收集 CircleCI 稽核記錄
支援以下發布途徑:
Google secops
Siem
這個剖析器會以 CSV 和 JSON 格式從 CircleCI 稽核記錄中擷取欄位,並轉換為統合式資料模型 (UDM)。它會處理這兩種格式、執行資料轉換和增強作業,並將擷取的欄位對應至 event 物件中的對應 UDM 欄位。這項事件處理程序著重於使用者動作、資源存取權和更新事件,並將這些事件分類,並填入相關的 UDM 欄位,例如 principal、target、network 和 metadata。
事前準備
請確認您已完成下列事前準備:
- Google SecOps 執行個體。
- 對 CircleCI 的特殊存取權。
設定動態饋給
在 Google SecOps 平台中,有兩個不同的入口可用來設定動態消息:
- SIEM 設定 > 動態饋給
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態」。
- 按一下「新增動態消息」。
- 在下一頁中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給的名稱 (例如「CircleCI Logs」)。
- 將「來源類型」設為「Webhook」。
- 將「記錄類型」設為「CircleCI」。
- 點選「下一步」。
- 選用:指定下列輸入參數的值:
- 分隔符號:用於分隔記錄行 (例如
\n) 的分隔符號。 - 資產命名空間:資產命名空間。
- 擷取標籤:套用至這個動態饋給事件的標籤。
- 分隔符號:用於分隔記錄行 (例如
- 點選「下一步」。
- 在「Finalize」畫面中查看動態饋給設定,然後按一下「Submit」。
- 按一下「產生密鑰」,即可產生密鑰來驗證這項動態饋給。
- 複製並儲存密鑰。您無法再次查看這個密鑰。如有需要,您可以重新產生新的密鑰,但這項操作會使先前的密鑰失效。
- 在「Details」分頁中,從「Endpoint Information」欄位複製動態饋給端點網址。您必須在用戶端應用程式中指定這個端點網址。
- 按一下 [完成]。
透過內容中心設定動態饋給
指定下列欄位的值:
- 分隔符號:用於分隔記錄行 (例如
\n) 的分隔符號。
進階選項
- 動態饋給名稱:預先填入的值,用於識別動態饋給。
- 來源類型:用於收集記錄並匯入 Google SecOps 的方法。
- 素材資源命名空間:與動態饋給相關聯的命名空間。
攝入標籤:套用至這個動態饋給中所有事件的標籤。
按一下「產生密鑰」,即可產生密鑰來驗證這項動態饋給。
複製並儲存密鑰。您無法再次查看這個密鑰。如有需要,您可以重新產生新的密鑰,但這項操作會使先前的密鑰失效。
在「Details」分頁中,從「Endpoint Information」欄位複製動態饋給端點網址。您必須在用戶端應用程式中指定這個端點網址。
為 webhook 動態饋給建立 API 金鑰
依序前往「Google Cloud 控制台」>「憑證」。
按一下 [Create credentials] (建立憑證),然後選取 [API key] (API 金鑰)。
將 API 金鑰的存取權限制在 Google Security Operations API。
指定端點網址
- 在用戶端應用程式中,指定 webhook 動態饋給中提供的 HTTPS 端點網址。
請按照下列格式,將 API 金鑰和密鑰指定為自訂標頭的一部分,啟用驗證機制:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET建議:請以標頭的形式指定 API 金鑰,不要在網址中指定。
如果 webhook 用戶端不支援自訂標頭,您可以使用查詢參數指定 API 金鑰和密鑰,格式如下:
ENDPOINT_URL?key=API_KEY&secret=SECRET更改下列內容:
ENDPOINT_URL:動態饋給端點網址。API_KEY:用於向 Google SecOps 驗證的 API 金鑰。SECRET:您用來驗證動態饋給而產生的密鑰。
在 CircleCI 中設定 Webhook
- 登入 CircleCI 網頁介面。
- 選取要擷取記錄檔的專案。
- 按一下「專案設定」。
- 選取「Webhook」。
- 按一下「Add Webhook」。
指定下列輸入參數的值:
- Webhook 名稱:提供描述性名稱 (例如「Google SecOps」)。
- Endpoint URL:輸入 Google SecOps API 端點的
<ENDPOINT_URL>。
- 事件:選取應觸發 webhook 的 CircleCI 事件 (例如,選取「workflow-completed」,即可在工作流程結束後傳送資料)。
按一下「儲存」即可建立 webhook。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| account.id | read_only_udm.about.resource.attribute.labels.value | 原始記錄檔中的 account.id 值會指派給 UDM 欄位 read_only_udm.about.resource.attribute.labels.value,其中對應的鍵為 account_id。 |
| action | read_only_udm.metadata.product_event_type | 原始記錄的 action 值會指派給 UDM 欄位 read_only_udm.metadata.product_event_type。 |
| actor.id | read_only_udm.principal.user.product_object_id | 原始記錄檔中的 actor.id 值會指派至 UDM 欄位 read_only_udm.principal.user.product_object_id。 |
