Utilizzare gli script di importazione di cui è stato eseguito il deployment come funzioni Cloud Run

Supportato in:

Google Security Operations ha fornito un insieme di script di importazione, scritti in Python, che devono essere implementati come funzioni Cloud Run. Questi script ti consentono di importare i dati dalle seguenti origini log, elencate per nome e tipo di log.

  • Armis Google Security Operations Integration
  • Aruba Central (ARUBA_CENTRAL)
  • Azure Event Hub (configurable log type)
  • Box (BOX)
  • Citrix Cloud audit logs (CITRIX_MONITOR)
  • Citrix session metadata (CITRIX_SESSION_METADATA)
  • Cloud Storage (configurable log type)
  • Duo Activity (DUO_ACTIVITY)
  • Duo Admin (DUO_ADMIN)
  • MISP (MISP_IOC)
  • OneLogin (ONELOGIN_SSO)
  • OneLogin user context (ONELOGIN_USER_CONTEXT)
  • Proofpoint (configurable log type)
  • Pub/Sub (configurable log type)
  • Slack audit logs (SLACK_AUDIT)
  • STIX/TAXII threat intelligence (STIX)
  • Tenable.io (TENABLE_IO)
  • Trend Micro Cloud App Security (configurable log type)
  • Trend Micro Vision One audit logs (TREND_MICRO_VISION_AUDIT)

Questi script si trovano nel repository GitHub di Google Security Operations.

Limitazione nota: quando questi script vengono utilizzati in un ambiente senza stato come le funzioni Cloud Run, potrebbero non inviare tutti i log a Google Security Operations perché non dispongono della funzionalità di checkpoint. Google Security Operations ha testato gli script con il runtime Python 3.9.

Prima di iniziare

Leggi le seguenti risorse che forniscono contesto e informazioni di sfondo che ti consentono di utilizzare in modo efficace gli script di importazione di Google Security Operations.

Assemble i file per un singolo tipo di log

Ogni sottodirectory in GitHub di Google Security Operations contiene file che importano i dati per un singolo tipo di log di Google Security Operations. Lo script si connette a un singolo dispositivo di origine e invia i log non elaborati a Google Security Operations utilizzando l'API Ingestion. Ti consigliamo di eseguire il deployment di ogni tipo di log come funzione Cloud Run distinta. Accedi agli script nel repository GitHub di Google Security Operations. Ogni sottodirectory in GitHub contiene i seguenti file specifici per il tipo di log importato.

  • main.py è lo script di importazione specifico per il tipo di log. Si connette al dispositivo di origine e importa i dati in Google Security Operations.
  • .env.yml memorizza la configurazione richiesta dallo script Python ed è specifica per il deployment. Modifica questo file per impostare i parametri di configurazione richiesti dallo script di importazione.
  • README.md fornisce informazioni sui parametri di configurazione.
  • Requirements.txt definisce le dipendenze richieste dallo script di importazione. Inoltre, la cartella common contiene funzioni di utilità da cui dipendono tutti gli script di importazione.

Per assemblare i file che importano i dati per un singolo tipo di log:

  1. Crea una directory di deployment per archiviare i file per la funzione Cloud Run. che conterrà tutti i file necessari per il deployment.
  2. Copia tutti i file dalla sottodirectory GitHub del tipo di log selezionato, ad esempio OneLogin User Context, in questa directory di deployment.
  3. Copia la cartella common e tutti i contenuti nella directory di deployment.
  4. I contenuti della directory saranno simili al seguente:

    one_login_user
    ├─common
    │  ├─__init__.py
    │  ├─auth.py
    │  ├─env_constants.py
    │  ├─ingest.py
    │  ├─status.py
    │  └─utils.py
    ├─env.yml
    ├─main.py
    └─requirements.txt
    

Configura gli script

  1. Avvia una sessione Cloud Shell.
  2. Connettiti tramite SSH a una VM Linux Google Cloud. Consulta Connettiti alle VM Linux usando gli strumenti Google.
  3. Carica gli script di importazione facendo clic su Altro > Carica o Scarica per spostare i file o le cartelle da o verso Cloud Shell.

