Datenaufnahmescripts verwenden, die als Cloud Run-Funktionen bereitgestellt werden
Google Security Operations hat eine Reihe von Python-Aufnahmescripts bereitgestellt, die als Cloud Run-Funktionen bereitgestellt werden sollen. Mit diesen Scripts können Sie Daten aus den folgenden Protokollquellen aufnehmen, die nach Name und Protokolltyp aufgelistet sind.
- Armis Google Security Operations Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Activity (
DUO_ACTIVITY) - Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Diese Skripts befinden sich im GitHub-Repository von Google Security Operations.
Bekannte Einschränkung:Wenn diese Scripts in einer zustandslosen Umgebung wie Cloud Run-Funktionen verwendet werden, werden möglicherweise nicht alle Protokolle an Google Security Operations gesendet, da keine Checkpoint-Funktion vorhanden ist. Google Security Operations hat die Scripts mit der Python 3.9-Laufzeit getestet.
Hinweise
In den folgenden Ressourcen finden Sie Kontext und Hintergrundinformationen, mit denen Sie die Google Security Operations-Aufnahmescripts effektiv nutzen können.
- Cloud Run-Funktionen bereitstellen: Informationen zum Bereitstellen von Cloud Run-Funktionen von Ihrem lokalen Computer aus
- Secrets erstellen und aufrufen Sie benötigen sie, um die JSON-Datei des Google Security Operations-Dienstkontos zu speichern und darauf zuzugreifen.
- Installieren Sie die Google Cloud CLI. Mit diesem Namen wird die Cloud Run-Funktion bereitgestellt.
- Google Cloud Pub/Sub-Dokumentation, wenn Sie Daten aus Pub/Sub aufnehmen möchten
Dateien für einen einzelnen Protokolltyp zusammenstellen
Jedes Unterverzeichnis im GitHub-Repository von Google Security Operations enthält Dateien, in die Daten für einen einzelnen Google Security Operations-Logtyp aufgenommen werden. Das Script stellt eine Verbindung zu einem einzelnen Quellgerät her und sendet dann Rohprotokolle über die Ingestion API an Google Security Operations. Wir empfehlen, jeden Logtyp als separate Cloud Run-Funktion bereitzustellen. Rufen Sie die Scripts im GitHub-Repository von Google Security Operations auf. Jedes Unterverzeichnis in GitHub enthält die folgenden Dateien, die dem aufgenommenen Protokolltyp entsprechen.
main.pyist das für den Protokolltyp spezifische Aufnahmeskript. Es stellt eine Verbindung zum Quellgerät her und nimmt Daten in Google Security Operations auf..env.ymlspeichert die vom Python-Script benötigte Konfiguration und ist spezifisch für die Bereitstellung. In dieser Datei legen Sie die Konfigurationsparameter fest, die vom Datenaufnahme-Script benötigt werden.README.mdenthält Informationen zu Konfigurationsparametern.Requirements.txtdefiniert die Abhängigkeiten, die für das Datenaufnahme-Script erforderlich sind. Außerdem enthält der OrdnercommonDienstprogrammfunktionen, von denen alle Datenaufnahmescripts abhängen.
Führen Sie die folgenden Schritte aus, um die Dateien zusammenzustellen, in die Daten für einen einzelnen Protokolltyp aufgenommen werden:
- Erstellen Sie ein Bereitstellungsverzeichnis, um die Dateien für die Cloud Run-Funktion zu speichern. Diese enthält alle für die Bereitstellung erforderlichen Dateien.
- Kopieren Sie alle Dateien aus dem GitHub-Unterverzeichnis des ausgewählten Protokolltyps, z. B. „OneLogin User Context“, in dieses Bereitstellungsverzeichnis.
- Kopieren Sie den Ordner
commonund den gesamten Inhalt in das Bereitstellungsverzeichnis. Der Inhalt des Verzeichnisses sieht in etwa so aus:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Scripts konfigurieren
- Starten Sie eine Cloud Shell-Sitzung.
- Stellen Sie eine SSH-Verbindung zu einer Google Cloud Linux-VM her. Weitere Informationen finden Sie unter Mit Google-Tools eine Verbindung zu Linux-VMs herstellen.
