Menggunakan skrip penyerapan yang di-deploy sebagai fungsi Cloud Run
Google Security Operations telah menyediakan serangkaian skrip penyerapan, yang ditulis dalam Python, yang dimaksudkan untuk di-deploy sebagai fungsi Cloud Run. Dengan skrip ini, Anda dapat menyerap data dari sumber log berikut, yang tercantum berdasarkan nama dan jenis log.
- Armis Google Security Operations Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Activity (
DUO_ACTIVITY) - Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Skrip ini terletak di repositori GitHub Operasi Keamanan Google.
Batasan yang diketahui: Jika skrip ini digunakan di lingkungan tanpa status seperti fungsi Cloud Run, skrip tersebut mungkin tidak mengirim semua log ke Google Security Operations karena tidak memiliki fungsi checkpoint. Google Security Operations telah menguji skrip dengan runtime Python 3.9.
Sebelum memulai
Baca referensi berikut yang memberikan konteks dan informasi latar belakang yang memungkinkan Anda menggunakan skrip penyerapan Google Security Operations secara efektif.
- Men-deploy fungsi Cloud Run untuk mengetahui informasi tentang cara men-deploy fungsi Cloud Run dari komputer lokal Anda.
- Membuat dan mengakses secret menjelaskan cara menggunakan Secret Manager. Anda memerlukannya untuk menyimpan dan mengakses file JSON akun layanan Google Security Operations.
- Menginstal Google Cloud CLI. Anda akan menggunakannya untuk men-deploy fungsi Cloud Run.
- Dokumentasi Google Cloud Pub/Sub jika Anda berencana menyerap data dari Pub/Sub.
Menggabungkan file untuk satu jenis log
Setiap subdirektori di GitHub Google Security Operations berisi file yang meng-upload data untuk satu jenis log Google Security Operations. Skrip ini terhubung ke satu perangkat sumber, lalu mengirim log mentah ke Google Security Operations menggunakan Ingestion API. Sebaiknya deploy setiap jenis log sebagai fungsi Cloud Run yang terpisah. Akses skrip di repositori GitHub Google Security Operations. Setiap subdirektori di GitHub berisi file berikut yang spesifik untuk jenis log yang ditransfer.
main.pyadalah skrip penyerapan khusus untuk jenis log. Alat ini terhubung ke perangkat sumber dan menyerap data ke Google Security Operations..env.ymlmenyimpan konfigurasi yang diperlukan oleh skrip Python dan khusus untuk deployment. Anda mengubah file ini untuk menetapkan parameter konfigurasi yang diperlukan oleh skrip penyerapan.README.mdmemberikan informasi tentang parameter konfigurasi.Requirements.txtmenentukan dependensi yang diperlukan oleh skrip penyerapan. Selain itu, foldercommonberisi fungsi utilitas yang menjadi dependensi semua skrip penyerapan.
Lakukan langkah-langkah berikut untuk menyusun file yang menyerap data untuk satu jenis log:
- Buat direktori deployment untuk menyimpan file untuk fungsi Cloud Run. File ini akan berisi semua file yang diperlukan untuk deployment.
- Salin semua file dari subdirektori GitHub dari jenis log yang dipilih, misalnya Konteks Pengguna OneLogin, ke direktori deployment ini.
- Salin folder
commondan semua konten ke direktori deployment. Konten direktori akan terlihat mirip dengan berikut:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Mengonfigurasi skrip
- Luncurkan sesi Cloud Shell.
- Menghubungkan dengan SSH ke VM Linux Google Cloud. Lihat Menghubungkan ke VM Linux menggunakan alat Google.
Upload skrip penyerapan dengan mengklik Lainnya > Upload atau Download untuk memindahkan file atau folder ke atau dari Cloud Shell.
File dan folder hanya dapat diupload ke dan didownload dari direktori beranda Anda. Untuk opsi lain guna mentransfer file antara Cloud Shell dan workstation lokal, lihat [Mengupload dan mendownload file dan folder dari Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.
