Collecter les journaux Splunk Attack Analyzer

Ce document explique comment ingérer les journaux Splunk Attack Analyzer dans Google Security Operations à l'aide de Google Cloud Storage V2.

Splunk Attack Analyzer (anciennement TwinWave) est une plate-forme d'analyse des menaces automatisée qui détecte l'hameçonnage et les logiciels malveillants grâce à l'analyse comportementale. Elle fournit les résultats des tâches terminées et des données d'investigation normalisées via une API REST.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

• Une instance Google SecOps
• Un projet GCP avec l'API Cloud Storage activée
• Autorisations pour créer et gérer des buckets GCS
• Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
• Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
• Accès privilégié à Splunk Attack Analyzer avec autorisation de générer des clés API

Créer un bucket Cloud Storage

1. Accédez à la console Google Cloud.
2. Sélectionnez votre projet ou créez-en un.
3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
4. Cliquez sur Créer un bucket.

5. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nommer votre bucket	Saisissez un nom unique (par exemple, splunk-attack-analyzer-logs).
   Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
   Emplacement	Sélectionnez l'emplacement (par exemple, us-central1).
   Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
   Access control (Contrôle des accès)	Uniforme (recommandé)
   Outils de protection	Facultatif : Activez la gestion des versions des objets ou la règle de conservation.

6. Cliquez sur Créer.

Collecter les identifiants de l'API Splunk Attack Analyzer

Générer une clé API

1. Connectez-vous à Splunk Attack Analyzer.
2. Sélectionnez votre nom d'utilisateur en haut à droite, puis Clés API.
3. Cliquez sur + Nouvelle clé.
4. Saisissez un nom descriptif pour la clé (par exemple, Google Security Operations Integration).
5. Cliquez sur Créer.

6. Copiez et enregistrez le code secret de l'API affiché dans la fenêtre modale, dans un emplacement sécurisé.

Vérifier les autorisations

Pour vérifier que la clé API dispose de l'accès requis :

1. Connectez-vous à Splunk Attack Analyzer.
2. Sélectionnez votre nom d'utilisateur en haut à droite, puis Clés API.

3. Vérifiez que la clé API est listée et active.

Tester l'accès à l'API

• Testez vos identifiants avant de procéder à l'intégration :

  # Replace with your actual API key
  API_KEY="your-api-key"
  
  # Test API access - list completed jobs
  curl -v -H "Authorization: Bearer ${API_KEY}" \
    "https://app.twinwave.io/api/v1/jobs?done=true&limit=1"
  

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
2. Cliquez sur Créer un compte de service.
3. Fournissez les informations de configuration suivantes :
   • Nom du compte de service : saisissez saa-collector-sa.
   • Description du compte de service : saisissez Service account for Cloud Run function to collect Splunk Attack Analyzer logs.
4. Cliquez sur Créer et continuer.
5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
   1. Cliquez sur Sélectionner un rôle.
   2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
   3. Cliquez sur + Ajouter un autre rôle.
   4. Recherchez et sélectionnez Demandeur Cloud Run.
   5. Cliquez sur + Ajouter un autre rôle.
   6. Recherchez et sélectionnez Demandeur Cloud Functions.
6. Cliquez sur Continuer.
7. Cliquez sur OK.

Ces rôles sont requis pour :

• Administrateur des objets Storage : écrire des journaux dans un bucket GCS et gérer les fichiers d'état
• Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
• Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom de votre bucket (par exemple, splunk-attack-analyzer-logs).
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, saa-collector-sa@your-project.iam.gserviceaccount.com).
   • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

1. Dans la console GCP, accédez à Pub/Sub > Sujets.
2. Cliquez sur Créer un sujet.
3. Fournissez les informations de configuration suivantes :
   • ID du sujet : saisissez saa-trigger.
   • Conservez les valeurs par défaut des autres paramètres.
4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run sera déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API Splunk Attack Analyzer et les écrire dans GCS.

1. Dans la console GCP, accédez à Cloud Run.
2. Cliquez sur Créer un service.
3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

4. Dans la section Configurer, fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom du service	saa-collector
   Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
   Durée d'exécution	Sélectionnez Python 3.12 ou version ultérieure.

5. Dans la section Déclencheur (facultatif) :

   1. Cliquez sur + Ajouter un déclencheur.
   2. Sélectionnez Cloud Pub/Sub.
   3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet saa-trigger.
   4. Cliquez sur Enregistrer.

