Collecter les journaux de la plate-forme Swimlane

Compatible avec :

Ce document explique comment ingérer les journaux de la plate-forme Swimlane dans Google Security Operations à l'aide de Google Cloud Storage. La plate-forme Swimlane est une plate-forme d'orchestration, d'automatisation et de réponse de sécurité (SOAR, security orchestration, automation, and response) qui fournit des fonctionnalités de journalisation d'audit pour suivre les activités des utilisateurs, les modifications de configuration et les événements système dans les comptes et les locataires.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Une instance Google SecOps
  • Un projet GCP avec l'API Cloud Storage activée
  • Autorisations pour créer et gérer des buckets GCS
  • Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
  • Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
  • Accès privilégié à la plate-forme Swimlane avec les autorisations d'administrateur de compte pour accéder aux journaux d'audit
  • URL de l'instance de la plate-forme Swimlane et identifiants du compte

Collecter les identifiants de la plate-forme Swimlane

Obtenir l'URL de l'instance Swimlane Platform

  1. Connectez-vous à votre instance Swimlane Platform.
  2. Notez l'URL de votre instance dans la barre d'adresse du navigateur.
    • Format : https://<region>.swimlane.app (par exemple, https://us.swimlane.app ou https://eu.swimlane.app)
    • Exemple : Si vous accédez à Swimlane à l'adresse https://us.swimlane.app/workspace, votre URL de base est https://us.swimlane.app.

Créer un jeton d'accès personnel

  1. Connectez-vous à la plate-forme Swimlane en tant qu'administrateur de compte.
  2. Accédez à Options du profil.
  3. Cliquez sur Profil pour ouvrir l'éditeur de profil.
  4. Accédez à la section Personal Access Token (Jeton d'accès personnel).
  5. Cliquez sur Générer un jeton pour créer un jeton d'accès personnel.
  6. Copiez immédiatement le jeton et stockez-le en lieu sûr (il ne s'affichera plus).

Obtenir l'ID de compte

Contactez votre administrateur Swimlane si vous ne connaissez pas votre ID de compte. L'ID de compte est obligatoire pour le chemin d'accès à l'API du journal d'audit.

Notez les informations suivantes sur l'intégration :

  • Jeton d'accès personnel (PAT) : utilisé dans l'en-tête Private-Token pour les appels d'API.
  • ID du compte : obligatoire pour le chemin d'accès à l'API Audit Log /api/public/audit/account/{ACCOUNT_ID}/auditlogs.
  • URL de base : votre domaine Swimlane (par exemple, https://eu.swimlane.app, https://us.swimlane.app).

Vérifier les autorisations

Pour vérifier que votre compte dispose des autorisations requises pour accéder aux journaux d'audit :

  1. Connectez-vous à la plate-forme Swimlane.
  2. Vérifiez que vous disposez d'un accès administrateur au compte.

  3. Contactez votre administrateur Swimlane si vous ne pouvez pas accéder aux fonctionnalités de journaux d'audit.

Tester l'accès à l'API

  • Avant de procéder à l'intégration, vérifiez que vos identifiants API fonctionnent correctement :

    # Replace with your actual credentials
SWIMLANE_BASE_URL="https://<region>.swimlane.app"
SWIMLANE_ACCOUNT_ID="<your-account-id>"
SWIMLANE_PAT_TOKEN="<your-personal-access-token>"

# Test API access
curl -v -X GET "${SWIMLANE_BASE_URL}/api/public/audit/account/${SWIMLANE_ACCOUNT_ID}/auditlogs?pageNumber=1&pageSize=10" \
  -H "Private-Token: ${SWIMLANE_PAT_TOKEN}" \
  -H "Accept: application/json"

Réponse attendue : HTTP 200 avec un fichier JSON contenant les journaux d'audit.

Si vous recevez des messages d'erreur :

  • HTTP 401 : vérifiez que votre jeton d'accès personnel est correct.
  • HTTP 403 : vérifiez que votre compte dispose des autorisations d'administrateur du compte
  • HTTP 404 : vérifiez que l'ID de compte et l'URL de base sont corrects.

Créer un bucket Google Cloud Storage

  1. Accédez à la console Google Cloud.
  2. Sélectionnez votre projet ou créez-en un.
  3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
  4. Cliquez sur Créer un bucket.