Edit file
.env.ymluntuk fungsi dan isi variabel lingkungan yang diperlukan. Tabel berikut mencantumkan variabel lingkungan runtime yang umum untuk semua skrip penyerapan.Nama variabel Deskripsi Wajib Default Rahasia CHRONICLE_CUSTOMER_IDID pelanggan Google Security Operations. Ya Tidak ada Tidak CHRONICLE_REGIONWilayah Google Security Operations. Ya us
Nilai valid lainnya:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2, dansouthamerica-east1.Tidak CHRONICLE_SERVICE_ACCOUNTKonten file JSON akun layanan Google Security Operations. Ya Tidak ada Ya CHRONICLE_NAMESPACENamespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk mengetahui informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. Tidak Tidak ada Tidak Setiap skrip memerlukan variabel lingkungan khusus untuk skrip tersebut. Lihat Parameter konfigurasi menurut jenis log untuk mengetahui detail tentang variabel lingkungan yang diperlukan oleh setiap jenis log.
Variabel lingkungan yang ditandai sebagai Secret = Yes harus dikonfigurasi sebagai secret di
Secret Manager. Lihat Harga Secret Manager untuk mengetahui informasi tentang biaya penggunaan Secret Manager.
Lihat Membuat dan mengakses secret untuk mengetahui petunjuk selengkapnya.
Setelah secret dibuat di Secret Manager, gunakan nama resource secret sebagai nilai untuk variabel lingkungan. Misalnya:
projects/{project_id}/secrets/{secret_id}/versions/{version_id}, dengan
{project_id}, {secret_id}, dan {version_id} khusus untuk
lingkungan Anda.
Menyiapkan penjadwal atau pemicu
Semua skrip, kecuali Pub/Sub, diterapkan untuk mengumpulkan data pada interval berkala dari perangkat sumber. Anda harus menyiapkan pemicu menggunakan Cloud Scheduler untuk mengambil data dari waktu ke waktu. Skrip penyerapan untuk Pub/Sub terus memantau langganan Pub/Sub. Untuk informasi selengkapnya, lihat Menjalankan layanan sesuai jadwal dan Menggunakan Pub/Sub untuk memicu fungsi Cloud Run.
Men-deploy fungsi Cloud Run
- Luncurkan sesi Cloud Shell.
- Menghubungkan melalui SSH ke VM Linux Google Cloud. Lihat Menghubungkan ke VM Linux menggunakan alat Google.
- Ubah ke direktori tempat Anda menyalin skrip penyerapan.
Jalankan perintah berikut untuk men-deploy fungsi Cloud Run.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlGanti
<FUNCTION_NAME>dengan nama yang Anda tentukan untuk fungsi Cloud Run.Ganti
<SERVICE_ACCOUNT_EMAIL>dengan alamat email akun layanan yang ingin Anda gunakan untuk fungsi Cloud Run.Jika Anda tidak mengubah direktori ke lokasi file, pastikan untuk menggunakan opsi
--sourceguna menentukan lokasi skrip deployment.Akun layanan yang menjalankan fungsi Cloud Run Anda harus memiliki peran Cloud Functions Invoker (
roles/cloudfunctions.invoker) dan Secret Manager Secret Accessor (roles/secretmanager.secretAccessor).
Melihat log runtime
Skrip penyerapan mencetak pesan runtime ke stdout. Fungsi Cloud Run menyediakan mekanisme untuk melihat pesan log. Untuk informasi selengkapnya, lihat informasi Cloud Functions tentang Melihat log runtime.
Parameter konfigurasi menurut jenis log
Integrasi Google Security Operations Armis
Skrip ini mengumpulkan data menggunakan panggilan API dari platform Armis untuk berbagai jenis peristiwa seperti pemberitahuan, aktivitas, perangkat, dan kerentanan. Data yang dikumpulkan diserap ke dalam Google Security Operations dan diuraikan oleh parser yang sesuai.
Alur skrip
Berikut adalah alur skrip:
Verifikasi variabel lingkungan.
Deploy skrip ke fungsi Cloud Run.
Mengumpulkan data menggunakan skrip penyerapan.
Serap data yang dikumpulkan ke Google Security Operations.
Mengurai data yang dikumpulkan melalui parser yang sesuai di Google Security Operations.
Menggunakan skrip untuk mengumpulkan dan menyerap data ke Google Security Operations
Verifikasi variabel lingkungan.