    I file e le cartelle possono essere caricati e scaricati solo dalla home directory. Per altre opzioni per trasferire file tra Cloud Shell e la tua workstation locale, consulta [Carica e scarica file e cartelle da Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.

  4. Modifica il file .env.yml per la funzione e compila le variabili di ambiente richieste. La tabella seguente elenca le variabili dell'ambiente di runtime comuni a tutti gli script di importazione.

    Nome variabile Descrizione Obbligatorio Predefinito Secret
    CHRONICLE_CUSTOMER_ID ID cliente Google Security Operations. Nessuno No
    CHRONICLE_REGION Regione di Google Security Operations. us
    Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
    No
    CHRONICLE_SERVICE_ACCOUNT Contenuti del file JSON dell'account di servizio Google Security Operations. Nessuno
    CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. No Nessuno No

  5. Ogni script richiede variabili di ambiente specifiche. Consulta Parametri di configurazione per tipo di log per informazioni dettagliate sulle variabili di ambiente richieste da ciascun tipo di log.

Le variabili di ambiente contrassegnate come Secret = Yes devono essere configurate come secret in Secret Manager. Per informazioni sul costo dell'utilizzo di Secret Manager, consulta la pagina Prezzi di Secret Manager.

Per istruzioni dettagliate, consulta Creare e accedere ai segreti.

Dopo aver creato i secret in Secret Manager, utilizza il nome della risorsa secret come valore per le variabili di ambiente. Ad esempio: projects/{project_id}/secrets/{secret_id}/versions/{version_id}, dove {project_id}, {secret_id} e {version_id} sono specifici per il tuo ambiente.

Configurare uno scheduler o un trigger

Tutti gli script, ad eccezione di Pub/Sub, vengono implementati per raccogliere i dati a intervalli periodici da un dispositivo di origine. Devi configurare un trigger utilizzando Cloud Scheduler per recuperare i dati nel tempo. Lo script di importazione per Pub/Sub monitora continuamente la sottoscrizione Pub/Sub. Per saperne di più, consulta Eseguire i servizi in base a una pianificazione e Utilizzare Pub/Sub per attivare una funzione Cloud Run.

Esegui il deployment della funzione Cloud Run

  1. Avvia una sessione di Cloud Shell.
  2. Connettiti tramite SSH a una VM Linux Google Cloud. Consulta Connettiti alle VM Linux usando gli strumenti Google.
  3. Passa alla directory in cui hai copiato gli script di importazione.
  4. Esegui il seguente comando per eseguire il deployment della funzione Cloud Run.

    gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml

    Sostituisci <FUNCTION_NAME> con il nome che definisci per la funzione Cloud Run.

    Sostituisci <SERVICE_ACCOUNT_EMAIL> con l'indirizzo email dell'account di servizio che vuoi che venga utilizzato dalla funzione Cloud Run.

    Se non cambi directory nella posizione dei file, assicurati di utilizzare l'opzione --source per specificare la posizione degli script di deployment.

    L'account di servizio che esegue la funzione Cloud Run deve disporre dei ruoli Cloud Functions Invoker (roles/cloudfunctions.invoker) e Secret Manager Secret Accessor (roles/secretmanager.secretAccessor).

Visualizza i log di runtime

Gli script di importazione stampano i messaggi di runtime in stdout. Le funzioni Cloud Run forniscono un meccanismo per visualizzare i messaggi di log. Per ulteriori informazioni, consulta le informazioni di Cloud Functions sulla visualizzazione dei log di runtime.

Parametri di configurazione per tipo di log

Integrazione di Armis con Google Security Operations

Questo script raccoglie i dati utilizzando le chiamate API della piattaforma Armis per diversi tipi di eventi, come avvisi, attività, dispositivi e vulnerabilità. I dati raccolti vengono importati in Google Security Operations e analizzati dai relativi analizzatori.

Flusso di script

Di seguito è riportato il flusso dello script:

  1. Verifica le variabili di ambiente.

  2. Esegui il deployment dello script nelle funzioni Cloud Run.

  3. Raccogli i dati utilizzando lo script di importazione.

  4. Importa i dati raccolti in Google Security Operations.

  5. Analizza i dati raccolti tramite i parser corrispondenti in Google Security Operations.

Utilizzare uno script per raccogliere e importare i dati in Google Security Operations

  1. Verifica le variabili di ambiente.

    Variabile Descrizione Obbligatorio Predefinito Segreto
    CHRONICLE_CUSTOMER_ID ID cliente Google Security Operations. - No
    CHRONICLE_REGION Regione di Google Security Operations. US
    CHRONICLE_SERVICE_ACCOUNT Contenuti del file JSON dell'account di servizio Google Security Operations. -
    CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. No - No
    POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere ulteriori Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 10 No
    ARMIS_SERVER_URL URL del server della piattaforma Armis. - No
    ARMIS_API_SECRET_KEY Chiave segreta richiesta per l'autenticazione. -
    HTTPS_PROXY URL del server proxy. No - No
    CHRONICLE_DATA_TYPE Tipo di dati di Google Security Operations per inviare i dati a Google Security Operations. - No
  2. Configura la directory.

    Crea una nuova directory per il deployment delle funzioni Cloud Run e aggiungi una directory common e i contenuti dello script di importazione (armis).

  3. Imposta le variabili di ambiente di runtime richieste.

    Definisci le variabili di ambiente richieste nel file .env.yml.

  4. Utilizza i secret.

    Le variabili di ambiente contrassegnate come secret devono essere configurate come tali in Secret Manager. Per ulteriori informazioni su come creare i secret, consulta Creare un secret.

    Dopo aver creato i secret in Secret Manager, utilizza il nome della risorsa del secret come valore per le variabili di ambiente. Ad esempio:

    CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}

  5. Configura lo spazio dei nomi.

    Imposta la variabile di ambiente CHRONICLE_NAMESPACE per configurare lo spazio dei nomi. I log di Google Security Operations vengono importati nello spazio dei nomi.

  6. Esegui il deployment delle funzioni Cloud Run.

    Esegui il comando seguente dalla directory creata in precedenza per eseguire il deployment della funzione cloud. gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml

  7. Specifiche predefinite di Cloud Run Functions.

    Variabile Predefinito Descrizione
    Memoria 256 MB Nessuno Nessuno
    Tempo scaduto 60 secondi Nessuno Nessuno
    Regione us-central1 Nessuno Nessuno
    Numero minimo di istanze 0 Nessuno Nessuno
    Numero massimo di istanze 100 Nessuno Nessuno

    Per ulteriori informazioni su come configurare queste variabili, consulta Configurare le funzioni Cloud Run.

  8. Recupera i dati storici.

    Per recuperare i dati storici e continuare a raccogliere i dati in tempo reale:

    1. Configura la variabile di ambiente POLL_INTERVAL in minuti per i quali devono essere recuperati i dati storici.
    2. Attiva la funzione utilizzando un programmatore o manualmente eseguendo il comando in Google Cloud CLI dopo aver configurato le funzioni Cloud Run.

Aruba Central

Questo script recupera i log di controllo dalla piattaforma Aruba Central e li importa in Google Security Operations con il tipo di log ARUBA_CENTRAL. Per informazioni su come utilizzare la libreria, consulta l'SDK Python pycentral.

Definisci le seguenti variabili di ambiente nel file .env.yml.

Variabile Descrizione Predefinito Segreto
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 10 No
ARUBA_CLIENT_ID ID client del gateway API Aruba Central. Nessuno No
ARUBA_CLIENT_SECRET_SECRET_PATH Client secret dell'API Gateway di Aruba Central. Nessuno
ARUBA_USERNAME Nome utente della piattaforma Aruba Central. Nessuno No
ARUBA_PASSWORD_SECRET_PATH Password della piattaforma Aruba Central. Nessuno
ARUBA_BASE_URL URL di base del gateway API Aruba Central. Nessuno No
ARUBA_CUSTOMER_ID ID cliente della piattaforma Aruba Central. Nessuno No

Azure Event Hub

A differenza di altri script di importazione, questo script utilizza le funzioni Azure per recuperare gli eventi da Azure Event Hub. Una funzione Azure si attiva ogni volta che un nuovo evento viene aggiunto a un bucket e ogni evento viene importato gradualmente in Google Security Operations.

Passaggi per eseguire il deployment di Azure Functions:

  1. Scarica il file del connettore dati denominato Azure_eventhub_API_function_app.json dal repository.
  2. Accedi al portale di Microsoft Azure.
  3. Vai a Microsoft Sentinel > Seleziona il tuo spazio di lavoro dall'elenco > Seleziona Data Connector nella sezione di configurazione ed esegui le seguenti operazioni:
  4. Fai clic sul pulsante Esegui il deployment in Azure per eseguire il deployment della funzione e segui la procedura indicata nella stessa pagina.
  5. Seleziona l'Abbonamento, il Gruppo di risorse e la Località preferiti e fornisci i valori richiesti.
  6. Fai clic su Rivedi e crea.
  7. Fai clic su Crea per eseguire il deployment.

Box

Questo script recupera i dettagli sugli eventi che si verificano in Box e li importa in Google Security Operations con il tipo di log BOX. I dati forniscono informazioni sulle operazioni CRUD sugli oggetti nell'ambiente Box. Per informazioni sugli eventi Box, consulta l'API Box Events.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per maggiori informazioni sull'ID client, sul client secret e sull'ID soggetto di Box, consulta Concessione delle credenziali client.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 5 No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
BOX_CLIENT_ID ID cliente della piattaforma Box, disponibile nella console di sviluppo Box. Nessuno No
BOX_CLIENT_SECRET Percorso del secret in Secret Manager che memorizza il client secret della piattaforma Box utilizzato per l'autenticazione. Nessuno
BOX_SUBJECT_ID ID utente Box o ID azienda. Nessuno No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No

Audit log di Citrix Cloud

Questo script raccoglie gli audit log di Citrix Cloud e li importa in Google Security Operations con il tipo di log CITRIX_MONITOR. Questi log consentono di identificare le attività eseguite nell'ambiente Citrix Cloud fornendo informazioni su cosa è cambiato, chi lo ha modificato, quando è stata apportata la modifica e così via. Per ulteriori informazioni, consulta l'API SystemLog di Citrix Cloud.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni su ID client e client secret di Citrix, consulta Iniziare a utilizzare le API di Citrix.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
CITRIX_CLIENT_ID ID client dell'API Citrix. Nessuno No
CITRIX_CLIENT_SECRET Percorso del secret in Secret Manager che memorizza il client secret dell'API Citrix utilizzato per l'autenticazione. Nessuno
CITRIX_CUSTOMER_ID ID cliente Citrix. Nessuno No
POLL_INTERVAL Intervallo di frequenza con cui vengono raccolti dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 30 No
URL_DOMAIN Endpoint Citrix Cloud. Nessuno No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No

Metadati della sessione Citrix

Questo script raccoglie i metadati delle sessioni Citrix dagli ambienti Citrix e li importa in Google Security Operations con il tipo di log CITRIX_MONITOR. I dati includono dettagli di accesso utente, durata della sessione, ora di creazione della sessione, ora di fine della sessione e altri metadati relativi alla sessione. Per ulteriori informazioni, consulta la Citrix Monitor Service API.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni su ID client e client secret di Citrix, consulta Iniziare a utilizzare le API di Citrix.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
URL_DOMAIN Dominio dell'URL Citrix. Nessuno No
CITRIX_CLIENT_ID ID client Citrix. Nessuno No
CITRIX_CLIENT_SECRET Percorso del secret in Secret Manager che memorizza il client secret di Citrix utilizzato per l'autenticazione. Nessuno
CITRIX_CUSTOMER_ID ID cliente Citrix. Nessuno No
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 30 No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi delle risorse. Nessuno No

Cloud Storage

Questo script recupera i log di sistema da Cloud Storage e li importa in Google Security Operations con un valore configurabile per il tipo di log. Per maggiori dettagli, consulta la libreria client Google Cloud per Python.

Definisci le seguenti variabili di ambiente nel file .env.yml. Google Cloud possiede log pertinenti per la sicurezza da cui alcuni tipi di log non sono esportabili direttamente in Google Security Operations. Per ulteriori informazioni, consulta Analisi dei log di sicurezza.

Variabile Descrizione Predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 60 No
GCS_BUCKET_NAME Nome del bucket Cloud Storage da cui recuperare i dati. Nessuno No
GCP_SERVICE_ACCOUNT_SECRET_PATH Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Cloud. Nessuno
CHRONICLE_DATA_TYPE Tipo di log per inviare i dati all'istanza Google Security Operations. Nessuno No

Attività di Duo

Questo script recupera i log delle attività di Duo da Duo Admin e li importa in Google Security Operations con il tipo di log DUO_ACTIVITY. Per ulteriori informazioni, consulta l'API Duo Admin.

Definisci le seguenti variabili di ambiente nel file .env.yml.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
BACKSTORY_API_V1_URL Il percorso dell'URL dell'API Duo Security. Per ulteriori informazioni sul download del file JSON contenente la chiave di integrazione dell'API Duo Admin, consulta la documentazione di Duo Admin. Nessuno
DUO_SECRET_KEY La chiave secret DUO necessaria per recuperare i log dall'API DUO. Consulta la documentazione di Duo Admin per istruzioni su come scaricare il file JSON contenente la chiave di integrazione dell'API Duo Admin, la chiave segreta dell'API Duo Admin e l'hostname dell'API Duo Admin.
Nessuno
DUO_INTEGRATION_KEY La chiave di integrazione DUO richiesta per recuperare i log dall'API DUO. Consulta la documentazione di Duo Admin per istruzioni su come scaricare il file JSON contenente la chiave di integrazione dell'API Duo Admin, la chiave segreta dell'API Duo Admin e l'hostname dell'API Duo Admin.
Nessuno
LOG_FETCH_DURATION La durata per cui vengono recuperati i log. 1 No
CHECKPOINT_FILE_PATH Il percorso del file in cui è memorizzato il timestamp del checkpoint dell'ultimo log importato. checkpoint.json No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No

Duo Admin

Lo script riceve eventi da Duo Admin relativi alle operazioni CRUD eseguite su vari oggetti, come l'account utente e la sicurezza. Gli eventi vengono importati in Google Security Operations con il tipo di log DUO_ADMIN. Per ulteriori informazioni, consulta l'API Duo Admin.

Definisci le seguenti variabili di ambiente nel file .env.yml.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. Nessuno No
DUO_API_DETAILS Percorso del segreto in Secret Manager che memorizza il file JSON dell'account Duo. Questo file contiene la chiave di integrazione dell'API Duo Admin, la chiave segreta dell'API Duo Admin e l'hostname dell'API Duo Admin. Ad esempio:
{ "ikey": "abcd123", "skey": "def345", "api_host": "abc-123" }
Consulta la documentazione di Duo Admin per istruzioni su come scaricare il file JSON.
Nessuno
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No

MISP

Questo script recupera le informazioni sulle relazioni di minaccia da MISP, una piattaforma di condivisione e di intelligence sulle minacce open source, e le importa in Google Security Operations con il tipo di log MISP_IOC. Per ulteriori informazioni, consulta l'API Eventi MISP.

Definisci le seguenti variabili di ambiente nel file .env.yml.

Variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 5 No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
ORG_NAME Nome dell'organizzazione per filtrare gli eventi. Nessuno No
API_KEY Percorso del secret in Secret Manager che memorizza la chiave API per l'autenticazione utilizzata. Nessuno
TARGET_SERVER L'indirizzo IP dell'istanza MISP che hai creato. Nessuno No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No

Eventi OneLogin

Questo script recupera gli eventi da un ambiente OneLogin e li importa in Google Security Operations con il tipo di log ONELOGIN_SSO. Questi eventi forniscono informazioni come le operazioni sugli account utente. Per ulteriori informazioni, consulta l'API OneLogin Events.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni sugli ID client e sui secret client di OneLogin, consulta Utilizzo delle credenziali API.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 5 No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
CLIENT_ID ID client della piattaforma OneLogin. Nessuno No
CLIENT_SECRET Percorso del secret in Secret Manager che memorizza il client secret della piattaforma OneLogin utilizzato per l'autenticazione. Nessuno
TOKEN_ENDPOINT L'URL per richiedere un token di accesso. https://api.us.onelogin.com/auth/oauth2/v2/token No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi delle risorse. Nessuno No