Laden Sie die Datenaufnahmescripts hoch, indem Sie auf Mehr > Hochladen oder Herunterladen klicken, um Dateien oder Ordner in Cloud Shell oder von dort aus zu verschieben.
Dateien und Ordner können nur in Ihr Basisverzeichnis hoch- und heruntergeladen werden. Weitere Optionen zum Übertragen von Dateien zwischen Cloud Shell und Ihrer lokalen Workstation finden Sie unter [Dateien und Ordner von Cloud Shell hoch- und herunterladen](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.
Bearbeiten Sie die Datei
.env.ymlfür die Funktion und füllen Sie die erforderlichen Umgebungsvariablen aus. In der folgenden Tabelle sind Laufzeitumgebungsvariablen aufgeführt, die für alle Datenaufnahmescripts gemeinsam sind.Variablenname Beschreibung Erforderlich Standard Secret CHRONICLE_CUSTOMER_IDGoogle Security Operations-Kundennummer Ja Keine Nein CHRONICLE_REGIONGoogle Security Operations-Region. Ja us
Weitere zulässige Werte:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2undsouthamerica-east1.Nein CHRONICLE_SERVICE_ACCOUNTInhalt der JSON-Datei des Dienstkontos für Google Security Operations. Ja Keine Ja CHRONICLE_NAMESPACEDer Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Nein Keine Nein Für jedes Script sind spezifische Umgebungsvariablen erforderlich. Unter Konfigurationsparameter nach Protokolltyp finden Sie Details zu den für jeden Protokolltyp erforderlichen Umgebungsvariablen.
Umgebungsvariablen, die als Secret = Yes gekennzeichnet sind, müssen im Secret Manager als Secrets konfiguriert werden. Informationen zu den Kosten der Nutzung von Secret Manager finden Sie unter Secret Manager-Preise.
Eine detaillierte Anleitung finden Sie unter Secrets erstellen und darauf zugreifen.
Verwenden Sie nach dem Erstellen der Secrets in Secret Manager den Namen der Secret-Ressource als Wert für Umgebungsvariablen. Beispiel: projects/{project_id}/secrets/{secret_id}/versions/{version_id}, wobei {project_id}, {secret_id} und {version_id} für Ihre Umgebung spezifisch sind.
Planer oder Trigger einrichten
Alle Scripts mit Ausnahme von Pub/Sub werden so implementiert, dass die Daten in regelmäßigen Abständen von einem Quellgerät erfasst werden. Sie müssen einen Trigger mit Cloud Scheduler einrichten, um Daten im Zeitverlauf abzurufen. Das Datenaufnahme-Script für Pub/Sub überwacht das Pub/Sub-Abo kontinuierlich. Weitere Informationen finden Sie unter Dienste nach Zeitplan ausführen und Cloud Run-Funktionen mit Pub/Sub auslösen.
Cloud Run-Funktion bereitstellen
- Starten Sie eine Cloud Shell-Sitzung.
- Stellen Sie eine SSH-Verbindung zu einer Google Cloud Linux-VM her. Weitere Informationen finden Sie unter Mit Google-Tools eine Verbindung zu Linux-VMs herstellen.
- Wechseln Sie zu dem Verzeichnis, in das Sie die Datenaufnahmescripts kopiert haben.
Führen Sie den folgenden Befehl aus, um die Cloud Run-Funktion bereitzustellen.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlErsetzen Sie
<FUNCTION_NAME>durch den Namen, den Sie für die Cloud Run-Funktion definieren.Ersetzen Sie
<SERVICE_ACCOUNT_EMAIL>durch die E-Mail-Adresse des Dienstkontos, das Ihre Cloud Run-Funktion verwenden soll.Wenn Sie nicht zum Verzeichnis mit den Dateien wechseln, müssen Sie den Speicherort der Bereitstellungsscripts mit der Option
--sourceangeben.Das Dienstkonto, in dem Ihre Cloud Run-Funktion ausgeführt wird, muss die Rollen Cloud Functions-Aufrufer (
roles/cloudfunctions.invoker) und Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) haben.
Laufzeitprotokolle ansehen
Die Aufnahmescripts geben Laufzeitmeldungen in stdout aus. Cloud Run-Funktionen bieten einen Mechanismus zum Ansehen von Protokollmeldungen. Weitere Informationen finden Sie in der Cloud Functions-Anleitung zum Ansehen von Laufzeitprotokollen.
