Raccogliere i log di controllo a livello di gruppo Snyk

Supportato in:

Questo documento spiega come importare i log di controllo a livello di gruppo Snyk in Google Security Operations utilizzando Google Cloud Storage. Il parser pulisce innanzitutto i campi non necessari dai log non elaborati. Poi, estrae le informazioni pertinenti, come i dettagli dell'utente, il tipo di evento e i timestamp, trasformandole e mappandole nello schema UDM di Google SecOps per una rappresentazione standardizzata dei log di sicurezza.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Un progetto GCP con l'API Cloud Storage abilitata
  • Autorizzazioni per creare e gestire bucket GCS
  • Autorizzazioni per gestire le policy IAM nei bucket GCS
  • Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
  • Accesso privilegiato a Snyk (amministratore del gruppo) e un token API con accesso al gruppo
  • Piano Snyk Enterprise (gli endpoint dei log di controllo sono disponibili solo nei piani Enterprise)

Raccogli i prerequisiti per gli audit log a livello di gruppo Snyk (ID, chiavi API, ID organizzazione, token)

  1. In Snyk, fai clic sul tuo avatar > Impostazioni account > Token API.
  2. Fai clic su Revoca e rigenera (o Genera) e copia il token.
  3. Salva questo token come variabile di ambiente SNYK_API_TOKEN.
  4. In Snyk, passa al tuo gruppo (selettore in alto a sinistra).
  5. Vai a Impostazioni gruppo.
  6. Copia <GROUP_ID> dall'URL: https://app.snyk.io/group/<GROUP_ID>/settings.
    • In alternativa, utilizza l'API REST: GET https://api.snyk.io/rest/groups?version=2024-01-04 e scegli id.
  7. Assicurati che l'utente del token disponga dell'autorizzazione Visualizza log di controllo (group.audit.read).

Verifica le autorizzazioni

Per verificare che l'account disponga delle autorizzazioni richieste:

  1. Accedi a Snyk.
  2. Passa al tuo gruppo (selettore in alto a sinistra).
  3. Vai a Impostazioni gruppo.
  4. Se vedi l'opzione Log di controllo nel riquadro di navigazione a sinistra, significa che disponi delle autorizzazioni necessarie.

  5. Se non riesci a visualizzare questa opzione, contatta l'amministratore per concedere l'autorizzazione Visualizza log di controllo (group.audit.read).

Testare l'accesso API

  • Verifica le tue credenziali prima di procedere con l'integrazione:

    # Replace with your actual credentials
SNYK_API_TOKEN="your-token-here"
SNYK_GROUP_ID="your-group-id-here"
SNYK_API_VERSION="2024-01-04"

# Test API access
curl -v -H "Authorization: token ${SNYK_API_TOKEN}" \
  "https://api.snyk.io/rest/groups/${SNYK_GROUP_ID}/audit_logs/search?version=${SNYK_API_VERSION}&size=10"

Creazione di un bucket Google Cloud Storage

  1. Vai alla console Google Cloud.
  2. Seleziona il tuo progetto o creane uno nuovo.
  3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
  4. Fai clic su Crea bucket.

  5. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Assegna un nome al bucket Inserisci un nome univoco globale (ad esempio snyk-audit).
    Tipo di località Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
    Località Seleziona la posizione (ad esempio, us-central1).
    Classe di archiviazione Standard (consigliato per i log a cui si accede di frequente)
    Controllo dell'accesso Uniforme (consigliato)
    Strumenti di protezione (Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

  6. Fai clic su Crea.

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

  1. Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
  2. Fai clic su Crea service account.
  3. Fornisci i seguenti dettagli di configurazione:
    • Nome del service account: inserisci snyk-audit-collector-sa.
    • Descrizione service account: inserisci Service account for Cloud Run function to collect Snyk group-level audit logs.
  4. Fai clic su Crea e continua.
  5. Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
    1. Fai clic su Seleziona un ruolo.
    2. Cerca e seleziona Amministratore oggetti di archiviazione.
    3. Fai clic su + Aggiungi un altro ruolo.
    4. Cerca e seleziona Cloud Run Invoker.
    5. Fai clic su + Aggiungi un altro ruolo.
    6. Cerca e seleziona Invoker di Cloud Functions.
  6. Fai clic su Continua.
  7. Fai clic su Fine.

