Onfido-Protokolle erfassen

Unterstützt in:

Dieser Parser extrahiert Felder aus Onfido-SYSLOG- und JSON-formatierten Protokollen und ordnet sie dem UDM zu. Das Nachrichtenfeld wird mit Grok geparst, JSON-Nutzlasten werden verarbeitet, falls vorhanden, und bestimmte Produktereignistypen werden UDM-Ereignistypen zugeordnet. Dazu gehört auch, den Ereignistyp auf USER_LOGIN für erfolgreiche Anmeldungen und auf USER_UNCATEGORIZED für andere Ereignisse festzulegen. Außerdem werden UDM-Felder für Nutzerinformationen, Quell-IP und Sicherheitsergebnisdetails ausgefüllt.

Hinweis

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Lesezugriff auf das Onfido-Dashboard.

Feed in Google SecOps für die Aufnahme der Onfido-Logs konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Onfido-Logs.
  4. Wählen Sie als Quelltyp Webhook aus.
  5. Wählen Sie Onfido als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
  10. Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  11. Kopieren und speichern Sie den geheimen Schlüssel. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen Secret-Schlüssel generieren. Dadurch wird der vorherige Secret-Schlüssel jedoch ungültig.
  12. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
  13. Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

  1. Rufen Sie die Google Cloud Console > Anmeldedaten auf.

    Zu den Anmeldedaten

  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.

  3. Beschränken Sie den API-Schlüsselzugriff auf die Google Security Operations API.

Endpunkt-URL angeben

  1. Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed angegeben ist.

  2. Aktiviere die Authentifizierung, indem du den API-Schlüssel und den geheimen Schlüssel als Teil der benutzerdefinierten Kopfzeile im folgenden Format angibst:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.

  3. Wenn Ihr Webhook-Client keine benutzerdefinierten Header unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mithilfe von Suchparametern im folgenden Format angeben:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Ersetzen Sie Folgendes:

    • ENDPOINT_URL: die URL des Feedendpunkts.
    • API_KEY: Der API-Schlüssel, mit dem Sie sich bei Google SecOps authentifizieren.
    • SECRET: der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Onfido-Webhook konfigurieren

  1. Melden Sie sich im Onfido-Dashboard an.
  2. Gehen Sie zu Einstellungen > Webhooks.
  3. Klicken Sie auf Webhook hinzufügen.

  4. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Webhook-URL: Geben Sie die <ENDPOINT_URL> des Endpunkts der Google SecOps API ein.
    • Ereignisse:Wählen Sie die Ereignisse aus, die den Webhook auslösen sollen, z. B. check.completed oder report.completed.

  5. Klicken Sie auf Speichern, um den Webhook zu erstellen.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
category security_result.category_details Der Wert des Felds category aus dem Rohprotokoll wird security_result.category_details zugewiesen.
check_id metadata.product_log_id Der Wert des Felds check_id, das aus dem Feld json_data im Rohprotokoll extrahiert wurde, wird metadata.product_log_id zugewiesen. Wenn prod_evt_type „Successful login“ (Erfolgreiche Anmeldung) ist, wird der Wert „AUTHTYPE_UNSPECIFIED“ zugewiesen.
metadata.event_timestamp Der Zeitstempel aus dem Roh-Logeintrag wird in Epochensekunden umgewandelt und metadata.event_timestamp zugewiesen.
metadata.event_type Wenn prod_evt_type „Successful login“ (Erfolgreiche Anmeldung) ist, wird der Wert USER_LOGIN zugewiesen. Andernfalls wird USER_UNCATEGORIZED zugewiesen.
metadata.product_name Der Parsercode setzt den Wert auf „ONFIDO“.
prod_evt_type metadata.product_event_type Der Wert des Felds prod_evt_type aus dem Rohprotokoll wird metadata.product_event_type zugewiesen.
metadata.vendor_name Der Parsercode setzt den Wert auf „ONFIDO“.
metadata.product_version Der Parsercode setzt den Wert auf „ONFIDO“.
security_result.action security_result.action Wenn prod_evt_type „Successful login“ (Erfolgreiche Anmeldung) ist, wird der Wert ALLOW zugewiesen.
src_ip principal.ip Der Wert des Felds src_ip aus dem Rohprotokoll wird principal.ip zugewiesen.
user_email target.user.email_addresses Der Wert des Felds user_email aus dem Rohprotokoll wird target.user.email_addresses zugewiesen.
user_name target.user.user_display_name Der Wert des Felds user_name aus dem Rohprotokoll wird target.user.user_display_name zugewiesen.

Änderungen

2023-03-10

  • Neu erstellter Parser.