Collecter les journaux de la plate-forme MuleSoft Anypoint

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des événements de journaux d'audit de la plate-forme MuleSoft Anypoint dans Google Security Operations à l'aide de Google Cloud Storage.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Un projet GCP avec l'API Cloud Storage activée
Autorisations pour créer et gérer des buckets GCS
Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
Autorisations permettant de créer des fonctions Cloud Run, des sujets Pub/Sub et des jobs Cloud Scheduler
Autorisations pour créer des comptes de service
Accès privilégié à MuleSoft Anypoint Platform

Obtenir l'ID d'organisation MuleSoft

Connectez-vous à la plate-forme Anypoint.
Accédez à Gestion des accès > Organisations.
Dans le tableau Groupes d'entreprises, cliquez sur le nom de votre organisation.
Copiez l'ID de l'organisation (par exemple, 0a12b3c4-d5e6-789f-1021-1a2b34cd5e6f).

Vous pouvez également accéder à MuleSoft Business Groups et copier l'ID depuis l'URL.

Créer l'application connectée MuleSoft

Connectez-vous à la plate-forme Anypoint.
Accédez à Gestion des accès > Applications connectées > Créer une application.
Fournissez les informations de configuration suivantes :
- Nom de l'application : saisissez un nom unique (par exemple, Google SecOps export).
- Sélectionnez L'application agit en son propre nom (identifiants client).
Cliquez sur Ajouter des autorisations > Lecteur du journal d'audit > Suivant.
Sélectionnez tous les groupes d'établissements dont vous avez besoin des journaux.
Cliquez sur Suivant > Ajouter des autorisations.
Cliquez sur Save (Enregistrer), puis copiez l'ID client et le code secret du client.

Remarque : Des autorisations supplémentaires peuvent être requises en fonction des autorisations de l'organisation. Si vous rencontrez des erreurs d'autorisation, vérifiez que l'application connectée a été autorisée à accéder à tous les groupes d'établissements requis.

Créer un bucket Google Cloud Storage

Accédez à la console Google Cloud.
Sélectionnez votre projet ou créez-en un.
Dans le menu de navigation, accédez à Cloud Storage> Buckets.
Cliquez sur Créer un bucket.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nommer votre bucket	Saisissez un nom unique (par exemple, `mulesoft-audit-logs`).
Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
Emplacement	Sélectionnez l'emplacement (par exemple, `us-central1`).
Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
Access control (Contrôle des accès)	Uniforme (recommandé)
Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

Cliquez sur Créer.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS.

Créer un compte de service

Dans la console GCP, accédez à IAM et administration > Comptes de service.
Cliquez sur Créer un compte de service.
Fournissez les informations de configuration suivantes :
- Nom du compte de service : saisissez mulesoft-logs-collector-sa.
- Description du compte de service : saisissez Service account for Cloud Run function to collect MuleSoft Anypoint logs.
Cliquez sur Créer et continuer.
Dans la section Autoriser ce compte de service à accéder au projet :
1. Cliquez sur Sélectionner un rôle.
2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
3. Cliquez sur + Ajouter un autre rôle.
4. Recherchez et sélectionnez Demandeur Cloud Run.
5. Cliquez sur + Ajouter un autre rôle.
6. Recherchez et sélectionnez Demandeur Cloud Functions.
Cliquez sur Continuer.
Cliquez sur OK.

Ces rôles sont requis pour :

Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket.
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, mulesoft-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Attribuer des rôles : sélectionnez Administrateur des objets Storage.
Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

Dans la console GCP, accédez à Pub/Sub > Sujets.
Cliquez sur Create topic (Créer un sujet).
Fournissez les informations de configuration suivantes :
- ID du sujet : saisissez mulesoft-audit-trigger.
- Conservez les valeurs par défaut des autres paramètres.
Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run est déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API MuleSoft Anypoint et les écrire dans GCS.

Dans la console GCP, accédez à Cloud Run.
Cliquez sur Créer un service.
Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

Dans la section Configurer, fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom du service	`mulesoft-audit-collector`
Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, `us-central1`).
Runtime (durée d'exécution)	Sélectionnez Python 3.12 ou version ultérieure.

