收集 CircleCI 稽核記錄

支援以下發布途徑:

這個剖析器會以 CSV 和 JSON 格式從 CircleCI 稽核記錄中擷取欄位,並轉換為統合式資料模型 (UDM)。它會處理這兩種格式、執行資料轉換和增強作業,並將擷取的欄位對應至 event 物件中的對應 UDM 欄位。這項事件處理程序著重於使用者動作、資源存取和更新事件,並將這些事件分類,並填入相關的 UDM 欄位,例如 principaltargetnetworkmetadata

事前準備

  • 確認您有 Google SecOps 執行個體。
  • 確認您具備 CircleCI 的特殊存取權。

在 Google SecOps 中設定動態饋給,以便擷取 CircleCI 記錄

  1. 依序前往「SIEM 設定」>「動態」
  2. 按一下「新增」
  3. 在「動態饋給名稱」欄位中輸入動態饋給的名稱 (例如「CircleCI Logs」)。
  4. 將「來源類型」設為「Webhook」
  5. 將「記錄類型」設為「CircleCI」
  6. 點按「Next」
  7. 選用:指定下列輸入參數的值:
    • 分隔符號:用於分隔記錄行 (例如 \n) 的分隔符號。
    • 資產命名空間資產命名空間
    • 擷取標籤:套用至這個動態饋給事件的標籤。
  8. 點按「Next」
  9. 在「Finalize」畫面中查看動態饋給設定,然後按一下「Submit」
  10. 按一下「產生密鑰」,即可產生密鑰來驗證這項動態饋給。
  11. 複製並儲存密鑰。您無法再次查看這個密鑰。如有需要,您可以重新產生新的密鑰,但這項操作會使先前的密鑰失效。
  12. 在「Details」分頁中,從「Endpoint Information」欄位複製動態饋給端點網址。您必須在用戶端應用程式中指定這個端點網址。
  13. 按一下 [完成]

為 webhook 動態饋給建立 API 金鑰

  1. 依序前往「Google Cloud 控制台」>「憑證」

    前往「憑證」

  2. 按一下 [Create credentials] (建立憑證),然後選取 [API key] (API 金鑰)

  3. 將 API 金鑰的存取權限制在 Google Security Operations API

指定端點網址

  1. 在用戶端應用程式中,指定 webhook 動態饋給中提供的 HTTPS 端點網址。
  2. 請按照下列格式,將 API 金鑰和密鑰指定為自訂標頭的一部分,啟用驗證機制:

    X-goog-api-key = API_KEY
    X-Webhook-Access-Key = SECRET
    

    建議:請以標頭的形式指定 API 金鑰,不要在網址中指定。

  3. 如果 webhook 用戶端不支援自訂標頭,您可以使用查詢參數指定 API 金鑰和密鑰,格式如下:

    ENDPOINT_URL?key=API_KEY&secret=SECRET
    

    更改下列內容:

    • ENDPOINT_URL:動態饋給端點網址。
    • API_KEY:用於向 Google SecOps 驗證的 API 金鑰。
    • SECRET:您用來驗證動態饋給而產生的密鑰。

在 CircleCI 中設定 Webhook

  1. 登入 CircleCI 網頁介面。
  2. 選取要擷取記錄檔的專案。
  3. 按一下「專案設定」
  4. 選取「Webhook」
  5. 按一下「Add Webhook」
  6. 指定下列輸入參數的值:

    • Webhook 名稱:提供描述性名稱 (例如「Google SecOps」)。
    • Endpoint URL:輸入 Google SecOps API 端點的 <ENDPOINT_URL>
    • 事件:選取應觸發 webhook 的 CircleCI 事件 (例如,選取「workflow-completed」,即可在工作流程結束後傳送資料)。
  7. 按一下「儲存」即可建立 webhook。

