(state.get("page", 1))
    total_written = 0

    while True:
        url = build_url(from_dt, to_dt, page)
        resp = fetch_page(url)
        items = resp.get("auditlogs", []) or []
        if items:
            write_chunk(items, _now())
            total_written += len(items)
        next_path = resp.get("next")
        if not next_path:
            break
        page += 1
        state["page"] = page

    # advance state window
    state["last_to_dt"] = to_dt.replace(microsecond=0).isoformat() + "Z"
    state["page"] = 1
    put_state(state)

    return {"ok": True, "written": total_written, "from": from_dt.isoformat() + "Z", "to": to_dt.isoformat() + "Z"}

if __name__ == "__main__":
    print(lambda_handler())

  5. Rufen Sie Konfiguration > Umgebungsvariablen auf.

  6. Klicken Sie auf Bearbeiten> Neue Umgebungsvariable hinzufügen.

  7. Geben Sie die folgenden Umgebungsvariablen ein und ersetzen Sie die Platzhalter durch Ihre Werte.

    Schlüssel Beispielwert
    S3_BUCKET swimlane-audit
    S3_PREFIX swimlane/audit/
    STATE_KEY swimlane/audit/state.json
    SWIMLANE_BASE_URL https://eu.swimlane.app
    SWIMLANE_ACCOUNT_ID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
    SWIMLANE_TENANT_LIST tenantA,tenantB (optional)
    INCLUDE_ACCOUNT true
    PAGE_SIZE 100
    WINDOW_MINUTES 15
    SWIMLANE_PAT_TOKEN <your-personal-access-token>
    TIMEOUT 30

  8. Bleiben Sie nach dem Erstellen der Funktion auf der zugehörigen Seite oder öffnen Sie Lambda > Funktionen > Ihre Funktion.

  9. Wählen Sie den Tab Konfiguration aus.

  10. Klicken Sie im Bereich Allgemeine Konfiguration auf Bearbeiten.

  11. Ändern Sie Zeitlimit in 5 Minuten (300 Sekunden) und klicken Sie auf Speichern.

EventBridge-Zeitplan erstellen

  1. Gehen Sie zu Amazon EventBridge > Scheduler > Create schedule (Amazon EventBridge > Scheduler > Zeitplan erstellen).
  2. Geben Sie die folgenden Konfigurationsdetails an:
    • Wiederkehrender Termin: Rate (15 min)
    • Ziel: Ihre Lambda-Funktion swimlane_audit_to_s3
    • Name: swimlane-audit-schedule-15min
  3. Klicken Sie auf Zeitplan erstellen.

Optional: IAM-Nutzer mit Lesezugriff und Schlüssel für Google SecOps erstellen

  1. Rufen Sie in der AWS-Konsole IAM > Nutzer > Nutzer hinzufügen auf.
  2. Klicken Sie auf Add users (Nutzer hinzufügen).
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Nutzer: secops-reader
    • Zugriffstyp: Zugriffsschlüssel – Programmatischer Zugriff
  4. Klicken Sie auf Nutzer erstellen.
  5. Minimale Leseberechtigung (benutzerdefiniert) anhängen: Nutzer > secops-reader > Berechtigungen > Berechtigungen hinzufügen > Richtlinien direkt anhängen > Richtlinie erstellen.

  6. Geben Sie im JSON-Editor die folgende Richtlinie ein:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::swimlane-audit/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::swimlane-audit"
    }
  ]
}

  7. Legen Sie secops-reader-policy als Name fest.

  8. Gehen Sie zu Richtlinie erstellen> suchen/auswählen > Weiter > Berechtigungen hinzufügen.

  9. Rufen Sie Sicherheitsanmeldedaten > Zugriffsschlüssel > Zugriffsschlüssel erstellen auf.

  10. Laden Sie die CSV herunter (diese Werte werden in den Feed eingegeben).

Feed in Google SecOps konfigurieren, um Swimlane Platform-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf + Neuen Feed hinzufügen.
  3. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Swimlane Platform logs.
  4. Wählen Sie Amazon S3 V2 als Quelltyp aus.
  5. Wählen Sie Swimlane-Plattform als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • S3-URI: s3://swimlane-audit/swimlane/audit/
    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus.
    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Standardmäßig 180 Tage.
    • Zugriffsschlüssel-ID: Zugriffsschlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Asset-Namespace: Der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten