Mengumpulkan log platform MuleSoft Anypoint

Didukung di:

Dokumen ini menjelaskan cara menyerap peristiwa jejak audit dari log platform MuleSoft Anypoint ke Google Security Operations menggunakan Google Cloud Storage.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Project GCP dengan Cloud Storage API diaktifkan
  • Izin untuk membuat dan mengelola bucket GCS
  • Izin untuk mengelola kebijakan IAM di bucket GCS
  • Izin untuk membuat fungsi Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
  • Izin untuk membuat akun layanan
  • Akses istimewa ke MuleSoft Anypoint Platform

Mendapatkan ID Organisasi MuleSoft

  1. Login ke Anypoint Platform.
  2. Buka Pengelolaan Akses > Organisasi.
  3. Di tabel Grup Bisnis, klik nama organisasi Anda.
  4. Salin Organization ID (misalnya, 0a12b3c4-d5e6-789f-1021-1a2b34cd5e6f).

Atau, buka MuleSoft Business Groups dan salin ID dari URL.

Buat Aplikasi Terhubung MuleSoft

  1. Login ke Anypoint Platform.
  2. Buka Pengelolaan Akses > Aplikasi Terhubung > Buat Aplikasi.
  3. Berikan detail konfigurasi berikut:
    • Nama aplikasi: Masukkan nama unik (misalnya, Google SecOps export).
    • Pilih Aplikasi bertindak atas namanya sendiri (kredensial klien).
  4. Klik Tambahkan cakupan > Pelihat Log Audit > Berikutnya.
  5. Pilih setiap Grup Bisnis yang lognya Anda butuhkan.
  6. Klik Berikutnya > Tambahkan cakupan.

  7. Klik Simpan, lalu salin Client ID dan Client Secret.

Membuat bucket Google Cloud Storage

  1. Buka Google Cloud Console.
  2. Pilih project Anda atau buat project baru.
  3. Di menu navigasi, buka Cloud Storage > Buckets.
  4. Klik Create bucket.

  5. Berikan detail konfigurasi berikut:

    Setelan Nilai
    Beri nama bucket Anda Masukkan nama yang unik secara global (misalnya, mulesoft-audit-logs)
    Location type Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
    Lokasi Pilih lokasi (misalnya, us-central1)
    Kelas penyimpanan Standar (direkomendasikan untuk log yang sering diakses)
    Access control Seragam (direkomendasikan)
    Alat perlindungan Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

  6. Klik Buat.

Buat akun layanan untuk Cloud Run Function

Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS.

Membuat akun layanan

  1. Di GCP Console, buka IAM & Admin > Service Accounts.
  2. Klik Create Service Account.
  3. Berikan detail konfigurasi berikut:
    • Nama akun layanan: Masukkan mulesoft-logs-collector-sa.
    • Deskripsi akun layanan: Masukkan Service account for Cloud Run function to collect MuleSoft Anypoint logs.
  4. Klik Create and Continue.
  5. Di bagian Berikan akun layanan ini akses ke project:
    1. Klik Pilih peran.
    2. Telusuri dan pilih Storage Object Admin.
    3. Klik + Add another role.
    4. Telusuri dan pilih Cloud Run Invoker.
    5. Klik + Add another role.
    6. Telusuri dan pilih Cloud Functions Invoker.
  6. Klik Lanjutkan.
  7. Klik Selesai.

Peran ini diperlukan untuk:

  • Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
  • Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
  • Cloud Functions Invoker: Mengizinkan pemanggilan fungsi

Memberikan izin IAM pada bucket GCS

Beri akun layanan izin tulis di bucket GCS:

  1. Buka Cloud Storage > Buckets.
  2. Klik nama bucket Anda.
  3. Buka tab Izin.
  4. Klik Grant access.
  5. Berikan detail konfigurasi berikut:
    • Tambahkan prinsipal: Masukkan email akun layanan (misalnya, mulesoft-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Tetapkan peran: Pilih Storage Object Admin.
  6. Klik Simpan.

Membuat topik Pub/Sub

Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.

  1. Di GCP Console, buka Pub/Sub > Topics.
  2. Klik Create topic.
  3. Berikan detail konfigurasi berikut:
    • ID Topik: Masukkan mulesoft-audit-trigger.
    • Biarkan setelan lainnya tetap default.
  4. Klik Buat.

Membuat fungsi Cloud Run untuk mengumpulkan log

Fungsi Cloud Run dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari MuleSoft Anypoint API dan menuliskannya ke GCS.

  1. Di GCP Console, buka Cloud Run.
  2. Klik Create service.
  3. Pilih Function (gunakan editor inline untuk membuat fungsi).