UDM 對應表

記錄欄位 UDM 對應 邏輯
account.id read_only_udm.about.resource.attribute.labels.value 原始記錄檔中的 account.id 值會指派給 UDM 欄位 read_only_udm.about.resource.attribute.labels.value,其中對應的account_id
action read_only_udm.metadata.product_event_type 原始記錄的 action 值會指派給 UDM 欄位 read_only_udm.metadata.product_event_type
actor.id read_only_udm.principal.user.product_object_id 原始記錄檔中的 actor.id 值會指派至 UDM 欄位 read_only_udm.principal.user.product_object_id
actor.name read_only_udm.principal.user.userid 系統會從原始記錄中的 actor.name 欄位移除「github:」前置字串。剩餘的值會指派至 UDM 欄位 read_only_udm.principal.user.userid。如果原始記錄中存在 actor.name,系統會將 USER_RESOURCE_UPDATE_CONTENT 值指派給 read_only_udm.metadata.event_type。否則會指派 USER_RESOURCE_ACCESS
id read_only_udm.metadata.product_log_id 原始記錄檔中的 id 值會指派給 UDM 欄位 read_only_udm.metadata.product_log_id。剖析器會將 read_only_udm.metadata.log_type 設為 CIRCLECI。剖析器會將 read_only_udm.metadata.product_name 設為 CIRCLECI。剖析器會將 read_only_udm.metadata.vendor_name 設為 CIRCLECI
occurred_at read_only_udm.metadata.event_timestamp 原始記錄檔中的 occurred_at 值會解析為時間戳記,並指派給 UDM 欄位 read_only_udm.metadata.event_timestamp
organization.name read_only_udm.target.administrative_domain 系統會從原始記錄中的 organization.name 欄位移除「github:」前置字串。其餘值會指派給 UDM 欄位 read_only_udm.target.administrative_domain
payload.job.id read_only_udm.about.resource.attribute.labels.value 原始記錄檔中的 payload.job.id 值會指派給 UDM 欄位 read_only_udm.about.resource.attribute.labels.value,其中對應的job_id
payload.job.job_name read_only_udm.about.resource.attribute.labels.value 原始記錄檔中的 payload.job.job_name 值會指派至 UDM 欄位 read_only_udm.about.resource.attribute.labels.value,其中對應的 keyjob_name
payload.job.job_status read_only_udm.about.resource.attribute.labels.value 原始記錄檔中的 payload.job.job_status 值會指派給 UDM 欄位 read_only_udm.about.resource.attribute.labels.value,其中對應的 keyjob_status
payload.workflow.id read_only_udm.about.resource.attribute.labels.value 原始記錄檔中的 payload.workflow.id 值會指派給 UDM 欄位 read_only_udm.about.resource.attribute.labels.value,其中對應的 keyworkflow_id
request.id read_only_udm.network.session_id 原始記錄檔中的 request.id 值會指派給 UDM 欄位 read_only_udm.network.session_id
scope.id read_only_udm.about.resource.attribute.labels.value 原始記錄檔中的 scope.id 值會指派至 UDM 欄位 read_only_udm.about.resource.attribute.labels.value,其中對應的scope_id。剖析器會一開始將 sec_action 設為 BLOCK。如果原始記錄檔中的 success 欄位為 true,sec_action 就會變更為 ALLOW。然後將 sec_action 的值指派給 UDM 欄位 read_only_udm.security_result.action
target.id read_only_udm.target.resource.product_object_id 原始記錄檔中的 target.id 值會指派給 UDM 欄位 read_only_udm.target.resource.product_object_id
target.name read_only_udm.target.resource.name 原始記錄中的「target.name」target.name欄位已移除「github:」前置字串。其餘值會指派給 UDM 欄位 read_only_udm.target.resource.name。剖析器會將 read_only_udm.target.resource.resource_type 設為 STORAGE_OBJECT
version read_only_udm.target.resource.attribute.labels.value 原始記錄檔的 version 值會轉換為字串,並指派給 UDM 欄位 read_only_udm.target.resource.attribute.labels.value,其中對應的version

異動

2023-03-09

  • 新建的剖析器。

還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。