Recopila registros del CRM de Zendesk

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo transferir registros de administración de relaciones con clientes (CRM) de Zendesk a Google Security Operations con Google Cloud Storage. El CRM de Zendesk proporciona capacidades de asistencia al cliente y administración de tickets. La plataforma hace un seguimiento de las interacciones de los clientes, los tickets de asistencia y las actividades administrativas a través de los registros de auditoría y los datos de los tickets.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Un proyecto de GCP con la API de Cloud Storage habilitada
  • Permisos para crear y administrar buckets de GCS
  • Permisos para administrar políticas de IAM en buckets de GCS
  • Permisos para crear funciones de Cloud Run, temas de Pub/Sub y trabajos de Cloud Scheduler
  • Acceso con privilegios a Zendesk (se requiere el rol de administrador para crear el token de API)
  • Plan de Zendesk Enterprise (obligatorio para acceder a la API de Audit Logs)

Obtén los requisitos previos de Zendesk

Confirma el plan y el rol

Debes ser administrador de Zendesk para crear tokens de API o clientes de OAuth. La API de Audit Logs solo está disponible en el plan Enterprise y devuelve un máximo de 100 registros por página. Si tu cuenta no es empresarial, puedes recopilar datos de tickets incrementales.

Activa el acceso al token de la API (una sola vez)

  1. En el Centro de administración, ve a Apps y complementos > APIs > API de Zendesk.
  2. En la pestaña Configuración, habilita Acceso con token.

Genera un token de API (para la autenticación básica)

  1. Ve a Apps and integrations > APIs > Zendesk API.
  2. Haz clic en el botón Agregar token de API.
  3. De manera opcional, agrega una descripción del token de API.
  4. Haz clic en Crear.
  5. Copia y guarda el token de API ahora (no podrás volver a verlo).

  6. Guarda el correo electrónico del administrador que se autenticará con este token.

(Opcional) Crea un cliente de OAuth (para la autenticación de portador en lugar del token de API)

  1. Ve a Apps and integrations > APIs > Zendesk API.
  2. Haz clic en la pestaña Clientes de OAuth.
  3. Haz clic en Agregar cliente de OAuth.
  4. Completa los campos Nombre del cliente, Identificador único (automático) y URLs de redireccionamiento (pueden ser marcadores de posición si solo generas tokens con la API).
  5. Haz clic en Guardar.
  6. Crea un token de acceso para la integración y otorga los permisos mínimos que requiere esta guía:
    • tickets:read (para entradas incrementales)
    • auditlogs:read (para Registros de auditoría; solo para empresas)
  7. Copia el token de acceso (pégalo en la variable de entorno ZENDESK_BEARER_TOKEN) y registra el ID y el secreto del cliente de forma segura (para futuros flujos de actualización de tokens).

Registra tu URL base de Zendesk

Usa https://<your_subdomain>.zendesk.com (pégalo en la variable de entorno ZENDESK_BASE_URL).

Qué guardar para más tarde

  • URL base (por ejemplo, https://acme.zendesk.com)
  • Dirección de correo electrónico del usuario administrador (para la autenticación con token de API)
  • Token de API (si usas AUTH_MODE=token) o token de acceso de OAuth (si usas AUTH_MODE=bearer)
  • (Opcional) ID y secreto del cliente de OAuth para la administración del ciclo de vida

Crea un bucket de Google Cloud Storage

  1. Ve a Google Cloud Console.
  2. Selecciona tu proyecto o crea uno nuevo.
  3. En el menú de navegación, ve a Cloud Storage > Buckets.
  4. Haz clic en Crear bucket.

  5. Proporciona los siguientes detalles de configuración:

    Configuración Valor
    Asigna un nombre a tu bucket Ingresa un nombre global único (por ejemplo, zendesk-crm-logs).
    Tipo de ubicación Elige según tus necesidades (región, birregional, multirregional)
    Ubicación Selecciona la ubicación (por ejemplo, us-central1).
    Clase de almacenamiento Estándar (recomendado para los registros a los que se accede con frecuencia)
    Control de acceso Uniforme (recomendado)
    Herramientas de protección Opcional: Habilita el control de versiones de objetos o la política de retención

  6. Haz clic en Crear.

Crea una cuenta de servicio para la Cloud Run Function

La Cloud Run Function necesita una cuenta de servicio con permisos para escribir en el bucket de GCS y ser invocada por Pub/Sub.