6. Dans la section Authentification :

   1. Sélectionnez Exiger l'authentification.
   2. Consultez Identity and Access Management (IAM).

7. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.

8. Accédez à l'onglet Sécurité :

   • Compte de service : sélectionnez le compte de service saa-collector-sa.

9. Accédez à l'onglet Conteneurs :

   1. Cliquez sur Variables et secrets.
   2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

   Nom de la variable	Exemple de valeur	Description
   GCS_BUCKET	splunk-attack-analyzer-logs	Nom du bucket GCS
   GCS_PREFIX	saa	Préfixe des fichiers journaux
   STATE_KEY	saa/state.json	Chemin d'accès au fichier d'état
   API_KEY	your-api-key	Clé API Splunk Attack Analyzer
   API_BASE	https://app.twinwave.io	URL de base de l'API
   MAX_RECORDS	5000	Nombre maximal d'enregistrements par exécution
   PAGE_SIZE	100	Enregistrements par page
   LOOKBACK_HOURS	24	Période d'analyse initiale

10. Dans l'onglet Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

11. Accédez à l'onglet Paramètres dans Conteneurs :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.

12. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

13. Cliquez sur Créer.

14. Attendez que le service soit créé (1 à 2 minutes).

15. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

1. Saisissez main dans Point d'entrée de la fonction.

2. Dans l'éditeur de code intégré, créez deux fichiers :

   • Premier fichier : main.py:

     import functions_framework
     from google.cloud import storage
     import json
     import os
     import urllib3
     from datetime import datetime, timezone, timedelta
     import time
     
     # Initialize HTTP client with timeouts
     http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=30.0),
       retries=False,
     )
     
     # Initialize Storage client
     storage_client = storage.Client()
     
     # Environment variables
     GCS_BUCKET = os.environ.get('GCS_BUCKET')
     GCS_PREFIX = os.environ.get('GCS_PREFIX', 'saa')
     STATE_KEY = os.environ.get('STATE_KEY', 'saa/state.json')
     API_KEY = os.environ.get('API_KEY', '')
     API_BASE = os.environ.get('API_BASE', 'https://app.twinwave.io').rstrip('/')
     MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000'))
     PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
     LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))
     
     def parse_datetime(value: str) -> datetime:
       """Parse ISO datetime string to datetime object."""
       if value.endswith("Z"):
         value = value[:-1] + "+00:00"
       return datetime.fromisoformat(value)
     
     @functions_framework.cloud_event
     def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch Splunk Attack Analyzer logs and write to GCS.
     
       Args:
         cloud_event: CloudEvent object containing Pub/Sub message
       """
     
       if not all([GCS_BUCKET, API_KEY]):
         print('Error: Missing required environment variables')
         return
     
       try:
         bucket = storage_client.bucket(GCS_BUCKET)
     
         # Load state
         state = load_state(bucket, STATE_KEY)
     
         # Determine time window
         now = datetime.now(timezone.utc)
         last_time = None
     
         if isinstance(state, dict) and state.get("last_event_time"):
           try:
             last_time = parse_datetime(state["last_event_time"])
             last_time = last_time - timedelta(minutes=2)
           except Exception as e:
             print(f"Warning: Could not parse last_event_time: {e}")
     
         if last_time is None:
           last_time = now - timedelta(hours=LOOKBACK_HOURS)
     
         print(f"Fetching jobs from {last_time.isoformat()} to {now.isoformat()}")
     
         # Fetch completed jobs
         jobs, newest_event_time = fetch_jobs(
           start_time=last_time,
           end_time=now,
           page_size=PAGE_SIZE,
           max_records=MAX_RECORDS,
         )
     
         if not jobs:
           print("No new completed jobs found.")
           save_state(bucket, STATE_KEY, now.isoformat())
           return
     
         # Fetch forensics for each job
         all_records = []
         for job in jobs:
           job_id = job.get('id', '')
           if not job_id:
             continue
     
           forensics = fetch_forensics(job_id)
           if forensics:
             # Combine job metadata with forensics
             record = {
               'job': job,
               'forensics': forensics
             }
             all_records.append(record)
     
         if not all_records:
           print("No forensics data retrieved.")
           save_state(bucket, STATE_KEY, now.isoformat())
           return
     
         # Write to GCS as NDJSON
         timestamp = now.strftime('%Y%m%d_%H%M%S')
         object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
         blob = bucket.blob(object_key)
     
         ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in all_records]) + '\n'
         blob.upload_from_string(ndjson, content_type='application/x-ndjson')
     
         print(f"Wrote {len(all_records)} records to gs://{GCS_BUCKET}/{object_key}")
     
         if newest_event_time:
           save_state(bucket, STATE_KEY, newest_event_time)
         else:
           save_state(bucket, STATE_KEY, now.isoformat())
     
         print(f"Successfully processed {len(all_records)} records")
     
       except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise
     
     def load_state(bucket, key):
       """Load state from GCS."""
       try:
         blob = bucket.blob(key)
         if blob.exists():
           state_data = blob.download_as_text()
           return json.loads(state_data)
       except Exception as e:
         print(f"Warning: Could not load state: {e}")
     
       return {}
     
     def save_state(bucket, key, last_event_time_iso: str):
       """Save the last event timestamp to GCS state file."""
       try:
         state = {'last_event_time': last_event_time_iso}
         blob = bucket.blob(key)
         blob.upload_from_string(
           json.dumps(state, indent=2),
           content_type='application/json'
         )
         print(f"Saved state: last_event_time={last_event_time_iso}")
       except Exception as e:
         print(f"Warning: Could not save state: {e}")
     
     def fetch_jobs(start_time: datetime, end_time: datetime, page_size: int, max_records: int):
       """
       Fetch completed jobs from Splunk Attack Analyzer API with pagination and rate limiting.
     
       Args:
         start_time: Start time for job query
         end_time: End time for job query
         page_size: Number of records per page
         max_records: Maximum total records to fetch
     
       Returns:
         Tuple of (jobs list, newest_event_time ISO string)
       """
       endpoint = f"{API_BASE}/api/v1/jobs"
     
       headers = {
         'Authorization': f'Bearer {API_KEY}',
         'Accept': 'application/json',
         'User-Agent': 'GoogleSecOps-SAACollector/1.0'
       }
     
       records = []
       newest_time = None
       page_num = 0
       backoff = 1.0
       offset = 0
     
       while True:
         page_num += 1
     
         if len(records) >= max_records:
           print(f"Reached max_records limit ({max_records})")
           break
     
         current_limit = min(page_size, max_records - len(records))
         url = f"{endpoint}?done=true&limit={current_limit}&offset={offset}"
     
         try:
           response = http.request('GET', url, headers=headers)
     
           if response.status == 429:
             retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
             print(f"Rate limited (429). Retrying after {retry_after}s...")
             time.sleep(retry_after)
             backoff = min(backoff * 2, 30.0)
             continue
     
           backoff = 1.0
     
           if response.status != 200:
             print(f"HTTP Error: {response.status}")
             response_text = response.data.decode('utf-8')
             print(f"Response body: {response_text}")
             return [], None
     
           data = json.loads(response.data.decode('utf-8'))
     
           page_results = data.get('jobs', [])
     
           if not page_results:
             print(f"No more results (empty page)")
             break
     
           # Filter by time window
           filtered = []
           for job in page_results:
             created = job.get('created_at', '')
             if created:
               try:
                 job_time = parse_datetime(created)
                 if start_time <= job_time <= end_time:
                   filtered.append(job)
                   if newest_time is None or job_time > parse_datetime(newest_time):
                     newest_time = created
               except Exception as e:
                 print(f"Warning: Could not parse job time: {e}")
                 filtered.append(job)
     
           print(f"Page {page_num}: Retrieved {len(page_results)} jobs, {len(filtered)} in time window")
           records.extend(filtered)
     
           if len(page_results) < page_size:
             print(f"Reached last page (size={len(page_results)} < limit={page_size})")
             break
     
           offset += len(page_results)
     
         except Exception as e:
           print(f"Error fetching jobs: {e}")
           return [], None
     
       print(f"Retrieved {len(records)} total jobs from {page_num} pages")
       return records, newest_time
     
     def fetch_forensics(job_id: str):
       """
       Fetch normalized forensics for a specific job.
     