  5. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nommer votre bucket Saisissez un nom unique (par exemple, swimlane-audit).
    Type d'emplacement Choisissez en fonction de vos besoins (région, birégion ou multirégion).
    Emplacement Sélectionnez l'emplacement (par exemple, us-central1).
    Classe de stockage Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
    Access control (Contrôle des accès) Uniforme (recommandé)
    Outils de protection Facultatif : Activer la gestion des versions des objets ou la règle de conservation

  6. Cliquez sur Créer.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

  1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
  2. Cliquez sur Créer un compte de service.
  3. Fournissez les informations de configuration suivantes :
    • Nom du compte de service : saisissez swimlane-audit-collector-sa.
    • Description du compte de service : saisissez Service account for Cloud Run function to collect Swimlane Platform logs.
  4. Cliquez sur Créer et continuer.
  5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
    1. Cliquez sur Sélectionner un rôle.
    2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
    3. Cliquez sur + Ajouter un autre rôle.
    4. Recherchez et sélectionnez Demandeur Cloud Run.
    5. Cliquez sur + Ajouter un autre rôle.
    6. Recherchez et sélectionnez Demandeur Cloud Functions.
  6. Cliquez sur Continuer.
  7. Cliquez sur OK.

Ces rôles sont requis pour :

  • Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
  • Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
  • Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket.
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, swimlane-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
  6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

  1. Dans la console GCP, accédez à Pub/Sub > Sujets.
  2. Cliquez sur Create topic (Créer un sujet).
  3. Fournissez les informations de configuration suivantes :
    • ID du sujet : saisissez swimlane-audit-trigger.
    • Conservez les valeurs par défaut des autres paramètres.
  4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run est déclenchée par des messages Pub/Sub provenant de Cloud Scheduler pour extraire les journaux de l'API Swimlane Platform et les écrire dans GCS.

  1. Dans la console GCP, accédez à Cloud Run.
  2. Cliquez sur Créer un service.
  3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

  4. Dans la section Configurer, fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom du service swimlane-audit-collector
    Région Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
    Runtime (durée d'exécution) Sélectionnez Python 3.12 ou version ultérieure.

  5. Dans la section Déclencheur (facultatif) :

    1. Cliquez sur + Ajouter un déclencheur.
    2. Sélectionnez Cloud Pub/Sub.
    3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet Pub/Sub (swimlane-audit-trigger).
    4. Cliquez sur Enregistrer.

  6. Dans la section Authentification :

    1. Sélectionnez Exiger l'authentification.
    2. Consultez Identity and Access Management (IAM).

  7. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.

  8. Accédez à l'onglet Sécurité :

    • Compte de service : sélectionnez le compte de service (swimlane-audit-collector-sa).

  9. Accédez à l'onglet Conteneurs :

    1. Cliquez sur Variables et secrets.
    2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :
    Nom de la variable Exemple de valeur Description
    GCS_BUCKET swimlane-audit Nom du bucket GCS
    GCS_PREFIX swimlane/audit/ Préfixe des fichiers journaux
    STATE_KEY swimlane/audit/state.json Chemin d'accès au fichier d'état
    SWIMLANE_BASE_URL https://us.swimlane.app URL de base de la plate-forme Swimlane
    SWIMLANE_PAT_TOKEN your-personal-access-token Jeton d'accès personnel Swimlane
    SWIMLANE_ACCOUNT_ID your-account-id Identifiant de compte Swimlane
    SWIMLANE_TENANT_LIST `` ID de locataires séparés par une virgule (facultatif, laisser vide pour tous les locataires)
    INCLUDE_ACCOUNT true Inclure les journaux au niveau du compte (vrai/faux)
    PAGE_SIZE 100 Enregistrements par page (100 max.)
    LOOKBACK_HOURS 24 Période d'analyse initiale
    TIMEOUT 30 Délai avant expiration des requêtes API (en secondes)

  10. Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

  11. Accédez à l'onglet Paramètres :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.

  12. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

  13. Cliquez sur Créer.

  14. Attendez que le service soit créé (1 à 2 minutes).

  15. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

  1. Saisissez main dans Point d'entrée de la fonction.

  2. Dans l'éditeur de code intégré, créez deux fichiers :

    • Premier fichier : main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import uuid
import gzip
import io

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'swimlane/audit/')
STATE_KEY = os.environ.get('STATE_KEY', 'swimlane/audit/state.json')
SWIMLANE_BASE_URL = os.environ.get('SWIMLANE_BASE_URL', '').rstrip('/')
SWIMLANE_PAT_TOKEN = os.environ.get('SWIMLANE_PAT_TOKEN')
SWIMLANE_ACCOUNT_ID = os.environ.get('SWIMLANE_ACCOUNT_ID')
SWIMLANE_TENANT_LIST = os.environ.get('SWIMLANE_TENANT_LIST', '')
INCLUDE_ACCOUNT = os.environ.get('INCLUDE_ACCOUNT', 'true').lower() == 'true'
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))
TIMEOUT = int(os.environ.get('TIMEOUT', '30'))

