Mengumpulkan log audit Aware

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log audit Aware ke Google Security Operations menggunakan Google Cloud Storage. Aware adalah platform kecerdasan kolaborasi yang memberikan insight dan tata kelola untuk alat kolaborasi perusahaan.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Project GCP dengan Cloud Storage API diaktifkan
Izin untuk membuat dan mengelola bucket GCS
Izin untuk mengelola kebijakan IAM di bucket GCS
Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
Akses istimewa ke tenant Aware

Prasyarat Collect Aware API

Login ke Konsol Admin Aware.
Buka System Settings > Integrations > API Tokens.
Klik + API Token dan berikan izin Audit Logs Read-only.
Salin dan simpan detail berikut di lokasi yang aman:
- Token API
- URL Dasar API: Endpoint-nya adalah https://api.aware.work/external/system/auditlogs/v1
Catatan: URL Dasar API yang ditampilkan di Konsol Admin Aware harus cocok dengan https://api.aware.work/external/system/auditlogs/v1. Jika tenant Anda menggunakan URL dasar yang berbeda, Anda harus memperbarui konstanta AWARE_ENDPOINT dalam kode fungsi.

Membuat bucket Google Cloud Storage

Buka Google Cloud Console.
Pilih project Anda atau buat project baru.
Di menu navigasi, buka Cloud Storage > Buckets.
Klik Create bucket.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Beri nama bucket Anda	Masukkan nama yang unik secara global (misalnya, `aware-audit-logs`)
Location type	Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
Lokasi	Pilih lokasi (misalnya, `us-central1`)
Kelas penyimpanan	Standar (direkomendasikan untuk log yang sering diakses)
Access control	Seragam (direkomendasikan)
Alat perlindungan	Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

Klik Buat.

Buat akun layanan untuk Cloud Run Function

Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.

Membuat akun layanan

Di GCP Console, buka IAM & Admin > Service Accounts.
Klik Create Service Account.
Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan aware-audit-poller-sa.
- Deskripsi akun layanan: Masukkan Service account for Cloud Run function to collect Aware audit logs.
Klik Create and Continue.
Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
1. Klik Pilih peran.
2. Telusuri dan pilih Storage Object Admin.
3. Klik + Add another role.
4. Telusuri dan pilih Cloud Run Invoker.
5. Klik + Add another role.
6. Telusuri dan pilih Cloud Functions Invoker.
Klik Lanjutkan.
Klik Selesai.

Peran ini diperlukan untuk:

Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
Cloud Functions Invoker: Mengizinkan pemanggilan fungsi

Memberikan izin IAM pada bucket GCS

Beri akun layanan izin tulis di bucket GCS:

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya, aware-audit-poller-sa@PROJECT_ID.iam.gserviceaccount.com).
- Tetapkan peran: Pilih Storage Object Admin.
Klik Simpan.

Membuat topik Pub/Sub

Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.

Di GCP Console, buka Pub/Sub > Topics.
Klik Create topic.
Berikan detail konfigurasi berikut:
- ID Topik: Masukkan aware-audit-trigger.
- Biarkan setelan lainnya tetap default.
Klik Buat.

Membuat fungsi Cloud Run untuk mengumpulkan log

Fungsi Cloud Run dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari Aware API dan menuliskannya ke GCS.

Di GCP Console, buka Cloud Run.
Klik Create service.
Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:

Setelan Nilai

Nama layanan aware-audit-poller

Wilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)

Runtime Pilih Python 3.12 atau yang lebih baru
Di bagian Pemicu (opsional):
1. Klik + Tambahkan pemicu.
2. Pilih Cloud Pub/Sub.
3. Di Select a Cloud Pub/Sub topic, pilih topik aware-audit-trigger.
4. Klik Simpan.
Di bagian Authentication:
1. Pilih Wajibkan autentikasi.
2. Periksa Identity and Access Management (IAM).
Catatan: Pub/Sub secara otomatis menangani autentikasi saat memanggil fungsi.
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih akun layanan aware-audit-poller-sa.
Buka tab Containers:
1. Klik Variables & Secrets.
2. Klik + Tambahkan variabel untuk setiap variabel lingkungan:
  
