收集 Atlassian Bitbucket 日志
支持的语言:
    
      
      
        
        
        
  
    
      Google SecOps
    
  
      
    
      
      
        
        
        
  
    
      SIEM
    
  
      
    
    
  概览
此解析器可从 Atlassian Bitbucket JSON 日志中提取字段,并将其映射到 UDM。它可处理各种日志格式,并根据 IP 地址、用户 ID 和资产信息等可用字段填充正文或目标实体。它还会根据网络和用户活动对事件进行分类,并使用安全发现结果(如果有)来丰富数据。在填充字段时,解析器会优先考虑 agentRealtimeInfo 而不是 agentDetectionInfo。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例。
- 对代码库内的制品拥有特权访问权限。
设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed 名称字段中,输入 Feed 的名称(例如 Atlassian Bitbucket 日志)。
- 选择 Webhook 作为来源类型。
- 选择 Atlassian Bitbucket 作为日志类型。
- 点击下一步。
- 可选:为以下输入参数指定值:
- 拆分分隔符:用于分隔日志行的分隔符,例如 \n。
- 资源命名空间:资源命名空间。
- 注入标签:应用于此 Feed 中事件的标签。
 
- 拆分分隔符:用于分隔日志行的分隔符,例如 
- 点击下一步。
- 在最终确定界面中检查 Feed 配置,然后点击提交。
- 点击生成密钥,生成用于对此 Feed 进行身份验证的密钥。
- 复制并存储密钥。您将无法再次查看此密钥。如有需要,您可以重新生成新的 Secret 密钥,但此操作会使之前的 Secret 密钥失效。
- 在详情标签页中,从端点信息字段复制 Feed 端点网址。您需要在客户端应用中指定此端点网址。
- 点击完成。
为 Webhook Feed 创建 API 密钥
- 依次前往 Google Cloud 控制台 > 凭据。 
- 点击创建凭据,然后选择 API 密钥。 
- 将 API 密钥访问权限限制为 Google Security Operations API。 
指定端点网址
- 在客户端应用中,指定 webhook Feed 中提供的 HTTPS 端点网址。
- 通过在自定义标头中指定 API 密钥和密钥来启用身份验证,格式如下: - X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET- 建议:将 API 密钥指定为标头,而不是在网址中指定。如果您的 Webhook 客户端不支持自定义标头,您可以使用以下格式的查询参数指定 API 密钥和密钥: - ENDPOINT_URL?key=API_KEY&secret=SECRET
替换以下内容:
- ENDPOINT_URL:Feed 端点网址。
- API_KEY:用于向 Google Security Operations 进行身份验证的 API 密钥。
- SECRET:您生成的用于验证 Feed 的密钥。
在 Atlassian Bitbucket 中创建 Webhook
- 在 Bitbucket 中,前往代码库设置。
- 点击工作流下的 Webhook。
- 点击 Add webhook。
- 配置以下字段:
- 标题:提供描述性名称(例如 Google SecOps)。
- 网址:输入 Google SecOps API 端点网址。
- 状态:设置为有效。
- 触发条件:选择相关事件。
 