Contesto utente OneLogin

Questo script recupera i dati relativi agli account utente da un ambiente OneLogin e li importa in Google Security Operations con il tipo di log ONELOGIN_USER_CONTEXT. Per ulteriori informazioni, consulta l' API OneLogin User.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni sugli ID client e sui secret client di OneLogin, consulta Utilizzo delle credenziali API.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 30 No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
CLIENT_ID ID client della piattaforma OneLogin. Nessuno No
CLIENT_SECRET Percorso del secret in Secret Manager che memorizza il client secret della piattaforma OneLogin utilizzato per l'autenticazione. Nessuno
TOKEN_ENDPOINT L'URL per richiedere un token di accesso. https://api.us.onelogin.com/auth/oauth2/v2/token No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi delle risorse. Nessuno No

Proofpoint

Questo script recupera i dati sugli utenti scelti come bersaglio di attacchi da parte di una determinata organizzazione in un determinato periodo di tempo e li importa in Google Security Operations. Per informazioni sull'API utilizzata, consulta l'API People.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni dettagliate su come ottenere il principale servizio Proofpoint e il secret Proofpoint, consulta la guida alla configurazione per fornire le credenziali TAP di Proofpoint ad Arctic Wolf.

Variabile Descrizione Predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 360 No
CHRONICLE_DATA_TYPE Tipo di log per inviare i dati all'istanza Google Security Operations. Nessuno No
PROOFPOINT_SERVER_URL URL di base del gateway API del server Proofpoint. Nessuno No
PROOFPOINT_SERVICE_PRINCIPLE Nome utente della piattaforma Proofpoint. In genere si tratta del principale del servizio. Nessuno No
PROOFPOINT_SECRET Percorso di Secret Manager con la versione in cui è memorizzata la password della piattaforma Proofpoint. Nessuno
PROOFPOINT_RETRIEVAL_RANGE Numero che indica da quanti giorni devono essere recuperati i dati. I valori accettati sono 14, 30 e 90. Nessuno No

Pub/Sub

Questo script raccoglie i messaggi dalle sottoscrizioni Pub/Sub e importa i dati in Google Security Operations. Monitora continuamente il gateway di sottoscrizione e importa i messaggi più recenti quando vengono visualizzati. Per ulteriori informazioni, consulta i seguenti documenti:

Questo script di importazione richiede l'impostazione di variabili sia nel file .env.yml che nel job Cloud Scheduler.

  • Definisci le seguenti variabili di ambiente nel file .env.yml.

    Nome variabile Descrizione Valore predefinito Secret
    CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
    CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
    Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
    No
    CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
    CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No
  • Imposta le seguenti variabili nel campo Testo messaggio di Cloud Scheduler come stringa in formato JSON. Per ulteriori informazioni sul campo Testo messaggio, consulta la sezione Creare Cloud Scheduler.

    Nome variabile Descrizione Valore predefinito Secret
    PROJECT_ID ID progetto Pub/Sub. Per informazioni sull'ID progetto, consulta la sezione Creare e gestire progetti. Nessuno No
    SUBSCRIPTION_ID ID sottoscrizione Pub/Sub. Nessuno No
    CHRONICLE_DATA_TYPE Etichetta di importazione per il tipo di log fornito durante l'invio dei dati a Google Security Operations. Consulta Parser predefiniti supportati per un elenco dei tipi di log supportati. Nessuno No

    Ecco un esempio di stringa formattata in JSON per il campo Testo del messaggio.

    { "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
    

Log di controllo di Slack

Questo script recupera i log di controllo da un'organizzazione Slack Enterprise Grid e li importa in Google Security Operations con il tipo di log SLACK_AUDIT. Per ulteriori informazioni, consulta l'API Log di controllo di Slack.

Definisci le seguenti variabili di ambiente nel file .env.yml.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 5 No
SLACK_ADMIN_TOKEN Percorso del secret in Secret Manager che memorizza il token di autenticazione di Slack.
Nessuno

CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi delle risorse. Nessuno No

STIX/TAXII

Questo script estrae gli indicatori dal server STIX/TAXII e li importa in Google Security Operations. Per ulteriori informazioni, consulta la documentazione dell'API STIX/TAXII. Definisci le seguenti variabili di ambiente nel file .env.yml.

