Raccogliere i log della piattaforma Swimlane

Supportato in:

Questo documento spiega come importare i log della piattaforma Swimlane in Google Security Operations utilizzando Google Cloud Storage. Swimlane Platform è una piattaforma di orchestrazione della sicurezza, automazione e risposta (SOAR) che fornisce funzionalità di logging di controllo per il monitoraggio delle attività degli utenti, delle modifiche alla configurazione e degli eventi di sistema in tutti gli account e i tenant.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Un progetto GCP con l'API Cloud Storage abilitata
  • Autorizzazioni per creare e gestire bucket GCS
  • Autorizzazioni per gestire le policy IAM nei bucket GCS
  • Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
  • Accesso con privilegi alla piattaforma Swimlane con autorizzazioni di amministratore dell'account per accedere ai log di controllo
  • URL dell'istanza della piattaforma Swimlane e credenziali dell'account

Raccogliere le credenziali della piattaforma Swimlane

Recuperare l'URL dell'istanza della piattaforma Swimlane

  1. Accedi alla tua istanza della piattaforma Swimlane.
  2. Prendi nota dell'URL dell'istanza dalla barra degli indirizzi del browser.
    • Formato: https://<region>.swimlane.app (ad esempio, https://us.swimlane.app o https://eu.swimlane.app)
    • Esempio: se accedi a Swimlane all'indirizzo https://us.swimlane.app/workspace, l'URL di base è https://us.swimlane.app

Crea token di accesso personale

  1. Accedi alla piattaforma Swimlane come amministratore dell'account.
  2. Vai a Opzioni del profilo.
  3. Fai clic su Profilo per aprire l'editor del profilo.
  4. Vai alla sezione Token di accesso personale.
  5. Fai clic su Genera token per creare un nuovo token di accesso personale.
  6. Copia immediatamente il token e conservalo in modo sicuro (non verrà mostrato di nuovo).

Recupera l'ID account

Se non conosci il tuo ID account, contatta l'amministratore di Swimlane. L'ID account è obbligatorio per il percorso dell'API Audit Log.

Registra i seguenti dettagli per l'integrazione:

  • Token di accesso personale (PAT): utilizzato nell'intestazione Private-Token per le chiamate API.
  • ID account: obbligatorio per il percorso dell'API Audit Log /api/public/audit/account/{ACCOUNT_ID}/auditlogs.
  • URL di base: il tuo dominio Swimlane (ad esempio, https://eu.swimlane.app, https://us.swimlane.app).

Verifica le autorizzazioni

Per verificare che il tuo account disponga delle autorizzazioni necessarie per accedere ai log di controllo:

  1. Accedi alla piattaforma Swimlane.
  2. Conferma di disporre dell'accesso amministrativo all'account.

  3. Contatta l'amministratore di Swimlane se non riesci ad accedere alle funzionalità del log di controllo.

Testare l'accesso API

  • Prima di procedere con l'integrazione, verifica che le credenziali API funzionino correttamente:

    # Replace with your actual credentials
SWIMLANE_BASE_URL="https://<region>.swimlane.app"
SWIMLANE_ACCOUNT_ID="<your-account-id>"
SWIMLANE_PAT_TOKEN="<your-personal-access-token>"

# Test API access
curl -v -X GET "${SWIMLANE_BASE_URL}/api/public/audit/account/${SWIMLANE_ACCOUNT_ID}/auditlogs?pageNumber=1&pageSize=10" \
  -H "Private-Token: ${SWIMLANE_PAT_TOKEN}" \
  -H "Accept: application/json"

Risposta prevista: HTTP 200 con JSON contenente i log di controllo.

Se ricevi errori:

  • HTTP 401: verifica che il token di accesso personale sia corretto
  • HTTP 403: verifica che il tuo account disponga delle autorizzazioni di amministratore dell'account
  • HTTP 404: verifica che l'ID account e l'URL di base siano corretti

Creazione di un bucket Google Cloud Storage

  1. Vai alla console Google Cloud.
  2. Seleziona il tuo progetto o creane uno nuovo.
  3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
  4. Fai clic su Crea bucket.

