Raccogliere i log di controllo di Tines

Questo documento spiega come importare i log di controllo di Tines in Google Security Operations utilizzando Google Cloud Storage.

Tines è una piattaforma di automazione no-code che consente ai team di sicurezza di creare flussi di lavoro e automatizzare le operazioni di sicurezza. I log di controllo di Tines forniscono visibilità sulle azioni degli utenti, sulle modifiche alla configurazione e sugli eventi di sistema all'interno della piattaforma Tines.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

• Un'istanza Google SecOps
• Un progetto GCP con l'API Cloud Storage abilitata
• Autorizzazioni per creare e gestire bucket GCS
• Autorizzazioni per gestire le policy IAM nei bucket GCS
• Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
• Accesso privilegiato a Tines

Recuperare l'URL di Tines

1. Nel browser, apri l'interfaccia utente di Tines per il tuo tenant.
2. Copia il dominio dalla barra degli indirizzi. Lo utilizzerai come TINES_BASE_URL.
3. Formato: https://<tenant-domain> (ad esempio, https://<tenant-domain>.tines.com).

Crea una chiave API del servizio Tines (consigliata) o una chiave API personale

Valori da salvare per i passaggi successivi:

• TINES_BASE_URL. Ad esempio, https://<domain>.tines.com
• TINES_API_KEY: il token che crei nei passaggi successivi

Opzione 1: chiave API del servizio (consigliata)

1. Vai al menu di navigazione > Chiavi API.
2. Fai clic su + Nuova chiave.
3. Seleziona Chiave API del servizio.
4. Inserisci un nome descrittivo (ad esempio, SecOps Audit Logs).
5. Fai clic su Crea.
6. Copia immediatamente il token generato e salvalo in modo sicuro. Lo utilizzerai come TINES_API_KEY.

Opzione 2: chiave API personale (se le chiavi di servizio non sono disponibili)

1. Vai al menu di navigazione > Chiavi API.
2. Fai clic su + Nuova chiave.
3. Seleziona Chiave API personale.
4. Inserisci un nome descrittivo.
5. Fai clic su Crea.

6. Copia il token generato e salvalo in modo sicuro.

Concedi l'autorizzazione di lettura degli audit log

1. Accedi come proprietario del tenant (o chiedi a un proprietario di farlo).
2. Vai a Impostazioni > Amministratore > Amministrazione utenti (o fai clic sul nome del tuo team nel menu in alto a sinistra e seleziona Utenti).
3. Trova l'utente del service account associato alla tua chiave API di servizio (avrà lo stesso nome della tua chiave API). Se utilizzi una chiave API personale, trova invece il tuo account utente.
4. Fai clic sull'utente per aprire il suo profilo.
5. Nella sezione Tenant permissions (Autorizzazioni tenant), attiva AUDIT_LOG_READ.
6. Fai clic su Salva.

Verifica le autorizzazioni

Per verificare che l'account disponga delle autorizzazioni richieste:

1. Accedi a Tines.
2. Vai a Impostazioni > Monitoraggio > Log di controllo.
3. Se riesci a visualizzare le voci di audit log, disponi delle autorizzazioni necessarie.
4. Se non riesci a visualizzare questa opzione, contatta il proprietario del tenant per concedere l'autorizzazione AUDIT_LOG_READ.

Testare l'accesso API

• Verifica le tue credenziali prima di procedere con l'integrazione:

  # Replace with your actual credentials
  TINES_BASE_URL="https://<tenant-domain>.tines.com"
  TINES_API_KEY="<your-api-key>"
  
  # Test API access
  curl -X GET "${TINES_BASE_URL}/api/v1/audit_logs?per_page=1" \
    -H "Authorization: Bearer ${TINES_API_KEY}" \
    -H "Content-Type: application/json"
  

Dovresti ricevere una risposta JSON con le voci del log di controllo.

Creazione di un bucket Google Cloud Storage

1. Vai alla console Google Cloud.
2. Seleziona il tuo progetto o creane uno nuovo.
3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
4. Fai clic su Crea bucket.

5. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio tines-audit-logs).
   Tipo di località	Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
   Località	Seleziona la posizione (ad esempio, us-central1).
   Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
   Controllo dell'accesso	Uniforme (consigliato)
   Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

6. Fai clic su Crea.

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

1. Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
2. Fai clic su Crea service account.
3. Fornisci i seguenti dettagli di configurazione:
   • Nome del service account: inserisci tines-audit-to-gcs-sa.
   • Descrizione service account: inserisci Service account for Cloud Run function to collect Tines Audit Logs.
4. Fai clic su Crea e continua.
5. Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
   1. Fai clic su Seleziona un ruolo.
   2. Cerca e seleziona Amministratore oggetti di archiviazione.
   3. Fai clic su + Aggiungi un altro ruolo.
   4. Cerca e seleziona Cloud Run Invoker.
   5. Fai clic su + Aggiungi un altro ruolo.
   6. Cerca e seleziona Invoker di Cloud Functions.
6. Fai clic su Continua.
7. Fai clic su Fine.

Questi ruoli sono necessari per:

• Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
• Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
• Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

1. Vai a Cloud Storage > Bucket.
2. Fai clic sul nome del bucket.
3. Vai alla scheda Autorizzazioni.
4. Fai clic su Concedi l'accesso.
5. Fornisci i seguenti dettagli di configurazione:
   • Aggiungi entità: inserisci l'email del service account (ad es. tines-audit-to-gcs-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Assegna i ruoli: seleziona Storage Object Admin.
6. Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

1. Nella console GCP, vai a Pub/Sub > Argomenti.
2. Fai clic su Crea argomento.
3. Fornisci i seguenti dettagli di configurazione:
   • ID argomento: inserisci tines-audit-trigger.
   • Lascia le altre impostazioni sui valori predefiniti.
4. Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Tines e scriverli in GCS.

1. Nella console GCP, vai a Cloud Run.
2. Fai clic su Crea servizio.
3. Seleziona Funzione (usa un editor in linea per creare una funzione).

4. Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Nome servizio	tines-audit-to-gcs
   Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio us-central1)
   Runtime	Seleziona Python 3.12 o versioni successive

5. Nella sezione Trigger (facoltativo):

   1. Fai clic su + Aggiungi trigger.
   2. Seleziona Cloud Pub/Sub.
   3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento Pub/Sub (tines-audit-trigger).
   4. Fai clic su Salva.

6. Nella sezione Autenticazione:

   1. Seleziona Richiedi autenticazione.
   2. Controlla Identity and Access Management (IAM).

7. Scorri verso il basso ed espandi Container, networking, sicurezza.

8. Vai alla scheda Sicurezza:

   • Service account: seleziona il service account (tines-audit-to-gcs-sa).

9. Vai alla scheda Container:

   1. Fai clic su Variabili e secret.
   2. Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

   Nome variabile	Valore di esempio	Descrizione
   GCS_BUCKET	tines-audit-logs	Nome bucket GCS
   GCS_PREFIX	tines/audit/	Prefisso per i file di log
   STATE_KEY	tines/audit/state.json	Percorso file di stato
   TINES_BASE_URL	https://your-tenant.tines.com	URL di base dell'API
   TINES_API_KEY	your-tines-api-key	Chiave API
   LOOKBACK_SECONDS	3600	Periodo di ricerca iniziale
   PAGE_SIZE	500	Record per pagina
   MAX_PAGES	20	Numero massimo di pagine per esecuzione
   HTTP_TIMEOUT	60	Timeout richiesta HTTP
   HTTP_RETRIES	3	Tentativi di ripetizione HTTP

10. Nella sezione Variabili e secret, scorri verso il basso fino a Richieste:

    • Timeout richiesta: inserisci 600 secondi (10 minuti).

11. Vai alla scheda Impostazioni:

    • Nella sezione Risorse:
      • Memoria: seleziona 512 MiB o un valore superiore.
      • CPU: seleziona 1.