Nome variabile Descrizione Predefinito Segreto
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
POLL_INTERVAL Intervallo di frequenza (in minuti) a cui viene eseguita la funzione. Questa durata deve essere la stessa del job Cloud Scheduler. 60 No
TAXII_VERSION La versione STIX/TAXII da utilizzare. Le opzioni possibili sono 1.1, 2.0, 2.1 Nessuno No
TAXII_DISCOVERY_URL URL Discovery del server TAXII. Nessuno No
TAXII_COLLECTION_NAMES Collezioni (CSV) da cui recuperare i dati. Lascia vuoto per recuperare i dati da tutte le raccolte. Nessuno No
TAXII_USERNAME Nome utente obbligatorio per l'autenticazione, se presente. Nessuno No
TAXII_PASSWORD_SECRET_PATH Password obbligatoria per l'autenticazione, se presente. Nessuno

Tenable.io

Questo script recupera i dati delle risorse e delle vulnerabilità dalla piattaforma Tenable.io e li importa in Google Security Operations con il tipo di log TENABLE_IO. Per informazioni sulla libreria utilizzata, consulta l'SDK Python pyTenable.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni dettagliate sui dati delle risorse e delle vulnerabilità, consulta l'API Tenable.io: Esportare risorse e Esportare vulnerabilità.

Variabile Descrizione Predefinito Segreto
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 360 No
TENABLE_ACCESS_KEY La chiave di accesso utilizzata per l'autenticazione. Nessuno No
TENABLE_SECRET_KEY_PATH Percorso di Google Secret Manager con la versione in cui è archiviata la password per Tenable Server. Nessuno
TENABLE_DATA_TYPE Tipo di dati da importare in Google Security Operations. Valori possibili: ASSETS, VULNERABILITIES. ASSET, VULNERABILITÀ No
TENABLE_VULNERABILITY Lo stato delle vulnerabilità che vuoi includere nell'esportazione. Valori possibili: "OPEN", "REOPENED" e "FIXED". APERTO, RIAPERTO No

Trend Micro Cloud App Security

Questo script recupera i log di sicurezza dalla piattaforma Trend Micro e li importa in Google Security Operations. Per informazioni sull'API utilizzata, consulta l'API security logs. Definisci le seguenti variabili di ambiente nel file .env.yml.

Variabile Descrizione Predefinito Segreto
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 10 No
CHRONICLE_DATA_TYPE Tipo di log per inviare i dati all'istanza Google Security Operations. Nessuno No
TREND_MICRO_AUTHENTICATION_TOKEN Percorso di Google Secret Manager con la versione in cui è memorizzato il token di autenticazione per Trend Micro Server. Nessuno
TREND_MICRO_SERVICE_URL URL del servizio Cloud App Security. Nessuno No
TREND_MICRO_SERVICE Il nome del servizio protetto di cui recuperare i log. Supporta i valori separati da virgole. Possibili valori: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat No
TREND_MICRO_EVENT Il tipo di evento di sicurezza di cui recuperare i log. Supporta i valori separati da virgole. Valori possibili: securityrisk, virtualanalyzer, ransomware, dlp. securityrisk, virtualanalyzer, ransomware, dlp No

Trend Micro Vision One

Questo script recupera gli audit log di Trend Micro Vision One e li importa in Google Security Operations con il tipo di log TREND_MICRO_VISION_AUDIT. Per informazioni sull'API utilizzata, consulta l'API Audit Log. Definisci le seguenti variabili di ambiente nel file .env.yml.

Variabile Descrizione Predefinito Segreto
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Google Security Operations. Nessuno No
CHRONICLE_REGION Regione dell'istanza Google Security Operations. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1.
No
CHRONICLE_SERVICE_ACCOUNT Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No
POLL_INTERVAL Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. 10 No
TREND_MICRO_AUTHENTICATION_TOKEN Percorso di Google Secret Manager con la versione in cui è memorizzato il token di autenticazione per Trend Micro Server. Nessuno
TREND_MICRO_DOMAIN Regione Trend Micro Vision One in cui si trova l'endpoint di servizio. Nessuno No