Coletar registros de atividade do Rippling
Este documento explica como ingerir registros de atividades do Rippling no Google Security Operations usando o Google Cloud Storage. A Rippling é uma plataforma de gerenciamento de força de trabalho que oferece soluções de RH, TI e finanças, incluindo folha de pagamento, benefícios, integração de funcionários, gerenciamento de dispositivos e provisionamento de aplicativos. A API Company Activity fornece registros de auditoria de ações administrativas e do usuário em toda a plataforma Rippling.
Antes de começar
Verifique se você atende os seguintes pré-requisitos:
- Uma instância do Google SecOps
- Um projeto do GCP com a API Cloud Storage ativada
- Permissões para criar e gerenciar buckets do GCS
- Permissões para gerenciar políticas do IAM em buckets do GCS
- Permissões para criar serviços do Cloud Run, tópicos do Pub/Sub e jobs do Cloud Scheduler
- Acesso privilegiado ao Rippling (token de API com acesso à atividade da empresa)
Criar um bucket do Google Cloud Storage
- Acesse o Console do Google Cloud.
- Selecione seu projeto ou crie um novo.
- No menu de navegação, acesse Cloud Storage > Buckets.
- Clique em Criar bucket.
Informe os seguintes detalhes de configuração:
Configuração Valor Nomeie seu bucket Insira um nome exclusivo globalmente, por exemplo, rippling-activity-logs.Tipo de local Escolha com base nas suas necessidades (região, birregional, multirregional) Local Selecione o local (por exemplo, us-central1).Classe de armazenamento Padrão (recomendado para registros acessados com frequência) Controle de acesso Uniforme (recomendado) Ferramentas de proteção Opcional: ativar o controle de versões de objetos ou a política de retenção Clique em Criar.
Coletar credenciais da API Rippling
- Faça login no Rippling Admin.
- Acesse Pesquisar > Tokens de API.
- Caminho alternativo: Configurações > Configurações da empresa > Tokens de API.
- Clique em Criar um token de API.
- Informe os seguintes detalhes de configuração:
- Nome: insira um nome exclusivo e significativo (por exemplo,
Google SecOps GCS Export). - Versão da API: selecione API de base (v1).
- Escopos/permissões: ative company:activity:read (necessário para a atividade da empresa).
- Nome: insira um nome exclusivo e significativo (por exemplo,
- Clique em Criar.
Copie e salve o valor do token em um local seguro. Ele será usado como um token do portador.
Criar uma conta de serviço para a função do Cloud Run
A função do Cloud Run precisa de uma conta de serviço com permissões para gravar no bucket do GCS.
Criar conta de serviço
- No Console do GCP, acesse IAM e administrador > Contas de serviço.
- Clique em Criar conta de serviço.
- Informe os seguintes detalhes de configuração:
- Nome da conta de serviço: insira
rippling-logs-collector-sa. - Descrição da conta de serviço: insira
Service account for Cloud Run function to collect Rippling activity logs.
- Nome da conta de serviço: insira
- Clique em Criar e continuar.
- Na seção Conceda a essa conta de serviço acesso ao projeto:
- Clique em Selecionar papel.
- Pesquise e selecione Administrador de objetos do Storage.
- Clique em + Adicionar outro papel.
- Pesquise e selecione Invocador do Cloud Run.
- Clique em + Adicionar outro papel.
- Pesquise e selecione Invocador do Cloud Functions.
- Clique em Continuar.
- Clique em Concluído.
Esses papéis são necessários para:
- Administrador de objetos do Storage: grava registros em um bucket do GCS e gerencia arquivos de estado.
- Invocador do Cloud Run: permite que o Pub/Sub invoque a função
- Invocador do Cloud Functions: permite a invocação de funções
Conceder permissões do IAM no bucket do GCS
Conceda permissões de gravação à conta de serviço no bucket do GCS:
- Acesse Cloud Storage > Buckets.
- Clique no nome do bucket.
- Acesse a guia Permissões.
- Clique em Conceder acesso.
