收集 Snyk 群組問題記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Google Cloud Storage,將 Snyk Group Issues 記錄檔擷取至 Google Security Operations。Snyk 是開發人員安全平台,可協助機構尋找並修正開放原始碼依附元件、容器映像檔、基礎架構即程式碼設定和應用程式程式碼中的安全漏洞。Snyk 群組問題可讓您掌握 Snyk 群組中所有專案的安全漏洞和授權問題。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 已啟用 Cloud Storage API 的 GCP 專案
- 建立及管理 GCS 值區的權限
- 管理 Google Cloud Storage 值區 IAM 政策的權限
- 建立 Cloud Run 函式、Pub/Sub 主題和 Cloud Scheduler 工作的權限
- Snyk 群組的特殊存取權 (具有讀取權限的 API 權杖;群組 ID)
- 指派給 API 權杖使用者的 Snyk 群組管理員角色 (使用者必須能夠查看群組稽核記錄和群組問題)
建立 Google Cloud Storage 值區
- 前往 Google Cloud 控制台。
- 選取專案或建立新專案。
- 在導覽選單中,依序前往「Cloud Storage」>「Bucket」。
- 按一下「建立值區」。
請提供下列設定詳細資料:
設定 值 為 bucket 命名 輸入全域不重複的名稱 (例如 snyk-group-logs)位置類型 根據需求選擇 (區域、雙區域、多區域) 位置 選取地點 (例如 us-central1)儲存空間級別 標準 (建議用於經常存取的記錄) 存取控管 統一 (建議) 保護工具 選用:啟用物件版本管理或保留政策 點選「建立」。
收集 Snyk 群組 ID 和 API 權杖
取得 Snyk API 權杖
- 前往 https://app.snyk.io 登入 Snyk UI。
- 依序前往「帳戶設定」>「API 權杖」。
- 按一下「產生」即可產生 API 權杖。
複製並將權杖儲存在安全位置,稍後會以
SNYK_TOKEN形式使用。
取得 Snyk 群組 ID
- 在 Snyk UI 中,切換至您的群組。
- 前往「群組設定」。
- 從網址 (
https://app.snyk.io/group/<GROUP_ID>/...) 複製並儲存群組 ID,以供稍後做為GROUP_ID使用。
指派群組管理員角色
- 在 Snyk 使用者介面中,依序前往「群組設定」>「成員」。
- 找出與 API 權杖相關聯的使用者。
將「群組管理員」角色指派給使用者。
記事 API 端點
REST API 基本端點會因區域而異。找出 Snyk 區域,並記下對應的 REST 基準網址:
區域 REST 基準網址 SNYK-US-01 https://api.snyk.io/restSNYK-US-02 https://api.us.snyk.io/restSNYK-EU-01 https://api.eu.snyk.io/restSNYK-AU-01 https://api.au.snyk.io/rest您將在 Cloud Run 函式設定中使用這個 REST 基礎網址做為
API_BASE。函式程式碼會將/groups/{group_id}/audit_logs/search等路徑附加至這個基本網址,建構完整的端點網址。
為 Cloud Run 函式建立服務帳戶
Cloud Run 函式需要具備 GCS bucket 寫入權限的服務帳戶。
建立服務帳戶
- 在 GCP 主控台中,依序前往「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
- 按一下 [Create Service Account] (建立服務帳戶)。
- 請提供下列設定詳細資料:
- 服務帳戶名稱:輸入
snyk-logs-collector-sa。 - 服務帳戶說明:輸入
Service account for Cloud Run function to collect Snyk Group logs。
- 服務帳戶名稱:輸入
- 按一下「建立並繼續」。
- 在「將專案存取權授予這個服務帳戶」部分:
- 按一下「選擇角色」。
- 搜尋並選取「Storage 物件管理員」。
- 點選「+ 新增其他角色」。
- 搜尋並選取「Cloud Run Invoker」。
- 點選「+ 新增其他角色」。
- 搜尋並選取「Cloud Functions Invoker」(Cloud Functions 叫用者)。
- 按一下「繼續」。
- 按一下 [完成]。
這些角色適用於:
- Storage 物件管理員:將記錄檔寫入 GCS 值區,並管理狀態檔案
- Cloud Run 叫用者:允許 Pub/Sub 叫用函式
- Cloud Functions 叫用者:允許函式叫用
授予 GCS 值區的 IAM 權限
授予服務帳戶 GCS bucket 的寫入權限:
- 依序前往「Cloud Storage」>「Buckets」。
- 按一下 bucket 名稱。
- 前往「權限」分頁標籤。
- 按一下「授予存取權」。
- 請提供下列設定詳細資料:
- 新增主體:輸入服務帳戶電子郵件地址 (例如
snyk-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com)。 - 指派角色:選取「Storage 物件管理員」。
- 新增主體:輸入服務帳戶電子郵件地址 (例如
- 按一下 [儲存]。
建立 Pub/Sub 主題
建立 Pub/Sub 主題,Cloud Scheduler 會將訊息發布至該主題,而 Cloud Run 函式會訂閱該主題。
- 在 GCP Console 中,前往「Pub/Sub」>「Topics」(主題)。
- 按一下「建立主題」。
- 請提供下列設定詳細資料:
- 主題 ID:輸入
snyk-logs-trigger。 - 其他設定保留預設值。
- 主題 ID:輸入
- 點選「建立」。
建立 Cloud Run 函式來收集記錄
Cloud Run 函式會由 Cloud Scheduler 的 Pub/Sub 訊息觸發,從 Snyk Group API 擷取記錄,並將記錄寫入 GCS。
- 前往 GCP Console 的「Cloud Run」。
- 按一下「Create service」(建立服務)。
- 選取「函式」 (使用內嵌編輯器建立函式)。
在「設定」部分,提供下列設定詳細資料:
設定 值 服務名稱 snyk-group-logs-collector區域 選取與 GCS bucket 相符的區域 (例如 us-central1)執行階段 選取「Python 3.12」以上版本 在「Trigger (optional)」(觸發條件 (選用)) 專區:
