Mengumpulkan log Splunk Attack Analyzer
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Splunk Attack Analyzer ke Google Security Operations menggunakan Google Cloud Storage V2.
Splunk Attack Analyzer (sebelumnya TwinWave) adalah platform analisis ancaman otomatis yang mendeteksi phishing dan malware melalui analisis perilaku. Layanan ini menyediakan hasil tugas yang telah selesai dan data forensik yang dinormalisasi melalui REST API.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Project GCP dengan Cloud Storage API diaktifkan
- Izin untuk membuat dan mengelola bucket GCS
- Izin untuk mengelola kebijakan IAM di bucket GCS
- Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
- Akses istimewa ke Splunk Attack Analyzer dengan izin pembuatan kunci API
Membuat bucket Google Cloud Storage
- Buka Konsol Google Cloud.
- Pilih project Anda atau buat project baru.
- Di menu navigasi, buka Cloud Storage > Buckets.
- Klik Create bucket.
Berikan detail konfigurasi berikut:
Setelan Nilai Beri nama bucket Anda Masukkan nama yang unik secara global (misalnya, splunk-attack-analyzer-logs)Location type Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region) Location Pilih lokasi (misalnya, us-central1)Kelas penyimpanan Standar (direkomendasikan untuk log yang sering diakses) Access control Seragam (direkomendasikan) Alat perlindungan Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi Klik Create.
Mengumpulkan kredensial API Splunk Attack Analyzer
Buat Kunci API
- Login ke Splunk Attack Analyzer.
- Pilih nama pengguna Anda di sudut kanan atas, lalu pilih Kunci API.
- Klik + Kunci Baru.
- Masukkan nama deskriptif untuk kunci (misalnya,
Google Security Operations Integration). - Klik Create.
Salin dan simpan rahasia API yang ditampilkan di modal ke lokasi yang aman.
Verifikasi izin
Untuk memverifikasi bahwa kunci API memiliki akses yang diperlukan:
- Login ke Splunk Attack Analyzer.
- Pilih nama pengguna Anda di sudut kanan atas, lalu pilih Kunci API.
Pastikan kunci API tercantum dan aktif.
Menguji akses API
Uji kredensial Anda sebelum melanjutkan integrasi:
# Replace with your actual API key API_KEY="your-api-key" # Test API access - list completed jobs curl -v -H "Authorization: Bearer ${API_KEY}" \ "https://app.twinwave.io/api/v1/jobs?done=true&limit=1"
Buat akun layanan untuk Cloud Run Function
Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.
Membuat akun layanan
- Di GCP Console, buka IAM & Admin > Service Accounts.
- Klik Create Service Account.
- Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan
saa-collector-sa. - Deskripsi akun layanan: Masukkan
Service account for Cloud Run function to collect Splunk Attack Analyzer logs.
- Nama akun layanan: Masukkan
- Klik Create and Continue.
- Di bagian Grant this service account access to project, tambahkan peran berikut:
- Klik Pilih peran.
- Telusuri dan pilih Storage Object Admin.
- Klik + Add another role.
- Telusuri dan pilih Cloud Run Invoker.
- Klik + Add another role.
- Telusuri dan pilih Cloud Functions Invoker.
- Klik Lanjutkan.
- Klik Done.
Peran ini diperlukan untuk:
- Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
- Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
- Cloud Functions Invoker: Mengizinkan pemanggilan fungsi
Memberikan izin IAM pada bucket GCS
Beri akun layanan izin tulis di bucket GCS:
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda (misalnya,
splunk-attack-analyzer-logs). - Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
saa-collector-sa@your-project.iam.gserviceaccount.com). - Tetapkan peran: Pilih Storage Object Admin.
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
- Klik Simpan.
Membuat topik Pub/Sub
Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.
- Di Konsol GCP, buka Pub/Sub > Topics.
- Klik Create topic.
- Berikan detail konfigurasi berikut:
- ID Topik: Masukkan
saa-trigger. - Biarkan setelan lainnya menggunakan setelan default.
- ID Topik: Masukkan
- Klik Create.
Membuat fungsi Cloud Run untuk mengumpulkan log
Fungsi Cloud Run akan dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari Splunk Attack Analyzer API dan menuliskannya ke GCS.