Variabel Deskripsi Wajib Default Secret CHRONICLE_CUSTOMER_IDID pelanggan Google Security Operations. Ya - Tidak CHRONICLE_REGIONWilayah Google Security Operations. Ya US Ya CHRONICLE_SERVICE_ACCOUNTKonten file JSON akun layanan Google Security Operations. Ya - Ya CHRONICLE_NAMESPACENamespace yang digunakan untuk memberi label pada log Google Security Operations. Tidak - Tidak POLL_INTERVALInterval frekuensi saat fungsi dieksekusi untuk mendapatkan informasi tambahan Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. Ya 10 Tidak ARMIS_SERVER_URLURL server platform Armis. Ya - Tidak ARMIS_API_SECRET_KEYKunci rahasia diperlukan untuk melakukan autentikasi. Ya - Ya HTTPS_PROXYURL server proxy. Tidak - Tidak CHRONICLE_DATA_TYPEJenis data Google Security Operations untuk mengirim data ke Google Security Operations. Ya - Tidak Siapkan direktori.
Buat direktori baru untuk deployment fungsi Cloud Run dan tambahkan direktori
commondan konten skrip penyerapan (armis) ke dalamnya.Tetapkan variabel lingkungan runtime yang diperlukan.
Tentukan variabel lingkungan yang diperlukan dalam file
.env.yml.Menggunakan secret.
Variabel lingkungan yang ditandai sebagai secret harus dikonfigurasi sebagai secret di Secret Manager. Untuk mengetahui informasi selengkapnya tentang cara membuat secret, lihat Membuat secret.
Setelah membuat secret di Secret Manager, gunakan nama resource secret sebagai nilai untuk variabel lingkungan. Contoh:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Konfigurasikan namespace.
Tetapkan variabel lingkungan
CHRONICLE_NAMESPACEuntuk mengonfigurasi namespace. Log Google Security Operations diserap ke dalam namespace.Men-deploy fungsi Cloud Run.
Jalankan perintah berikut dari dalam direktori yang dibuat sebelumnya untuk men-deploy fungsi cloud.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSpesifikasi default fungsi Cloud Run.
Variabel Default Deskripsi Memori 256 MB Tidak ada Tidak ada Timedout 60 detik Tidak ada Tidak ada Wilayah us-central1 Tidak ada Tidak ada Instance Minimum 0 Tidak ada Tidak ada Instance Maksimum 100 Tidak ada Tidak ada Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi variabel ini, lihat Mengonfigurasi fungsi Cloud Run.
Mengambil data historis.
Untuk mengambil data historis dan terus mengumpulkan data real-time:
- Konfigurasikan variabel lingkungan
POLL_INTERVALdalam hitungan menit yang data historisnya perlu diambil. - Picu fungsi menggunakan penjadwal atau secara manual dengan menjalankan perintah di Google Cloud CLI setelah mengonfigurasi fungsi Cloud Run.
- Konfigurasikan variabel lingkungan
Aruba Central
Skrip ini mengambil log audit dari platform Aruba Central dan menyerapnya ke dalam Google Security Operations dengan jenis log ARUBA_CENTRAL. Untuk informasi tentang
cara menggunakan library, lihat pycentral Python
SDK.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Variabel | Deskripsi | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk mengetahui informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 10 | Tidak |
ARUBA_CLIENT_ID |
Client ID gateway Aruba Central API. | Tidak ada | Tidak |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Rahasia klien gateway Aruba Central API. | Tidak ada | Ya |
ARUBA_USERNAME |
Nama pengguna platform Aruba Central. | Tidak ada | Tidak |
ARUBA_PASSWORD_SECRET_PATH |
Sandi platform Aruba Central. | Tidak ada | Ya |
ARUBA_BASE_URL |
URL dasar gateway Aruba Central API. | Tidak ada | Tidak |
ARUBA_CUSTOMER_ID |
ID Pelanggan platform Aruba Central. | Tidak ada | Tidak |
Azure Event Hub
Tidak seperti skrip penyerapan lainnya, skrip ini menggunakan fungsi Azure untuk mengambil peristiwa dari Azure Event Hub. Fungsi Azure akan memicu dirinya sendiri setiap kali peristiwa baru ditambahkan ke bucket, dan setiap peristiwa secara bertahap ditransfer ke Google Security Operations.
Langkah-langkah untuk men-deploy fungsi Azure:
- Download file konektor data bernama
Azure_eventhub_API_function_app.jsondari repositori. - Login ke portal Microsoft Azure Anda.
- Buka Sentinel Microsoft > Pilih ruang kerja Anda dari daftar > Pilih Konektor Data di bagian konfigurasi, lalu lakukan tindakan berikut:
- Tetapkan flag berikut sebagai benar di URL:
feature.BringYourOwnConnector=true. Misalnya: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Temukan tombol import di halaman dan impor file konektor data yang didownload pada langkah 1.