Questi ruoli sono necessari per:

  • Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
  • Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
  • Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket (ad esempio snyk-audit).
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: inserisci l'email del service account (ad es. snyk-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Assegna i ruoli: seleziona Storage Object Admin.
  6. Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

  1. Nella console GCP, vai a Pub/Sub > Argomenti.
  2. Fai clic su Crea argomento.
  3. Fornisci i seguenti dettagli di configurazione:
    • ID argomento: inserisci snyk-audit-trigger.
    • Lascia le altre impostazioni sui valori predefiniti.
  4. Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Snyk e scriverli in GCS.

  1. Nella console GCP, vai a Cloud Run.
  2. Fai clic su Crea servizio.
  3. Seleziona Funzione (usa un editor in linea per creare una funzione).

  4. Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Nome servizio snyk-audit-collector
    Regione Seleziona la regione corrispondente al tuo bucket GCS (ad esempio us-central1)
    Runtime Seleziona Python 3.12 o versioni successive

  5. Nella sezione Trigger (facoltativo):

    1. Fai clic su + Aggiungi trigger.
    2. Seleziona Cloud Pub/Sub.
    3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento Pub/Sub (snyk-audit-trigger).
    4. Fai clic su Salva.

  6. Nella sezione Autenticazione:

    1. Seleziona Richiedi autenticazione.
    2. Controlla Identity and Access Management (IAM).

  7. Scorri verso il basso ed espandi Container, networking, sicurezza.

  8. Vai alla scheda Sicurezza:

    • Service account: seleziona il service account (snyk-audit-collector-sa).

  9. Vai alla scheda Container:

    1. Fai clic su Variabili e secret.
    2. Fai clic su + Aggiungi variabile per ogni variabile di ambiente:
    Nome variabile Valore di esempio
    GCS_BUCKET snyk-audit
    GCS_PREFIX snyk/audit/
    STATE_KEY snyk/audit/state.json
    SNYK_GROUP_ID <your_group_id>
    SNYK_API_TOKEN xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
    SNYK_API_BASE (Facoltativo) https://api.snyk.io
    SNYK_API_VERSION 2024-01-04
    SIZE 100
    MAX_PAGES 20
    LOOKBACK_SECONDS 3600
    EVENTS (facoltativo) group.create,org.user.add
    EXCLUDE_EVENTS (facoltativo) api.access

  10. Nella sezione Variabili e secret, scorri verso il basso fino a Richieste:

    • Timeout richiesta: inserisci 600 secondi (10 minuti).

  11. Vai alla scheda Impostazioni:

    • Nella sezione Risorse:
      • Memoria: seleziona 512 MiB o un valore superiore.
      • CPU: seleziona 1.

  12. Nella sezione Scalabilità della revisione:

    • Numero minimo di istanze: inserisci 0.
    • Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).

  13. Fai clic su Crea.

  14. Attendi la creazione del servizio (1-2 minuti).

  15. Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

  1. Inserisci main in Entry point della funzione

  2. Nell'editor di codice incorporato, crea due file:

    • Primo file: main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import time
import urllib.parse

# Initialize HTTP client
http = urllib3.PoolManager()

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Snyk group-level audit logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'snyk/audit/')
    state_key = os.environ.get('STATE_KEY', 'snyk/audit/state.json')

    # Snyk API configuration
    api_base = os.environ.get('SNYK_API_BASE', 'https://api.snyk.io').rstrip('/')
    group_id = os.environ.get('SNYK_GROUP_ID', '').strip()
    api_token = os.environ.get('SNYK_API_TOKEN', '').strip()
    api_version = os.environ.get('SNYK_API_VERSION', '2024-01-04').strip()

    size = int(os.environ.get('SIZE', '100'))
    max_pages = int(os.environ.get('MAX_PAGES', '20'))
    lookback_seconds = int(os.environ.get('LOOKBACK_SECONDS', '3600'))

    events_csv = os.environ.get('EVENTS', '').strip()
    exclude_events_csv = os.environ.get('EXCLUDE_EVENTS', '').strip()

    if not all([bucket_name, group_id, api_token]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (last cursor)
        state = load_state(bucket, state_key)
        cursor = state.get('cursor')

        print(f'Starting log collection with cursor: {cursor}')