Crear cuenta de servicio

  1. En GCP Console, ve a IAM y administración > Cuentas de servicio.
  2. Haz clic en Crear cuenta de servicio.
  3. Proporciona los siguientes detalles de configuración:
    • Nombre de la cuenta de servicio: Ingresa zendesk-crm-collector-sa.
    • Descripción de la cuenta de servicio: Ingresa Service account for Cloud Run function to collect Zendesk CRM logs.
  4. Haz clic en Crear y continuar.
  5. En la sección Otorga a esta cuenta de servicio acceso al proyecto, agrega los siguientes roles:
    1. Haz clic en Selecciona un rol.
    2. Busca y selecciona Administrador de objetos de almacenamiento.
    3. Haz clic en + Agregar otra función.
    4. Busca y selecciona Invocador de Cloud Run.
    5. Haz clic en + Agregar otra función.
    6. Busca y selecciona Cloud Functions Invoker.
  6. Haz clic en Continuar.
  7. Haz clic en Listo.

Estos roles son necesarios para las siguientes acciones:

  • Administrador de objetos de almacenamiento: Escribe registros en el bucket de GCS y administra archivos de estado
  • Invocador de Cloud Run: Permite que Pub/Sub invoque la función
  • Cloud Functions Invoker: Permite la invocación de funciones

Otorga permisos de IAM en el bucket de GCS

Otorga permisos de escritura a la cuenta de servicio en el bucket de GCS:

  1. Ve a Cloud Storage > Buckets.
  2. Haz clic en el nombre de tu bucket.
  3. Ve a la pestaña Permisos.
  4. Haz clic en Otorgar acceso.
  5. Proporciona los siguientes detalles de configuración:
    • Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo, zendesk-crm-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Asignar roles: Selecciona Administrador de objetos de Storage.
  6. Haz clic en Guardar.

Crear tema de Pub/Sub

Crea un tema de Pub/Sub en el que Cloud Scheduler publicará y al que se suscribirá la función de Cloud Run.

  1. En GCP Console, ve a Pub/Sub > Temas.
  2. Haz clic en Crear un tema.
  3. Proporciona los siguientes detalles de configuración:
    • ID del tema: Ingresa zendesk-crm-trigger.
    • Deja el resto de la configuración con sus valores predeterminados.
  4. Haz clic en Crear.

Crea una función de Cloud Run para recopilar registros

La función de Cloud Run se activa con los mensajes de Pub/Sub de Cloud Scheduler para recuperar los registros de la API de Zendesk y escribirlos en GCS.

  1. En GCP Console, ve a Cloud Run.
  2. Haz clic en Crear servicio.
  3. Selecciona Función (usa un editor intercalado para crear una función).

  4. En la sección Configurar, proporciona los siguientes detalles de configuración:

    Configuración Valor
    Nombre del servicio zendesk-crm-collector
    Región Selecciona la región que coincida con tu bucket de GCS (por ejemplo, us-central1).
    Tiempo de ejecución Selecciona Python 3.12 o una versión posterior.

  5. En la sección Activador (opcional), haz lo siguiente:

    1. Haz clic en + Agregar activador.
    2. Selecciona Cloud Pub/Sub.
    3. En Selecciona un tema de Cloud Pub/Sub, elige el tema zendesk-crm-trigger.
    4. Haz clic en Guardar.

  6. En la sección Autenticación, haz lo siguiente:

    1. Selecciona Solicitar autenticación.
    2. Verifica Identity and Access Management (IAM).

  7. Desplázate hacia abajo y expande Contenedores, redes y seguridad.

  8. Ve a la pestaña Seguridad:

    • Cuenta de servicio: Selecciona la cuenta de servicio zendesk-crm-collector-sa.