- Tetapkan flag berikut sebagai benar di URL:
- Klik tombol Deploy to Azure untuk men-deploy fungsi Anda, dan ikuti langkah-langkah yang disebutkan di halaman yang sama.
- Pilih Langganan, Grup resource, dan Lokasi yang diinginkan, lalu berikan nilai yang diperlukan.
- Klik Tinjau + Buat.
- Klik Create untuk men-deploy.
Box
Skrip ini mendapatkan detail tentang peristiwa yang terjadi dalam Box dan menyerapnya
ke dalam Google Security Operations dengan jenis log BOX. Data ini memberikan insight tentang operasi CRUD pada objek di lingkungan Box. Untuk informasi tentang peristiwa Box, lihat Box events API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk mengetahui informasi selengkapnya tentang Client ID, Client Secret, dan Subject ID Box, lihat Pemberian
Kredensial
Klien
.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 5 | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
BOX_CLIENT_ID |
Client ID platform Box, tersedia di konsol developer Box. | Tidak ada | Tidak |
BOX_CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan secret klien platform Box yang digunakan untuk autentikasi. | Tidak ada | Ya |
BOX_SUBJECT_ID |
ID Pengguna Box atau ID Perusahaan. | Tidak ada | Tidak |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
Log audit Citrix Cloud
Skrip ini mengumpulkan log audit Citrix Cloud dan menyerapnya ke dalam Google Security Operations dengan jenis log CITRIX_MONITOR. Log ini membantu mengidentifikasi
aktivitas yang dilakukan di lingkungan Citrix Cloud dengan memberikan informasi
tentang apa yang berubah, siapa yang mengubahnya, kapan diubah, dan sebagainya. Untuk mengetahui informasi
selengkapnya, lihat Citrix Cloud SystemLog
API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk
mengetahui informasi tentang Client ID dan Rahasia Klien Citrix, lihat Memulai
dengan API
Citrix.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
CITRIX_CLIENT_ID |
Client ID Citrix API. | Tidak ada | Tidak |
CITRIX_CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan Rahasia Klien Citrix API yang digunakan untuk autentikasi. | Tidak ada | Ya |
CITRIX_CUSTOMER_ID |
CustomerID Citrix. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat data log tambahan dikumpulkan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 30 | Tidak |
URL_DOMAIN |
Endpoint Citrix Cloud. | Tidak ada | Tidak |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk mengetahui informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
Metadata sesi Citrix
Skrip ini mengumpulkan metadata sesi Citrix dari lingkungan Citrix dan menyerapnya ke Google Security Operations dengan jenis log CITRIX_MONITOR. Data tersebut mencakup
detail login pengguna, durasi sesi, waktu pembuatan sesi, waktu berakhir sesi,
dan metadata lainnya yang terkait dengan sesi. Untuk informasi selengkapnya, lihat
Citrix Monitor Service API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk
mengetahui informasi tentang Client ID dan Rahasia Klien Citrix, lihat Memulai
dengan API
Citrix.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
URL_DOMAIN |
Domain URL Citrix. | Tidak ada | Tidak |
CITRIX_CLIENT_ID |
ID Klien Citrix. | Tidak ada | Tidak |
CITRIX_CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan Rahasia Klien Citrix yang digunakan untuk autentikasi. | Tidak ada | Ya |
CITRIX_CUSTOMER_ID |
ID pelanggan Citrix. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 30 | Tidak |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk mengetahui informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
Cloud Storage
Skrip ini mengambil log sistem dari Cloud Storage dan menyerapnya ke dalam Google Security Operations dengan nilai yang dapat dikonfigurasi untuk jenis log. Untuk mengetahui detailnya, lihat library klien Google Cloud Python.