  5. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Assegna un nome al bucket Inserisci un nome univoco globale (ad esempio swimlane-audit).
    Tipo di località Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
    Località Seleziona la posizione (ad esempio, us-central1).
    Classe di archiviazione Standard (consigliato per i log a cui si accede di frequente)
    Controllo dell'accesso Uniforme (consigliato)
    Strumenti di protezione (Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

  6. Fai clic su Crea.

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

  1. Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
  2. Fai clic su Crea service account.
  3. Fornisci i seguenti dettagli di configurazione:
    • Nome del service account: inserisci swimlane-audit-collector-sa.
    • Descrizione service account: inserisci Service account for Cloud Run function to collect Swimlane Platform logs.
  4. Fai clic su Crea e continua.
  5. Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
    1. Fai clic su Seleziona un ruolo.
    2. Cerca e seleziona Amministratore oggetti di archiviazione.
    3. Fai clic su + Aggiungi un altro ruolo.
    4. Cerca e seleziona Cloud Run Invoker.
    5. Fai clic su + Aggiungi un altro ruolo.
    6. Cerca e seleziona Invoker di Cloud Functions.
  6. Fai clic su Continua.
  7. Fai clic su Fine.

Questi ruoli sono necessari per:

  • Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
  • Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
  • Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket.
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: inserisci l'email del service account (ad es. swimlane-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Assegna i ruoli: seleziona Storage Object Admin.
  6. Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

  1. Nella console GCP, vai a Pub/Sub > Argomenti.
  2. Fai clic su Crea argomento.
  3. Fornisci i seguenti dettagli di configurazione:
    • ID argomento: inserisci swimlane-audit-trigger.
    • Lascia le altre impostazioni sui valori predefiniti.
  4. Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Swimlane Platform e li scrive in GCS.

  1. Nella console GCP, vai a Cloud Run.
  2. Fai clic su Crea servizio.
  3. Seleziona Funzione (usa un editor in linea per creare una funzione).

  4. Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Nome servizio swimlane-audit-collector
    Regione Seleziona la regione corrispondente al tuo bucket GCS (ad esempio us-central1)
    Runtime Seleziona Python 3.12 o versioni successive

  5. Nella sezione Trigger (facoltativo):

    1. Fai clic su + Aggiungi trigger.
    2. Seleziona Cloud Pub/Sub.
    3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento Pub/Sub (swimlane-audit-trigger).
    4. Fai clic su Salva.

  6. Nella sezione Autenticazione:

    1. Seleziona Richiedi autenticazione.
    2. Controlla Identity and Access Management (IAM).

  7. Scorri verso il basso ed espandi Container, networking, sicurezza.

  8. Vai alla scheda Sicurezza:

    • Service account: seleziona il service account (swimlane-audit-collector-sa).

  9. Vai alla scheda Container:

    1. Fai clic su Variabili e secret.
    2. Fai clic su + Aggiungi variabile per ogni variabile di ambiente:
    Nome variabile Valore di esempio Descrizione
    GCS_BUCKET swimlane-audit Nome bucket GCS
    GCS_PREFIX swimlane/audit/ Prefisso per i file di log
    STATE_KEY swimlane/audit/state.json Percorso file di stato
    SWIMLANE_BASE_URL https://us.swimlane.app URL di base della piattaforma Swimlane
    SWIMLANE_PAT_TOKEN your-personal-access-token Token di accesso personale di Swimlane
    SWIMLANE_ACCOUNT_ID your-account-id Identificatore account Swimlane
    SWIMLANE_TENANT_LIST `` ID tenant separati da virgole (facoltativo, lascia vuoto per tutti i tenant)
    INCLUDE_ACCOUNT true Includi log a livello di account (vero/falso)
    PAGE_SIZE 100 Record per pagina (max 100)
    LOOKBACK_HOURS 24 Periodo di ricerca iniziale
    TIMEOUT 30 Timeout della richiesta API in secondi

  10. Nella sezione Variabili e secret, scorri verso il basso fino a Richieste:

    • Timeout richiesta: inserisci 600 secondi (10 minuti).