- Informe os seguintes detalhes de configuração:
- Adicionar principais: insira o e-mail da conta de serviço (por exemplo,
rippling-logs-collector-sa@your-project.iam.gserviceaccount.com). - Atribuir papéis: selecione Administrador de objetos do Storage.
- Adicionar principais: insira o e-mail da conta de serviço (por exemplo,
- Clique em Salvar.
Criar tópico Pub/Sub
Crie um tópico do Pub/Sub em que o Cloud Scheduler vai publicar e a função do Cloud Run vai se inscrever.
- No Console do GCP, acesse Pub/Sub > Tópicos.
- Selecione Criar tópico.
- Informe os seguintes detalhes de configuração:
- ID do tópico: insira
rippling-activity-trigger. - Não altere as outras configurações.
- ID do tópico: insira
- Clique em Criar.
Criar uma função do Cloud Run para coletar registros
A função do Cloud Run é acionada por mensagens do Pub/Sub do Cloud Scheduler para buscar registros da API Rippling Company Activity e gravá-los no GCS.
- No console do GCP, acesse o Cloud Run.
- Clique em Criar serviço.
- Selecione Função (use um editor in-line para criar uma função).
Na seção Configurar, forneça os seguintes detalhes de configuração:
Configuração Valor Nome do serviço rippling-activity-collectorRegião Selecione a região que corresponde ao seu bucket do GCS (por exemplo, us-central1).Ambiente de execução Selecione Python 3.12 ou uma versão mais recente. Na seção Acionador (opcional):
- Clique em + Adicionar gatilho.
- Selecione Cloud Pub/Sub.
- Em Selecionar um tópico do Cloud Pub/Sub, escolha o tópico
rippling-activity-trigger. - Clique em Salvar.
Na seção Autenticação:
- Selecione Exigir autenticação.
- Confira o Identity and Access Management (IAM).
Role a tela para baixo e abra Contêineres, rede, segurança.
Acesse a guia Segurança:
- Conta de serviço: selecione a conta de serviço
rippling-logs-collector-sa.
- Conta de serviço: selecione a conta de serviço
Acesse a guia Contêineres:
- Clique em Variáveis e secrets.
- Clique em + Adicionar variável para cada variável de ambiente:
Nome da variável Valor de exemplo GCS_BUCKETrippling-activity-logsGCS_PREFIXrippling/activity/STATE_KEYrippling/activity/state.jsonRIPPLING_API_TOKENyour-api-tokenRIPPLING_ACTIVITY_URLhttps://api.rippling.com/platform/api/company_activityLIMIT1000MAX_PAGES10LOOKBACK_MINUTES60END_LAG_SECONDS120Role a tela para baixo na guia Variáveis e secrets até Solicitações:
- Tempo limite da solicitação: insira
600segundos (10 minutos).
- Tempo limite da solicitação: insira
Acesse a guia Configurações em Contêineres:
- Na seção Recursos:
- Memória: selecione 512 MiB ou mais.
- CPU: selecione 1.
- Clique em Concluído.
- Na seção Recursos:
Role até Ambiente de execução:
- Selecione Padrão (recomendado).
Na seção Escalonamento de revisão:
- Número mínimo de instâncias: insira
0. - Número máximo de instâncias: insira
100ou ajuste com base na carga esperada.
- Número mínimo de instâncias: insira
Clique em Criar.
Aguarde a criação do serviço (1 a 2 minutos).
Depois que o serviço é criado, o editor de código inline é aberto automaticamente.
Adicionar código da função
- Insira main em Ponto de entrada da função.