  Nama Variabel Nilai Contoh
  
  GCS_BUCKET aware-audit-logs
  
  GCS_PREFIX aware/audit/
  
  STATE_KEY aware/state.json
  
  AWARE_API_TOKEN your-aware-api-token
  
  MAX_PER_PAGE 500
Scroll ke bawah di tab Variables & Secrets ke Requests:
- Waktu tunggu permintaan: Masukkan 600 detik (10 menit).
Buka tab Setelan di Penampung:
- Di bagian Materi:
  - Memori: Pilih 512 MiB atau yang lebih tinggi.
  - CPU: Pilih 1.
- Klik Selesai.
Scroll ke Lingkungan eksekusi:
- Pilih Default (direkomendasikan).
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan 0.
- Jumlah maksimum instance: Masukkan 100 (atau sesuaikan berdasarkan perkiraan beban).
Klik Buat.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.

Setelan	Nilai
Nama layanan	`aware-audit-poller`
Wilayah	Pilih region yang cocok dengan bucket GCS Anda (misalnya, `us-central1`)
Runtime	Pilih Python 3.12 atau yang lebih baru

Nama Variabel	Nilai Contoh
`GCS_BUCKET`	`aware-audit-logs`
`GCS_PREFIX`	`aware/audit/`
`STATE_KEY`	`aware/state.json`
`AWARE_API_TOKEN`	`your-aware-api-token`
`MAX_PER_PAGE`	`500`

Menambahkan kode fungsi

Masukkan main di Function entry point

Di editor kode inline, buat dua file:

File pertama: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timedelta, timezone
import gzip
import io
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

AWARE_ENDPOINT = "https://api.aware.work/external/system/auditlogs/v1"

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Aware audit logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'aware/audit/')
    state_key = os.environ.get('STATE_KEY', 'aware/state.json')
    api_token = os.environ.get('AWARE_API_TOKEN')
    max_per_page = int(os.environ.get('MAX_PER_PAGE', '500'))

    if not all([bucket_name, api_token]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state
        state = load_state(bucket, state_key)

        tz_utc = timezone.utc
        now = datetime.now(tz=tz_utc)

        start_date = (
            datetime.fromisoformat(state['last_date']).date()
            if 'last_date' in state
            else (now - timedelta(days=1)).date()
        )
        end_date = now.date()

        total = 0
        day = start_date
        backoff = 1.0

        while day <= end_date:
            day_str = day.strftime('%Y-%m-%d')
            params = {
                'filter': f'startDate:{day_str},endDate:{day_str}',
                'limit': str(max_per_page)
            }
            offset = 1

            out = io.BytesIO()
            with gzip.GzipFile(filename='aware_audit.jsonl', mode='wb', fileobj=out) as gz:
                wrote_any = False

                while True:
                    # Build query URL
                    query_params = {**params, 'offset': str(offset)}
                    query_string = '&'.join([f'{k}={v}' for k, v in query_params.items()])
                    url = f'{AWARE_ENDPOINT}?{query_string}'

                    # Make API request
                    headers = {'X-Aware-Api-Key': api_token}

                    try:
                        response = http.request('GET', url, headers=headers, timeout=30.0)

                        # Handle rate limiting with exponential backoff
                        if response.status == 429:
                            retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                            print(f'Rate limited (429). Retrying after {retry_after}s...')
                            time.sleep(retry_after)
                            backoff = min(backoff * 2, 30.0)
                            continue

                        backoff = 1.0

                        if response.status != 200:
                            print(f'Error: API returned status {response.status}')
                            break

                        payload = json.loads(response.data.decode('utf-8'))
                        items = (payload.get('value') or {}).get('auditLogData') or []