        # Prepare headers for Snyk REST API
        headers = {
            'Authorization': f'token {api_token}',
            'Accept': 'application/vnd.api+json'
        }

        pages = 0
        total = 0
        last_cursor = cursor

        # Only for the very first run (no saved cursor), constrain the time window
        first_run_from_iso = None
        if not cursor and lookback_seconds > 0:
            first_run_from_iso = time.strftime(
                '%Y-%m-%dT%H:%M:%SZ',
                time.gmtime(time.time() - lookback_seconds)
            )

        while pages < max_pages:
            payload = fetch_page(
                api_base, group_id, headers, api_version, size,
                cursor, first_run_from_iso, events_csv, exclude_events_csv
            )

            # Write payload to GCS
            write_to_gcs(bucket, prefix, payload)

            # Extract items count
            data_obj = payload.get('data') or {}
            items = data_obj.get('items') or []
            if isinstance(items, list):
                total += len(items)

            # Parse next cursor
            cursor = parse_next_cursor_from_links(payload.get('links'))
            pages += 1

            if not cursor:
                break

            # After first page, disable from-filter
            first_run_from_iso = None

        # Save state
        if cursor and cursor != last_cursor:
            save_state(bucket, state_key, {'cursor': cursor})

        print(f'Successfully processed {total} events across {pages} pages. Next cursor: {cursor}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def write_to_gcs(bucket, prefix, payload):
    """Write payload to GCS."""
    ts = time.strftime('%Y/%m/%d/%H%M%S', time.gmtime())
    key = f"{prefix.rstrip('/')}/{ts}-snyk-group-audit.json"
    blob = bucket.blob(key)
    blob.upload_from_string(
        json.dumps(payload, separators=(',', ':')),
        content_type='application/json'
    )
    print(f'Wrote payload to {key}')

def parse_next_cursor_from_links(links):
    """Parse next cursor from links object."""
    if not links:
        return None
    nxt = links.get('next')
    if not nxt:
        return None
    try:
        q = urllib.parse.urlparse(nxt).query
        params = urllib.parse.parse_qs(q)
        cur = params.get('cursor')
        return cur[0] if cur else None
    except Exception:
        return None

def as_list(csv_str):
    """Convert comma-separated string to list."""
    return [x.strip() for x in csv_str.split(',') if x.strip()]

def fetch_page(api_base, group_id, headers, api_version, size, cursor, first_run_from_iso, events_csv, exclude_events_csv):
    """Fetch a single page from Snyk audit logs API."""
    base_path = f'/rest/groups/{group_id}/audit_logs/search'
    params = {
        'version': api_version,
        'size': size,
    }

    if cursor:
        params['cursor'] = cursor
    elif first_run_from_iso:
        params['from'] = first_run_from_iso

    events = as_list(events_csv)
    exclude_events = as_list(exclude_events_csv)

    if events and exclude_events:
        exclude_events = []

    if events:
        params['events'] = events
    if exclude_events:
        params['exclude_events'] = exclude_events

    url = f"{api_base}{base_path}?{urllib.parse.urlencode(params, doseq=True)}"

    response = http.request('GET', url, headers=headers, timeout=60.0)

    if response.status == 429 or response.status >= 500:
        retry_after = int(response.headers.get('Retry-After', '1'))
        time.sleep(max(1, retry_after))
        response = http.request('GET', url, headers=headers, timeout=60.0)

    if response.status != 200:
        raise Exception(f'API request failed with status {response.status}: {response.data.decode("utf-8")}')

    return json.loads(response.data.decode('utf-8'))
    • Secondo file: requirements.txt::
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.