Tentukan variabel lingkungan berikut dalam file .env.yml. Google Cloud
memiliki log yang relevan dengan keamanan, yang beberapa jenis log-nya tidak dapat diekspor langsung
ke Google Security Operations. Untuk informasi selengkapnya, lihat Analisis log keamanan.
| Variabel | Deskripsi | Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 60 | Tidak |
GCS_BUCKET_NAME |
Nama bucket Cloud Storage tempat data diambil. | Tidak ada | Tidak |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Jalur ke secret di Secret Manager yang menyimpan file JSON Akun Layanan Google Cloud. | Tidak ada | Ya |
CHRONICLE_DATA_TYPE |
Jenis log untuk mengirim data ke instance Google Security Operations. | Tidak ada | Tidak |
Aktivitas Duo
Skrip ini mengambil log Aktivitas Duo dari Duo Admin dan menyerapnya ke dalam
Google Security Operations dengan jenis log DUO_ACTIVITY. Untuk informasi selengkapnya, lihat
Duo Admin API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1,
asia-southeast1, australia-southeast1, europe,
europe-west2, europe-west3, europe-west6,
europe-west12, me-central1, me-central2,
me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
BACKSTORY_API_V1_URL |
Jalur URL Duo Security API. Untuk informasi selengkapnya tentang cara mendownload file JSON yang berisi kunci integrasi DUO Admin API, lihat dokumentasi Duo Admin. | Tidak ada | Ya |
DUO_SECRET_KEY |
Kunci rahasia DUO yang diperlukan untuk mengambil log dari DUO API. Lihat dokumentasi
Duo Admin untuk mengetahui petunjuk tentang cara mendownload file JSON yang
berisi kunci integrasi Duo Admin API, kunci rahasia Duo Admin API, dan
nama host Duo Admin API. |
Tidak ada | Ya |
DUO_INTEGRATION_KEY |
Kunci integrasi DUO yang diperlukan untuk mengambil log dari DUO API. Lihat
dokumentasi Duo Admin untuk mengetahui petunjuk tentang cara mendownload file JSON
yang berisi kunci integrasi Duo Admin API, kunci rahasia Duo Admin API,
dan nama host Duo Admin API. |
Tidak ada | Ya |
LOG_FETCH_DURATION |
Durasi pengambilan log. | 1 | Tidak |
CHECKPOINT_FILE_PATH |
Jalur file tempat stempel waktu checkpoint log yang terakhir diserap disimpan. | checkpoint.json |
Tidak |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk mengetahui informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
Duo Admin
Skrip ini mendapatkan peristiwa dari Duo Admin yang terkait dengan operasi CRUD yang dilakukan pada
berbagai objek seperti akun pengguna dan keamanan. Peristiwa tersebut diserap ke dalam
Google Security Operations dengan jenis log DUO_ADMIN. Untuk informasi selengkapnya, lihat
Duo Admin API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | Tidak ada | Tidak |
DUO_API_DETAILS |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun
Duo. File ini berisi kunci integrasi Duo Admin API, kunci secret
Duo Admin API, dan nama host Duo Admin API. Misalnya:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Lihat dokumentasi Duo Admin untuk mengetahui petunjuk tentang cara mendownload file JSON. |
Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk mengetahui informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
MISP
Skrip ini mengambil informasi hubungan ancaman dari MISP, platform berbagi dan intelijen
ancaman open source, lalu menyerapnya ke dalam Google Security Operations dengan
jenis log MISP_IOC. Untuk informasi selengkapnya, lihat MISP Events
API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 5 | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
ORG_NAME |
Nama organisasi untuk memfilter peristiwa. | Tidak ada | Tidak |
API_KEY |
Jalur ke secret di Secret Manager yang menyimpan kunci API untuk autentikasi yang digunakan. | Tidak ada | Ya |
TARGET_SERVER |
Alamat IP instance MISP yang Anda buat. | Tidak ada | Tidak |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
Peristiwa OneLogin
Skrip ini mendapatkan peristiwa dari lingkungan OneLogin dan menyerapnya ke dalam
Google Security Operations dengan jenis log ONELOGIN_SSO. Peristiwa ini memberikan informasi seperti operasi pada akun pengguna. Untuk mengetahui informasi selengkapnya, lihat
API Peristiwa
OneLogin
.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk
mengetahui informasi tentang Client ID dan Client Secret OneLogin, lihat Menggunakan Kredensial
API.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 5 | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
CLIENT_ID |
Client-ID platform OneLogin. | Tidak ada | Tidak |
CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan secret klien platform OneLogin yang digunakan untuk autentikasi. | Tidak ada | Ya |
TOKEN_ENDPOINT |
URL untuk meminta Token Akses. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Tidak |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk mengetahui informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
Konteks pengguna OneLogin
Skrip ini mendapatkan data yang terkait dengan akun pengguna dari lingkungan OneLogin dan
memasukkannya ke Google Security Operations dengan jenis log ONELOGIN_USER_CONTEXT.