  4. Di bagian Konfigurasi, berikan detail konfigurasi berikut:

    Setelan Nilai
    Nama layanan mulesoft-audit-collector
    Wilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)
    Runtime Pilih Python 3.12 atau yang lebih baru

  5. Di bagian Pemicu (opsional):

    1. Klik + Tambahkan pemicu.
    2. Pilih Cloud Pub/Sub.
    3. Di Select a Cloud Pub/Sub topic, pilih topik mulesoft-audit-trigger.
    4. Klik Simpan.

  6. Di bagian Authentication:

    1. Pilih Wajibkan autentikasi.
    2. Periksa Identity and Access Management (IAM).

  7. Scroll ke bawah dan luaskan Containers, Networking, Security.

  8. Buka tab Security:

    • Akun layanan: Pilih akun layanan mulesoft-logs-collector-sa.

  9. Buka tab Containers:

    1. Klik Variables & Secrets.
    2. Klik + Tambahkan variabel untuk setiap variabel lingkungan:
    Nama Variabel Nilai Contoh
    MULE_ORG_ID your_org_id
    CLIENT_ID your_client_id
    CLIENT_SECRET your_client_secret
    GCS_BUCKET mulesoft-audit-logs

  10. Scroll ke bawah di tab Variables & Secrets ke Requests:

    • Waktu tunggu permintaan: Masukkan 600 detik (10 menit).

  11. Buka tab Setelan di Penampung:

    • Di bagian Materi:
      • Memori: Pilih 512 MiB atau yang lebih tinggi.
      • CPU: Pilih 1.
    • Klik Selesai.

  12. Scroll ke Lingkungan eksekusi:

    • Pilih Default (direkomendasikan).

  13. Di bagian Penskalaan revisi:

    • Jumlah minimum instance: Masukkan 0.
    • Jumlah maksimum instance: Masukkan 100 (atau sesuaikan berdasarkan perkiraan beban).

  14. Klik Buat.

  15. Tunggu hingga layanan dibuat (1-2 menit).

  16. Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.

Menambahkan kode fungsi

  1. Masukkan main di Function entry point

  2. Di editor kode inline, buat dua file:

    • File pertama: main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timedelta, timezone
import uuid
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# MuleSoft API endpoints
TOKEN_URL = "https://anypoint.mulesoft.com/accounts/api/v2/oauth2/token"

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch MuleSoft audit logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    org_id = os.environ.get('MULE_ORG_ID')
    client_id = os.environ.get('CLIENT_ID')
    client_secret = os.environ.get('CLIENT_SECRET')
    bucket_name = os.environ.get('GCS_BUCKET')

    if not all([org_id, client_id, client_secret, bucket_name]):
        print('Error: Missing required environment variables')
        return

    query_url = f"https://anypoint.mulesoft.com/audit/v2/organizations/{org_id}/query"

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Get OAuth token
        token = get_token(client_id, client_secret)

        # Calculate time range (last 24 hours)
        now = datetime.now(timezone.utc).replace(microsecond=0)
        start = now - timedelta(days=1)

        print(f'Fetching audit logs from {start.isoformat()} to {now.isoformat()}')

        # Fetch audit logs
        events = list(fetch_audit(query_url, token, start, now))

        # Upload to GCS
        if events:
            upload_to_gcs(bucket, events, start)
            print(f'Uploaded {len(events)} events')
        else:
            print('No events in the last 24 hours')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def get_token(client_id, client_secret):
    """Get OAuth 2.0 access token from MuleSoft."""
    data = {
        'grant_type': 'client_credentials',
        'client_id': client_id,
        'client_secret': client_secret
    }

    encoded_data = urllib3.request.urlencode(data).encode('utf-8')

    backoff = 1.0
    max_retries = 3

    for attempt in range(max_retries):
        try:
            response = http.request(
                'POST',
                TOKEN_URL,
                body=encoded_data,
                headers={'Content-Type': 'application/x-www-form-urlencoded'}
            )

            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f'Rate limited (429) on token request. Retrying after {retry_after}s...')
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            if response.status != 200:
                raise Exception(f'Failed to get token: {response.status} - {response.data.decode()}')

            token_data = json.loads(response.data.decode('utf-8'))
            return token_data['access_token']

        except Exception as e:
            if attempt == max_retries - 1:
                raise
            print(f'Token request failed (attempt {attempt + 1}/{max_retries}): {e}')
            time.sleep(backoff)
            backoff = min(backoff * 2, 30.0)

    raise Exception('Failed to get token after maximum retries')

def fetch_audit(query_url, token, start, end):
    """Fetch audit logs from MuleSoft API with pagination."""
    headers = {
        'Authorization': f'Bearer {token}',
        'Content-Type': 'application/json'
    }

    body = {
        'startDate': f"{start.isoformat(timespec='milliseconds')}Z",
        'endDate': f"{end.isoformat(timespec='milliseconds')}Z",
        'limit': 200,
        'offset': 0,
        'ascending': False
    }

    backoff = 1.0

    while True:
        try:
            response = http.request(
                'POST',
                query_url,
                body=json.dumps(body).encode('utf-8'),
                headers=headers
            )

