Coletar registros do Onfido

Compatível com:

Esse analisador extrai campos de registros formatados em JSON e SYSLOG do Onfido, mapeando-os para o UDM. Ele analisa o campo de mensagem usando grok, processa payloads JSON, se houver, e mapeia tipos de eventos de produto específicos para tipos de eventos do UDM. Isso inclui definir o tipo de evento como USER_LOGIN para logins bem-sucedidos e USER_UNCATEGORIZED para outros eventos. Ele também preenche os campos do UDM para informações do usuário, IP de origem e detalhes dos resultados de segurança.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado ao painel do Onfido.

Configurar um feed no Google SecOps para ingerir os registros do Onfido

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Onfido Logs).
  4. Selecione Webhook como o Tipo de origem.
  5. Selecione Onfido como o Tipo de registro.
  6. Clique em Próxima.
  7. Opcional: especifique valores para os seguintes parâmetros de entrada:
    • Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.
    • Namespace de recursos: o namespace de recursos.
    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
  8. Clique em Próxima.
  9. Revise a configuração do feed na tela Finalizar e clique em Enviar.
  10. Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.
  11. Copie e armazene a chave secreta. Não é possível acessar essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas essa ação torna a chave secreta anterior obsoleta.
  12. Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
  13. Clique em Concluído.

Criar uma chave de API para o feed de webhook

  1. Acesse o console do Google Cloud > Credenciais.

    Ir para Credenciais

  2. Clique em Criar credenciais e, em seguida, selecione Chave de API.

  3. Restrinja o acesso da chave de API à API Google Security Operations.

Especificar o URL do endpoint

  1. No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed de webhook.
  2. Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

    X-goog-api-key = API_KEY
    X-Webhook-Access-Key = SECRET
    

    Recomendação: especifique a chave de API como um cabeçalho em vez de especificar no URL.

  3. Se o cliente do webhook não tiver suporte a cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET
    

    Substitua:

    • ENDPOINT_URL: o URL do endpoint do feed.
    • API_KEY: a chave de API para autenticação no Google SecOps.
    • SECRET: a chave secreta que você gerou para autenticar o feed.

Configurar o webhook da Onfido

  1. Faça login no painel da Onfido.
  2. Acesse Configurações > Webhooks.
  3. Clique em Adicionar webhook.
  4. Especifique valores para os seguintes parâmetros de entrada:

    • URL do webhook: insira o <ENDPOINT_URL> do endpoint da API Google SecOps.
    • Eventos:selecione os eventos que vão acionar o webhook. Por exemplo, selecione check.completed ou report.completed.
  5. Clique em Salvar para criar o webhook.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
category security_result.category_details O valor do campo category do registro bruto é atribuído a security_result.category_details.
check_id metadata.product_log_id O valor do campo check_id extraído do campo json_data no registro bruto é atribuído a metadata.product_log_id. Se prod_evt_type for "Successful login", o valor "AUTHTYPE_UNSPECIFIED" será atribuído.
metadata.event_timestamp O carimbo de data/hora da entrada de registro bruto é convertido em segundos de época e atribuído a metadata.event_timestamp.
metadata.event_type Se prod_evt_type for "Login bem-sucedido", o valor USER_LOGIN será atribuído. Caso contrário, USER_UNCATEGORIZED será atribuído.
metadata.product_name O código do analisador define o valor como "ONFIDO".
prod_evt_type metadata.product_event_type O valor do campo prod_evt_type do registro bruto é atribuído a metadata.product_event_type.
metadata.vendor_name O código do analisador define o valor como "ONFIDO".
metadata.product_version O código do analisador define o valor como "ONFIDO".
security_result.action security_result.action Se prod_evt_type for "Login bem-sucedido", o valor ALLOW será atribuído.
src_ip principal.ip O valor do campo src_ip do registro bruto é atribuído a principal.ip.
user_email target.user.email_addresses O valor do campo user_email do registro bruto é atribuído a target.user.email_addresses.
user_name target.user.user_display_name O valor do campo user_name do registro bruto é atribuído a target.user.user_display_name.

Alterações

2023-03-10

  • Parser recém-criado.