12. Nella sezione Scalabilità della revisione:

    • Numero minimo di istanze: inserisci 0.
    • Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).

13. Fai clic su Crea.

14. Attendi la creazione del servizio (1-2 minuti).

15. Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

1. Inserisci main in Entry point della funzione

2. Nell'editor di codice incorporato, crea due file:

   • Primo file: main.py:

   import functions_framework
   from google.cloud import storage
   import json
   import os
   import urllib3
   from datetime import datetime, timezone, timedelta
   import time
   
   # Initialize HTTP client with timeouts
   http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=30.0),
       retries=False,
   )
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   # Environment variables
   GCS_BUCKET = os.environ.get('GCS_BUCKET')
   GCS_PREFIX = os.environ.get('GCS_PREFIX', 'tines/audit/')
   STATE_KEY = os.environ.get('STATE_KEY', 'tines/audit/state.json')
   TINES_BASE_URL = os.environ.get('TINES_BASE_URL')
   TINES_API_KEY = os.environ.get('TINES_API_KEY')
   LOOKBACK_SECONDS = int(os.environ.get('LOOKBACK_SECONDS', '3600'))
   PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '500'))
   MAX_PAGES = int(os.environ.get('MAX_PAGES', '20'))
   HTTP_TIMEOUT = int(os.environ.get('HTTP_TIMEOUT', '60'))
   HTTP_RETRIES = int(os.environ.get('HTTP_RETRIES', '3'))
   
   def parse_datetime(value: str) -> datetime:
       """Parse ISO datetime string to datetime object."""
       if value.endswith("Z"):
           value = value[:-1] + "+00:00"
       return datetime.fromisoformat(value)
   
   @functions_framework.cloud_event
   def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch Tines Audit Logs and write to GCS.
   
       Args:
           cloud_event: CloudEvent object containing Pub/Sub message
       """
   
       if not all([GCS_BUCKET, TINES_BASE_URL, TINES_API_KEY]):
           print('Error: Missing required environment variables')
           return
   
       try:
           # Get GCS bucket
           bucket = storage_client.bucket(GCS_BUCKET)
   
           # Load state
           state = load_state(bucket, STATE_KEY)
   
           # Determine time window
           now = datetime.now(timezone.utc)
           last_time = None
   
           if isinstance(state, dict) and state.get("last_event_time"):
               try:
                   last_time = parse_datetime(state["last_event_time"])
                   # Overlap by 2 minutes to catch any delayed events
                   last_time = last_time - timedelta(minutes=2)
               except Exception as e:
                   print(f"Warning: Could not parse last_event_time: {e}")
   
           if last_time is None:
               last_time = now - timedelta(seconds=LOOKBACK_SECONDS)
   
           print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")
   
           # Fetch logs
           records, newest_event_time = fetch_logs(
               api_base=TINES_BASE_URL,
               api_key=TINES_API_KEY,
               start_time=last_time,
               page_size=PAGE_SIZE,
               max_pages=MAX_PAGES,
           )
   
           if not records:
               print("No new log records found.")
               save_state(bucket, STATE_KEY, now.isoformat())
               return
   
           # Write to GCS as NDJSON
           timestamp = now.strftime('%Y%m%d_%H%M%S')
           object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
           blob = bucket.blob(object_key)
   
           ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
           blob.upload_from_string(ndjson, content_type='application/x-ndjson')
   
           print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")
   
