收集 Snipe-IT 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Amazon S3 将 Snipe-IT 日志注入到 Google Security Operations。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例。
- 对 Snipe-IT 租户的特权访问权限。
- 对 AWS(S3、Identity and Access Management (IAM)、Lambda、EventBridge)的特权访问权限。
收集 Snipe-IT 前提条件(API 令牌和基本网址)
- 登录 Snipe-IT。
- 打开用户菜单(右上角的头像),然后点击管理 API 密钥。
- 点击创建新的 API 密钥:
- 名称/标签:输入一个描述性标签(例如
Google SecOps export)。 - 点击生成。
- 名称/标签:输入一个描述性标签(例如
- 复制 API 令牌(系统只会显示一次)。请妥善保管。
- 确定您的 API 基准网址,通常为:
https://<your-domain>/api/v1- 示例:
https://snipeit.example.com/api/v1
为 Google SecOps 配置 AWS S3 存储桶和 IAM
- 按照以下用户指南创建 Amazon S3 存储桶:创建存储桶
- 保存存储桶名称和区域以供日后参考(例如
snipe-it-logs)。 - 按照以下用户指南创建用户:创建 IAM 用户。
- 选择创建的用户。
- 选择安全凭据标签页。
- 在访问密钥部分中,点击创建访问密钥。
- 选择第三方服务作为使用情形。
- 点击下一步。
- 可选:添加说明标记。
- 点击创建访问密钥。
- 点击下载 CSV 文件,保存访问密钥和秘密访问密钥,以供日后参考。
- 点击完成。
- 选择权限标签页。
- 在权限政策部分中,点击添加权限。
- 选择添加权限。
- 选择直接附加政策。
- 搜索 AmazonS3FullAccess 政策。
- 选择相应政策。
- 点击下一步。
- 点击添加权限。
为 S3 上传配置 IAM 政策和角色
- 在 AWS 控制台中,依次前往 IAM > 政策。
- 依次点击创建政策 > JSON 标签页。
- 复制并粘贴以下政策。
政策 JSON(如果您输入了其他存储桶名称,请替换
snipe-it-logs):{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObjects", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::snipe-it-logs/*" }, { "Sid": "AllowGetStateObject", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::snipe-it-logs/snipeit/state.json" } ] }依次点击下一步 > 创建政策。
依次前往 IAM > 角色 > 创建角色 > AWS 服务 > Lambda。
附加新创建的政策。
将角色命名为
SnipeITToS3Role,然后点击创建角色。
创建 Lambda 函数
- 在 AWS 控制台中,依次前往 Lambda > 函数 > 创建函数。
- 点击从头开始创作。
提供以下配置详细信息:
设置 值 名称 snipeit_assets_to_s3运行时 Python 3.13 架构 x86_64 执行角色 SnipeITToS3Role创建函数后,打开 Code 标签页,删除桩代码并粘贴以下代码 (
snipeit_assets_to_s3.py)。#!/usr/bin/env python3 # Lambda: Pull Snipe-IT hardware (assets) via REST API and write raw JSON pages to S3 (no transform) import os, json, time, urllib.parse from urllib.request import Request, urlopen import boto3 BASE = os.environ["SNIPE_BASE_URL"].rstrip("/") # e.g. https://snipeit.example.com/api/v1 TOKEN = os.environ["SNIPE_API_TOKEN"] BUCKET = os.environ["S3_BUCKET"] PREFIX = os.environ.get("S3_PREFIX", "snipeit/assets/") PAGE_SIZE = int(os.environ.get("PAGE_SIZE", "500")) # Snipe-IT max 500 per request MAX_PAGES = int(os.environ.get("MAX_PAGES", "200")) s3 = boto3.client("s3") def _headers(): return {"Authorization": f"Bearer {TOKEN}", "Accept": "application/json"} def fetch_page(offset: int) -> dict: params = {"limit": PAGE_SIZE, "offset": offset, "sort": "id", "order": "asc"} qs = urllib.parse.urlencode(params) url = f"{BASE}/hardware?