       Args:
         job_id: The job ID
     
       Returns:
         Forensics data dict or None
       """
       endpoint = f"{API_BASE}/api/v1/jobs/{job_id}/normalizedforensics"
     
       headers = {
         'Authorization': f'Bearer {API_KEY}',
         'Accept': 'application/json',
         'User-Agent': 'GoogleSecOps-SAACollector/1.0'
       }
     
       backoff = 1.0
       max_retries = 3
     
       for attempt in range(max_retries):
         try:
           response = http.request('GET', endpoint, headers=headers)
     
           if response.status == 429:
             retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
             print(f"Rate limited (429) on forensics for job {job_id}. Retrying after {retry_after}s...")
             time.sleep(retry_after)
             backoff = min(backoff * 2, 30.0)
             continue
     
           if response.status != 200:
             print(f"Warning: Could not fetch forensics for job {job_id}: HTTP {response.status}")
             return None
     
           return json.loads(response.data.decode('utf-8'))
     
         except Exception as e:
           print(f"Warning: Error fetching forensics for job {job_id}: {e}")
           if attempt < max_retries - 1:
             time.sleep(backoff)
             backoff = min(backoff * 2, 30.0)
             continue
           return None
     
       return None
     

   • Deuxième fichier : requirements.txt:

     functions-framework==3.*
     google-cloud-storage==2.*
     urllib3>=2.0.0
     

3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publiera des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenchera la fonction Cloud Run.

1. Dans la console GCP, accédez à Cloud Scheduler.
2. Cliquez sur Créer une tâche.

3. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom	saa-collector-hourly
   Région	Sélectionnez la même région que la fonction Cloud Run.
   Fréquence	0 * * * * (toutes les heures)
   Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
   Type de cible	Pub/Sub
   Sujet	Sélectionnez le thème saa-trigger.
   Corps du message	{} (objet JSON vide)

4. Cliquez sur Créer.

Options de fréquence de programmation

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les 5 minutes	*/5 * * * *	Volume élevé, faible latence
Toutes les 15 minutes	*/15 * * * *	Volume moyen
Toutes les heures	0 * * * *	Standard (recommandé)
Toutes les 6 heures	0 */6 * * *	Volume faible, traitement par lot
Tous les jours	0 0 * * *	Collecte de données historiques

Tester l'intégration

1. Dans la console Cloud Scheduler, recherchez votre job (saa-collector-hourly).
2. Cliquez sur Forcer l'exécution pour déclencher manuellement le DAG.
3. Patientez quelques secondes, puis accédez à Cloud Run > Services > saa-collector > Journaux.

4. Vérifiez que la fonction s'est exécutée correctement. Par exemple :

   Fetching jobs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
   Page 1: Retrieved X jobs, Y in time window
   Wrote Z records to gs://splunk-attack-analyzer-logs/saa/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed Z records
   

5. Vérifiez le bucket GCS (splunk-attack-analyzer-logs) pour confirmer que les journaux ont été écrits.

Si vous constatez des erreurs dans les journaux :

• HTTP 401 : vérifiez la clé API dans les variables d'environnement
• HTTP 403 : vérifiez que la clé API dispose des autorisations requises.
• HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle entre les tentatives.
• Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Configurer un flux dans Google SecOps pour ingérer les journaux Splunk Attack Analyzer

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Cliquez sur Configurer un flux unique.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Splunk Attack Analyzer Logs).
5. Sélectionnez Google Cloud Storage V2 comme Type de source.
6. Sélectionnez Splunk Attack Analyzer comme type de journal.

7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Copiez cette adresse e-mail. Vous en aurez besoin lors de la tâche suivante.

9. Cliquez sur Suivant.

10. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket de stockage : saisissez l'URI du bucket GCS avec le chemin d'accès au préfixe :

      gs://splunk-attack-analyzer-logs/saa/
      

      • Remplacez :
        • splunk-attack-analyzer-logs : nom de votre bucket GCS.
        • saa : préfixe/chemin d'accès au dossier facultatif où les journaux sont stockés (laisser vide pour la racine).

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.

      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours (180 jours par défaut).

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

11. Cliquez sur Suivant.

12. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom de votre bucket (splunk-attack-analyzer-logs).
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
   • Attribuer des rôles : sélectionnez Lecteur d'objets Storage.

6. Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
date	metadata.event_timestamp	Quand l'événement a eu lieu
deviceName	principal.hostname	Nom d'hôte du compte principal
messageid	metadata.id	Identifiant unique de l'événement
action	security_result.action	Action effectuée par le produit de sécurité
protocol	network.ip_protocol	Protocole IP
srcAddr	principal.ip	Adresse IP du principal
srcPort	principal.port	Numéro de port du principal
dstAddr	target.ip	Adresse IP de la cible
dstPort	target.port	Numéro de port de la cible
	metadata.event_type	Type d'événement
	metadata.product_name	Nom du produit
	metadata.vendor_name	Nom du fournisseur/de l'entreprise

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.