  11. Vai alla scheda Impostazioni:

    • Nella sezione Risorse:
      • Memoria: seleziona 512 MiB o un valore superiore.
      • CPU: seleziona 1.

  12. Nella sezione Scalabilità della revisione:

    • Numero minimo di istanze: inserisci 0.
    • Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).

  13. Fai clic su Crea.

  14. Attendi la creazione del servizio (1-2 minuti).

  15. Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

  1. Inserisci main in Entry point della funzione

  2. Nell'editor di codice incorporato, crea due file:

    • Primo file: main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import uuid
import gzip
import io

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'swimlane/audit/')
STATE_KEY = os.environ.get('STATE_KEY', 'swimlane/audit/state.json')
SWIMLANE_BASE_URL = os.environ.get('SWIMLANE_BASE_URL', '').rstrip('/')
SWIMLANE_PAT_TOKEN = os.environ.get('SWIMLANE_PAT_TOKEN')
SWIMLANE_ACCOUNT_ID = os.environ.get('SWIMLANE_ACCOUNT_ID')
SWIMLANE_TENANT_LIST = os.environ.get('SWIMLANE_TENANT_LIST', '')
INCLUDE_ACCOUNT = os.environ.get('INCLUDE_ACCOUNT', 'true').lower() == 'true'
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))
TIMEOUT = int(os.environ.get('TIMEOUT', '30'))

def parse_datetime(value: str) -> datetime:
    """Parse ISO datetime string to datetime object."""
    if value.endswith("Z"):
        value = value[:-1] + "+00:00"
    return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Swimlane Platform logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, SWIMLANE_BASE_URL, SWIMLANE_PAT_TOKEN, SWIMLANE_ACCOUNT_ID]):
        print('Error: Missing required environment variables (GCS_BUCKET, SWIMLANE_BASE_URL, SWIMLANE_PAT_TOKEN, SWIMLANE_ACCOUNT_ID)')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Determine time window
        now = datetime.now(timezone.utc)
        last_time = None

        if isinstance(state, dict) and state.get("last_event_time"):
            try:
                last_time = parse_datetime(state["last_event_time"])
                # Overlap by 2 minutes to catch any delayed events
                last_time = last_time - timedelta(minutes=2)
            except Exception as e:
                print(f"Warning: Could not parse last_event_time: {e}")

        if last_time is None:
            last_time = now - timedelta(hours=LOOKBACK_HOURS)

        print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")

        # Fetch logs
        records, newest_event_time = fetch_logs(
            base_url=SWIMLANE_BASE_URL,
            pat_token=SWIMLANE_PAT_TOKEN,
            account_id=SWIMLANE_ACCOUNT_ID,
            tenant_list=SWIMLANE_TENANT_LIST,
            include_account=INCLUDE_ACCOUNT,
            start_time=last_time,
            end_time=now,
            page_size=PAGE_SIZE,
        )

        if not records:
            print("No new log records found.")
            save_state(bucket, STATE_KEY, now.isoformat())
            return

        # Write to GCS as gzipped NDJSON
        timestamp = now.strftime('%Y%m%d_%H%M%S')
        object_key = f"{GCS_PREFIX}{now:%Y/%m/%d}/swimlane-audit-{uuid.uuid4()}.json.gz"

        buf = io.BytesIO()
        with gzip.GzipFile(fileobj=buf, mode='w') as gz:
            for record in records:
                gz.write((json.dumps(record, ensure_ascii=False) + '\n').encode())

        buf.seek(0)
        blob = bucket.blob(object_key)
        blob.upload_from_file(buf, content_type='application/gzip')

