Raccogliere i log della piattaforma MuleSoft Anypoint

Supportato in:

Questo documento spiega come importare gli eventi di audit trail dai log della piattaforma MuleSoft Anypoint in Google Security Operations utilizzando Google Cloud Storage.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Un progetto GCP con l'API Cloud Storage abilitata
  • Autorizzazioni per creare e gestire bucket GCS
  • Autorizzazioni per gestire le policy IAM nei bucket GCS
  • Autorizzazioni per creare funzioni Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
  • Autorizzazioni per creare service account
  • Accesso privilegiato a MuleSoft Anypoint Platform

Recuperare l'ID organizzazione MuleSoft

  1. Accedi alla piattaforma Anypoint.
  2. Vai a Gestione accessi > Organizzazioni.
  3. Nella tabella Gruppi aziendali, fai clic sul nome della tua organizzazione.
  4. Copia l'ID organizzazione (ad esempio, 0a12b3c4-d5e6-789f-1021-1a2b34cd5e6f).

In alternativa, vai a Gruppi aziendali MuleSoft e copia l'ID dall'URL.

Crea l'app connessa MuleSoft

  1. Accedi alla piattaforma Anypoint.
  2. Vai a Gestione accessi > App connesse > Crea app.
  3. Fornisci i seguenti dettagli di configurazione:
    • Nome app: inserisci un nome univoco (ad esempio, Google SecOps export).
    • Seleziona L'app agisce per proprio conto (credenziali client).
  4. Fai clic su Aggiungi ambiti > Visualizzatore log audit > Avanti.
  5. Seleziona tutti i gruppi di attività di cui hai bisogno dei log.
  6. Fai clic su Avanti > Aggiungi ambiti.

  7. Fai clic su Salva e copia l'ID client e il client secret.

Creazione di un bucket Google Cloud Storage

  1. Vai alla console Google Cloud.
  2. Seleziona il tuo progetto o creane uno nuovo.
  3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
  4. Fai clic su Crea bucket.

  5. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Assegna un nome al bucket Inserisci un nome univoco globale (ad esempio mulesoft-audit-logs).
    Tipo di località Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
    Località Seleziona la posizione (ad esempio, us-central1).
    Classe di archiviazione Standard (consigliato per i log a cui si accede di frequente)
    Controllo dell'accesso Uniforme (consigliato)
    Strumenti di protezione (Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

  6. Fai clic su Crea.

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni per scrivere nel bucket GCS.

Crea service account

  1. Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
  2. Fai clic su Crea service account.
  3. Fornisci i seguenti dettagli di configurazione:
    • Nome del service account: inserisci mulesoft-logs-collector-sa.
    • Descrizione service account: inserisci Service account for Cloud Run function to collect MuleSoft Anypoint logs.
  4. Fai clic su Crea e continua.
  5. Nella sezione Concedi a questo service account l'accesso al progetto:
    1. Fai clic su Seleziona un ruolo.
    2. Cerca e seleziona Amministratore oggetti di archiviazione.
    3. Fai clic su + Aggiungi un altro ruolo.
    4. Cerca e seleziona Cloud Run Invoker.
    5. Fai clic su + Aggiungi un altro ruolo.
    6. Cerca e seleziona Invoker di Cloud Functions.
  6. Fai clic su Continua.
  7. Fai clic su Fine.

Questi ruoli sono necessari per:

  • Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
  • Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
  • Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket.
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: inserisci l'email del service account (ad es. mulesoft-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Assegna i ruoli: seleziona Storage Object Admin.
  6. Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

  1. Nella console GCP, vai a Pub/Sub > Argomenti.
  2. Fai clic su Crea argomento.
  3. Fornisci i seguenti dettagli di configurazione:
    • ID argomento: inserisci mulesoft-audit-trigger.
    • Lascia le altre impostazioni sui valori predefiniti.
  4. Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API MuleSoft Anypoint e li scrive in GCS.

  1. Nella console GCP, vai a Cloud Run.
  2. Fai clic su Crea servizio.
  3. Seleziona Funzione (usa un editor in linea per creare una funzione).

  4. Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Nome servizio mulesoft-audit-collector
    Regione Seleziona la regione corrispondente al tuo bucket GCS (ad esempio us-central1)
    Runtime Seleziona Python 3.12 o versioni successive

  5. Nella sezione Trigger (facoltativo):

    1. Fai clic su + Aggiungi trigger.
    2. Seleziona Cloud Pub/Sub.
    3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento mulesoft-audit-trigger.
    4. Fai clic su Salva.