Dans la section Déclencheur (facultatif) :
1. Cliquez sur + Ajouter un déclencheur.
2. Sélectionnez Cloud Pub/Sub.
3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet mulesoft-audit-trigger.
4. Cliquez sur Enregistrer.
Dans la section Authentification :
1. Sélectionnez Exiger l'authentification.
2. Consultez Identity and Access Management (IAM).
Remarque : Pub/Sub gère automatiquement l'authentification lors de l'appel de la fonction.
Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.
Accédez à l'onglet Sécurité :
- Compte de service : sélectionnez le compte de service mulesoft-logs-collector-sa.
Accédez à l'onglet Conteneurs :
1. Cliquez sur Variables et secrets.
2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :
Nom de la variable Exemple de valeur

MULE_ORG_ID your_org_id

CLIENT_ID your_client_id

CLIENT_SECRET your_client_secret

GCS_BUCKET mulesoft-audit-logs
Dans l'onglet Variables et secrets, faites défiler la page jusqu'à Requêtes :
- Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).
Accédez à l'onglet Paramètres dans Conteneurs :
- Dans la section Ressources :
  - Mémoire : sélectionnez 512 Mio ou plus.
  - CPU : sélectionnez 1.
- Cliquez sur OK.
Faites défiler la page jusqu'à Environnement d'exécution :
- Sélectionnez Par défaut (recommandé).
Dans la section Scaling de révision :
- Nombre minimal d'instances : saisissez 0.
- Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).
Cliquez sur Créer.
Attendez que le service soit créé (1 à 2 minutes).
Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Nom de la variable	Exemple de valeur
`MULE_ORG_ID`	`your_org_id`
`CLIENT_ID`	`your_client_id`
`CLIENT_SECRET`	`your_client_secret`
`GCS_BUCKET`	`mulesoft-audit-logs`

Ajouter un code de fonction

Saisissez main dans Point d'entrée de la fonction.

Dans l'éditeur de code intégré, créez deux fichiers :

Premier fichier : main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timedelta, timezone
import uuid
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# MuleSoft API endpoints
TOKEN_URL = "https://anypoint.mulesoft.com/accounts/api/v2/oauth2/token"

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch MuleSoft audit logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    org_id = os.environ.get('MULE_ORG_ID')
    client_id = os.environ.get('CLIENT_ID')
    client_secret = os.environ.get('CLIENT_SECRET')
    bucket_name = os.environ.get('GCS_BUCKET')

    if not all([org_id, client_id, client_secret, bucket_name]):
        print('Error: Missing required environment variables')
        return

    query_url = f"https://anypoint.mulesoft.com/audit/v2/organizations/{org_id}/query"

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Get OAuth token
        token = get_token(client_id, client_secret)

        # Calculate time range (last 24 hours)
        now = datetime.now(timezone.utc).replace(microsecond=0)
        start = now - timedelta(days=1)

        print(f'Fetching audit logs from {start.isoformat()} to {now.isoformat()}')

        # Fetch audit logs
        events = list(fetch_audit(query_url, token, start, now))

        # Upload to GCS
        if events:
            upload_to_gcs(bucket, events, start)
            print(f'Uploaded {len(events)} events')
        else:
            print('No events in the last 24 hours')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def get_token(client_id, client_secret):
    """Get OAuth 2.0 access token from MuleSoft."""
    data = {
        'grant_type': 'client_credentials',
        'client_id': client_id,
        'client_secret': client_secret
    }

    encoded_data = urllib3.request.urlencode(data).encode('utf-8')

    backoff = 1.0
    max_retries = 3

    for attempt in range(max_retries):
        try:
            response = http.request(
                'POST',
                TOKEN_URL,
                body=encoded_data,
                headers={'Content-Type': 'application/x-www-form-urlencoded'}
            )

            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f'Rate limited (429) on token request. Retrying after {retry_after}s...')
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            if response.status != 200:
                raise Exception(f'Failed to get token: {response.status} - {response.data.decode()}')

            token_data = json.loads(response.data.decode('utf-8'))
            return token_data['access_token']

        except Exception as e:
            if attempt == max_retries - 1:
                raise
            print(f'Token request failed (attempt {attempt + 1}/{max_retries}): {e}')
            time.sleep(backoff)
            backoff = min(backoff * 2, 30.0)

    raise Exception('Failed to get token after maximum retries')

def fetch_audit(query_url, token, start, end):
    """Fetch audit logs from MuleSoft API with pagination."""
    headers = {
        'Authorization': f'Bearer {token}',
        'Content-Type': 'application/json'
    }

    body = {
        'startDate': f"{start.isoformat(timespec='milliseconds')}Z",
        'endDate': f"{end.isoformat(timespec='milliseconds')}Z",
        'limit': 200,
        'offset': 0,
        'ascending': False
    }

    backoff = 1.0

    while True:
        try:
            response = http.request(
                'POST',
                query_url,
                body=json.dumps(body).encode('utf-8'),
                headers=headers
            )