{qs}" req = Request(url, method="GET", headers=_headers()) with urlopen(req, timeout=60) as r: return json.loads(r.read().decode("utf-8")) def write_page(payload: dict, ts: float, page: int) -> str: key = f"{PREFIX}/{time.strftime('%Y/%m/%d', time.gmtime(ts))}/snipeit-hardware-{page:05d}.json" body = json.dumps(payload, separators=(",", ":")).encode("utf-8") s3.put_object(Bucket=BUCKET, Key=key, Body=body, ContentType="application/json") return key def lambda_handler(event=None, context=None): ts = time.time() offset = 0 page = 0 total = 0 while page < MAX_PAGES: data = fetch_page(offset) rows = data.get("rows") or data.get("data") or [] write_page(data, ts, page) total += len(rows) if len(rows) < PAGE_SIZE: break page += 1 offset += PAGE_SIZE return {"ok": True, "pages": page + 1, "objects": total} if __name__ == "__main__": print(lambda_handler())依次前往配置 > 环境变量。
依次点击修改 > 添加新的环境变量。
输入下表中提供的环境变量,并将示例值替换为您的值。
环境变量
键 示例值 S3_BUCKETsnipe-it-logsS3_PREFIXsnipeit/assets/SNIPE_BASE_URLhttps://snipeit.example.com/api/v1SNIPE_API_TOKEN<your-api-token>PAGE_SIZE500MAX_PAGES200创建函数后,请停留在其页面上(或依次打开 Lambda > 函数 > 您的函数)。
选择配置标签页。
在常规配置面板中,点击修改。
将超时更改为 5 分钟(300 秒),然后点击保存。
创建 EventBridge 计划
- 依次前往 Amazon EventBridge > 调度器 > 创建调度。
- 提供以下配置详细信息:
- 周期性安排:费率 (
1 hour)。 - 目标:您的 Lambda 函数
snipeit_assets_to_s3。 - 名称:
snipeit_assets_to_s3-1h。
- 周期性安排:费率 (
- 点击创建时间表。
(可选)为 Google SecOps 创建只读 IAM 用户和密钥
- 依次前往 AWS 控制台 > IAM > 用户。
- 点击 Add users(添加用户)。
- 提供以下配置详细信息:
- 用户:输入
secops-reader。 - 访问类型:选择访问密钥 - 以程序化方式访问。
- 用户:输入
- 点击创建用户。
- 附加最低限度的读取政策(自定义):依次选择用户 > secops-reader > 权限 > 添加权限 > 直接附加政策 > 创建政策。
JSON:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::snipe-it-logs/*" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::snipe-it-logs" } ] }名称 =
secops-reader-policy。依次点击创建政策 > 搜索/选择 > 下一步 > 添加权限。
为
secops-reader创建访问密钥:安全凭据 > 访问密钥。点击创建访问密钥。
下载
.CSV。(您需要将这些值粘贴到 Feed 中)。
在 Google SecOps 中配置 Feed 以注入 Snipe-IT 日志
- 依次前往 SIEM 设置> Feed。
- 点击 + 添加新 Feed。
- 在Feed 名称字段中,输入 Feed 的名称(例如
Snipe-IT logs)。 - 选择 Amazon S3 V2 作为来源类型。
- 选择 Snipe-IT 作为日志类型。
- 点击下一步。
- 为以下输入参数指定值:
- S3 URI:
s3://snipe-it-logs/snipeit/assets/ - 来源删除选项:根据您的偏好选择删除选项。
- 文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
- 访问密钥 ID:有权访问 S3 存储桶的用户访问密钥。
- 私有访问密钥:具有 S3 存储桶访问权限的用户私有密钥。
- 资产命名空间:资产命名空间。
- 注入标签:应用于此 Feed 中事件的标签。
- S3 URI:
- 点击下一步。
- 在最终确定界面中查看新的 Feed 配置,然后点击提交。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。