        print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

        # Update state with newest event time
        if newest_event_time:
            save_state(bucket, STATE_KEY, newest_event_time)
        else:
            save_state(bucket, STATE_KEY, now.isoformat())

        print(f"Successfully processed {len(records)} records")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    return {}

def save_state(bucket, key, last_event_time_iso: str):
    """Save the last event timestamp to GCS state file."""
    try:
        state = {
            'last_event_time': last_event_time_iso,
            'updated_at': datetime.now(timezone.utc).isoformat() + 'Z'
        }
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: last_event_time={last_event_time_iso}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

def fetch_logs(base_url: str, pat_token: str, account_id: str, tenant_list: str, include_account: bool, start_time: datetime, end_time: datetime, page_size: int):
    """
    Fetch logs from Swimlane Platform API with pagination and rate limiting.

    Args:
        base_url: Swimlane Platform base URL
        pat_token: Personal Access Token
        account_id: Swimlane account identifier
        tenant_list: Comma-separated tenant IDs (optional)
        include_account: Include account-level logs
        start_time: Start time for log query
        end_time: End time for log query
        page_size: Number of records per page (max 100)

    Returns:
        Tuple of (records list, newest_event_time ISO string)
    """

    endpoint = f"{base_url}/api/public/audit/account/{account_id}/auditlogs"

    headers = {
        'Private-Token': pat_token,
        'Accept': 'application/json',
        'Content-Type': 'application/json',
        'User-Agent': 'GoogleSecOps-SwimlaneCollector/1.0'
    }

    records = []
    newest_time = None
    page_num = 1
    backoff = 1.0

    while True:
        params = []
        params.append(f"pageNumber={page_num}")
        params.append(f"pageSize={min(page_size, 100)}")
        params.append(f"fromdate={start_time.isoformat()}")
        params.append(f"todate={end_time.isoformat()}")

        if tenant_list:
            params.append(f"tenantList={tenant_list}")

        params.append(f"includeAccount={'true' if include_account else 'false'}")

        url = f"{endpoint}?{'&'.join(params)}"

        try:
            response = http.request('GET', url, headers=headers, timeout=TIMEOUT)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status == 401:
                print(f"Authentication failed (401). Verify SWIMLANE_PAT_TOKEN is correct.")
                return [], None

            if response.status == 403:
                print(f"Access forbidden (403). Verify account has Account Admin permissions to access audit logs.")
                return [], None

            if response.status == 400:
                print(f"Bad request (400). Verify account_id and query parameters are correct.")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text}")
                return [], None

            if response.status != 200:
                print(f"HTTP Error: {response.status}")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text}")
                return [], None

            data = json.loads(response.data.decode('utf-8'))

            page_results = data.get('auditlogs', [])

            if not page_results:
                print(f"No more results (empty page)")
                break

            print(f"Page {page_num}: Retrieved {len(page_results)} events")
            records.extend(page_results)

            # Track newest event time
            for event in page_results:
                try:
                    event_time = event.get('eventTime') or event.get('EventTime')
                    if event_time:
                        if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                            newest_time = event_time
                except Exception as e:
                    print(f"Warning: Could not parse event time: {e}")

            # Check for more results
            has_next = data.get('next')
            total_count = data.get('totalCount', 0)

            if not has_next:
                print(f"Reached last page (no next link)")
                break

            # Check if we've hit the 10,000 log limit
            if total_count > 10000 and len(records) >= 10000:
                print(f"Warning: Reached Swimlane API limit of 10,000 logs. Consider narrowing the time range.")
                break

            page_num += 1

        except Exception as e:
            print(f"Error fetching logs: {e}")
            return [], None

    print(f"Retrieved {len(records)} total records from {page_num} pages")
    return records, newest_time
    • Secondo file: requirements.txt::
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.