- 点击保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 | 
|---|---|---|
| agentComputerName | principal.hostname | 从 agentRealtimeInfo.agentComputerName填充。 | 
| agentDetectionInfo.accountId | metadata.product_deployment_id | 已转换为字符串。如果不存在 agentRealtimeInfo.accountId,则使用此元素。 | 
| agentDetectionInfo.accountName | metadata.product_name | 如果不存在 agentRealtimeInfo.accountName,则使用此元素。 | 
| agentDetectionInfo.agentDomain | principal.administrative_domain | 直接映射。 | 
| agentDetectionInfo.agentIpV4 | target.ip | 从 JSON 数组中提取并合并到 target.ip字段中。 | 
| agentDetectionInfo.agentIpV6 | principal.ip | 从 JSON 数组中提取并合并到 principal.ip字段中。 | 
| agentDetectionInfo.agentLastLoggedInUserName | principal.user.userid | 经过解析以提取用户 ID 和网域(如果有)。如果没有网域,则直接映射到 principal.user.userid。 | 
| agentDetectionInfo.agentOsName | principal.platform_version,principal.asset.platform_software.platform_version | 如果不存在 agentRealtimeInfo.agentOsName,则使用此元素。 | 
| agentDetectionInfo.agentOsRevision | principal.platform_patch_level,principal.asset.platform_software.platform_patch_level | 如果不存在 agentRealtimeInfo.agentOsRevision,则使用此元素。 | 
| agentDetectionInfo.agentRegisteredAt | principal.asset.first_discover_time | 解析为 ISO8601 时间戳。 | 
| agentDetectionInfo.agentUuid | principal.asset_id,principal.asset.asset_id | 如果不存在 agentRealtimeInfo.agentUuid,则使用此元素。以“agentUuid:”为前缀。 | 
| agentDetectionInfo.agentVersion | metadata.product_version | 如果不存在 agentRealtimeInfo.agentVersion,则使用此元素。 | 
| agentDetectionInfo.externalIp | target.ip | 直接映射。 | 
| agentDetectionInfo.groupId | principal.user.group_identifiers | 如果该字段不为空或不为“-”,则合并到该字段中。如果不存在 agentRealtimeInfo.groupId,则使用该字段。 | 
| agentDetectionInfo.groupName | principal.group.group_display_name | 如果不存在 agentRealtimeInfo.groupName,则使用此元素。 | 
| agentDetectionInfo.siteId | additional.fields | 以键值对的形式添加,键为“agentDetectionInfo.siteId”。如果不存在 agentRealtimeInfo.siteId,则使用此元素。 | 
| agentDetectionInfo.siteName | additional.fields | 以键值对的形式添加,键为“agentDetectionInfo.siteName”。如果不存在 agentRealtimeInfo.siteName,则使用此元素。 | 
| agentRealtimeInfo.accountId | metadata.product_deployment_id | 已转换为字符串。 | 
| agentRealtimeInfo.accountName | metadata.product_name | 直接映射。 | 
| agentRealtimeInfo.agentComputerName | principal.hostname,principal.asset.hostname | 直接映射。 | 
| agentRealtimeInfo.agentId | principal.asset_id,principal.asset.asset_id | 以“agentId:”为前缀。 | 
| agentRealtimeInfo.agentMachineType | principal.asset.category | 直接映射。 | 
| agentRealtimeInfo.agentOsName | principal.platform_version,principal.asset.platform_software.platform_version | 直接映射。 | 
| agentRealtimeInfo.agentOsRevision | principal.platform_patch_level,principal.asset.platform_software.platform_patch_level | 直接映射。 | 
| agentRealtimeInfo.agentOsType | principal.asset.platform_software.platform,principal.platform | 根据值映射到 WINDOWS、MAC 或 LINUX。 | 
| agentRealtimeInfo.agentUuid | principal.asset_id,principal.asset.asset_id | 直接映射。以“agentUuid:”为前缀。 | 
| agentRealtimeInfo.agentVersion | metadata.product_version | 直接映射。 | 
| agentRealtimeInfo.groupId | principal.user.group_identifiers | 如果该字段不为空或不包含“-”,则合并到该字段中。 | 
| agentRealtimeInfo.groupName | principal.group.group_display_name | 直接映射。 | 
| agentRealtimeInfo.siteId | additional.fields | 以键值对的形式添加,键为“agentDetectionInfo.siteId”。 | 
| agentRealtimeInfo.siteName | additional.fields | 以键值对的形式添加,键为“agentDetectionInfo.siteName”。 | 
| associatedItems.0.id | principal.resource.id | 直接映射。 | 
| associatedItems.0.name | principal.resource.name | 直接映射。 | 
| associatedItems.0.typeName | principal.resource.resource_subtype | 直接映射。 | 
| authorAccountId | principal.user.userid | 直接映射。 | 
| category | metadata.product_event_type | 直接映射。如果不存在,且消息包含“威胁”,则设置为“威胁”。 | 
| id | metadata.product_log_id | 已转换为字符串。 | 
| indicators.0.description | security_result.description | 直接映射。 | 
| objectItem.id | additional.fields | 以键值对的形式添加,键为“objectItem.id”。 | 
| objectItem.name | additional.fields | 以键值对的形式添加,键为“objectItem.name”。 | 
| objectItem.typeName | additional.fields | 以键值对的形式添加,键为“objectItem.typeName”。 | 
| remoteAddress | principal.ip | 直接映射。 | 
| summary | security_result.summary | 直接映射。 | 
| threatInfo.classification | security_result.category_details | 直接映射。还用于确定 security_result.category。 | 
| threatInfo.collectionId | metadata.ingestion_labels | 以键值对的形式添加,键为“alert_aggregation_value”。 | 
| threatInfo.confidenceLevel | security_result.confidence_details | 直接映射。还用于确定 security_result.confidence。 | 
| threatInfo.createdAt | metadata.collected_timestamp | 解析为 ISO8601 时间戳。 | 
| threatInfo.detectionEngines | metadata.ingestion_labels | 每个元素的 key和title都会添加为键值对。 | 
| threatInfo.fileExtensionType | target.process.file.mime_type | 直接映射。 | 
| threatInfo.filePath | target.file.full_path | 直接映射。 | 
| threatInfo.fileSize | target.file.size | 转换为字符串,然后再转换为无符号整数。 | 
| threatInfo.identifiedAt | event_timestamp | 解析为 ISO8601 时间戳。 | 
| threatInfo.maliciousProcessArguments | principal.process.command_line | 直接映射。如果不存在 summary,则也会在security_result.summary字段中使用。 | 
| threatInfo.md5 | target.file.md5 | 直接映射。 | 
| threatInfo.originatorProcess | target.process.parent_process.file.full_path | 直接映射。如果不存在 summary,则也会在security_result.summary字段中使用。 | 
| threatInfo.processUser | target.user.userid | 直接映射。 | 
| threatInfo.sha1 | target.file.sha1 | 直接映射。 | 
| threatInfo.sha256 | target.file.sha256 | 直接映射。 | 
| threatInfo.storyline | principal.process.product_specific_process_id | 以“ID:”为前缀。 | 
| threatInfo.threatId | security_result.threat_id | 直接映射。 | 
| threatInfo.threatName | security_result.threat_name,target.file.names | 直接映射并合并到 target.file.names中。如果不存在summary,则还用于security_result.summary字段。最初设置为“GENERIC_EVENT”。根据正文和目标 IP/主机名/用户的存在情况,更改为“NETWORK_UNCATEGORIZED”“STATUS_UPDATE”或“USER_UNCATEGORIZED”。从event.type字段复制。设置为“Atlassian Bitbucket”。最初设置为“Atlassian Bitbucket”。可被agentRealtimeInfo.accountName或agentDetectionInfo.accountName替换。 | 
| timestamp | metadata.event_timestamp,timestamp | 直接映射。 | 
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。