No editor de código em linha, crie dois arquivos:
- Primeiro arquivo: main.py::
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone, timedelta import time # Initialize HTTP client http = urllib3.PoolManager(timeout=urllib3.Timeout(connect=5.0, read=60.0), retries=False) # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch logs from Rippling Company Activity API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'rippling/activity/') state_key = os.environ.get('STATE_KEY', 'rippling/activity/state.json') # Rippling API configuration api_token = os.environ.get('RIPPLING_API_TOKEN') activity_url = os.environ.get('RIPPLING_ACTIVITY_URL', 'https://api.rippling.com/platform/api/company_activity') limit = int(os.environ.get('LIMIT', '1000')) max_pages = int(os.environ.get('MAX_PAGES', '10')) lookback_minutes = int(os.environ.get('LOOKBACK_MINUTES', '60')) end_lag_seconds = int(os.environ.get('END_LAG_SECONDS', '120')) if not all([bucket_name, api_token]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) # Load state (last processed timestamp and cursor) state = load_state(bucket, state_key) since_iso = state.get('since') next_cursor = state.get('next') # Calculate time window run_end = datetime.now(timezone.utc) - timedelta(seconds=end_lag_seconds) end_iso = run_end.replace(microsecond=0).isoformat().replace('+00:00', 'Z') if since_iso is None: since_iso = iso_from_epoch(time.time() - lookback_minutes * 60) else: try: since_iso = (parse_iso(since_iso) + timedelta(seconds=1)).replace(microsecond=0).isoformat().replace('+00:00', 'Z') except Exception: since_iso = iso_from_epoch(time.time() - lookback_minutes * 60) print(f'Processing logs from {since_iso} to {end_iso}') run_ts_iso = end_iso pages = 0 total = 0 newest_ts = None pending_next = None # Fetch logs with pagination while pages < max_pages: params = {'limit': str(limit)} if next_cursor: params['next'] = next_cursor else: params['startDate'] = since_iso params['endDate'] = end_iso # Build URL with query parameters url = build_url(activity_url, params) # Fetch data from Rippling API headers = { 'Authorization': f'Bearer {api_token}', 'Accept': 'application/json' } # Implement exponential backoff for rate limiting backoff = 1.0 max_retries = 3 retry_count = 0 while retry_count < max_retries: response = http.request('GET', url, headers=headers, timeout=60.0) if response.status == 429: retry_after = int(response.headers.get('Retry-After', str(int(backoff)))) print(f'Rate limited (429). Retrying after {retry_after}s...') time.sleep(retry_after) backoff = min(backoff * 2, 30.0) retry_count += 1 continue break if response.status != 200: print(f'Error: API returned status {response.status}') break data = json.loads(response.data.decode('utf-8')) # Write page to GCS write_to_gcs(bucket, prefix, data, run_ts_iso, pages) # Extract events events = data.get('events') or [] total += len(events) if isinstance(events, list) else 0 # Track newest timestamp if isinstance(events, list): for ev in events: t = ev.get('timestamp') or ev.get('time') or ev.get('event_time') if isinstance(t, str): try: dt_ts = parse_iso(t) if newest_ts is None or dt_ts > newest_ts: newest_ts = dt_ts except Exception: pass # Check for next page nxt = data.get('next') pages += 1 if nxt: next_cursor = nxt pending_next = nxt continue else: pending_next = None break # Update state new_since_iso = (newest_ts or run_end).replace(microsecond=0).isoformat().replace('+00:00', 'Z') save_state(bucket, state_key, {'since': new_since_iso, 'next': pending_next}) print(f'Successfully processed {total} events across {pages} pages') print(f'Updated state: since={new_since_iso}, next={pending_next}') except Exception as e: print(f'Error processing logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {str(e)}') return {} def save_state(bucket, key, state): """Save state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, separators=(',', ':')), content_type='application/json' ) except Exception as e: print(f'Warning: Could not save state: {str(e)}') def write_to_gcs(bucket, prefix, payload, run_ts_iso, page_index): """Write payload to GCS.""" try: day_path = parse_iso(run_ts_iso).strftime('%Y/%m/%d') key = f"{prefix.strip('/')}/{day_path}/{run_ts_iso.replace(':', '').replace('-', '')}-page{page_index:05d}-company_activity.json" blob = bucket.blob(key) blob.upload_from_string( json.dumps(payload, separators=(',', ':')), content_type='application/json' ) print(f'Wrote page {page_index} to {key}') except Exception as e: print(f'Error writing to GCS: {str(e)}') raise def parse_iso(ts): """Parse ISO 8601 timestamp.""" if ts.endswith('Z'): ts = ts[:-1] + '+00:00' return datetime.fromisoformat(ts) def iso_from_epoch(sec): """Convert epoch seconds to ISO 8601 timestamp.""" return datetime.fromtimestamp(sec, tz=timezone.utc).replace(microsecond=0).isoformat().replace('+00:00', 'Z') def build_url(base, params): """Build URL with query parameters.""" if not params: return base query_string = '&'.join([f'{k}={v}' for k, v in params.items()]) return f'{base}?{query_string}'- Segundo arquivo: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0Clique em Implantar para salvar e implantar a função.
