Onfido-Protokolle erfassen
Dieser Parser extrahiert Felder aus Onfido-SYSLOG- und JSON-formatierten Protokollen und ordnet sie dem UDM zu. Das Nachrichtenfeld wird mit Grok geparst, JSON-Nutzlasten werden verarbeitet, falls vorhanden, und bestimmte Produktereignistypen werden UDM-Ereignistypen zugeordnet. Dazu gehört auch, den Ereignistyp auf USER_LOGIN
für erfolgreiche Anmeldungen und auf USER_UNCATEGORIZED
für andere Ereignisse festzulegen. Außerdem werden UDM-Felder für Nutzerinformationen, Quell-IP und Sicherheitsergebnisdetails ausgefüllt.
Hinweis
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen Lesezugriff auf das Onfido-Dashboard.
Feed in Google SecOps für die Aufnahme der Onfido-Logs konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Onfido-Logs.
- Wählen Sie als Quelltyp Webhook aus.
- Wählen Sie Onfido als Logtyp aus.
- Klicken Sie auf Weiter.
- Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
- Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B.
\n
. - Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B.
- Klicken Sie auf Weiter.
- Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
- Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.
- Kopieren und speichern Sie den geheimen Schlüssel. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen Secret-Schlüssel generieren. Dadurch wird der vorherige Secret-Schlüssel jedoch ungültig.
- Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
- Klicken Sie auf Fertig.
API-Schlüssel für den Webhook-Feed erstellen
Rufen Sie die Google Cloud Console > Anmeldedaten auf.
Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
Beschränken Sie den API-Schlüsselzugriff auf die Google Security Operations API.
Endpunkt-URL angeben
- Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed angegeben ist.
Aktiviere die Authentifizierung, indem du den API-Schlüssel und den geheimen Schlüssel als Teil der benutzerdefinierten Kopfzeile im folgenden Format angibst:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET
Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.
Wenn Ihr Webhook-Client keine benutzerdefinierten Header unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mithilfe von Suchparametern im folgenden Format angeben:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Ersetzen Sie Folgendes:
ENDPOINT_URL
: die URL des Feedendpunkts.API_KEY
: Der API-Schlüssel, mit dem Sie sich bei Google SecOps authentifizieren.SECRET
: der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.
Onfido-Webhook konfigurieren
- Melden Sie sich im Onfido-Dashboard an.
- Gehen Sie zu Einstellungen > Webhooks.
- Klicken Sie auf Webhook hinzufügen.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Webhook-URL: Geben Sie die
<ENDPOINT_URL>
des Endpunkts der Google SecOps API ein.
- Ereignisse:Wählen Sie die Ereignisse aus, die den Webhook auslösen sollen, z. B. check.completed oder report.completed.
- Webhook-URL: Geben Sie die
Klicken Sie auf Speichern, um den Webhook zu erstellen.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
category |
security_result.category_details |
Der Wert des Felds category aus dem Rohprotokoll wird security_result.category_details zugewiesen. |
check_id |
metadata.product_log_id |
Der Wert des Felds check_id , das aus dem Feld json_data im Rohprotokoll extrahiert wurde, wird metadata.product_log_id zugewiesen. Wenn prod_evt_type „Successful login“ (Erfolgreiche Anmeldung) ist, wird der Wert „AUTHTYPE_UNSPECIFIED“ zugewiesen. |
metadata.event_timestamp |
Der Zeitstempel aus dem Roh-Logeintrag wird in Epochensekunden umgewandelt und metadata.event_timestamp zugewiesen. |
|
metadata.event_type |
Wenn prod_evt_type „Successful login“ (Erfolgreiche Anmeldung) ist, wird der Wert USER_LOGIN zugewiesen. Andernfalls wird USER_UNCATEGORIZED zugewiesen. |
|
metadata.product_name |
Der Parsercode setzt den Wert auf „ONFIDO“. | |
prod_evt_type |
metadata.product_event_type |
Der Wert des Felds prod_evt_type aus dem Rohprotokoll wird metadata.product_event_type zugewiesen. |
metadata.vendor_name |
Der Parsercode setzt den Wert auf „ONFIDO“. | |
metadata.product_version |
Der Parsercode setzt den Wert auf „ONFIDO“. | |
security_result.action |
security_result.action |
Wenn prod_evt_type „Successful login“ (Erfolgreiche Anmeldung) ist, wird der Wert ALLOW zugewiesen. |
src_ip |
principal.ip |
Der Wert des Felds src_ip aus dem Rohprotokoll wird principal.ip zugewiesen. |
user_email |
target.user.email_addresses |
Der Wert des Felds user_email aus dem Rohprotokoll wird target.user.email_addresses zugewiesen. |
user_name |
target.user.user_display_name |
Der Wert des Felds user_name aus dem Rohprotokoll wird target.user.user_display_name zugewiesen. |
Änderungen
2023-03-10
- Neu erstellter Parser.