Konfigurationsparameter nach Protokolltyp
Armis-Integration in Google Security Operations
Dieses Script erfasst die Daten mithilfe von API-Aufrufen von der Armis-Plattform für verschiedene Arten von Ereignissen wie Benachrichtigungen, Aktivitäten, Geräte und Sicherheitslücken. Die erfassten Daten werden in Google Security Operations aufgenommen und von den entsprechenden Parsern analysiert.
Scriptablauf
So sieht der Ablauf des Scripts aus:
Prüfen Sie die Umgebungsvariablen.
Stellen Sie das Script in Cloud Run-Funktionen bereit.
Daten mit dem Datenaufnahme-Script erfassen
Die erfassten Daten in Google Security Operations aufnehmen.
Die erfassten Daten werden mithilfe der entsprechenden Parser in Google Security Operations analysiert.
Mit einem Script Daten in Google Security Operations erfassen und aufnehmen
Prüfen Sie die Umgebungsvariablen.
Variable Beschreibung Erforderlich Default Secret CHRONICLE_CUSTOMER_IDGoogle Security Operations-Kundennummer Ja - Nein CHRONICLE_REGIONGoogle Security Operations-Region. Ja USA Ja CHRONICLE_SERVICE_ACCOUNTInhalt der JSON-Datei des Dienstkontos für Google Security Operations. Ja - Ja CHRONICLE_NAMESPACEDer Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Nein - Nein POLL_INTERVALIntervall, in dem die Funktion ausgeführt wird, um zusätzliche Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. Ja 10 Nein ARMIS_SERVER_URLServer-URL der Armis-Plattform. Ja - Nein ARMIS_API_SECRET_KEYFür die Authentifizierung ist ein Secret-Schlüssel erforderlich. Ja - Ja HTTPS_PROXYProxyserver-URL. Nein - Nein CHRONICLE_DATA_TYPEGoogle Security Operations-Datentyp zum Pushen von Daten in Google Security Operations. Ja - Nein Richten Sie das Verzeichnis ein.
Erstellen Sie ein neues Verzeichnis für die Bereitstellung der Cloud Run-Funktionen und fügen Sie ihm das Verzeichnis
commonund den Inhalt des Datenaufnahmescripts (armis) hinzu.Legen Sie die erforderlichen Laufzeit-Umgebungsvariablen fest.
Definieren Sie die erforderlichen Umgebungsvariablen in der Datei
.env.yml.Verwenden Sie Secrets.
Als geheim gekennzeichnete Umgebungsvariablen müssen im Secret Manager als Secrets konfiguriert werden. Weitere Informationen zum Erstellen von Secrets finden Sie unter Secret erstellen.
Verwenden Sie nach dem Erstellen der Secrets in Secret Manager den Ressourcennamen des Secrets als Wert für Umgebungsvariablen. Beispiel:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Konfigurieren Sie den Namespace.
Legen Sie die Umgebungsvariable
CHRONICLE_NAMESPACEfest, um den Namensraum zu konfigurieren. Die Google Security Operations-Protokolle werden in den Namespace aufgenommen.Cloud Run-Funktionen bereitstellen
Führen Sie den folgenden Befehl im zuvor erstellten Verzeichnis aus, um die Cloud-Funktion bereitzustellen.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlStandardspezifikationen für Cloud Run-Funktionen
Variable Default Beschreibung Speicher 256 MB Keine Keine Zeitüberschreitung 60 Sekunden Keine Keine Region us-central1 Keine Keine Mindestanzahl von Instanzen 0 Keine Keine Maximale Anzahl von Instanzen 100 Keine Keine Weitere Informationen zum Konfigurieren dieser Variablen finden Sie unter Cloud Run-Funktionen konfigurieren.
Rufen Sie Verlaufsdaten ab.
So rufen Sie Verlaufsdaten ab und erfassen weiterhin Echtzeitdaten:
- Konfigurieren Sie die Umgebungsvariable
POLL_INTERVALin Minuten, für die die Verlaufsdaten abgerufen werden müssen. - Sie können die Funktion mit einem Scheduler oder manuell auslösen, indem Sie den Befehl in der Google Cloud CLI ausführen, nachdem Sie die Cloud Run-Funktionen konfiguriert haben.