  6. Nella sezione Autenticazione:

    1. Seleziona Richiedi autenticazione.
    2. Controlla Identity and Access Management (IAM).

  7. Scorri verso il basso ed espandi Container, networking, sicurezza.

  8. Vai alla scheda Sicurezza:

    • Service account: seleziona il service account mulesoft-logs-collector-sa.

  9. Vai alla scheda Container:

    1. Fai clic su Variabili e secret.
    2. Fai clic su + Aggiungi variabile per ogni variabile di ambiente:
    Nome variabile Valore di esempio
    MULE_ORG_ID your_org_id
    CLIENT_ID your_client_id
    CLIENT_SECRET your_client_secret
    GCS_BUCKET mulesoft-audit-logs

  10. Scorri verso il basso nella scheda Variabili e secret fino a Richieste:

    • Timeout richiesta: inserisci 600 secondi (10 minuti).

  11. Vai alla scheda Impostazioni in Container:

    • Nella sezione Risorse:
      • Memoria: seleziona 512 MiB o un valore superiore.
      • CPU: seleziona 1.
    • Fai clic su Fine.

  12. Scorri fino a Ambiente di esecuzione:

    • Seleziona Predefinito (opzione consigliata).

  13. Nella sezione Scalabilità della revisione:

    • Numero minimo di istanze: inserisci 0.
    • Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).

  14. Fai clic su Crea.

  15. Attendi la creazione del servizio (1-2 minuti).

  16. Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

  1. Inserisci main in Entry point della funzione

  2. Nell'editor di codice incorporato, crea due file:

    • Primo file: main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timedelta, timezone
import uuid
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# MuleSoft API endpoints
TOKEN_URL = "https://anypoint.mulesoft.com/accounts/api/v2/oauth2/token"

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch MuleSoft audit logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    org_id = os.environ.get('MULE_ORG_ID')
    client_id = os.environ.get('CLIENT_ID')
    client_secret = os.environ.get('CLIENT_SECRET')
    bucket_name = os.environ.get('GCS_BUCKET')

    if not all([org_id, client_id, client_secret, bucket_name]):
        print('Error: Missing required environment variables')
        return

    query_url = f"https://anypoint.mulesoft.com/audit/v2/organizations/{org_id}/query"

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Get OAuth token
        token = get_token(client_id, client_secret)

        # Calculate time range (last 24 hours)
        now = datetime.now(timezone.utc).replace(microsecond=0)
        start = now - timedelta(days=1)

        print(f'Fetching audit logs from {start.isoformat()} to {now.isoformat()}')

        # Fetch audit logs
        events = list(fetch_audit(query_url, token, start, now))

        # Upload to GCS
        if events:
            upload_to_gcs(bucket, events, start)
            print(f'Uploaded {len(events)} events')
        else:
            print('No events in the last 24 hours')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def get_token(client_id, client_secret):
    """Get OAuth 2.0 access token from MuleSoft."""
    data = {
        'grant_type': 'client_credentials',
        'client_id': client_id,
        'client_secret': client_secret
    }

    encoded_data = urllib3.request.urlencode(data).encode('utf-8')

    backoff = 1.0
    max_retries = 3

    for attempt in range(max_retries):
        try:
            response = http.request(
                'POST',
                TOKEN_URL,
                body=encoded_data,
                headers={'Content-Type': 'application/x-www-form-urlencoded'}
            )

            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f'Rate limited (429) on token request. Retrying after {retry_after}s...')
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            if response.status != 200:
                raise Exception(f'Failed to get token: {response.status} - {response.data.decode()}')

            token_data = json.loads(response.data.decode('utf-8'))
            return token_data['access_token']

        except Exception as e:
            if attempt == max_retries - 1:
                raise
            print(f'Token request failed (attempt {attempt + 1}/{max_retries}): {e}')
            time.sleep(backoff)
            backoff = min(backoff * 2, 30.0)

    raise Exception('Failed to get token after maximum retries')

def fetch_audit(query_url, token, start, end):
    """Fetch audit logs from MuleSoft API with pagination."""
    headers = {
        'Authorization': f'Bearer {token}',
        'Content-Type': 'application/json'
    }

    body = {
        'startDate': f"{start.isoformat(timespec='milliseconds')}Z",
        'endDate': f"{end.isoformat(timespec='milliseconds')}Z",
        'limit': 200,
        'offset': 0,
        'ascending': False
    }

    backoff = 1.0

    while True:
        try:
            response = http.request(
                'POST',
                query_url,
                body=json.dumps(body).encode('utf-8'),
                headers=headers
            )