- Di GCP Console, buka Cloud Run.
- Klik Create service.
- Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:
Setelan Nilai Nama layanan saa-collectorRegion Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)Runtime Pilih Python 3.12 atau yang lebih baru Di bagian Pemicu (opsional):
- Klik + Tambahkan pemicu.
- Pilih Cloud Pub/Sub.
- Di Select a Cloud Pub/Sub topic, pilih topik
saa-trigger. - Klik Simpan.
Di bagian Authentication:
- Pilih Wajibkan autentikasi.
- Periksa Identity and Access Management (IAM).
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih akun layanan
saa-collector-sa.
- Akun layanan: Pilih akun layanan
Buka tab Containers:
- Klik Variables & Secrets.
- Klik + Tambahkan variabel untuk setiap variabel lingkungan:
Nama Variabel Nilai Contoh Deskripsi GCS_BUCKETsplunk-attack-analyzer-logsNama bucket GCS GCS_PREFIXsaaAwalan untuk file log STATE_KEYsaa/state.jsonJalur file status API_KEYyour-api-keyKunci API Splunk Attack Analyzer API_BASEhttps://app.twinwave.ioURL dasar API MAX_RECORDS5000Jumlah maksimum data per proses PAGE_SIZE100Catatan per halaman LOOKBACK_HOURS24Periode lihat balik awal Scroll ke bawah di tab Variables & Secrets ke Requests:
- Waktu tunggu permintaan: Masukkan
600detik (10 menit).
- Waktu tunggu permintaan: Masukkan
Buka tab Setelan di Penampung:
- Di bagian Materi:
- Memori: Pilih 512 MiB atau yang lebih tinggi.
- CPU: Pilih 1.
- Di bagian Materi:
Di bagian Penskalaan revisi:
- Minimum number of instances: Masukkan
0. - Maximum number of instances: Masukkan
100(atau sesuaikan berdasarkan perkiraan beban).
- Minimum number of instances: Masukkan
Klik Create.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.
Menambahkan kode fungsi
- Masukkan main di Function entry point.
Di editor kode inline, buat dua file:
File pertama: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone, timedelta import time # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() # Environment variables GCS_BUCKET = os.environ.get('GCS_BUCKET') GCS_PREFIX = os.environ.get('GCS_PREFIX', 'saa') STATE_KEY = os.environ.get('STATE_KEY', 'saa/state.json') API_KEY = os.environ.get('API_KEY', '') API_BASE = os.environ.get('API_BASE', 'https://app.twinwave.io').rstrip('/') MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000')) PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100')) LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24')) def parse_datetime(value: str) -> datetime: """Parse ISO datetime string to datetime object.""" if value.endswith("Z"): value = value[:-1] + "+00:00" return datetime.fromisoformat(value) @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch Splunk Attack Analyzer logs and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ if not all([GCS_BUCKET, API_KEY]): print('Error: Missing required environment variables') return try: bucket = storage_client.bucket(GCS_BUCKET) # Load state state = load_state(bucket, STATE_KEY) # Determine time window now = datetime.now(timezone.utc) last_time = None if isinstance(state, dict) and state.get("last_event_time"): try: last_time = parse_datetime(state["last_event_time"]) last_time = last_time - timedelta(minutes=2) except Exception as e: print(f"Warning: Could not parse last_event_time: {e}") if last_time is None: last_time = now - timedelta(hours=LOOKBACK_HOURS) print(f"Fetching jobs from {last_time.isoformat()} to {now.isoformat()}") # Fetch completed jobs jobs, newest_event_time = fetch_jobs( start_time=last_time, end_time=now, page_size=PAGE_SIZE, max_records=MAX_RECORDS, ) if not jobs: print("No new completed jobs found.") save_state(bucket, STATE_KEY, now.isoformat()) return # Fetch forensics for each job all_records = [] for job in jobs: job_id = job.get('id', '') if not job_id: continue forensics = fetch_forensics(job_id) if forensics: # Combine job metadata with forensics record = { 'job': job, 'forensics': forensics } all_records.append(record) if not all_records: print("No forensics data retrieved.") save_state(bucket, STATE_KEY, now.isoformat()) return # Write to GCS as NDJSON timestamp = now.strftime('%Y%m%d_%H%M%S') object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson" blob = bucket.blob(object_key) ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in all_records]) + '\n' blob.upload_from_string(ndjson, content_type='application/x-ndjson') print(f"Wrote {len(all_records)} records to gs://{GCS_BUCKET}/{object_key}") if newest_event_time: save_state(bucket, STATE_KEY, newest_event_time) else: save_state(bucket, STATE_KEY, now.isoformat()) print(f"Successfully processed {len(all_records)} records") except Exception as e: print(f'Error processing logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f"Warning: Could not load state: {e}") return {} def save_state(bucket, key, last_event_time_iso: str): """Save the last event timestamp to GCS state file.""" try: state = {'last_event_time': last_event_time_iso} blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, indent=2), content_type='application/json' ) print(f"Saved state: last_event_time={last_event_time_iso}") except Exception as e: print(f"Warning: Could not save state: {e}") def fetch_jobs(start_time: datetime, end_time: datetime, page_size: int, max_records: int): """ Fetch completed jobs from Splunk Attack Analyzer API with pagination and rate limiting. Args: start_time: Start time for job query end_time: End time for job query page_size: Number of records per page max_records: Maximum total records to fetch Returns: Tuple of (jobs list, newest_event_time ISO string) """ endpoint = f"{API_BASE}/api/v1/jobs" headers = { 'Authorization': f'Bearer {API_KEY}', 'Accept': 'application/json', 'User-Agent': 'GoogleSecOps-SAACollector/1.0' } records = [] newest_time = None page_num = 0 backoff = 1.0 offset = 0 while True: page_num += 1 if len(records) >= max_records: print(f"Reached max_records limit ({max_records})") break current_limit = min(page_size, max_records - len(records)) url = f"{endpoint}?done=true&limit={current_limit}&offset={offset}" try: response = http.request('GET', url, headers=headers) if response.status == 429: retry_after = int(response.headers.get('Retry-After', str(int(backoff)))) print(f"Rate limited (429). Retrying after {retry_after}s...") time.sleep(retry_after) backoff = min(backoff * 2, 30.0) continue backoff = 1.0 if response.status != 200: print(f"HTTP Error: {response.status}") response_text = response.data.decode('utf-8') print(f"Response body: {response_text}") return [], None data = json.loads(response.data.decode('utf-8')) page_results = data.get('jobs', []) if not page_results: print(f"No more results (empty page)") break # Filter by time window filtered = [] for job in page_results: created = job.get('created_at', '') if created: try: job_time = parse_datetime(created) if start_time <= job_time <= end_time: filtered.append(job) if newest_time is None or job_time > parse_datetime(newest_time): newest_time = created except Exception as e: print(f"Warning: Could not parse job time: {e}") filtered.append(job) print(f"Page {page_num}: Retrieved {len(page_results)} jobs, {len(filtered)} in time window") records.extend(filtered) if len(page_results) < page_size: print(f"Reached last page (size={len(page_results)} < limit={page_size})") break offset += len(page_results) except Exception as e: print(f"Error fetching jobs: {e}") return [], None print(f"Retrieved {len(records)} total jobs from {page_num} pages") return records, newest_time def fetch_forensics(job_id: str): """ Fetch normalized forensics for a specific job. Args: job_id: The job ID Returns: Forensics data dict or None """ endpoint = f"{API_BASE}/api/v1/jobs/{job_id}/normalizedforensics" headers = { 'Authorization': f'Bearer {API_KEY}', 'Accept': 'application/json', 'User-Agent': 'GoogleSecOps-SAACollector/1.0' } backoff = 1.0 max_retries = 3 for attempt in range(max_retries): try: response = http.request('GET', endpoint, headers=headers) if response.status == 429: retry_after = int(response.headers.get('Retry-After', str(int(backoff)))) print(f"Rate limited (429) on forensics for job {job_id}. Retrying after {retry_after}s...") time.sleep(retry_after) backoff = min(backoff * 2, 30.0) continue if response.status != 200: print(f"Warning: Could not fetch forensics for job {job_id}: HTTP {response.status}") return None return json.loads(response.data.decode('utf-8')) except Exception as e: print(f"Warning: Error fetching forensics for job {job_id}: {e}") if attempt < max_retries - 1: time.sleep(backoff) backoff = min(backoff * 2, 30.0) continue return None return NoneFile kedua: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0
Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).