def parse_datetime(value: str) -> datetime:
    """Parse ISO datetime string to datetime object."""
    if value.endswith("Z"):
        value = value[:-1] + "+00:00"
    return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Swimlane Platform logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, SWIMLANE_BASE_URL, SWIMLANE_PAT_TOKEN, SWIMLANE_ACCOUNT_ID]):
        print('Error: Missing required environment variables (GCS_BUCKET, SWIMLANE_BASE_URL, SWIMLANE_PAT_TOKEN, SWIMLANE_ACCOUNT_ID)')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Determine time window
        now = datetime.now(timezone.utc)
        last_time = None

        if isinstance(state, dict) and state.get("last_event_time"):
            try:
                last_time = parse_datetime(state["last_event_time"])
                # Overlap by 2 minutes to catch any delayed events
                last_time = last_time - timedelta(minutes=2)
            except Exception as e:
                print(f"Warning: Could not parse last_event_time: {e}")

        if last_time is None:
            last_time = now - timedelta(hours=LOOKBACK_HOURS)

        print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")

        # Fetch logs
        records, newest_event_time = fetch_logs(
            base_url=SWIMLANE_BASE_URL,
            pat_token=SWIMLANE_PAT_TOKEN,
            account_id=SWIMLANE_ACCOUNT_ID,
            tenant_list=SWIMLANE_TENANT_LIST,
            include_account=INCLUDE_ACCOUNT,
            start_time=last_time,
            end_time=now,
            page_size=PAGE_SIZE,
        )

        if not records:
            print("No new log records found.")
            save_state(bucket, STATE_KEY, now.isoformat())
            return

        # Write to GCS as gzipped NDJSON
        timestamp = now.strftime('%Y%m%d_%H%M%S')
        object_key = f"{GCS_PREFIX}{now:%Y/%m/%d}/swimlane-audit-{uuid.uuid4()}.json.gz"

        buf = io.BytesIO()
        with gzip.GzipFile(fileobj=buf, mode='w') as gz:
            for record in records:
                gz.write((json.dumps(record, ensure_ascii=False) + '\n').encode())

        buf.seek(0)
        blob = bucket.blob(object_key)
        blob.upload_from_file(buf, content_type='application/gzip')

        print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

        # Update state with newest event time
        if newest_event_time:
            save_state(bucket, STATE_KEY, newest_event_time)
        else:
            save_state(bucket, STATE_KEY, now.isoformat())

        print(f"Successfully processed {len(records)} records")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    return {}

def save_state(bucket, key, last_event_time_iso: str):
    """Save the last event timestamp to GCS state file."""
    try:
        state = {
            'last_event_time': last_event_time_iso,
            'updated_at': datetime.now(timezone.utc).isoformat() + 'Z'
        }
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: last_event_time={last_event_time_iso}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

def fetch_logs(base_url: str, pat_token: str, account_id: str, tenant_list: str, include_account: bool, start_time: datetime, end_time: datetime, page_size: int):
    """
    Fetch logs from Swimlane Platform API with pagination and rate limiting.

    Args:
        base_url: Swimlane Platform base URL
        pat_token: Personal Access Token
        account_id: Swimlane account identifier
        tenant_list: Comma-separated tenant IDs (optional)
        include_account: Include account-level logs
        start_time: Start time for log query
        end_time: End time for log query
        page_size: Number of records per page (max 100)

    Returns:
        Tuple of (records list, newest_event_time ISO string)
    """

    endpoint = f"{base_url}/api/public/audit/account/{account_id}/auditlogs"

    headers = {
        'Private-Token': pat_token,
        'Accept': 'application/json',
        'Content-Type': 'application/json',
        'User-Agent': 'GoogleSecOps-SwimlaneCollector/1.0'
    }

    records = []
    newest_time = None
    page_num = 1
    backoff = 1.0

    while True:
        params = []
        params.append(f"pageNumber={page_num}")
        params.append(f"pageSize={min(page_size, 100)}")
        params.append(f"fromdate={start_time.isoformat()}")
        params.append(f"todate={end_time.isoformat()}")

        if tenant_list:
            params.append(f"tenantList={tenant_list}")

        params.append(f"includeAccount={'true' if include_account else 'false'}")

        url = f"{endpoint}?{'&'.join(params)}"

        try:
            response = http.request('GET', url, headers=headers, timeout=TIMEOUT)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status == 401:
                print(f"Authentication failed (401). Verify SWIMLANE_PAT_TOKEN is correct.")
                return [], None

            if response.status == 403:
                print(f"Access forbidden (403). Verify account has Account Admin permissions to access audit logs.")
                return [], None

            if response.status == 400:
                print(f"Bad request (400). Verify account_id and query parameters are correct.")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text}")
                return [], None

            if response.status != 200:
                print(f"HTTP Error: {response.status}")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text}")
                return [], None

            data = json.loads(response.data.decode('utf-8'))

            page_results = data.get('auditlogs', [])

            if not page_results:
                print(f"No more results (empty page)")
                break

            print(f"Page {page_num}: Retrieved {len(page_results)} events")
            records.extend(page_results)