- Konfigurieren Sie die Umgebungsvariable
Aruba Central
Dieses Script ruft Audit-Logs von der Aruba Central-Plattform ab und nimmt sie mit dem ARUBA_CENTRAL-Logtyp in Google Security Operations auf. Informationen zur Verwendung der Bibliothek finden Sie im pycentral Python SDK.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variable | Beschreibung | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Job-Intervall übereinstimmen. | 10 | Nein |
ARUBA_CLIENT_ID |
Client-ID des Aruba Central API-Gateways. | Keine | Nein |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Client-Secret des Aruba Central API-Gateways. | Keine | Ja |
ARUBA_USERNAME |
Nutzername der Aruba Central-Plattform. | Keine | Nein |
ARUBA_PASSWORD_SECRET_PATH |
Passwort für die Aruba Central-Plattform. | Keine | Ja |
ARUBA_BASE_URL |
Basis-URL des Aruba Central API-Gateways. | Keine | Nein |
ARUBA_CUSTOMER_ID |
Kundennummer der Aruba Central-Plattform. | Keine | Nein |
Azure Event Hub
Im Gegensatz zu anderen Datenaufnahmescripts werden in diesem Script Azure-Funktionen verwendet, um Ereignisse aus Azure Event Hub abzurufen. Eine Azure-Funktion wird jedes Mal ausgelöst, wenn ein neues Ereignis in einen Bucket aufgenommen wird. Jedes Ereignis wird nach und nach in Google Security Operations aufgenommen.
Schritte zum Bereitstellen von Azure-Funktionen:
- Laden Sie die Datei „
Azure_eventhub_API_function_app.json“ aus dem Repository herunter. - Melden Sie sich im Microsoft Azure-Portal an.
- Rufen Sie Microsoft Sentinel > Ihren Arbeitsbereich in der Liste aus > Daten-Connector auswählen im Konfigurationsabschnitt auf und führen Sie die folgenden Schritte aus:
- Legen Sie in der URL das folgende Flag auf „wahr“ fest:
feature.BringYourOwnConnector=true. Beispiel: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Klicken Sie auf der Seite auf die Schaltfläche import und importieren Sie die in Schritt 1 heruntergeladene Daten-Connector-Datei.
- Legen Sie in der URL das folgende Flag auf „wahr“ fest:
- Klicken Sie auf die Schaltfläche In Azure bereitstellen, um Ihre Funktion bereitzustellen, und folgen Sie der Anleitung auf derselben Seite.
- Wählen Sie das gewünschte Abo, die Ressourcengruppe und den Speicherort aus und geben Sie die erforderlichen Werte an.
- Klicken Sie auf Überprüfen + Erstellen.
- Klicken Sie auf Erstellen, um die Bereitstellung vorzunehmen.
Box
Dieses Script ruft Details zu Ereignissen in Box ab und nimmt sie mit dem Protokolltyp BOX in Google Security Operations auf. Die Daten liefern Einblicke in CRUD-Vorgänge für Objekte in der Box-Umgebung. Informationen zu Box-Ereignissen finden Sie in der Box Events API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Weitere Informationen zur Box-Client-ID, zum Client-Secret und zur Subject-ID finden Sie unter Grant of Client Credentials (Zugriff gewähren).