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f'Rate limited (429). Retrying after {retry_after}s...')
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                print(f'HTTP Error: {response.status}')
                response_text = response.data.decode('utf-8')
                print(f'Response body: {response_text}')
                break

            data = json.loads(response.data.decode('utf-8'))

            if not data.get('data'):
                break

            yield from data['data']
            body['offset'] += body['limit']

        except Exception as e:
            print(f'Error fetching audit logs: {e}')
            break

def upload_to_gcs(bucket, events, timestamp):
    """Upload events to GCS as compressed JSON."""
    import gzip
    import io

    # Create blob name with timestamp and UUID
    blob_name = f"{timestamp.strftime('%Y/%m/%d')}/mulesoft-audit-{uuid.uuid4()}.json.gz"

    # Compress events
    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode='w') as gz:
        for event in events:
            gz.write((json.dumps(event) + '\n').encode('utf-8'))

    buf.seek(0)

    # Upload to GCS
    blob = bucket.blob(blob_name)
    blob.upload_from_file(buf, content_type='application/gzip')

    print(f'Uploaded to gs://{bucket.name}/{blob_name}')
    • File kedua: requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Klik Deploy untuk menyimpan dan men-deploy fungsi.

  4. Tunggu hingga deployment selesai (2-3 menit).

Pertimbangan penting

Pembatasan kapasitas: Endpoint Kueri Log Audit menerapkan pembatasan kapasitas per IP di tiga bidang kontrol. Bidang kontrol AS mengizinkan 700 permintaan per menit per IP, sedangkan bidang kontrol Uni Eropa dan Pemerintah mengizinkan 40 permintaan per menit per IP. Fungsi ini menerapkan backoff eksponensial untuk menangani pembatasan kapasitas secara otomatis.

Masa berlaku token: Token akses biasanya berakhir sekitar 30 hingga 60 menit setelah dikeluarkan. Fungsi ini meminta token baru untuk setiap eksekusi. Untuk deployment produksi dengan eksekusi yang sering, pertimbangkan untuk menerapkan caching token dengan logika refresh.

Retensi log audit: Log audit memiliki periode retensi default selama satu tahun. Jika organisasi Anda dibuat sebelum 10 Juli 2023 dan Anda tidak mengubah periode retensi secara manual, periode retensi adalah enam tahun. Download log secara berkala jika Anda perlu menyimpannya di luar periode retensi yang dikonfigurasi.

Buat tugas Cloud Scheduler

Cloud Scheduler memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.

  1. Di GCP Console, buka Cloud Scheduler.
  2. Klik Create Job.

  3. Berikan detail konfigurasi berikut:

    Setelan Nilai
    Nama daily-mulesoft-audit-export
    Wilayah Pilih region yang sama dengan fungsi Cloud Run
    Frekuensi 0 2 * * * (berjalan setiap hari pada pukul 02.00 UTC)
    Zona waktu Pilih zona waktu (UTC direkomendasikan)
    Jenis target Pub/Sub
    Topik Pilih topik mulesoft-audit-trigger
    Isi pesan {} (objek JSON kosong)

  4. Klik Buat.

Menguji tugas penjadwal

  1. Di konsol Cloud Scheduler, temukan tugas Anda.
  2. Klik Jalankan paksa untuk memicu secara manual.
  3. Tunggu beberapa detik, lalu buka Cloud Run > Services > mulesoft-audit-collector > Logs.
  4. Pastikan fungsi berhasil dieksekusi.
  5. Periksa bucket GCS untuk mengonfirmasi bahwa log telah ditulis.

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Dapatkan email akun layanan

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, MuleSoft Logs).
  5. Pilih Google Cloud Storage V2 sebagai Source type.
  6. Pilih Mulesoft sebagai Jenis log.

  7. Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Salin alamat email ini untuk digunakan di langkah berikutnya.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

  1. Buka Cloud Storage > Buckets.
  2. Klik nama bucket Anda.
  3. Buka tab Izin.
  4. Klik Grant access.
  5. Berikan detail konfigurasi berikut:
    • Add principals: Tempel email akun layanan Google SecOps.
    • Tetapkan peran: Pilih Storage Object Viewer.

  6. Klik Simpan.

Konfigurasi feed di Google SecOps untuk menyerap log MuleSoft

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, MuleSoft Logs).
  5. Pilih Google Cloud Storage V2 sebagai Source type.
  6. Pilih Mulesoft sebagai Jenis log.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • URL bucket penyimpanan: Masukkan URI bucket GCS:

      gs://mulesoft-audit-logs/
      • Ganti mulesoft-audit-logs dengan nama bucket yang sebenarnya.

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:

      • Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
      • Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.

      • Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.

    • Namespace aset: Namespace aset.

    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.