Untuk mengetahui informasi selengkapnya, lihat OneLogin User
API
.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk
mengetahui informasi tentang Client ID dan Client Secret OneLogin, lihat Menggunakan Kredensial
API.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 30 | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
CLIENT_ID |
Client-ID platform OneLogin. | Tidak ada | Tidak |
CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan secret klien platform OneLogin yang digunakan untuk autentikasi. | Tidak ada | Ya |
TOKEN_ENDPOINT |
URL untuk meminta Token Akses. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Tidak |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk mengetahui informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
Proofpoint
Skrip ini mengambil data tentang pengguna yang ditargetkan oleh serangan dari organisasi tertentu dalam jangka waktu tertentu dan menyerap data tersebut ke dalam Google Security Operations. Untuk informasi tentang API yang digunakan, lihat People API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk mengetahui detail tentang cara mendapatkan akun utama layanan Proofpoint dan secret Proofpoint, lihat Panduan konfigurasi untuk memberikan kredensial TAP Proofpoint ke Arctic Wolf.
| Variabel | Deskripsi | Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 360 | Tidak |
CHRONICLE_DATA_TYPE |
Jenis log untuk mengirim data ke instance Google Security Operations. | Tidak ada | Tidak |
PROOFPOINT_SERVER_URL |
URL dasar gateway Proofpoint Server API. | Tidak ada | Tidak |
PROOFPOINT_SERVICE_PRINCIPLE |
Nama pengguna platform Proofpoint. Ini biasanya adalah akun layanan. | Tidak ada | Tidak |
PROOFPOINT_SECRET |
Jalur Secret Manager dengan versi, tempat sandi platform Proofpoint disimpan. | Tidak ada | Ya |
PROOFPOINT_RETRIEVAL_RANGE |
Angka yang menunjukkan jumlah hari data harus diambil. Nilai yang diterima adalah 14, 30, dan 90. | Tidak ada | Tidak |
Pub/Sub
Skrip ini mengumpulkan pesan dari langganan Pub/Sub dan menyerap data ke Google Security Operations. Layanan ini terus memantau gateway langganan dan menyerap pesan yang lebih baru saat muncul. Untuk informasi selengkapnya, baca dokumen berikut:
Skrip penyerapan ini mengharuskan Anda menetapkan variabel dalam file .env.yml dan tugas Cloud Scheduler.
Tentukan variabel lingkungan berikut dalam file
.env.yml.Nama variabel Deskripsi Nilai Default Rahasia CHRONICLE_CUSTOMER_IDID pelanggan instance Google Security Operations. Tidak ada Tidak CHRONICLE_REGIONRegion instance Google Security Operations. us
Nilai valid lainnya:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2, dansouthamerica-east1.Tidak CHRONICLE_SERVICE_ACCOUNTJalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. Tidak ada Ya CHRONICLE_NAMESPACENamespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk mengetahui informasi tentang namespace Google Security Operations, lihat Menggunakan Namespace Aset. Tidak ada Tidak Tetapkan variabel berikut di kolom Isi pesan Cloud Scheduler sebagai string berformat JSON. Lihat membuat Cloud Scheduler untuk mengetahui informasi selengkapnya tentang kolom Isi pesan.