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f'Rate limited (429). Retrying after {retry_after}s...')
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                print(f'HTTP Error: {response.status}')
                response_text = response.data.decode('utf-8')
                print(f'Response body: {response_text}')
                break

            data = json.loads(response.data.decode('utf-8'))

            if not data.get('data'):
                break

            yield from data['data']
            body['offset'] += body['limit']

        except Exception as e:
            print(f'Error fetching audit logs: {e}')
            break

def upload_to_gcs(bucket, events, timestamp):
    """Upload events to GCS as compressed JSON."""
    import gzip
    import io

    # Create blob name with timestamp and UUID
    blob_name = f"{timestamp.strftime('%Y/%m/%d')}/mulesoft-audit-{uuid.uuid4()}.json.gz"

    # Compress events
    buf = io.BytesIO()
    with gzip.GzipFile(fileobj=buf, mode='w') as gz:
        for event in events:
            gz.write((json.dumps(event) + '\n').encode('utf-8'))

    buf.seek(0)

    # Upload to GCS
    blob = bucket.blob(blob_name)
    blob.upload_from_file(buf, content_type='application/gzip')

    print(f'Uploaded to gs://{bucket.name}/{blob_name}')
    • Secondo file: requirements.txt::
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.

  4. Attendi il completamento del deployment (2-3 minuti).

Considerazioni importanti

Limitazione della frequenza:l'endpoint Query Audit Log applica limiti di frequenza per IP nei tre control plane. Il control plane degli Stati Uniti consente 700 richieste al minuto per IP, mentre i control plane dell'UE e di Gov consentono 40 richieste al minuto per IP. La funzione implementa il backoff esponenziale per gestire automaticamente la limitazione di frequenza.

Scadenza del token:i token di accesso scadono in genere dopo 30-60 minuti dall'emissione. La funzione richiede un nuovo token per ogni esecuzione. Per i deployment di produzione con esecuzioni frequenti, valuta la possibilità di implementare la memorizzazione nella cache dei token con la logica di aggiornamento.

Conservazione dei log di controllo:i log di controllo hanno un periodo di conservazione predefinito di un anno. Se la tua organizzazione è stata creata prima del 10 luglio 2023 e non hai modificato manualmente il periodo di conservazione, questo è di sei anni. Scarica periodicamente i log se devi conservarli oltre il periodo di conservazione configurato.

Crea job Cloud Scheduler

Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

  1. Nella console di GCP, vai a Cloud Scheduler.
  2. Fai clic su Crea job.

  3. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Nome daily-mulesoft-audit-export
    Regione Seleziona la stessa regione della funzione Cloud Run
    Frequenza 0 2 * * * (eseguito ogni giorno alle ore 02:00 UTC)
    Fuso orario Seleziona il fuso orario (UTC consigliato)
    Tipo di target Pub/Sub
    Argomento Seleziona l'argomento mulesoft-audit-trigger
    Corpo del messaggio {} (oggetto JSON vuoto)

  4. Fai clic su Crea.

Testa il job di pianificazione

  1. Nella console Cloud Scheduler, trova il job.
  2. Fai clic su Forza esecuzione per attivare manualmente.
  3. Attendi qualche secondo e vai a Cloud Run > Servizi > mulesoft-audit-collector > Log.
  4. Verifica che la funzione sia stata eseguita correttamente.
  5. Controlla il bucket GCS per verificare che i log siano stati scritti.

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, MuleSoft Logs).
  5. Seleziona Google Cloud Storage V2 come Tipo di origine.
  6. Seleziona Mulesoft come tipo di log.

  7. Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket.
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: incolla l'email del service account Google SecOps.
    • Assegna i ruoli: seleziona Visualizzatore oggetti Storage.

  6. Fai clic su Salva.

Configura un feed in Google SecOps per importare i log MuleSoft

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, MuleSoft Logs).
  5. Seleziona Google Cloud Storage V2 come Tipo di origine.
  6. Seleziona Mulesoft come tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URL bucket di archiviazione: inserisci l'URI del bucket GCS:

      gs://mulesoft-audit-logs/
      • Sostituisci mulesoft-audit-logs con il nome effettivo del bucket.

    • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
      • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.

      • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.