收集 Onfido 日志

支持的平台:

此解析器会从 Onfido SYSLOG 和 JSON 格式的日志中提取字段,并将其映射到 UDM。它使用 grok 解析消息字段,处理 JSON 载荷(如果有),并将特定产品事件类型映射到 UDM 事件类型。这包括将成功登录的事件类型设置为 USER_LOGIN,将其他事件的事件类型设置为 USER_UNCATEGORIZED。它还会为用户信息、来源 IP 和安全结果详情填充 UDM 字段。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您拥有对 Onfido 信息中心的特权访问权限。

在 Google SecOps 中配置 Feed 以提取 Onfido 日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称(例如 Onfido 日志)。
  4. 选择Webhook 作为来源类型
  5. 选择 Onfido 作为日志类型
  6. 点击下一步
  7. 可选:为以下输入参数指定值:
    • 分隔符:用于分隔日志行的分隔符,例如 \n
    • 资源命名空间资源命名空间
    • 提取标签:应用于此 Feed 中的事件的标签。
  8. 点击下一步
  9. 最终确定界面中查看 Feed 配置,然后点击提交
  10. 点击生成 Secret 密钥,生成用于对此 Feed 进行身份验证的 Secret 密钥。
  11. 复制并存储密钥。您将无法再查看此密钥。如有必要,您可以重新生成新的 Secret 密钥,但此操作会使之前的 Secret 密钥过时。
  12. 详情标签页中,从端点信息字段复制 Feed 端点网址。您需要在客户端应用中指定此端点网址。
  13. 点击完成

为该网站钩子 Feed 创建 API 密钥

  1. 依次前往 Google Cloud 控制台 > 凭据

    转到“凭据”页面

  2. 点击创建凭据,然后选择 API 密钥

  3. 限制 API 密钥对 Google Security Operations API 的访问权限。

指定端点网址

  1. 在客户端应用中,指定 webhook Feed 中提供的 HTTPS 端点网址。

  2. 通过在自定义标头中指定 API 密钥和密钥(格式如下)来启用身份验证:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    建议:将 API 密钥作为标头指定,而不是在网址中指定。

  3. 如果您的 webhook 客户端不支持自定义标头,您可以使用以下格式的查询参数指定 API 密钥和密钥:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    替换以下内容:

    • ENDPOINT_URL:Feed 端点网址。
    • API_KEY:用于对 Google SecOps 进行身份验证的 API 密钥。
    • SECRET:您为对 Feed 进行身份验证而生成的密钥。

配置 Onfido Webhook

  1. 登录 Onfido 信息中心。
  2. 依次前往设置 > Webhook
  3. 点击 Add Webhook

  4. 为以下输入参数指定值:

    • Webhook 网址:输入 Google SecOps API 端点的 <ENDPOINT_URL>
    • 事件:选择应触发 Webhook 的事件(例如,选择 check.completedreport.completed)。

  5. 点击保存以创建该 Webhook。

UDM 映射表

日志字段 UDM 映射 逻辑
category security_result.category_details 将原始日志中的 category 字段的值分配给 security_result.category_details
check_id metadata.product_log_id 系统会将从原始日志中的 json_data 字段提取的 check_id 字段的值分配给 metadata.product_log_id。如果 prod_evt_type 为“成功登录”,则系统会分配值“AUTHTYPE_UNSPECIFIED”。
metadata.event_timestamp 系统会将原始日志条目的时间戳转换为从公元纪年开始计算的秒数,并将其分配给 metadata.event_timestamp
metadata.event_type 如果 prod_evt_type 为“成功登录”,则系统会分配值 USER_LOGIN。否则,系统会分配 USER_UNCATEGORIZED
metadata.product_name 解析器代码将该值设置为“ONFIDO”。
prod_evt_type metadata.product_event_type 将原始日志中的 prod_evt_type 字段的值分配给 metadata.product_event_type
metadata.vendor_name 解析器代码将该值设置为“ONFIDO”。
metadata.product_version 解析器代码将该值设置为“ONFIDO”。
security_result.action security_result.action 如果 prod_evt_type 为“成功登录”,则系统会分配值 ALLOW
src_ip principal.ip 将原始日志中的 src_ip 字段的值分配给 principal.ip
user_email target.user.email_addresses 将原始日志中的 user_email 字段的值分配给 target.user.email_addresses
user_name target.user.user_display_name 将原始日志中的 user_name 字段的值分配给 target.user.user_display_name

变化

2023-03-10

  • 新创建的解析器。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。