Buat tugas Cloud Scheduler
Cloud Scheduler akan memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.
- Di GCP Console, buka Cloud Scheduler.
- Klik Create Job.
Berikan detail konfigurasi berikut:
Setelan Nilai Nama saa-collector-hourlyRegion Pilih region yang sama dengan fungsi Cloud Run Frekuensi 0 * * * *(setiap jam, tepat pada waktunya)Zona Waktu Pilih zona waktu (UTC direkomendasikan) Jenis target Pub/Sub Topik Pilih topik saa-triggerIsi pesan {}(objek JSON kosong)Klik Create.
Opsi frekuensi jadwal
Pilih frekuensi berdasarkan volume log dan persyaratan latensi:
| Frekuensi | Ekspresi Cron | Kasus Penggunaan |
|---|---|---|
| Setiap 5 menit | */5 * * * * |
Volume tinggi, latensi rendah |
| Setiap 15 menit | */15 * * * * |
Volume sedang |
| Setiap jam | 0 * * * * |
Standar (direkomendasikan) |
| Setiap 6 jam | 0 */6 * * * |
Volume rendah, pemrosesan batch |
| Harian | 0 0 * * * |
Pengumpulan data historis |
Menguji integrasi
- Di konsol Cloud Scheduler, temukan tugas Anda (
saa-collector-hourly). - Klik Jalankan paksa untuk memicu secara manual.
- Tunggu beberapa detik, lalu buka Cloud Run > Services > saa-collector > Logs.
Pastikan fungsi berhasil dieksekusi. Cari:
Fetching jobs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00 Page 1: Retrieved X jobs, Y in time window Wrote Z records to gs://splunk-attack-analyzer-logs/saa/logs_YYYYMMDD_HHMMSS.ndjson Successfully processed Z recordsPeriksa bucket GCS (
splunk-attack-analyzer-logs) untuk mengonfirmasi bahwa log telah ditulis.
Jika Anda melihat error dalam log:
- HTTP 401: Periksa kunci API di variabel lingkungan
- HTTP 403: Verifikasi bahwa kunci API memiliki izin yang diperlukan
- HTTP 429: Pembatasan kecepatan - fungsi akan otomatis mencoba lagi dengan penundaan
- Variabel lingkungan tidak ada: Periksa apakah semua variabel yang diperlukan telah ditetapkan
Mengonfigurasi feed di Google SecOps untuk menyerap log Splunk Attack Analyzer
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
Splunk Attack Analyzer Logs). - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih Splunk Attack Analyzer sebagai Jenis log.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comSalin alamat email ini. Anda akan menggunakannya pada langkah berikutnya.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
gs://splunk-attack-analyzer-logs/saa/- Ganti:
splunk-attack-analyzer-logs: Nama bucket GCS Anda.saa: Awalan/jalur folder opsional tempat log disimpan (biarkan kosong untuk root).
- Ganti:
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
- Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
- Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
Usia File Maksimum: Menyertakan file yang dimodifikasi dalam beberapa hari terakhir (defaultnya adalah 180 hari).
Namespace aset: Namespace aset.
Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Memberikan izin IAM ke akun layanan Google SecOps
Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda (
splunk-attack-analyzer-logs). - Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| kapan | metadata.event_timestamp | Kapan peristiwa terjadi |
| deviceName | principal.hostname | Nama host prinsipal |
| messageid | metadata.id | ID unik untuk peristiwa |
| tindakan | security_result.action | Tindakan yang dilakukan oleh produk keamanan |
| protokol | network.ip_protocol | Protokol IP |
| srcAddr | principal.ip | Alamat IP kepala sekolah |
| srcPort | principal.port | Nomor port kepala sekolah |
| dstAddr | target.ip | Alamat IP target |
| dstPort | target.port | Nomor port target |
| metadata.event_type | Jenis acara | |
| metadata.product_name | Nama produk | |
| metadata.vendor_name | Nama vendor/perusahaan |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.