  9. Ve a la pestaña Contenedores:

    1. Haz clic en Variables y secretos.
    2. Haz clic en + Agregar variable para cada variable de entorno:
    Nombre de la variable Valor de ejemplo Descripción
    GCS_BUCKET zendesk-crm-logs Nombre del bucket de GCS
    GCS_PREFIX zendesk/crm/ Prefijo para los archivos de registro
    STATE_KEY zendesk/crm/state.json Ruta de acceso al archivo de estado
    ZENDESK_BASE_URL https://your_subdomain.zendesk.com URL base de Zendesk
    AUTH_MODE token Modo de autenticación (token o bearer)
    ZENDESK_EMAIL analyst@example.com Correo electrónico del administrador para la autenticación con token de API
    ZENDESK_API_TOKEN <api_token> Token de API para la autenticación
    ZENDESK_BEARER_TOKEN <leave empty unless using OAuth bearer> Token del portador de OAuth (opcional)
    RESOURCES audit_logs,incremental_tickets Recursos para recopilar
    MAX_PAGES 20 Cantidad máxima de páginas por ejecución
    LOOKBACK_SECONDS 3600 Período de visualización inicial
    HTTP_TIMEOUT 60 Se agotó el tiempo de espera de la solicitud HTTP
    HTTP_RETRIES 3 Reintentos de HTTP

  10. En la sección Variables y Secrets, desplázate hacia abajo hasta Solicitudes:

    • Tiempo de espera de la solicitud: Ingresa 600 segundos (10 minutos).

  11. Ve a la pestaña Configuración:

    • En la sección Recursos, haz lo siguiente:
      • Memoria: Selecciona 512 MiB o más.
      • CPU: Selecciona 1.

  12. En la sección Ajuste de escala de revisión, haz lo siguiente:

    • Cantidad mínima de instancias: Ingresa 0.
    • Cantidad máxima de instancias: Ingresa 100 (o ajusta según la carga esperada).

  13. Haz clic en Crear.

  14. Espera a que se cree el servicio (de 1 a 2 minutos).

  15. Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.

Agregar el código de función

  1. Ingresa main en Punto de entrada de la función.

  2. En el editor de código intercalado, crea dos archivos:

    • Primer archivo: main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import base64
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from Zendesk API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'zendesk/crm/')
    state_key = os.environ.get('STATE_KEY', 'zendesk/crm/state.json')

    base_url = os.environ.get('ZENDESK_BASE_URL', '').rstrip('/')
    auth_mode = os.environ.get('AUTH_MODE', 'token').lower()
    email = os.environ.get('ZENDESK_EMAIL', '')
    api_token = os.environ.get('ZENDESK_API_TOKEN', '')
    bearer = os.environ.get('ZENDESK_BEARER_TOKEN', '')

    resources = [r.strip() for r in os.environ.get('RESOURCES', 'audit_logs,incremental_tickets').split(',') if r.strip()]
    max_pages = int(os.environ.get('MAX_PAGES', '20'))
    lookback = int(os.environ.get('LOOKBACK_SECONDS', '3600'))
    http_timeout = int(os.environ.get('HTTP_TIMEOUT', '60'))
    http_retries = int(os.environ.get('HTTP_RETRIES', '3'))

    if not all([bucket_name, base_url]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state
        state = load_state(bucket, state_key)

        print(f'Processing resources: {resources}')

        summary = []

        if 'audit_logs' in resources:
            res = fetch_audit_logs(
                bucket, prefix, state.get('audit_logs', {}),
                base_url, auth_mode, email, api_token, bearer,
                max_pages, http_timeout, http_retries
            )
            state['audit_logs'] = {'next_url': res.get('next_url')}
            summary.append(res)

        if 'incremental_tickets' in resources:
            res = fetch_incremental_tickets(
                bucket, prefix, state.get('incremental_tickets', {}),
                base_url, auth_mode, email, api_token, bearer,
                max_pages, lookback, http_timeout, http_retries
            )
            state['incremental_tickets'] = {'cursor': res.get('cursor')}
            summary.append(res)

