收集 Onfido 日志
支持的平台:
Google SecOps
SIEM
此解析器会从 Onfido SYSLOG 和 JSON 格式的日志中提取字段,并将其映射到 UDM。它使用 grok 解析消息字段,处理 JSON 载荷(如果有),并将特定产品事件类型映射到 UDM 事件类型。这包括将成功登录的事件类型设置为 USER_LOGIN
,将其他事件的事件类型设置为 USER_UNCATEGORIZED
。它还会为用户信息、来源 IP 和安全结果详情填充 UDM 字段。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有对 Onfido 信息中心的特权访问权限。
在 Google SecOps 中配置 Feed 以提取 Onfido 日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在 Feed 名称字段中,输入 Feed 的名称(例如 Onfido 日志)。
- 选择 Webhook 作为来源类型。
- 选择 Onfido 作为日志类型。
- 点击下一步。
- 可选:为以下输入参数指定值:
- 分隔符:用于分隔日志行(例如
\n
)的分隔符。 - 资源命名空间:资源命名空间。
- 提取标签:应用于此 Feed 中的事件的标签。
- 分隔符:用于分隔日志行(例如
- 点击下一步。
- 在最终确定界面中查看 Feed 配置,然后点击提交。
- 点击生成 Secret 密钥,生成用于对此 Feed 进行身份验证的 Secret 密钥。
- 复制并存储密钥。您将无法再查看此密钥。如有必要,您可以重新生成新的 Secret 密钥,但此操作会使之前的 Secret 密钥过时。
- 在详情标签页中,从端点信息字段复制 Feed 端点网址。您需要在客户端应用中指定此端点网址。
- 点击完成。
为该 Webhook Feed 创建 API 密钥
依次前往 Google Cloud 控制台 > 凭据。
点击创建凭据,然后选择 API 密钥。
限制 API 密钥对 Google Security Operations API 的访问权限。
指定端点网址
- 在客户端应用中,指定 webhook Feed 中提供的 HTTPS 端点网址。
通过在自定义标头中指定 API 密钥和密钥(格式如下)来启用身份验证:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET
建议:将 API 密钥作为标头指定,而不是在网址中指定。
如果您的 webhook 客户端不支持自定义标头,您可以使用以下格式的查询参数指定 API 密钥和密钥:
ENDPOINT_URL?key=API_KEY&secret=SECRET
替换以下内容:
ENDPOINT_URL
:Feed 端点网址。API_KEY
:用于对 Google SecOps 进行身份验证的 API 密钥。SECRET
:您为对 Feed 进行身份验证而生成的密钥。
配置 Onfido Webhook
- 登录 Onfido 信息中心。
- 依次前往设置 > Webhook。
- 点击 Add Webhook。
为以下输入参数指定值:
- Webhook 网址:输入 Google SecOps API 端点的
<ENDPOINT_URL>
。
- 事件:选择应触发 Webhook 的事件(例如,选择 check.completed 或 report.completed)。
- Webhook 网址:输入 Google SecOps API 端点的
点击保存以创建该 Webhook。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
category |
security_result.category_details |
将原始日志中的 category 字段的值分配给 security_result.category_details 。 |
check_id |
metadata.product_log_id |
系统会将从原始日志中的 json_data 字段提取的 check_id 字段的值分配给 metadata.product_log_id 。如果 prod_evt_type 为“成功登录”,则系统会分配值“AUTHTYPE_UNSPECIFIED”。 |
metadata.event_timestamp |
系统会将原始日志条目的时间戳转换为从公元纪年开始计算的秒数,并将其分配给 metadata.event_timestamp 。 |
|
metadata.event_type |
如果 prod_evt_type 为“成功登录”,则系统会分配值 USER_LOGIN 。否则,系统会分配 USER_UNCATEGORIZED 。 |
|
metadata.product_name |
解析器代码将该值设置为“ONFIDO”。 | |
prod_evt_type |
metadata.product_event_type |
将原始日志中的 prod_evt_type 字段的值分配给 metadata.product_event_type 。 |
metadata.vendor_name |
解析器代码将该值设置为“ONFIDO”。 | |
metadata.product_version |
解析器代码将该值设置为“ONFIDO”。 | |
security_result.action |
security_result.action |
如果 prod_evt_type 为“成功登录”,则系统会分配值 ALLOW 。 |
src_ip |
principal.ip |
将原始日志中的 src_ip 字段的值分配给 principal.ip 。 |
user_email |
target.user.email_addresses |
将原始日志中的 user_email 字段的值分配给 target.user.email_addresses 。 |
user_name |
target.user.user_display_name |
将原始日志中的 user_name 字段的值分配给 target.user.user_display_name 。 |
更改
2023-03-10
- 新创建的解析器。