| actor.name | read_only_udm.principal.user.userid | 系統會從原始記錄中的 actor.name 欄位移除「github:」前置字串。剩餘的值會指派至 UDM 欄位 read_only_udm.principal.user.userid。如果原始記錄中存在 actor.name,系統會將 USER_RESOURCE_UPDATE_CONTENT 值指派給 read_only_udm.metadata.event_type。否則會指派 USER_RESOURCE_ACCESS。 |
| id | read_only_udm.metadata.product_log_id | 原始記錄檔中的 id 值會指派至 UDM 欄位 read_only_udm.metadata.product_log_id。剖析器會將 read_only_udm.metadata.log_type 設為 CIRCLECI。剖析器會將 read_only_udm.metadata.product_name 設為 CIRCLECI。剖析器會將 read_only_udm.metadata.vendor_name 設為 CIRCLECI。 |
| occurred_at | read_only_udm.metadata.event_timestamp | 原始記錄檔中的 occurred_at 值會解析為時間戳記,並指派給 UDM 欄位 read_only_udm.metadata.event_timestamp。 |
| organization.name | read_only_udm.target.administrative_domain | 系統會從原始記錄中的 organization.name 欄位移除「github:」前置字串。其餘值會指派給 UDM 欄位 read_only_udm.target.administrative_domain。 |
| payload.job.id | read_only_udm.about.resource.attribute.labels.value | 原始記錄檔中的 payload.job.id 值會指派給 UDM 欄位 read_only_udm.about.resource.attribute.labels.value,其中對應的鍵為 job_id。 |
| payload.job.job_name | read_only_udm.about.resource.attribute.labels.value | 原始記錄檔中的 payload.job.job_name 值會指派至 UDM 欄位 read_only_udm.about.resource.attribute.labels.value,其中對應的 key 為 job_name。 |
| payload.job.job_status | read_only_udm.about.resource.attribute.labels.value | 原始記錄檔中的 payload.job.job_status 值會指派給 UDM 欄位 read_only_udm.about.resource.attribute.labels.value,其中對應的 key 為 job_status。 |
| payload.workflow.id | read_only_udm.about.resource.attribute.labels.value | 原始記錄檔中的 payload.workflow.id 值會指派給 UDM 欄位 read_only_udm.about.resource.attribute.labels.value,其中對應的 key 為 workflow_id。 |
| request.id | read_only_udm.network.session_id | 原始記錄檔中的 request.id 值會指派給 UDM 欄位 read_only_udm.network.session_id。 |
| scope.id | read_only_udm.about.resource.attribute.labels.value | 原始記錄檔中的 scope.id 值會指派至 UDM 欄位 read_only_udm.about.resource.attribute.labels.value,其中對應的鍵為 scope_id。剖析器會一開始將 sec_action 設為 BLOCK。如果原始記錄檔中的 success 欄位為 true,sec_action 就會變更為 ALLOW。然後將 sec_action 的值指派給 UDM 欄位 read_only_udm.security_result.action。 |
| target.id | read_only_udm.target.resource.product_object_id | 原始記錄檔中的 target.id 值會指派給 UDM 欄位 read_only_udm.target.resource.product_object_id。 |
| target.name | read_only_udm.target.resource.name | 原始記錄中的「target.name」target.name欄位已移除「github:」前置字串。其餘值會指派給 UDM 欄位 read_only_udm.target.resource.name。剖析器會將 read_only_udm.target.resource.resource_type 設為 STORAGE_OBJECT。 |
| version | read_only_udm.target.resource.attribute.labels.value | 原始記錄檔的 version 值會轉換為字串,並指派給 UDM 欄位 read_only_udm.target.resource.attribute.labels.value,其中對應的鍵為 version。 |
異動
2023-03-09
- 新建的剖析器。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。