        # Save state
        save_state(bucket, state_key, state)

        print(f'Successfully processed logs: {summary}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def get_headers(auth_mode, email, api_token, bearer):
    """Get authentication headers."""
    if auth_mode == 'bearer' and bearer:
        return {
            'Authorization': f'Bearer {bearer}',
            'Accept': 'application/json'
        }
    if auth_mode == 'token' and email and api_token:
        auth_string = f'{email}/token:{api_token}'
        auth_bytes = auth_string.encode('utf-8')
        token = base64.b64encode(auth_bytes).decode('utf-8')
        return {
            'Authorization': f'Basic {token}',
            'Accept': 'application/json'
        }
    raise RuntimeError('Invalid auth settings: provide token (EMAIL + API_TOKEN) or BEARER')

def http_get_json(url, headers, timeout, retries):
    """Make HTTP GET request with retries and exponential backoff."""
    attempt = 0
    backoff = 1.0
    while True:
        try:
            response = http.request('GET', url, headers=headers, timeout=timeout)
            if response.status == 200:
                return json.loads(response.data.decode('utf-8'))
            elif response.status in (429, 500, 502, 503, 504) and attempt < retries:
                retry_after = int(response.headers.get('Retry-After', int(backoff)))
                print(f'HTTP {response.status}: Retrying after {retry_after}s (attempt {attempt + 1}/{retries})')
                time.sleep(max(1, retry_after))
                backoff = min(backoff * 2, 30.0)
                attempt += 1
                continue
            else:
                raise Exception(f'HTTP {response.status}: {response.data.decode("utf-8")}')
        except Exception as e:
            if attempt < retries:
                print(f'Request error: {e}. Retrying after {int(backoff)}s (attempt {attempt + 1}/{retries})')
                time.sleep(backoff)
                backoff = min(backoff * 2, 30.0)
                attempt += 1
                continue
            raise

def put_page(bucket, prefix, payload, resource):
    """Write page to GCS."""
    ts = datetime.now(timezone.utc)
    key = f'{prefix}{ts.strftime("%Y/%m/%d/%H%M%S")}-zendesk-{resource}.json'
    blob = bucket.blob(key)
    blob.upload_from_string(
        json.dumps(payload),
        content_type='application/json'
    )
    return key

def fetch_audit_logs(bucket, prefix, state, base_url, auth_mode, email, api_token, bearer, max_pages, timeout, retries):
    """Fetch audit logs with pagination."""
    headers = get_headers(auth_mode, email, api_token, bearer)
    next_url = state.get('next_url') or f'{base_url}/api/v2/audit_logs.json'

    pages = 0
    written = 0
    last_next = None

    while pages < max_pages and next_url:
        data = http_get_json(next_url, headers, timeout, retries)
        put_page(bucket, prefix, data, 'audit_logs')
        written += len(data.get('audit_logs', []))

        # Use next_page for pagination
        last_next = data.get('next_page')
        next_url = last_next
        pages += 1

        print(f'Audit logs page {pages}: Retrieved {len(data.get("audit_logs", []))} records')

    return {
        'resource': 'audit_logs',
        'pages': pages,
        'written': written,
        'next_url': last_next
    }

def fetch_incremental_tickets(bucket, prefix, state, base_url, auth_mode, email, api_token, bearer, max_pages, lookback, timeout, retries):
    """Fetch incremental tickets with cursor-based pagination."""
    headers = get_headers(auth_mode, email, api_token, bearer)
    cursor = state.get('cursor')

    if not cursor:
        start = int(time.time()) - lookback
        next_url = f'{base_url}/api/v2/incremental/tickets/cursor.json?start_time={start}'
    else:
        next_url = f'{base_url}/api/v2/incremental/tickets/cursor.json?cursor={cursor}'

    pages = 0
    written = 0
    last_cursor = None

    while pages < max_pages and next_url:
        data = http_get_json(next_url, headers, timeout, retries)
        put_page(bucket, prefix, data, 'incremental_tickets')
        written += len(data.get('tickets', []))

        # Extract cursor from after_cursor field
        last_cursor = data.get('after_cursor')
        if last_cursor:
            next_url = f'{base_url}/api/v2/incremental/tickets/cursor.json?cursor={last_cursor}'
        else:
            next_url = None

        pages += 1

        print(f'Incremental tickets page {pages}: Retrieved {len(data.get("tickets", []))} records')

    return {
        'resource': 'incremental_tickets',
        'pages': pages,
        'written': written,
        'cursor': last_cursor
    }

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {'audit_logs': {}, 'incremental_tickets': {}}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')
    • Segundo archivo: requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Haz clic en Implementar para guardar y, luego, implementar la función.

