Mengumpulkan log Audit Admin Atlassian Cloud

Didukung di:

Dokumen ini menjelaskan cara menyerap log Audit Admin Atlassian Cloud ke Google Security Operations menggunakan AWS S3. Parser pertama-tama mencoba memproses pesan yang masuk sebagai objek JSON. Jika gagal, alat ini akan menggunakan ekspresi reguler (pola Grok) untuk mengekstrak kolom dari berbagai format log Atlassian Jira, yang pada akhirnya memetakan data yang diekstrak ke model data terpadu (UDM).

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke AWS
  • Akses istimewa ke Atlassian

Mengonfigurasi AWS IAM dan Bucket S3

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
  2. Login ke Konsol AWS.
  3. Buka S3 > Create bucket.
  4. Berikan nama untuk bucket (misalnya, atlassian-admin-audit-logs).
  5. Biarkan setelan default lainnya (atau konfigurasi enkripsi dan pembuatan versi jika diperlukan).
  6. Klik Buat.
  7. Simpan Nama dan Region bucket untuk referensi di masa mendatang.
  8. Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
  9. Pilih Pengguna yang dibuat.
  10. Pilih tab Kredensial keamanan.
  11. Klik Create Access Key di bagian Access Keys.
  12. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
  13. Klik Berikutnya.
  14. Opsional: Tambahkan tag deskripsi.
  15. Klik Create access key.
  16. Klik Download CSV file, lalu simpan Access ID dan Secret Access Key untuk referensi di masa mendatang.
  17. Klik Done.
  18. Di tab Permissions di bagian Permission policies, klik Add permissions.
  19. Pilih Lampirkan kebijakan secara langsung.
  20. Cari kebijakan AmazonS3FullAccess.
  21. Pilih kebijakan.
  22. Klik Berikutnya.
  23. Klik Add permissions.

Mengonfigurasi Kunci API di Atlassian

  1. Login ke Atlassian.
  2. Buka Settings > API keys.
  3. Klik Create API key di kanan atas.
  4. Berikan nama yang unik dan deskriptif untuk Kunci.
  5. Pilih tanggal habis masa berlaku baru di bagian Berakhir pada.
  1. Klik Buat untuk menyimpan.
  2. Salin dan simpan API Key dan Organization ID Anda.
  3. Klik Done.

Konfigurasi paket yang diperlukan

  1. Login ke host pengumpulan log Anda (misalnya, VM AWS) dan jalankan perintah berikut untuk mengonfigurasi kredensial AWS:

    pip install boto3 requests
aws configure

Membuat skrip Atlassian Log Puller

  1. Buat file berikut dengan memasukkan sudo vi area1_to_s3.py dan salin kode berikut:

    • Sesuaikan hal berikut: 
    #!/usr/bin/env python3
import os, requests, boto3, datetime

# Settings
TOKEN = os.environ["ATL_TOKEN"]
ORG_ID = os.environ["ATL_ORG_ID"]
AWS_PROFILE = os.getenv("AWS_PROFILE")
BUCKET = "atlassian-admin-audit-logs"

def fetch_events(cursor=None):
    url = f"https://api.atlassian.com/admin/v1/orgs/{ORG_ID}/events"
    headers = {"Authorization":f"Bearer {TOKEN}"}
    params = {"limit":100, "cursor":cursor} if cursor else {"limit":100}
    resp = requests.get(url, headers=headers, params=params)
    resp.raise_for_status()
    return resp.json()

def upload_json(data, filename):
    session = boto3.Session(profile_name=AWS_PROFILE) if AWS_PROFILE else boto3.Session()
    session.client("s3").put_object(Bucket=BUCKET, Key=filename, Body=data, ContentType="application/json")
    print(f"Uploaded {filename}")

def main():
    today = datetime.datetime.utcnow().strftime("%Y-%m-%d")
    cursor = None
    count = 0
    while True:
        resp = fetch_events(cursor)
        key = f"audits/{today}/events_{count}.json"
        upload_json(resp["data"], key)
        count += 1
        cursor = resp.get("links",{}).get("next")
        if not cursor: break

if __name__=="__main__":
    main()

  2. Simpan dan keluar dari vi dengan mengklik esc > ketik :wq**.

Menyimpan variabel lingkungan

  1. Buat file aman untuk menyimpan variabel lingkungan di /etc/atlassian_audit.env:

    export ATL_TOKEN="your_atlassian_key"
export ATL_ORG_ID="your_org_id"
export AWS_PROFILE="atlassian-logs"

  2. Pastikan file aman:

    chmod 600 /etc/atlassian_audit.env

Mengotomatiskan dengan Cron

  1. Buat skrip Wrapper untuk Cron dengan menjalankan sudo vi /usr/local/bin/run_atlassian_audit.sh, lalu salin kode berikut:

    #!/usr/bin/env bash
source /etc/atlassian_audit.env
python3 /opt/scripts/export_atlassian_audit.py

  2. Setel agar file dapat dieksekusi:

    chmod +x /usr/local/bin/run_atlassian_audit.sh

  3. Konfigurasi agar berjalan setiap hari pukul 02.00 UTC:

    crontab -e
0 2 * * * /usr/local/bin/run_atlassian_audit.sh >> /var/log/atl_audit.log 2>&1

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.