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. | 5 | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
BOX_CLIENT_ID |
Client-ID der Box-Plattform, verfügbar in der Box Developer Console. | Keine | Nein |
BOX_CLIENT_SECRET |
Pfad zum Secret in Secret Manager, in dem das Client-Secret der Box-Plattform gespeichert ist, das für die Authentifizierung verwendet wird. | Keine | Ja |
BOX_SUBJECT_ID |
Box-Nutzer-ID oder Unternehmens-ID | Keine | Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
Citrix Cloud-Audit-Logs
Dieses Script sammelt Citrix Cloud-Audit-Logs und nimmt sie mit dem Logtyp CITRIX_MONITOR in Google Security Operations auf. Diese Logs helfen dabei, Aktivitäten in der Citrix Cloud-Umgebung zu identifizieren, indem sie Informationen dazu liefern, was geändert wurde, wer sie geändert hat, wann sie geändert wurde usw. Weitere Informationen finden Sie in der Citrix Cloud SystemLog API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Informationen zu Citrix-Client-IDs und Clientschlüsseln finden Sie unter Einstieg in Citrix APIs.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
CITRIX_CLIENT_ID |
Citrix API-Client-ID. | Keine | Nein |
CITRIX_CLIENT_SECRET |
Pfad zum Secret in Secret Manager, in dem das für die Authentifizierung verwendete Client-Secret der Citrix API gespeichert ist. | Keine | Ja |
CITRIX_CUSTOMER_ID |
Citrix-Kundennummer. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem zusätzliche Protokolldaten erfasst werden (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. | 30 | Nein |
URL_DOMAIN |
Citrix Cloud-Endpunkt | Keine | Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
Citrix-Sitzungsmetadaten
Dieses Script erfasst Citrix-Sitzungsmetadaten aus Citrix-Umgebungen und nimmt sie mit dem CITRIX_MONITOR-Log-Typ in Google Security Operations auf. Die Daten umfassen Anmeldedetails des Nutzers, Sitzungsdauer, Erstellungszeit der Sitzung, Sitzungsendzeit und andere sitzungsbezogene Metadaten. Weitere Informationen finden Sie in der Citrix Monitor Service API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Informationen zu Citrix-Client-IDs und Clientschlüsseln finden Sie unter Einstieg in Citrix APIs.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
URL_DOMAIN |
Citrix-URL-Domain. | Keine | Nein |
CITRIX_CLIENT_ID |
Citrix-Client-ID. | Keine | Nein |
CITRIX_CLIENT_SECRET |
Pfad zum Secret in Secret Manager, in dem das für die Authentifizierung verwendete Citrix-Client-Secret gespeichert ist. | Keine | Ja |
CITRIX_CUSTOMER_ID |
Citrix-Kundennummer. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. | 30 | Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
Cloud Storage
Dieses Script ruft Systemprotokolle aus Cloud Storage ab und nimmt sie mit einem konfigurierbaren Wert für den Logtyp in Google Security Operations auf. Weitere Informationen finden Sie in der Google Cloud-Python-Clientbibliothek.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. In Google Cloud gibt es sicherheitsrelevante Logs, von denen einige Logtypen nicht direkt nach Google Security Operations exportiert werden können. Weitere Informationen finden Sie unter Sicherheitsprotokolle analysieren.
| Variable | Beschreibung | Standard | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. | 60 | Nein |
GCS_BUCKET_NAME |
Name des Cloud Storage-Bucket, aus dem die Daten abgerufen werden sollen. | Keine | Nein |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Cloud-Dienstkontos gespeichert ist. | Keine | Ja |
CHRONICLE_DATA_TYPE |
Protokolltyp, um Daten in die Google Security Operations-Instanz zu pushen. | Keine | Nein |
Duo-Aktivitäten
Dieses Script ruft Duo-Aktivitätsprotokolle aus Duo Admin ab und nimmt sie mit dem Protokolltyp DUO_ACTIVITY in Google Security Operations auf. Weitere Informationen finden Sie in der Duo Admin API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1,
asia-southeast1, australia-southeast1, europe,
europe-west2, europe-west3, europe-west6,
europe-west12, me-central1, me-central2,
me-west1 und northamerica-northeast2. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
BACKSTORY_API_V1_URL |
Der URL-Pfad der Duo Security API. Weitere Informationen zum Herunterladen der JSON-Datei mit dem DUO Admin API-Integrationsschlüssel finden Sie in der DUO Admin-Dokumentation. | Keine | Ja |
DUO_SECRET_KEY |
Der DUO-Secret-Schlüssel, der zum Abrufen von Protokollen aus der DUO API erforderlich ist. In der Duo Admin-Dokumentation finden Sie eine Anleitung zum Herunterladen der JSON-Datei, die den Integrationsschlüssel, den geheimen Schlüssel und den Hostnamen der Duo Admin API enthält. |
Keine | Ja |