- 按一下「+ 新增觸發條件」。
- 選取「Cloud Pub/Sub」。
- 在「選取 Cloud Pub/Sub 主題」中,選擇主題
snyk-logs-trigger。 - 按一下 [儲存]。
在「Authentication」(驗證) 部分:
- 選取「需要驗證」。
- 檢查 Identity and Access Management (IAM)。
向下捲動並展開「Containers, Networking, Security」。
前往「安全性」分頁:
- 服務帳戶:選取服務帳戶
snyk-logs-collector-sa。
- 服務帳戶:選取服務帳戶
前往「容器」分頁:
- 按一下「變數與密鑰」。
- 針對每個環境變數,按一下「+ 新增變數」:
變數名稱 範例值 GCS_BUCKETsnyk-group-logsGCS_PREFIXsnyk/group/STATE_KEYsnyk/group/state.jsonSNYK_TOKENyour-snyk-api-tokenGROUP_IDyour-group-uuidAPI_BASEhttps://api.snyk.io/restSNYK_AUDIT_API_VERSION2024-10-15SNYK_ISSUES_API_VERSION2024-10-15AUDIT_PAGE_SIZE100ISSUES_PAGE_LIMIT100MAX_PAGES20LOOKBACK_SECONDS3600在「變數與密鑰」分頁中向下捲動至「要求」:
- 要求逾時:輸入
600秒 (10 分鐘)。
- 要求逾時:輸入
前往「容器」中的「設定」分頁:
- 在「資源」部分:
- 記憶體:選取 512 MiB 以上。
- CPU:選取 1。
- 按一下 [完成]。
- 在「資源」部分:
向下捲動至「執行環境」:
- 選取「預設」 (建議選項)。
在「修訂版本資源調度」部分:
- 執行個體數量下限:輸入
0。 - 「Maximum number of instances」(執行個體數量上限):輸入
100(或根據預期負載調整)。
- 執行個體數量下限:輸入
點選「建立」。
等待服務建立完成 (1 到 2 分鐘)。
服務建立完成後,系統會自動開啟內嵌程式碼編輯器。
新增函式程式碼
- 在「Function entry point」(函式進入點) 中輸入 main
在內嵌程式碼編輯器中建立兩個檔案:
第一個檔案:main.py:
import functions_framework from google.cloud import storage import json import os import time import urllib.parse from urllib.request import Request, urlopen from urllib.parse import urlparse, parse_qs from urllib.error import HTTPError # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch logs from Snyk Group API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'snyk/group/').strip() state_key = os.environ.get('STATE_KEY', 'snyk/group/state.json').strip() # Snyk API credentials api_base = os.environ.get('API_BASE', 'https://api.snyk.io/rest').rstrip('/') snyk_token = os.environ.get('SNYK_TOKEN').strip() group_id = os.environ.get('GROUP_ID').strip() # Page sizes & limits audit_size = int(os.environ.get('AUDIT_PAGE_SIZE', '100')) issues_limit = int(os.environ.get('ISSUES_PAGE_LIMIT', '100')) max_pages = int(os.environ.get('MAX_PAGES', '20')) # API versions audit_api_version = os.environ.get('SNYK_AUDIT_API_VERSION', '2024-10-15').strip() issues_api_version = os.environ.get('SNYK_ISSUES_API_VERSION', '2024-10-15').strip() # First-run lookback lookback_seconds = int(os.environ.get('LOOKBACK_SECONDS', '3600')) if not all([bucket_name, snyk_token, group_id]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) # Load state state = load_state(bucket, state_key) print('Starting Snyk Group logs collection') # Pull audit logs audit_res = pull_audit_logs( bucket, prefix, state, api_base, snyk_token, group_id, audit_api_version, audit_size, max_pages, lookback_seconds ) print(f"Audit logs: {audit_res}") # Pull issues issues_res = pull_issues( bucket, prefix, state, api_base, snyk_token, group_id, issues_api_version, issues_limit, max_pages ) print(f"Issues: {issues_res}") # Save state save_state(bucket, state_key, state) print('Successfully completed Snyk Group logs collection') except Exception as e: print(f'Error processing logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {str(e)}') return {} def save_state(bucket, key, state): """Save state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, separators=(',', ':')), content_type='application/json' ) except Exception as e: print(f'Warning: Could not save state: {str(e)}') def _iso(ts): """Convert timestamp to ISO format.""" return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(ts)) def _http_get(url, headers): """Make HTTP GET request with retry logic.""" req = Request(url, method='GET', headers=headers) try: with urlopen(req, timeout=60) as r: return json.loads(r.read().decode('utf-8')) except HTTPError as e: if e.code in (429, 500, 502, 503, 504): delay = int(e.headers.get('Retry-After', '1')) time.sleep(max(1, delay)) with urlopen(req, timeout=60) as r2: return json.loads(r2.read().decode('utf-8')) raise def _write_page(bucket, prefix, kind, payload): """Write page to GCS.""" ts = time.gmtime() key = f"{prefix.rstrip('/')}/{time.strftime('%Y/%m/%d/%H%M%S', ts)}-snyk-{kind}.json" blob = bucket.blob(key) blob.upload_from_string( json.dumps(payload, separators=(',', ':')), content_type='application/json' ) return key def _next_href(links): """Extract next href from links.""" if not links: return None nxt = links.get('next') if not nxt: return None if isinstance(nxt, str): return nxt if isinstance(nxt, dict): return nxt.get('href') return None def pull_audit_logs(bucket, prefix, state, api_base, snyk_token, group_id, audit_api_version, audit_size, max_pages, lookback_seconds): """Pull audit logs from Snyk Group API.""" headers = { 'Authorization': f'token {snyk_token}', 'Accept': 'application/vnd.api+json', } cursor = state.get('audit_cursor') pages = 0 total = 0 base = f"{api_base}/groups/{group_id}/audit_logs/search" params = { 'version': audit_api_version, 'size': audit_size } if cursor: params['cursor'] = cursor else: now = time.time() params['from'] = _iso(now - lookback_seconds) params['to'] = _iso(now) while pages < max_pages: url = f"{base}?{urllib.parse.urlencode(params, doseq=True)}" payload = _http_get(url, headers) _write_page(bucket, prefix, 'audit', payload) data_items = (payload.get('data') or {}).get('items') or [] if isinstance(data_items, list): total += len(data_items) nxt = _next_href(payload.get('links')) if not nxt: break q = parse_qs(urlparse(nxt).query) cur = (q.get('cursor') or [None])[0] if not cur: break params = { 'version': audit_api_version, 'size': audit_size, 'cursor': cur } state['audit_cursor'] = cur pages += 1 return { 'pages': pages + 1 if total else pages, 'items': total, 'cursor': state.get('audit_cursor') } def pull_issues(bucket, prefix, state, api_base, snyk_token, group_id, issues_api_version, issues_limit, max_pages): """Pull issues from Snyk Group API.""" headers = { 'Authorization': f'token {snyk_token}', 'Accept': 'application/vnd.api+json', } cursor = state.get('issues_cursor') pages = 0 total = 0 base = f"{api_base}/groups/{group_id}/issues" params = { 'version': issues_api_version, 'limit': issues_limit } if cursor: params['starting_after'] = cursor while pages < max_pages: url = f"{base}?