                        if not items:
                            break

                        for item in items:
                            gz.write((json.dumps(item, separators=(',', ':')) + '\n').encode('utf-8'))
                            total += 1
                            wrote_any = True

                        offset += 1

                    except Exception as e:
                        print(f'Error fetching page: {str(e)}')
                        break

            if wrote_any:
                blob_name = f"{prefix}{day.strftime('%Y/%m/%d')}/aware_audit_{now.strftime('%Y%m%d_%H%M%S')}.jsonl.gz"
                blob = bucket.blob(blob_name)
                blob.upload_from_string(
                    out.getvalue(),
                    content_type='application/json',
                    content_encoding='gzip'
                )
                print(f'Wrote {total} logs to {blob_name}')

            save_state(bucket, state_key, {'last_date': day.isoformat()})
            day += timedelta(days=1)

        print(f'Successfully processed {total} logs')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

File kedua: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).

Buat tugas Cloud Scheduler

Cloud Scheduler memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.

Di GCP Console, buka Cloud Scheduler.
Klik Create Job.

Berikan detail konfigurasi berikut:

Setelan	Nilai
Nama	`aware-audit-poller-hourly`
Wilayah	Pilih region yang sama dengan fungsi Cloud Run
Frekuensi	`0 * * * *` (setiap jam, tepat pada waktunya)
Zona waktu	Pilih zona waktu (UTC direkomendasikan)
Jenis target	Pub/Sub
Topik	Pilih topik `aware-audit-trigger`
Isi pesan	`{}` (objek JSON kosong)

Klik Buat.

Opsi frekuensi jadwal

Pilih frekuensi berdasarkan volume log dan persyaratan latensi:

Frekuensi	Ekspresi Cron	Kasus Penggunaan
Setiap 5 menit	`/5 * * *`	Volume tinggi, latensi rendah
Setiap 15 menit	`/15 * * *`	Volume sedang
Setiap jam	`0 * * * *`	Standar (direkomendasikan)
Setiap 6 jam	`0 /6 * *`	Volume rendah, pemrosesan batch
Harian	`0 0 * * *`	Pengumpulan data historis

Menguji tugas penjadwal

Di konsol Cloud Scheduler, temukan tugas Anda.
Klik Jalankan paksa untuk memicu secara manual.
Tunggu beberapa detik, lalu buka Cloud Run > Services > aware-audit-poller > Logs.
Pastikan fungsi berhasil dieksekusi.
Periksa bucket GCS untuk mengonfirmasi bahwa log telah ditulis.

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Dapatkan email akun layanan

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Aware Audit logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Aware Audit sebagai Log type.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Salin alamat email ini untuk digunakan di langkah berikutnya.

Catatan: Setiap instance Google SecOps memiliki akun layanan yang unik. Jangan gunakan akun layanan dari dokumentasi atau contoh lain.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

Buka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka tab Izin.
Klik Grant access.
Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.

Catatan: Jika Anda berencana menggunakan opsi penghapusan "Hapus file yang ditransfer" atau "Hapus file yang ditransfer dan direktori kosong", berikan peran Storage Object Admin, bukan Storage Object Viewer.

Mengonfigurasi feed di Google SecOps untuk menyerap log Audit Sadar

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Klik Konfigurasi satu feed.
Di kolom Nama feed, masukkan nama untuk feed (misalnya, Aware Audit logs).
Pilih Google Cloud Storage V2 sebagai Source type.
Pilih Aware Audit sebagai Log type.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
```
gs://aware-audit-logs/aware/audit/
```
  - Ganti:
    - aware-audit-logs: Nama bucket GCS Anda.
    - aware/audit/: Jalur folder/awalan tempat log disimpan.
  Catatan: Selalu sertakan garis miring (/) di akhir URI.
- Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
  - Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
  - Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
  - Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
    
    Catatan: Jika Anda memilih opsi penghapusan, akun layanan harus memiliki peran Storage Object Admin, bukan Storage Object Viewer. Perbarui izin IAM yang sesuai.
- Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.