  4. Attendi il completamento del deployment (2-3 minuti).

Crea job Cloud Scheduler

Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

  1. Nella console di GCP, vai a Cloud Scheduler.
  2. Fai clic su Crea job.

  3. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Nome swimlane-audit-schedule-15min
    Regione Seleziona la stessa regione della funzione Cloud Run
    Frequenza */15 * * * * (ogni 15 minuti)
    Fuso orario Seleziona il fuso orario (UTC consigliato)
    Tipo di target Pub/Sub
    Argomento Seleziona l'argomento Pub/Sub (swimlane-audit-trigger)
    Corpo del messaggio {} (oggetto JSON vuoto)

  4. Fai clic su Crea.

Opzioni di frequenza di pianificazione

  • Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

    Frequenza Espressione cron Caso d'uso
    Ogni 5 minuti */5 * * * * Volume elevato, bassa latenza
    Ogni 15 minuti */15 * * * * Standard (consigliato)
    Ogni ora 0 * * * * Volume medio
    Ogni 6 ore 0 */6 * * * Volume basso, elaborazione batch
    Ogni giorno 0 0 * * * Raccolta dei dati storici

Testare l'integrazione

  1. Nella console Cloud Scheduler, trova il job.
  2. Fai clic su Forza esecuzione per attivare il job manualmente.
  3. Aspetta alcuni secondi.
  4. Vai a Cloud Run > Servizi.
  5. Fai clic sul nome della funzione (swimlane-audit-collector).
  6. Fai clic sulla scheda Log.

  7. Verifica che la funzione sia stata eseguita correttamente. Cerca quanto segue:

    Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X records to gs://bucket-name/swimlane/audit/YYYY/MM/DD/swimlane-audit-UUID.json.gz
Successfully processed X records

  8. Vai a Cloud Storage > Bucket.

  9. Fai clic sul nome del bucket.

  10. Vai alla cartella del prefisso (swimlane/audit/).

  11. Verifica che sia stato creato un nuovo file .json.gz con il timestamp corrente.

Se visualizzi errori nei log:

  • HTTP 401: controlla SWIMLANE_PAT_TOKEN nelle variabili di ambiente e verifica che il token di accesso personale sia corretto
  • HTTP 403: verifica che l'account disponga delle autorizzazioni di amministratore dell'account per accedere ai log di controllo
  • HTTP 400: verifica che SWIMLANE_ACCOUNT_ID sia corretto e che i parametri di query siano validi
  • HTTP 404: verifica che SWIMLANE_BASE_URL e il percorso dell'endpoint API siano corretti
  • HTTP 429: limitazione della frequenza: la funzione riproverà automaticamente con backoff
  • Variabili di ambiente mancanti: verifica che tutte le variabili richieste siano impostate (GCS_BUCKET, SWIMLANE_BASE_URL, SWIMLANE_PAT_TOKEN, SWIMLANE_ACCOUNT_ID)
  • Errori di connessione: verifica la connettività di rete alla piattaforma Swimlane e le regole firewall
  • Avviso relativo al limite di 10.000 log: riduci LOOKBACK_HOURS o aumenta la frequenza di Cloud Scheduler per rispettare il limite dell'API Swimlane

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Swimlane Platform logs).
  5. Seleziona Google Cloud Storage V2 come Tipo di origine.
  6. Seleziona Swimlane Platform come Tipo di log.

  7. Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket.
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: incolla l'email del service account Google SecOps.
    • Assegna i ruoli: seleziona Visualizzatore oggetti Storage.

  6. Fai clic su Salva.

Configura un feed in Google SecOps per importare i log della piattaforma Swimlane

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Swimlane Platform logs).
  5. Seleziona Google Cloud Storage V2 come Tipo di origine.
  6. Seleziona Swimlane Platform come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:

      gs://swimlane-audit/swimlane/audit/

      • Sostituisci:

        • swimlane-audit: il nome del bucket GCS.
        • swimlane/audit/: il percorso del prefisso/della cartella in cui sono archiviati i log.

    • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
      • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.

      • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.