Nama variabel Deskripsi Nilai Default Rahasia PROJECT_IDID project Pub/Sub. Lihat membuat dan mengelola project untuk mengetahui informasi tentang ID project. Tidak ada Tidak SUBSCRIPTION_IDID Langganan Pub/Sub. Tidak ada Tidak CHRONICLE_DATA_TYPELabel penyerapan untuk jenis log yang diberikan saat mendorong data ke Google Security Operations. Lihat Parser default yang didukung untuk mengetahui daftar jenis log yang didukung. Tidak ada Tidak Berikut adalah contoh string berformat JSON untuk kolom Isi pesan.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Log audit Slack
Skrip ini mendapatkan log audit dari organisasi Slack Enterprise Grid dan
memasukkannya ke Google Security Operations dengan jenis log SLACK_AUDIT. Untuk mengetahui informasi
selengkapnya, lihat Slack Audit Logs
API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 5 | Tidak |
SLACK_ADMIN_TOKEN |
Jalur ke secret di Secret Manager yang menyimpan token Autentikasi
Slack. |
Tidak ada |
Ya |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk mengetahui informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
STIX/TAXII
Skrip ini mengambil indikator dari server STIX/TAXII dan menyerapnya ke dalam Google Security Operations. Untuk informasi selengkapnya, lihat dokumentasi STIX/TAXII API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Nama Variabel | Deskripsi | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
POLL_INTERVAL |
Interval frekuensi (dalam menit) saat fungsi dieksekusi. Durasi ini harus sama dengan tugas Cloud Scheduler. | 60 | Tidak |
TAXII_VERSION |
Versi STIX/TAXII yang akan digunakan. Kemungkinan opsi adalah 1.1, 2.0, 2.1 | Tidak ada | Tidak |
TAXII_DISCOVERY_URL |
URL penemuan server TAXII. | Tidak ada | Tidak |
TAXII_COLLECTION_NAMES |
Koleksi (CSV) tempat data diambil. Biarkan kosong untuk mengambil data dari semua koleksi. | Tidak ada | Tidak |
TAXII_USERNAME |
Nama pengguna yang diperlukan untuk autentikasi, jika ada. | Tidak ada | Tidak |
TAXII_PASSWORD_SECRET_PATH |
Sandi diperlukan untuk autentikasi, jika ada. | Tidak ada | Ya |
Tenable.io
Skrip ini mengambil data aset dan kerentanan dari platform Tenable.io
dan menyerapnya ke Google Security Operations dengan jenis log TENABLE_IO. Untuk
mengetahui informasi tentang library yang digunakan, lihat pyTenable Python
SDK.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk mengetahui detail tentang data aset dan kerentanan, lihat Tenable.io API: Mengekspor aset dan Mengekspor kerentanan.
| Variabel | Deskripsi | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 360 | Tidak |
TENABLE_ACCESS_KEY |
Kunci akses yang digunakan untuk autentikasi. | Tidak ada | Tidak |
TENABLE_SECRET_KEY_PATH |
Jalur Google Secret Manager dengan versi, tempat sandi untuk Server Tenable disimpan. | Tidak ada | Ya |
TENABLE_DATA_TYPE |
Jenis data yang akan ditransfer ke Google Security Operations. Kemungkinan Nilai: ASSETS, VULNERABILITIES. | ASSETS, VULNERABILITIES | Tidak |
TENABLE_VULNERABILITY |
Status kerentanan yang ingin Anda sertakan dalam ekspor. Nilai yang mungkin: `OPEN`, `REOPENED`, dan `FIXED`. | TERBUKA, DIBUKA KEMBALI | Tidak |
Trend Micro Cloud App Security
Skrip ini mengambil log keamanan dari platform Trend Micro dan menyerapnya ke dalam Google Security Operations. Untuk informasi tentang API yang digunakan, lihat API log keamanan.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Variabel | Deskripsi | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 10 | Tidak |
CHRONICLE_DATA_TYPE |
Jenis log untuk mengirim data ke instance Google Security Operations. | Tidak ada | Tidak |
TREND_MICRO_AUTHENTICATION_TOKEN |
Jalur Google Secret Manager dengan versi, tempat token autentikasi untuk Server Trend Micro disimpan. | Tidak ada | Ya |
TREND_MICRO_SERVICE_URL |
URL layanan layanan Cloud App Security. | Tidak ada | Tidak |
TREND_MICRO_SERVICE |
Nama layanan yang dilindungi, yang lognya akan diambil. Mendukung nilai yang dipisahkan koma. Nilai yang mungkin: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. | exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat | Tidak |
TREND_MICRO_EVENT |
Jenis peristiwa keamanan, yang log-nya akan diambil. Mendukung nilai yang dipisahkan koma. Nilai yang mungkin: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | Tidak |
Trend Micro Vision One
Skrip ini mengambil log audit Trend Micro Vision One dan menyerapnya
ke Google Security Operations dengan jenis log TREND_MICRO_VISION_AUDIT. Untuk
mengetahui informasi tentang API yang digunakan, lihat API log audit.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Variabel | Deskripsi | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Google Security Operations. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Google Security Operations. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Google Security Operations. | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang digunakan untuk memberi label pada log Google Security Operations. Untuk informasi tentang namespace Google Security Operations, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dieksekusi untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 10 | Tidak |
TREND_MICRO_AUTHENTICATION_TOKEN |
Jalur Google Secret Manager dengan versi, tempat token autentikasi untuk Server Trend Micro disimpan. | Tidak ada | Ya |
TREND_MICRO_DOMAIN |
Region Trend Micro Vision One tempat endpoint layanan berada. | Tidak ada | Tidak |