Raccogliere i log di Onfido

Supportato in:

Questo parser estrae i campi dai log SYSLOG e JSON di Onfido e li mappa all'UDM. Analizza il campo del messaggio utilizzando grok, gestisce i payload JSON, se presenti, e mappa tipi di eventi di prodotto specifici a tipi di eventi UDM. Ciò include l'impostazione del tipo di evento su USER_LOGIN per gli accessi riusciti e su USER_UNCATEGORIZED per altri eventi. Compila inoltre i campi UDM per le informazioni utente, l'IP di origine e i dettagli dei risultati di sicurezza.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso privilegiato alla dashboard di Onfido.

Configura un feed in Google SecOps per importare i log di Onfido

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuova.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di Onfido).
  4. Seleziona Webhook come Tipo di origine.
  5. Seleziona Onfido come Tipo di log.
  6. Fai clic su Avanti.
  7. (Facoltativo) Specifica i valori per i seguenti parametri di input:
    • Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
  10. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
  11. Copia e memorizza la chiave segreta. Non potrai più visualizzare questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
  12. Dalla scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni endpoint. Devi specificare questo URL endpoint nell'applicazione client.
  13. Fai clic su Fine.

Crea una chiave API per il feed webhook

  1. Vai alla console Google Cloud > Credenziali.

    Vai a credenziali

  2. Fai clic su Crea credenziali e poi seleziona Chiave API.

  3. Limita l'accesso della chiave API all'API Google Security Operations.

Specifica l'URL dell'endpoint

  1. Nell'applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.

  2. Attiva l'autenticazione specificando la chiave API e la chiave segreta nell'intestazione personalizzata nel seguente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Consiglio: specifica la chiave API come intestazione anziché nell'URL.

  3. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Sostituisci quanto segue:

    • ENDPOINT_URL: l'URL dell'endpoint del feed.
    • API_KEY: la chiave API per l'autenticazione in Google SecOps.
    • SECRET: la chiave segreta che hai generato per autenticare il feed.

Configura il webhook di Onfido

  1. Accedi alla dashboard di Onfido.
  2. Vai a Impostazioni > Webhook.
  3. Fai clic su Aggiungi webhook.

  4. Specifica i valori per i seguenti parametri di input:

    • URL webhook: inserisci il <ENDPOINT_URL> dell'endpoint dell'API Google SecOps.
    • Eventi: seleziona gli eventi che devono attivare il webhook (ad esempio, check.completed o report.completed).

  5. Fai clic su Salva per creare l'webhook.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
category security_result.category_details Il valore del campo category del log non elaborato viene assegnato a security_result.category_details.
check_id metadata.product_log_id Il valore del campo check_id estratto dal campo json_data nel log non elaborato viene assegnato a metadata.product_log_id. Se prod_evt_type è "Accesso riuscito", viene assegnato il valore "AUTHTYPE_UNSPECIFIED".
metadata.event_timestamp Il timestamp della voce del log non elaborato viene convertito in secondi epoch e assegnato a metadata.event_timestamp.
metadata.event_type Se prod_evt_type è "Accesso riuscito", viene assegnato il valore USER_LOGIN. In caso contrario, viene assegnato USER_UNCATEGORIZED.
metadata.product_name Il codice dell'analizzatore imposta il valore su "ONFIDO".
prod_evt_type metadata.product_event_type Il valore del campo prod_evt_type del log non elaborato viene assegnato a metadata.product_event_type.
metadata.vendor_name Il codice dell'analizzatore imposta il valore su "ONFIDO".
metadata.product_version Il codice dell'analizzatore imposta il valore su "ONFIDO".
security_result.action security_result.action Se prod_evt_type è "Accesso riuscito", viene assegnato il valore ALLOW.
src_ip principal.ip Il valore del campo src_ip del log non elaborato viene assegnato a principal.ip.
user_email target.user.email_addresses Il valore del campo user_email del log non elaborato viene assegnato a target.user.email_addresses.
user_name target.user.user_display_name Il valore del campo user_name del log non elaborato viene assegnato a target.user.user_display_name.

Modifiche

2023-03-10

  • Parser appena creato.