{urllib.parse.urlencode(params, doseq=True)}" payload = _http_get(url, headers) _write_page(bucket, prefix, 'issues', payload) data_items = payload.get('data') or [] if isinstance(data_items, list): total += len(data_items) nxt = _next_href(payload.get('links')) if not nxt: break q = parse_qs(urlparse(nxt).query) cur = (q.get('starting_after') or [None])[0] if not cur: break params = { 'version': issues_api_version, 'limit': issues_limit, 'starting_after': cur } state['issues_cursor'] = cur pages += 1 return { 'pages': pages + 1 if total else pages, 'items': total, 'cursor': state.get('issues_cursor') } ```
第二個檔案:requirements.txt:
functions-framework==3.* google-cloud-storage==2.*
點選「部署」來儲存並部署函式。
等待部署作業完成 (2 到 3 分鐘)。
建立 Cloud Scheduler 工作
Cloud Scheduler 會定期將訊息發布至 Pub/Sub 主題,觸發 Cloud Run 函式。
- 前往 GCP 主控台的「Cloud Scheduler」。
- 點選「建立工作」。
請提供下列設定詳細資料:
設定 值 名稱 snyk-group-logs-hourly區域 選取與 Cloud Run 函式相同的區域 頻率 0 * * * *(每小時整點)時區 選取時區 (建議使用世界標準時間) 目標類型 Pub/Sub 主題 選取主題 snyk-logs-trigger郵件內文 {}(空白 JSON 物件)點選「建立」。
排程頻率選項
根據記錄檔量和延遲時間要求選擇頻率:
頻率 Cron 運算式 用途 每 5 分鐘 */5 * * * *高容量、低延遲 每 15 分鐘檢查一次 */15 * * * *普通量 每小時 0 * * * *標準 (建議採用) 每 6 小時 0 */6 * * *少量、批次處理 每日 0 0 * * *歷來資料集合
測試排程器工作
- 在 Cloud Scheduler 控制台中找出您的工作。
- 按一下「強制執行」即可手動觸發。
- 等待幾秒鐘,然後依序前往「Cloud Run」>「Services」>「snyk-group-logs-collector」>「Logs」。
- 確認函式是否已順利執行。
- 檢查 GCS 值區,確認是否已寫入記錄。
擷取 Google SecOps 服務帳戶
Google SecOps 會使用專屬服務帳戶,從 GCS bucket 讀取資料。您必須授予這個服務帳戶值區存取權。
取得服務帳戶電子郵件地址
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Snyk Group Audit/Issues)。 - 選取「Google Cloud Storage V2」做為「來源類型」。
- 選取「Snyk Group level audit/issues logs」(Snyk 群組層級稽核/問題記錄) 做為「Log type」(記錄類型)。
按一下「取得服務帳戶」。系統會顯示專屬的服務帳戶電子郵件地址,例如:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com複製這個電子郵件地址,以便在下一步中使用。
將 IAM 權限授予 Google SecOps 服務帳戶
Google SecOps 服務帳戶需要 GCS bucket 的「Storage 物件檢視者」角色。
- 依序前往「Cloud Storage」>「Buckets」。
- 按一下 bucket 名稱。
- 前往「權限」分頁標籤。
- 按一下「授予存取權」。
- 請提供下列設定詳細資料:
- 新增主體:貼上 Google SecOps 服務帳戶電子郵件地址。
- 指派角色:選取「Storage 物件檢視者」。
按一下 [儲存]。
在 Google SecOps 中設定資訊提供,擷取 Snyk 群組記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Snyk Group Audit/Issues)。 - 選取「Google Cloud Storage V2」做為「來源類型」。
- 選取「Snyk Group level audit/issues logs」(Snyk 群組層級稽核/問題記錄) 做為「Log type」(記錄類型)。
- 點選 [下一步]。
指定下列輸入參數的值:
儲存空間 bucket URL:輸入 GCS bucket URI,並加上前置路徑:
gs://snyk-group-logs/snyk/group/取代:
snyk-group-logs:您的 GCS bucket 名稱。snyk/group/:儲存記錄的選用前置字元/資料夾路徑 (如為根目錄,請留空)。
範例:
- 根層級 bucket:
gs://company-logs/ - 前置字串:
gs://company-logs/snyk-logs/ - 有子資料夾:
gs://company-logs/snyk/group/
- 根層級 bucket:
- 來源刪除選項:根據偏好選取刪除選項:
- 永不:移轉後一律不刪除任何檔案 (建議用於測試)。
- 刪除已轉移的檔案:成功轉移檔案後刪除檔案。
- 刪除已轉移的檔案和空白目錄:成功轉移後刪除檔案和空白目錄。
- 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
- 資產命名空間:資產命名空間 (例如
snyk.group)。 - 擷取標籤:要套用至這個動態饋給事件的標籤。
點選 [下一步]。
在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)。
需要其他協助嗎?向社群成員和 Google SecOps 專業人員尋求答案。