           # Update state with newest event time
           if newest_event_time:
               save_state(bucket, STATE_KEY, newest_event_time)
           else:
               save_state(bucket, STATE_KEY, now.isoformat())
   
           print(f"Successfully processed {len(records)} records")
   
       except Exception as e:
           print(f'Error processing logs: {str(e)}')
           raise
   
   def load_state(bucket, key):
       """Load state from GCS."""
       try:
           blob = bucket.blob(key)
           if blob.exists():
               state_data = blob.download_as_text()
               return json.loads(state_data)
       except Exception as e:
           print(f"Warning: Could not load state: {e}")
   
       return {}
   
   def save_state(bucket, key, last_event_time_iso: str):
       """Save the last event timestamp to GCS state file."""
       try:
           state = {'last_event_time': last_event_time_iso}
           blob = bucket.blob(key)
           blob.upload_from_string(
               json.dumps(state, indent=2),
               content_type='application/json'
           )
           print(f"Saved state: last_event_time={last_event_time_iso}")
       except Exception as e:
           print(f"Warning: Could not save state: {e}")
   
   def fetch_logs(api_base: str, api_key: str, start_time: datetime, page_size: int, max_pages: int):
       """
       Fetch logs from Tines API with pagination and rate limiting.
   
       Args:
           api_base: API base URL
           api_key: Tines API key
           start_time: Start time for log query
           page_size: Number of records per page
           max_pages: Maximum pages to fetch
   
       Returns:
           Tuple of (records list, newest_event_time ISO string)
       """
       base_url = api_base.rstrip('/')
       endpoint = f"{base_url}/api/v1/audit_logs"
   
       headers = {
           'Authorization': f'Bearer {api_key}',
           'Accept': 'application/json',
           'Content-Type': 'application/json',
           'User-Agent': 'GoogleSecOps-TinesCollector/1.0'
       }
   
       records = []
       newest_time = None
       page_num = 1
       backoff = 1.0
   
       while page_num <= max_pages:
           # Build URL with query parameters
           params = {
               'page': page_num,
               'per_page': page_size
           }
           param_str = '&'.join([f"{k}={v}" for k, v in params.items()])
           url = f"{endpoint}?{param_str}"
   
           try:
               response = http.request('GET', url, headers=headers, timeout=HTTP_TIMEOUT)
   
               # Handle rate limiting with exponential backoff
               if response.status == 429:
                   retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                   print(f"Rate limited (429). Retrying after {retry_after}s...")
                   time.sleep(retry_after)
                   backoff = min(backoff * 2, 30.0)
                   continue
   
               backoff = 1.0
   
               if response.status != 200:
                   print(f"HTTP Error: {response.status}")
                   response_text = response.data.decode('utf-8')
                   print(f"Response body: {response_text}")
                   return [], None
   
               data = json.loads(response.data.decode('utf-8'))
   
               # Extract results
               page_results = []
               if isinstance(data, dict):
                   page_results = data.get('audit_logs', [])
               elif isinstance(data, list):
                   page_results = data
   
               if not page_results:
                   print(f"No more results (empty page)")
                   break
   
               # Filter by start_time
               filtered_results = []
               for event in page_results:
                   try:
                       event_time = event.get('created_at')
                       if event_time:
                           event_dt = parse_datetime(event_time)
                           if event_dt >= start_time:
                               filtered_results.append(event)
                               # Track newest event time
                               if newest_time is None or event_dt > parse_datetime(newest_time):
                                   newest_time = event_time
                   except Exception as e:
                       print(f"Warning: Could not parse event time: {e}")
                       filtered_results.append(event)
   
               print(f"Page {page_num}: Retrieved {len(page_results)} events, {len(filtered_results)} after filtering")
               records.extend(filtered_results)
   
               # Check for more results
               if isinstance(data, dict):
                   meta = data.get('meta', {})
                   next_page = meta.get('next_page_number')
                   if not next_page:
                       print("No more pages (no next_page_number)")
                       break
                   page_num = next_page
               else:
                   # If response is a list, check if we got fewer results than requested
                   if len(page_results) < page_size:
                       print(f"Reached last page (size={len(page_results)} < limit={page_size})")
                       break
                   page_num += 1
   
           except Exception as e:
               print(f"Error fetching logs: {e}")
               if page_num <= HTTP_RETRIES:
                   print(f"Retrying... (attempt {page_num}/{HTTP_RETRIES})")
                   time.sleep(backoff)
                   backoff = min(backoff * 2, 30.0)
                   continue
               return [], None
   
       print(f"Retrieved {len(records)} total records from {page_num} pages")
       return records, newest_time
   

   • Secondo file: requirements.txt::

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.

