Coletar registros do Onfido
Esse analisador extrai campos de registros formatados em JSON e SYSLOG do Onfido, mapeando-os para o UDM. Ele analisa o campo de mensagem usando grok, processa payloads JSON, se houver, e mapeia tipos de eventos de produto específicos para tipos de eventos do UDM. Isso inclui definir o tipo de evento como USER_LOGIN
para logins bem-sucedidos e USER_UNCATEGORIZED
para outros eventos. Ele também preenche os campos do UDM para informações do usuário, IP de origem e detalhes dos resultados de segurança.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se você tem acesso privilegiado ao painel do Onfido.
Configurar um feed no Google SecOps para ingerir os registros do Onfido
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Onfido Logs).
- Selecione Webhook como o Tipo de origem.
- Selecione Onfido como o Tipo de registro.
- Clique em Próxima.
- Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como
\n
. - Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como
- Clique em Próxima.
- Revise a configuração do feed na tela Finalizar e clique em Enviar.
- Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.
- Copie e armazene a chave secreta. Não é possível acessar essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas essa ação torna a chave secreta anterior obsoleta.
- Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
- Clique em Concluído.
Criar uma chave de API para o feed de webhook
Acesse o console do Google Cloud > Credenciais.
Clique em Criar credenciais e, em seguida, selecione Chave de API.
Restrinja o acesso da chave de API à API Google Security Operations.
Especificar o URL do endpoint
- No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed de webhook.
Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET
Recomendação: especifique a chave de API como um cabeçalho em vez de especificar no URL.
Se o cliente do webhook não tiver suporte a cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Substitua:
ENDPOINT_URL
: o URL do endpoint do feed.API_KEY
: a chave de API para autenticação no Google SecOps.SECRET
: a chave secreta que você gerou para autenticar o feed.
Configurar o webhook da Onfido
- Faça login no painel da Onfido.
- Acesse Configurações > Webhooks.
- Clique em Adicionar webhook.
Especifique valores para os seguintes parâmetros de entrada:
- URL do webhook: insira o
<ENDPOINT_URL>
do endpoint da API Google SecOps.
- Eventos:selecione os eventos que vão acionar o webhook. Por exemplo, selecione check.completed ou report.completed.
- URL do webhook: insira o
Clique em Salvar para criar o webhook.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
category |
security_result.category_details |
O valor do campo category do registro bruto é atribuído a security_result.category_details . |
check_id |
metadata.product_log_id |
O valor do campo check_id extraído do campo json_data no registro bruto é atribuído a metadata.product_log_id . Se prod_evt_type for "Successful login", o valor "AUTHTYPE_UNSPECIFIED" será atribuído. |
metadata.event_timestamp |
O carimbo de data/hora da entrada de registro bruto é convertido em segundos de época e atribuído a metadata.event_timestamp . |
|
metadata.event_type |
Se prod_evt_type for "Login bem-sucedido", o valor USER_LOGIN será atribuído. Caso contrário, USER_UNCATEGORIZED será atribuído. |
|
metadata.product_name |
O código do analisador define o valor como "ONFIDO". | |
prod_evt_type |
metadata.product_event_type |
O valor do campo prod_evt_type do registro bruto é atribuído a metadata.product_event_type . |
metadata.vendor_name |
O código do analisador define o valor como "ONFIDO". | |
metadata.product_version |
O código do analisador define o valor como "ONFIDO". | |
security_result.action |
security_result.action |
Se prod_evt_type for "Login bem-sucedido", o valor ALLOW será atribuído. |
src_ip |
principal.ip |
O valor do campo src_ip do registro bruto é atribuído a principal.ip . |
user_email |
target.user.email_addresses |
O valor do campo user_email do registro bruto é atribuído a target.user.email_addresses . |
user_name |
target.user.user_display_name |
O valor do campo user_name do registro bruto é atribuído a target.user.user_display_name . |
Alterações
2023-03-10
- Parser recém-criado.