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f'Rate limited (429). Retrying after {retry_after}s...')
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                print(f'HTTP Error: {response.status}')
                response_text = response.data.decode('utf-8')
                print(f'Response body: {response_text}')
                break

            data = json.loads(response.data.decode('utf-8'))

            if not data.get('data'):
                break

            yield from data['data']
            body['offset'] += body['limit']

        except Exception as e:
            print(f'Error fetching audit logs: {e}')
            break

def upload_to_gcs(bucket, events, timestamp):
    """Upload events to GCS as compressed JSON."""
    import gzip
    import io

    # Create blob name with timestamp and UUID
    blob_name = f"{timestamp.strftime('%Y/%m/%d')}/mulesoft-audit-{uuid.uuid4()}.json.gz"

    # Compress events
    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode='w') as gz:
        for event in events:
            gz.write((json.dumps(event) + '\n').encode('utf-8'))

    buf.seek(0)

    # Upload to GCS
    blob = bucket.blob(blob_name)
    blob.upload_from_file(buf, content_type='application/gzip')

    print(f'Uploaded to gs://{bucket.name}/{blob_name}')

Deuxième fichier : requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Cliquez sur Déployer pour enregistrer et déployer la fonction.
Attendez la fin du déploiement (deux à trois minutes).

Remarques importantes

Limitation du débit : le point de terminaison de requête du journal d'audit applique des limites de débit par adresse IP dans les trois plans de contrôle. Le plan de contrôle américain autorise 700 requêtes par minute et par adresse IP, tandis que les plans de contrôle européens et Gov autorisent 40 requêtes par minute et par adresse IP. La fonction implémente un intervalle exponentiel entre les tentatives pour gérer automatiquement la limitation du débit.

Expiration des jetons : les jetons d'accès expirent généralement 30 à 60 minutes après leur émission. La fonction demande un nouveau jeton pour chaque exécution. Pour les déploiements de production avec des exécutions fréquentes, envisagez d'implémenter la mise en cache des jetons avec une logique d'actualisation.

Conservation des journaux d'audit : les journaux d'audit sont conservés pendant un an par défaut. Si votre organisation a été créée avant le 10 juillet 2023 et que vous n'avez pas modifié manuellement la période de conservation, elle est de six ans. Téléchargez régulièrement les journaux si vous devez les conserver au-delà de la période de conservation configurée.

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

Dans la console GCP, accédez à Cloud Scheduler.
Cliquez sur Créer une tâche.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom	`daily-mulesoft-audit-export`
Région	Sélectionnez la même région que la fonction Cloud Run.
Fréquence	`0 2 * * *` (exécuté tous les jours à 2h00 UTC)
Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
Type de cible	Pub/Sub
Topic	Sélectionnez le thème `mulesoft-audit-trigger`.
Corps du message	`{}` (objet JSON vide)

Cliquez sur Créer.

Tester le job Scheduler

Dans la console Cloud Scheduler, recherchez votre job.
Cliquez sur Forcer l'exécution pour déclencher manuellement l'exécution.
Patientez quelques secondes, puis accédez à Cloud Run > Services > mulesoft-audit-collector > Journaux.
Vérifiez que la fonction s'est exécutée correctement.
Vérifiez le bucket GCS pour confirmer que les journaux ont été écrits.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, MuleSoft Logs).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez Mulesoft comme Type de journal.
Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Remarque : Chaque instance Google SecOps possède un compte de service unique. N'utilisez pas de comptes de service provenant d'autres documentations ou exemples.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket.
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
- Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
Cliquez sur Enregistrer.

Remarque : Si vous prévoyez d'utiliser l'option de suppression "Supprimer les fichiers transférés" ou "Supprimer les fichiers transférés et les répertoires vides", accordez le rôle Administrateur des objets Storage au lieu de Lecteur des objets Storage.

Configurer un flux dans Google SecOps pour ingérer les journaux MuleSoft

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, MuleSoft Logs).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez Mulesoft comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URL du bucket de stockage : saisissez l'URI du bucket GCS :
```
gs://mulesoft-audit-logs/
```
  - Remplacez mulesoft-audit-logs par le nom réel du bucket.
  Remarque : Incluez toujours la barre oblique (/) à la fin de l'URI.
- Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
  - Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
  - Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
  - Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.
    
    Remarque : Si vous sélectionnez une option de suppression, le compte de service doit disposer du rôle Administrateur des objets Storage au lieu de celui de lecteur. Mettez à jour les autorisations IAM en conséquence.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.