关于Grove

Grove是一款软件即服务型（SaaS）安全日志收集框架，旨在帮助广大安全分析人员从不支持日志流的服务中收集安全日志等数据。

Grove 使团队能够以可靠且一致的方式从其供应商处收集安全相关事件，然后可以使用团队现有的 工具存储和分析这些数据，以支持威胁检测和合规计划。

功能介绍

1、可靠且定期的日志收集。

2、支持大量广泛使用的SaaS应用程序和服务。

3、基于插件的“连接器”可支持新的应用程序和服务。

4、“自带”缓存、输出、配置和加密后端。

支持的日志源

Atlassian 审计事件（例如 Confluence、Jira）

GitHub 审计日志

GSuite 警报

GSuite 活动日志

Okta 系统日志

Oomnitza 活动日志

1Password 登录尝试日志

1Password 项目使用事件日志

1Password 审计日志

PagerDuty 审计记录

SalesForce Cloud 事件日志

SalesForce Marketing Cloud 审计事件日志

SalesForce Marketing Cloud 安全事件日志

Slack 审计日志

Snowflake 登录历史记录

Snowflake 查询历史记录

Snowflake 会话历史记录

Stripe 事件

Tines 审计日志

Terraform Cloud 审计跟踪

Torq 活动日志

Torq 审计日志

Twilio 监控事件

Twilio 消息日志

Zoom 活动日志

Zoom 操作日志

工具架构及运行流程

工具要求

Python 3

Docker

工具安装

Docker

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

首次使用Docker运行 Grove 时，请确保docker已安装并运行：

git clone https://github.com/hashicorp-forge/grove

cd grove

docker compose up

pip安装

pip install grove

工具使用

本指南将配置 Grove 执行第一次从 Slack 收集日志的操作。除了为 Slack 连接器创建新的配置文档外，它还将配置输出处理程序以将日志写入磁盘。

首先，创建一个新目录，用于存放连接器配置文档以及收集的日志：

mkdir -p grove/config

mkdir -p grove/output

接下来，创建 Slack 配置文档来告诉 Grove 与 Slack 对话，确保用正确的部署值替换key、name和identity的值：

cat > grove/config/heartbeat.json << EOF

{

    "name": "EC0FFEE1",

    "identity": "EC0FFEE1",

    "connector": "slack_audit_logs",

    "key": "xoxb-..."

}

EOF

现在 Grove 已配置完毕，可以通过告诉 Grove 使用哪些后端并启动 Grove 来运行第一个集合：

# Tell Grove to output files to local files.

export GROVE_OUTPUT_HANDLER="local_file"

# Configure the configuration path.

export GROVE_OUTPUT_LOCAL_FILE_PATH=${PWD}/grove/output/

# Configure the output path.

export GROVE_CONFIG_LOCAL_FILE_PATH=${PWD}/grove/config/

 

# Start a Grove collection.

grove

如果凭证有效且范围合适，Grove 现在应该开始从 Slack 收集数据，并将收集到的日志输出到./grove/output/ 目录中。

许可证协议

本项目的开发与发布遵循MPL-2.0开源许可协议。

项目地址

Grove：【GitHub传送门】

参考资料

https://hashicorp-forge.github.io/grove/