Recolha registos do OpenCanary

Vista geral

Este analisador extrai campos dos registos SYSLOG e JSON do OpenCanary, normaliza-os para o formato UDM e enriquece os dados com campos derivados, como metadata.event_type e security_result.severity. Processa vários formatos de registo, realiza a validação de endereços IP e mapeia campos para objetos UDM adequados, como principal, target e network.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

• Instância do Google SecOps.
• Acesso privilegiado ao OpenCanary.

Configure feeds

Para configurar um feed, siga estes passos:

1. Aceda a Definições do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na página seguinte, clique em Configurar um único feed.
4. No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do OpenCanary.
5. Selecione Webhook como o Tipo de origem.
6. Selecione OpenCanary como o Tipo de registo.
7. Clicar em Seguinte.
8. Opcional: especifique valores para os seguintes parâmetros de entrada:
   • Delimitador de divisão: o delimitador usado para separar linhas de registo, como \n.
9. Clicar em Seguinte.
10. Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.
11. Clique em Gerar chave secreta para gerar uma chave secreta para autenticar este feed.
12. Copie e armazene a chave secreta. Não pode ver esta chave secreta novamente. Se necessário, pode regenerar uma nova chave secreta, mas esta ação torna a chave secreta anterior obsoleta.
13. No separador Detalhes, copie o URL do ponto final do feed do campo Informações do ponto final. Tem de especificar este URL do ponto final na sua aplicação cliente.
14. Clique em Concluído.

Crie uma chave da API para o feed de webhook

1. Aceda à Google Cloud consola > Credenciais.

   Aceder a Credenciais

2. Clique em Criar credenciais e, de seguida, selecione Chave de API.

3. Restrinja o acesso da chave de API à API Google Security Operations.

Especifique o URL do ponto final

1. Na aplicação cliente, especifique o URL do ponto final HTTPS fornecido no feed do webhook.

2. Ative a autenticação especificando a chave da API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

   X-goog-api-key = API_KEY
   X-Webhook-Access-Key = SECRET
   

   Recomendação: especifique a chave da API como um cabeçalho em vez de a especificar no URL.

3. Se o seu cliente de webhook não suportar cabeçalhos personalizados, pode especificar a chave da API e a chave secreta através de parâmetros de consulta no seguinte formato:

   ENDPOINT_URL?key=API_KEY&secret=SECRET
   

   Substitua o seguinte:

   • ENDPOINT_URL: o URL do ponto final do feed.
   • API_KEY: a chave da API para autenticar no Google Security Operations.
   • SECRET: a chave secreta que gerou para autenticar o feed.

Configurar um webhook do OpenCanary para o Google SecOps

1. Encontre o ficheiro de configuração do OpenCanary, config.json.

2. Abra o ficheiro config.json com um editor de texto.

3. Encontre a secção com a etiqueta alerters no ficheiro de configuração.

4. Se já existir um webhook alerta, modifique-o. Caso contrário, adicione uma nova entrada para o webhook autor do alerta.

5. Use a seguinte configuração (substitua ENDPOINT_URL, SECRET e API_KEY pelos seus valores):

"handlers": {
    "Webhook": {
        "class": "opencanary.logger.WebhookHandler",
        "url": "<ENDPOINT_URL>",
        "method": "POST",
        "data": {"message": "%(message)s"},
        "status_code": 200,
        "headers": {
            "X-Webhook-Access-Key": "<SECRET>",
            "X-goog-api-key": "<API_KEY>"
         }
    }
}

1. Guarde o ficheiro config.json.
2. Reinicie o serviço OpenCanary para aplicar as alterações. (por exemplo, sudo systemctl restart opencanary).

Tabela de mapeamento da UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.