  4. Espera a que se complete la implementación (de 2 a 3 minutos).

Crea un trabajo de Cloud Scheduler

Cloud Scheduler publica mensajes en el tema de Pub/Sub a intervalos regulares, lo que activa la función de Cloud Run.

  1. En GCP Console, ve a Cloud Scheduler.
  2. Haz clic en Crear trabajo.

  3. Proporciona los siguientes detalles de configuración:

    Configuración Valor
    Nombre zendesk-crm-collector-hourly
    Región Selecciona la misma región que la función de Cloud Run
    Frecuencia 0 * * * * (cada hora, en punto)
    Zona horaria Selecciona la zona horaria (se recomienda UTC)
    Tipo de orientación Pub/Sub
    Tema Selecciona el tema zendesk-crm-trigger.
    Cuerpo del mensaje {} (objeto JSON vacío)

  4. Haz clic en Crear.

Opciones de frecuencia de programación

  • Elige la frecuencia según los requisitos de latencia y volumen de registros:

    Frecuencia Expresión cron Caso de uso
    Cada 5 minutos */5 * * * * Alto volumen y baja latencia
    Cada 15 minutos */15 * * * * Volumen medio
    Cada 1 hora 0 * * * * Estándar (opción recomendada)
    Cada 6 horas 0 */6 * * * Procesamiento por lotes y volumen bajo
    Diario 0 0 * * * Recopilación de datos históricos

Prueba la integración

  1. En la consola de Cloud Scheduler, busca tu trabajo.
  2. Haz clic en Forzar ejecución para activar el trabajo de forma manual.
  3. Espera unos segundos.
  4. Ve a Cloud Run > Servicios.
  5. Haz clic en el nombre de tu función zendesk-crm-collector.
  6. Haz clic en la pestaña Registros.

  7. Verifica que la función se haya ejecutado correctamente. Busca lo siguiente:

    Processing resources: ['audit_logs', 'incremental_tickets']
Audit logs page 1: Retrieved X records
Incremental tickets page 1: Retrieved X records
Successfully processed logs: [...]

  8. Ve a Cloud Storage > Buckets.

  9. Haz clic en el nombre de tu bucket.

  10. Navega a la carpeta de prefijo zendesk/crm/.

  11. Verifica que se hayan creado archivos .json nuevos con la marca de tiempo actual.

Si ves errores en los registros, haz lo siguiente:

  • HTTP 401: Verifica las credenciales de la API en las variables de entorno
  • HTTP 403: Verifica que la cuenta tenga los permisos necesarios (rol de administrador, plan Enterprise para los registros de auditoría)
  • HTTP 429: Limitación de frecuencia. La función volverá a intentarlo automáticamente con una espera exponencial.
  • Faltan variables de entorno: Verifica que estén configuradas todas las variables requeridas.

Recupera la cuenta de servicio de Google SecOps

Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.

Obtén el correo electrónico de la cuenta de servicio

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. Haz clic en Configura un feed único.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Zendesk CRM logs).
  5. Selecciona Google Cloud Storage V2 como el Tipo de fuente.
  6. Selecciona Zendesk CRM como el Tipo de registro.

  7. Haz clic en Obtener cuenta de servicio. Se muestra un correo electrónico único de la cuenta de servicio, por ejemplo:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia esta dirección de correo electrónico para usarla en el siguiente paso.

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.

  1. Ve a Cloud Storage > Buckets.
  2. Haz clic en el nombre de tu bucket.
  3. Ve a la pestaña Permisos.
  4. Haz clic en Otorgar acceso.
  5. Proporciona los siguientes detalles de configuración:
    • Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
    • Asignar roles: Selecciona Visualizador de objetos de Storage.

  6. Haz clic en Guardar.

Configura un feed en Google SecOps para transferir registros del CRM de Zendesk

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. Haz clic en Configura un feed único.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Zendesk CRM logs).
  5. Selecciona Google Cloud Storage V2 como el Tipo de fuente.
  6. Selecciona Zendesk CRM como el Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:

      gs://zendesk-crm-logs/zendesk/crm/

      • Reemplaza lo siguiente:

        • zendesk-crm-logs: Es el nombre de tu bucket de GCS.
        • zendesk/crm/: Es el prefijo o la ruta de acceso a la carpeta en la que se almacenan los registros.

    • Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:

      • Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
      • Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.

      • Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.

    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.