            # Track newest event time
            for event in page_results:
                try:
                    event_time = event.get('eventTime') or event.get('EventTime')
                    if event_time:
                        if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                            newest_time = event_time
                except Exception as e:
                    print(f"Warning: Could not parse event time: {e}")

            # Check for more results
            has_next = data.get('next')
            total_count = data.get('totalCount', 0)

            if not has_next:
                print(f"Reached last page (no next link)")
                break

            # Check if we've hit the 10,000 log limit
            if total_count > 10000 and len(records) >= 10000:
                print(f"Warning: Reached Swimlane API limit of 10,000 logs. Consider narrowing the time range.")
                break

            page_num += 1

        except Exception as e:
            print(f"Error fetching logs: {e}")
            return [], None

    print(f"Retrieved {len(records)} total records from {page_num} pages")
    return records, newest_time
    • Deuxième fichier : requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

  4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

  1. Dans la console GCP, accédez à Cloud Scheduler.
  2. Cliquez sur Créer une tâche.

  3. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom swimlane-audit-schedule-15min
    Région Sélectionnez la même région que la fonction Cloud Run.
    Fréquence */15 * * * * (toutes les 15 minutes)
    Fuseau horaire Sélectionnez un fuseau horaire (UTC recommandé).
    Type de cible Pub/Sub
    Topic Sélectionnez le sujet Pub/Sub (swimlane-audit-trigger).
    Corps du message {} (objet JSON vide)

  4. Cliquez sur Créer.

Options de fréquence de planification

  • Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

    Fréquence Expression Cron Cas d'utilisation
    Toutes les 5 minutes */5 * * * * Volume élevé, faible latence
    Toutes les 15 minutes */15 * * * * Standard (recommandé)
    Toutes les heures 0 * * * * Volume moyen
    Toutes les 6 heures 0 */6 * * * Traitement par lot à faible volume
    Tous les jours 0 0 * * * Collecte de données historiques

Tester l'intégration

  1. Dans la console Cloud Scheduler, recherchez votre job.
  2. Cliquez sur Exécuter de force pour déclencher le job manuellement.
  3. Patientez pendant quelques secondes.
  4. Accédez à Cloud Run > Services.
  5. Cliquez sur le nom de votre fonction (swimlane-audit-collector).
  6. Cliquez sur l'onglet Journaux.

  7. Vérifiez que la fonction s'est exécutée correctement. Recherchez les éléments suivants :

    Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X records to gs://bucket-name/swimlane/audit/YYYY/MM/DD/swimlane-audit-UUID.json.gz
Successfully processed X records

  8. Accédez à Cloud Storage > Buckets.

  9. Cliquez sur le nom de votre bucket.

  10. Accédez au dossier de préfixe (swimlane/audit/).

  11. Vérifiez qu'un fichier .json.gz a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

  • HTTP 401 : vérifiez SWIMLANE_PAT_TOKEN dans les variables d'environnement et assurez-vous que le jeton d'accès personnel est correct.
  • HTTP 403 : vérifiez que le compte dispose des autorisations d'administrateur de compte pour accéder aux journaux d'audit.
  • HTTP 400 : vérifiez que SWIMLANE_ACCOUNT_ID est correct et que les paramètres de requête sont valides.
  • HTTP 404 : vérifiez que SWIMLANE_BASE_URL et le chemin d'accès au point de terminaison de l'API sont corrects.
  • HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle de temps.
  • Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies (GCS_BUCKET, SWIMLANE_BASE_URL, SWIMLANE_PAT_TOKEN, SWIMLANE_ACCOUNT_ID).
  • Erreurs de connexion : vérifiez la connectivité réseau à la plate-forme Swimlane et les règles de pare-feu.
  • Avertissement concernant la limite de 10 000 journaux : réduisez LOOKBACK_HOURS ou augmentez la fréquence de Cloud Scheduler pour respecter la limite de l'API Swimlane.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Swimlane Platform logs).
  5. Sélectionnez Google Cloud Storage V2 comme Type de source.
  6. Sélectionnez Swimlane Platform comme Type de journal.

  7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket.
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
    • Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.

  6. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux de la plate-forme Swimlane

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Swimlane Platform logs).
  5. Sélectionnez Google Cloud Storage V2 comme Type de source.
  6. Sélectionnez Swimlane Platform comme Type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :

      gs://swimlane-audit/swimlane/audit/

      • Remplacez :

        • swimlane-audit : nom de votre bucket GCS.
        • swimlane/audit/ : préfixe/chemin d'accès au dossier dans lequel les journaux sont stockés.

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.

      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.