  4. Attendi il completamento del deployment (2-3 minuti).

Crea job Cloud Scheduler

Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

  1. Nella console di GCP, vai a Cloud Scheduler.
  2. Fai clic su Crea job.

  3. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Nome snyk-audit-collector-hourly
    Regione Seleziona la stessa regione della funzione Cloud Run
    Frequenza 0 * * * * (ogni ora, all'ora)
    Fuso orario Seleziona il fuso orario (UTC consigliato)
    Tipo di target Pub/Sub
    Argomento Seleziona l'argomento Pub/Sub (snyk-audit-trigger)
    Corpo del messaggio {}

  4. Fai clic su Crea.

Opzioni di frequenza di pianificazione

  • Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

    Frequenza Espressione cron Caso d'uso
    Ogni 5 minuti */5 * * * * Volume elevato, bassa latenza
    Ogni 15 minuti */15 * * * * Volume medio
    Ogni ora 0 * * * * Standard (consigliato)
    Ogni 6 ore 0 */6 * * * Volume basso, elaborazione batch
    Ogni giorno 0 0 * * * Raccolta dei dati storici

Testare l'integrazione

  1. Nella console Cloud Scheduler, trova il tuo job (snyk-audit-collector-hourly).
  2. Fai clic su Forza esecuzione per attivare il job manualmente.
  3. Aspetta alcuni secondi.
  4. Vai a Cloud Run > Servizi.
  5. Fai clic sul nome della funzione (snyk-audit-collector).
  6. Fai clic sulla scheda Log.

  7. Verifica che la funzione sia stata eseguita correttamente. Cerca quanto segue:

    Starting log collection with cursor: None
Page 1: Retrieved X events
Wrote payload to snyk/audit/YYYY/MM/DD/HHMMSS-snyk-group-audit.json
Successfully processed X events across Y pages. Next cursor: ...

  8. Vai a Cloud Storage > Bucket.

  9. Fai clic sul nome del bucket (ad esempio snyk-audit).

  10. Vai alla cartella del prefisso (snyk/audit/).

  11. Verifica che sia stato creato un nuovo file .json con il timestamp corrente.

Se visualizzi errori nei log:

  • HTTP 401: controlla SNYK_API_TOKEN nelle variabili di ambiente
  • HTTP 403: verifica che l'utente del token disponga dell'autorizzazione group.audit.read e che il tuo abbonamento Snyk sia un piano Enterprise
  • HTTP 429: limitazione della frequenza: la funzione riproverà automaticamente con backoff
  • Variabili di ambiente mancanti: verifica che tutte le variabili richieste siano impostate (GCS_BUCKET, SNYK_GROUP_ID, SNYK_API_TOKEN).

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Snyk Group Audit Logs).
  5. Seleziona Google Cloud Storage V2 come Tipo di origine.
  6. Seleziona Log di controllo a livello di gruppo Snyk come Tipo di log.

  7. Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket (ad esempio snyk-audit).
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: incolla l'email del service account Google SecOps.
    • Assegna i ruoli: seleziona Visualizzatore oggetti Storage.

  6. Fai clic su Salva.

Configura un feed in Google SecOps per importare gli audit log a livello di gruppo Snyk

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Snyk Group Audit Logs).
  5. Seleziona Google Cloud Storage V2 come Tipo di origine.
  6. Seleziona Log di controllo a livello di gruppo Snyk come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:

      gs://snyk-audit/snyk/audit/

      • Sostituisci:

        • snyk-audit: il nome del bucket GCS.
        • snyk/audit/: il percorso del prefisso/della cartella in cui sono archiviati i log.

    • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
      • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.

      • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

    • Spazio dei nomi dell'asset: snyk.group_audit

    • Etichette di importazione: aggiungile se vuoi.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Funzione logica
content.url principal.url Mappato direttamente dal campo content.url nel log non elaborato.
creato metadata.event_timestamp Analizzato dal campo creato nel log non elaborato utilizzando il formato ISO8601.
evento metadata.product_event_type Mappato direttamente dal campo evento nel log non elaborato.
groupId principal.user.group_identifiers Mappato direttamente dal campo groupId nel log non elaborato.
orgId principal.user.attribute.labels.key Imposta il valore su "orgId".
orgId principal.user.attribute.labels.value Mappato direttamente dal campo orgId nel log non elaborato.
userId principal.user.userid Mappato direttamente dal campo userId nel log non elaborato.
N/D metadata.event_type Hardcoded su "USER_UNCATEGORIZED" nel codice del parser.
N/D metadata.log_type Codificato come "SNYK_SDLC" nel codice del parser.
N/D metadata.product_name Codificato come "SNYK SDLC" nel codice del parser.
N/D metadata.vendor_name Codificato come "SNYK_SDLC" nel codice del parser.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.