DUO_INTEGRATION_KEY |
Der DUO-Integrationsschlüssel, der zum Abrufen von Protokollen aus der DUO API erforderlich ist. In der Duo Admin-Dokumentation finden Sie eine Anleitung zum Herunterladen der JSON-Datei, die den Integrationsschlüssel, den geheimen Schlüssel und den Hostnamen der Duo Admin API enthält. |
Keine | Ja |
LOG_FETCH_DURATION |
Die Dauer, für die die Protokolle abgerufen werden. | 1 | Nein |
CHECKPOINT_FILE_PATH |
Der Pfad zur Datei, in der der Prüfzeitstempel des letzten aufgenommenen Logs gespeichert ist. | checkpoint.json |
Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
Duo Admin
Das Script ruft Ereignisse von Duo Admin ab, die sich auf CRUD-Vorgänge beziehen, die auf verschiedenen Objekten wie Nutzerkonten und Sicherheit ausgeführt werden. Die Ereignisse werden mit dem Protokolltyp DUO_ADMIN in Google Security Operations aufgenommen. Weitere Informationen finden Sie in der Duo Admin API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
POLL_INTERVAL |
Intervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Job-Intervall übereinstimmen. | Keine | Nein |
DUO_API_DETAILS |
Pfad zum Secret im Secret Manager, in dem die JSON-Datei des Duo-Kontos gespeichert ist. Dieser enthält den Integrationsschlüssel, den geheimen Schlüssel und den Hostnamen der Duo Admin API. Beispiel:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Eine Anleitung zum Herunterladen der JSON-Datei finden Sie in der Duo Admin-Dokumentation. |
Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
MISP
Dieses Script ruft Informationen zu Bedrohungsbeziehungen von MISP ab, einer Open-Source-Plattform für Threat Intelligence und ‑Teilen, und nimmt sie mit dem MISP_IOC-Logtyp in Google Security Operations auf. Weitere Informationen finden Sie in der MISP Events API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variable | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. | 5 | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
ORG_NAME |
Name der Organisation zum Filtern von Ereignissen. | Keine | Nein |
API_KEY |
Pfad zum Secret in Secret Manager, in dem der API-Schlüssel für die verwendete Authentifizierung gespeichert ist. | Keine | Ja |
TARGET_SERVER |
Die IP-Adresse der von Ihnen erstellten MISP-Instanz. | Keine | Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
OneLogin-Ereignisse
Dieses Script ruft Ereignisse aus einer OneLogin-Umgebung ab und nimmt sie mit dem ONELOGIN_SSO-Logtyp in Google Security Operations auf. Diese Ereignisse liefern Informationen wie Vorgänge an Nutzerkonten. Weitere Informationen finden Sie in der OneLogin Events API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Informationen zu OneLogin-Client-IDs und Client-Secrets finden Sie unter API-Anmeldedaten verwenden.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. | 5 | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
CLIENT_ID |
Client-ID der OneLogin-Plattform. | Keine | Nein |
CLIENT_SECRET |
Pfad zum Secret in Secret Manager, in dem das Client-Secret der OneLogin-Plattform gespeichert ist, das für die Authentifizierung verwendet wird. | Keine | Ja |
TOKEN_ENDPOINT |
Die URL, unter der ein Zugriffstoken angefordert wird. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
OneLogin-Nutzerkontext
Dieses Script ruft Daten zu Nutzerkonten aus einer OneLogin-Umgebung ab und nimmt sie mit dem Protokolltyp ONELOGIN_USER_CONTEXT in Google Security Operations auf.
Weitere Informationen finden Sie in der OneLogin User API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Informationen zu OneLogin-Client-IDs und Client-Secrets finden Sie unter API-Anmeldedaten verwenden.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. | 30 | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
CLIENT_ID |
Client-ID der OneLogin-Plattform. | Keine | Nein |
CLIENT_SECRET |
Pfad zum Secret in Secret Manager, in dem das Client-Secret der OneLogin-Plattform gespeichert ist, das für die Authentifizierung verwendet wird. | Keine | Ja |
TOKEN_ENDPOINT |
Die URL, unter der ein Zugriffstoken angefordert wird. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
Proofpoint
Dieses Script ruft Daten zu Nutzern ab, die innerhalb eines bestimmten Zeitraums von einer bestimmten Organisation angegriffen wurden, und überträgt diese Daten in Google Security Operations. Informationen zur verwendeten API finden Sie in der People API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Weitere Informationen zum Abrufen des Proofpoint-Dienstprinzipals und des Proofpoint-Geheimnisses finden Sie in der Konfigurationsanleitung zum Bereitstellen von Proofpoint TAP-Anmeldedaten für Arctic Wolf.