4. Attendi il completamento del deployment (2-3 minuti).

Crea job Cloud Scheduler

Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

1. Nella console di GCP, vai a Cloud Scheduler.
2. Fai clic su Crea job.

3. Fornisci i seguenti dettagli di configurazione:

   Impostazione	Valore
   Nome	tines-audit-hourly
   Regione	Seleziona la stessa regione della funzione Cloud Run
   Frequenza	0 * * * * (ogni ora, all'ora)
   Fuso orario	Seleziona il fuso orario (UTC consigliato)
   Tipo di target	Pub/Sub
   Argomento	Seleziona l'argomento Pub/Sub (tines-audit-trigger)
   Corpo del messaggio	{} (oggetto JSON vuoto)

4. Fai clic su Crea.

Opzioni di frequenza di pianificazione

• Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

  Frequenza	Espressione cron	Caso d'uso
  Ogni 5 minuti	*/5 * * * *	Volume elevato, bassa latenza
  Ogni 15 minuti	*/15 * * * *	Volume medio
  Ogni ora	0 * * * *	Standard (consigliato)
  Ogni 6 ore	0 */6 * * *	Volume basso, elaborazione batch
  Ogni giorno	0 0 * * *	Raccolta dei dati storici

Testare l'integrazione

1. Nella console Cloud Scheduler, trova il tuo job (tines-audit-hourly).
2. Fai clic su Forza esecuzione per attivare il job manualmente.
3. Aspetta alcuni secondi.
4. Vai a Cloud Run > Servizi.
5. Fai clic sul nome della funzione (tines-audit-to-gcs).
6. Fai clic sulla scheda Log.

7. Verifica che la funzione sia stata eseguita correttamente. Cerca quanto segue:

   Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
   Page 1: Retrieved X events
   Wrote X records to gs://bucket-name/tines/audit/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Vai a Cloud Storage > Bucket.

9. Fai clic sul nome del bucket (tines-audit-logs).

10. Vai alla cartella tines/audit/.

11. Verifica che sia stato creato un nuovo file .ndjson con il timestamp corrente.

Se visualizzi errori nei log:

• HTTP 401: controlla le credenziali API nelle variabili di ambiente
• HTTP 403: verifica che l'account disponga dell'autorizzazione AUDIT_LOG_READ
• HTTP 429: limitazione della frequenza: la funzione riproverà automaticamente con backoff
• Variabili di ambiente mancanti: controlla che tutte le variabili richieste siano impostate

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Tines Audit Logs).
5. Seleziona Google Cloud Storage V2 come Tipo di origine.
6. Seleziona Tines come Tipo di log.

7. Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

1. Vai a Cloud Storage > Bucket.
2. Fai clic sul nome del bucket (tines-audit-logs).
3. Vai alla scheda Autorizzazioni.
4. Fai clic su Concedi l'accesso.
5. Fornisci i seguenti dettagli di configurazione:
   • Aggiungi entità: incolla l'email del service account Google SecOps.
   • Assegna i ruoli: seleziona Visualizzatore oggetti Storage.

6. Fai clic su Salva.

Configura un feed in Google SecOps per importare i log di controllo di Tines

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Tines Audit Logs).
5. Seleziona Google Cloud Storage V2 come Tipo di origine.
6. Seleziona Tines come Tipo di log.
7. Fai clic su Avanti.

8. Specifica i valori per i seguenti parametri di input:

   • URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:

     gs://tines-audit-logs/tines/audit/
     

     • Sostituisci:

       • tines-audit-logs: il nome del bucket GCS.
       • tines/audit/: il percorso del prefisso/della cartella in cui sono archiviati i log.

   • Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:

     • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
     • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.

     • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

   • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

   • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

9. Fai clic su Avanti.

10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.