Aguarde a conclusão da implantação (2 a 3 minutos).
Criar o job do Cloud Scheduler
O Cloud Scheduler publica mensagens no tópico do Pub/Sub em intervalos regulares, acionando a função do Cloud Run.
- No Console do GCP, acesse o Cloud Scheduler.
- Clique em Criar job.
Informe os seguintes detalhes de configuração:
Configuração Valor Nome rippling-activity-hourlyRegião Selecione a mesma região da função do Cloud Run Frequência 0 * * * *(a cada hora, na hora)Fuso horário Selecione o fuso horário (UTC recomendado) Tipo de destino Pub/Sub Tópico Selecione o tópico rippling-activity-trigger.Corpo da mensagem {}(objeto JSON vazio)Clique em Criar.
Opções de frequência de programação
Escolha a frequência com base no volume de registros e nos requisitos de latência:
Frequência Expressão Cron Caso de uso A cada 5 minutos */5 * * * *Alto volume e baixa latência A cada 15 minutos */15 * * * *Volume médio A cada hora 0 * * * *Padrão (recomendado) A cada 6 horas 0 */6 * * *Baixo volume, processamento em lote Diário 0 0 * * *Coleta de dados históricos
Testar o job do programador
- No console do Cloud Scheduler, encontre seu job.
- Clique em Forçar execução para acionar manualmente.
- Aguarde alguns segundos e acesse Cloud Run > Serviços > rippling-activity-collector > Registros.
- Verifique se a função foi executada com sucesso.
- Verifique o bucket do GCS para confirmar se os registros foram gravados.
Recuperar a conta de serviço do Google SecOps
O Google SecOps usa uma conta de serviço exclusiva para ler dados do seu bucket do GCS. Você precisa conceder a essa conta de serviço acesso ao seu bucket.
Receber o e-mail da conta de serviço
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed (por exemplo,
Rippling Activity Logs). - Selecione Google Cloud Storage V2 como o Tipo de origem.
- Selecione Registros de atividade do Rippling como o Tipo de registro.
Clique em Receber conta de serviço. Um e-mail exclusivo da conta de serviço será exibido, por exemplo:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comCopie esse endereço de e-mail para usar na próxima etapa.
Conceder permissões do IAM à conta de serviço do Google SecOps
A conta de serviço do Google SecOps precisa do papel de Leitor de objetos do Storage no seu bucket do GCS.
- Acesse Cloud Storage > Buckets.
- Clique no nome do bucket.
- Acesse a guia Permissões.
- Clique em Conceder acesso.
- Informe os seguintes detalhes de configuração:
- Adicionar participantes: cole o e-mail da conta de serviço do Google SecOps.
- Atribuir papéis: selecione Leitor de objetos do Storage.
Clique em Salvar.
Configurar um feed no Google SecOps para ingerir registros de atividades do Rippling
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed (por exemplo,
Rippling Activity Logs). - Selecione Google Cloud Storage V2 como o Tipo de origem.
- Selecione Registros de atividade do Rippling como o Tipo de registro.
- Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
URL do bucket de armazenamento: insira o URI do bucket do GCS com o caminho do prefixo:
gs://rippling-activity-logs/rippling/activity/Substitua:
rippling-activity-logs: o nome do bucket do GCS.rippling/activity/: prefixo/caminho da pasta em que os registros são armazenados (precisa corresponder à variável de ambienteGCS_PREFIX).
Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:
- Nunca: nunca exclui arquivos após as transferências (recomendado para testes).
- Excluir arquivos transferidos: exclui os arquivos após a transferência bem-sucedida.
Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.
Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
Namespace do recurso: o namespace do recurso (por exemplo,
rippling.activity).Rótulos de ingestão: rótulo opcional a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.