| Variable | Beschreibung | Standard | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. | 360 | Nein |
CHRONICLE_DATA_TYPE |
Protokolltyp, um Daten in die Google Security Operations-Instanz zu pushen. | Keine | Nein |
PROOFPOINT_SERVER_URL |
Basis-URL des Proofpoint-Server-API-Gateways. | Keine | Nein |
PROOFPOINT_SERVICE_PRINCIPLE |
Nutzername der Proofpoint-Plattform. Dies ist in der Regel der Dienstprinzipal. | Keine | Nein |
PROOFPOINT_SECRET |
Pfad zum Secret Manager mit der Version, in der das Passwort der Proofpoint-Plattform gespeichert ist. | Keine | Ja |
PROOFPOINT_RETRIEVAL_RANGE |
Gibt an, für wie viele Tage die Daten abgerufen werden sollen. Zulässige Werte sind 14, 30 und 90. | Keine | Nein |
Pub/Sub
Dieses Script sammelt Nachrichten aus Pub/Sub-Abos und nimmt die Daten in Google Security Operations auf. Es überwacht kontinuierlich das Abo-Gateway und nimmt neue Nachrichten auf, sobald sie eintreffen. Weitere Informationen finden Sie in folgenden Dokumenten:
Für dieses Datenaufnahme-Script müssen Sie sowohl in der Datei .env.yml als auch im Cloud Scheduler-Job Variablen festlegen.
Definieren Sie in der Datei
.env.ymldie folgenden Umgebungsvariablen.Variablenname Beschreibung Standardwert Secret CHRONICLE_CUSTOMER_IDKundennummer der Google Security Operations-Instanz. Keine Nein CHRONICLE_REGIONRegion der Google Security Operations-Instanz. us
Weitere gültige Werte:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2undsouthamerica-east1.Nein CHRONICLE_SERVICE_ACCOUNTPfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. Keine Ja CHRONICLE_NAMESPACEDer Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein Legen Sie die folgenden Variablen im Cloud Scheduler-Feld Message body (Nachrichtentext) als JSON-formatierten String fest. Weitere Informationen zum Feld Nachrichtentext finden Sie unter Cloud Scheduler erstellen.
Variablenname Beschreibung Standardwert Secret PROJECT_IDPub/Sub-Projekt-ID. Informationen zur Projekt-ID finden Sie unter Projekte erstellen und verwalten. Keine Nein SUBSCRIPTION_IDPub/Sub-Abo-ID. Keine Nein CHRONICLE_DATA_TYPEAufnahmelabel für den Logtyp, der beim Pushen von Daten an Google Security Operations angegeben wurde. Eine Liste der unterstützten Logtypen finden Sie unter Unterstützte Standardparser. Keine Nein Hier ist ein Beispiel für einen JSON-formatierten String für das Feld Message body (Nachrichtentext).
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Audit-Logs für Slack
Dieses Script ruft Audit-Logs aus einer Slack Enterprise Grid-Organisation ab und nimmt sie mit dem Protokolltyp SLACK_AUDIT in Google Security Operations auf. Weitere Informationen finden Sie unter Slack Audit Logs API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Job-Intervall übereinstimmen. | 5 | Nein |
SLACK_ADMIN_TOKEN |
Pfad zum Secret in Secret Manager, in dem das Slack-Authentifizierungstoken gespeichert ist. |
Keins |
Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
STIX/TAXII
Dieses Script ruft Indikatoren vom STIX/TAXII-Server ab und nimmt sie in Google Security Operations auf. Weitere Informationen finden Sie in der STIX/TAXII API-Dokumentation.
Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml.
| Variablenname | Beschreibung | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
POLL_INTERVAL |
Häufigkeitsintervall (in Minuten), in dem die Funktion ausgeführt wird. Diese Dauer muss mit der des Cloud Scheduler-Jobs übereinstimmen. | 60 | Nein |
TAXII_VERSION |
Die zu verwendende STIX-/TAXII-Version. Mögliche Optionen sind 1.1, 2.0 und 2.1. | Keine | Nein |
TAXII_DISCOVERY_URL |
Discovery-URL des TAXII-Servers. | Keine | Nein |
TAXII_COLLECTION_NAMES |
Sammlungen (CSV), aus denen die Daten abgerufen werden sollen. Lassen Sie das Feld leer, um Daten aus allen Sammlungen abzurufen. | Keine | Nein |
TAXII_USERNAME |
Für die Authentifizierung erforderlicher Nutzername, falls zutreffend. | Keine | Nein |
TAXII_PASSWORD_SECRET_PATH |
Passwort, falls für die Authentifizierung erforderlich. | Keine | Ja |
Tenable.io
Dieses Script ruft Asset- und Sicherheitslückendaten von der Tenable.io-Plattform ab und nimmt sie mit dem Protokolltyp TENABLE_IO in Google Security Operations auf. Informationen zur verwendeten Bibliothek finden Sie im pyTenable Python SDK.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Weitere Informationen zu Asset- und Sicherheitslückendaten finden Sie in der Tenable.io API: Assets exportieren und Sicherheitslücken exportieren.
| Variable | Beschreibung | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. | 360 | Nein |
TENABLE_ACCESS_KEY |
Der für die Authentifizierung verwendete Zugriffsschlüssel. | Keine | Nein |
TENABLE_SECRET_KEY_PATH |
Pfad zum Google Secret Manager mit der Version, in der das Passwort für den Tenable-Server gespeichert ist. | Keine | Ja |
TENABLE_DATA_TYPE |
Datentyp, der in Google Security Operations aufgenommen werden soll. Mögliche Werte: ASSETS, VULNERABILITIES. | ASSETS, VULNERABILITIES | Nein |
TENABLE_VULNERABILITY |
Der Status der Sicherheitslücken, die im Export enthalten sein sollen. Mögliche Werte: „OPEN“, „REOPENED“ und „FIXED“. | GEÖFFNET, WIEDER GEÖFFNET | Nein |
Trend Micro Cloud App Security
Dieses Script ruft Sicherheitsprotokolle von der Trend Micro-Plattform ab und nimmt sie in Google Security Operations auf. Informationen zur verwendeten API finden Sie in der API für Sicherheitsprotokolle.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variable | Beschreibung | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. | 10 | Nein |
CHRONICLE_DATA_TYPE |
Protokolltyp, um Daten in die Google Security Operations-Instanz zu pushen. | Keine | Nein |
TREND_MICRO_AUTHENTICATION_TOKEN |
Pfad zum Google Secret Manager mit der Version, in der das Authentifizierungstoken für den Trend Micro-Server gespeichert ist. | Keine | Ja |
TREND_MICRO_SERVICE_URL |
Dienst-URL des Cloud App Security-Dienstes. | Keine | Nein |
TREND_MICRO_SERVICE |
Der Name des geschützten Dienstes, dessen Protokolle abgerufen werden sollen. Unterstützt kommagetrennte Werte. Mögliche Werte: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. | exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat | Nein |
TREND_MICRO_EVENT |
Der Typ des Sicherheitsereignisses, dessen Protokolle abgerufen werden sollen. Unterstützt kommagetrennte Werte. Mögliche Werte: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | Nein |
Trend Micro Vision One
Dieses Script ruft die Audit-Logs von Trend Micro Vision One ab und nimmt sie mit dem Logtyp TREND_MICRO_VISION_AUDIT in Google Security Operations auf. Informationen zur verwendeten API finden Sie in der Audit Logs API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variable | Beschreibung | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Kundennummer der Google Security Operations-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Region der Google Security Operations-Instanz. | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. | Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. | 10 | Nein |
TREND_MICRO_AUTHENTICATION_TOKEN |
Pfad zum Google Secret Manager mit der Version, in der das Authentifizierungstoken für den Trend Micro-Server gespeichert ist. | Keine | Ja |
TREND_MICRO_DOMAIN |
Trend Micro Vision One-Region, in der sich der Dienstendpunkt befindet. | Keine | Nein |