Usar scripts de ingestão implantados como funções do Cloud Run
O Google Security Operations forneceu um conjunto de scripts de ingestão, escritos em Python, que devem ser implantados como funções do Cloud Run. Esses scripts permitem que você ingira dados das seguintes fontes de registro, listadas por nome e tipo.
- Armis Google Security Operations Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Activity (
DUO_ACTIVITY) - Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Esses scripts estão localizados no repositório do GitHub (em inglês) das operações de segurança do Google.
Limitação conhecida:quando esses scripts são usados em um ambiente sem estado, como as funções do Cloud Run, eles podem não enviar todos os registros para as operações de segurança do Google porque não têm a funcionalidade de ponto de verificação. O Google Security Operations testou os scripts com o ambiente de execução do Python 3.9.
Antes de começar
Leia os recursos a seguir que fornecem contexto e informações gerais para que você possa usar os scripts de transferência de operações de segurança do Google de maneira eficaz.
- Implantar funções do Cloud Run para informações sobre como implantar funções do Cloud Run na sua máquina local.
- Como criar e acessar secrets explica como usar o Secret Manager. Você vai precisar disso para armazenar e acessar o arquivo JSON da conta de serviço do Google Security Operations.
- Instale a CLI do Google Cloud. Você vai usá-lo para implantar a função do Cloud Run.
- Documentação do Google Cloud Pub/Sub se você planeja consumir dados do Pub/Sub.
Montar os arquivos de um único tipo de registro
Cada subdiretório no GitHub do Google Security Operations contém arquivos que ingiram dados de um único tipo de registro do Google Security Operations. O script se conecta a um único dispositivo de origem e envia registros brutos ao Google Security Operations usando a API Ingestion. Recomendamos que você implante cada tipo de registro como uma função separada do Cloud Run. Acesse os scripts no repositório do Google Security Operations no GitHub. Cada subdiretório no GitHub contém os seguintes arquivos específicos para o tipo de registro que ele processa.
main.pyé o script de transferência específico para o tipo de registro. Ele se conecta ao dispositivo de origem e envia dados para as Operações de segurança do Google..env.ymlarmazena a configuração exigida pelo script Python e é específica para a implantação. Modifique esse arquivo para definir os parâmetros de configuração necessários pelo script de transferência.README.mdfornece informações sobre os parâmetros de configuração.Requirements.txtdefine as dependências necessárias pelo script de transferência. Além disso, a pastacommoncontém funções utilitárias das quais todos os scripts de ingestão dependem.
Siga estas etapas para montar os arquivos que coletam dados para um único tipo de registro:
- Crie um diretório de implantação para armazenar os arquivos da função do Cloud Run. Ele vai conter todos os arquivos necessários para a implantação.
- Copie todos os arquivos do subdiretório do GitHub do tipo de registro selecionado, por exemplo, OneLogin User Context, para este diretório de implantação.
- Copie a pasta
commone todo o conteúdo para o diretório de implantação. O conteúdo do diretório será semelhante a este:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Configurar os scripts
- Inicie uma sessão do Cloud Shell.
- Conecte-se com SSH a uma VM Linux do Google Cloud. Consulte Conectar-se a VMs do Linux usando as ferramentas do Google.
Faça upload dos scripts de ingestão clicando em Mais > Fazer upload ou Fazer o download para mover arquivos ou pastas para o Cloud Shell ou dele.
Só é possível fazer o upload e o download de arquivos e pastas no diretório principal. Para mais opções de transferência de arquivos entre o Cloud Shell e sua estação de trabalho local, consulte [Fazer upload e download de arquivos e pastas do Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders).
Edite o arquivo
.env.ymlpara a função e preencha as variáveis de ambiente necessárias. A tabela a seguir lista as variáveis do ambiente de execução comuns a todos os scripts de ingestão.Nome da variável Descrição Obrigatório Padrão Secret CHRONICLE_CUSTOMER_IDID de cliente do Google Security Operations. Sim Nenhum Não CHRONICLE_REGIONRegião do Google Security Operations. Sim us
Outros valores válidos:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2esouthamerica-east1.Não CHRONICLE_SERVICE_ACCOUNTConteúdo do arquivo JSON da conta de serviço das operações de segurança do Google. Sim Nenhum Sim CHRONICLE_NAMESPACEO namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. Não Nenhum Não Cada script exige variáveis de ambiente específicas. Consulte Parâmetros de configuração por tipo de registro para saber mais sobre as variáveis de ambiente necessárias para cada tipo de registro.
As variáveis de ambiente marcadas como Secret = Yes precisam ser configuradas como secrets no Secret Manager. Consulte Preços do Secret Manager para informações sobre o custo de uso do Secret Manager.
Consulte Como criar e acessar segredos para instruções detalhadas.
Depois que os secrets forem criados no Secret Manager, use o nome do recurso
secreto como o valor das variáveis de ambiente. Por exemplo:
projects/{project_id}/secrets/{secret_id}/versions/{version_id}, em que
{project_id}, {secret_id} e {version_id} são específicos do seu
ambiente.
Configurar um programador ou acionador
Todos os scripts, exceto o Pub/Sub, são implementados para coletar os dados em intervalos periódicos de um dispositivo de origem. É necessário configurar um acionador usando o Cloud Scheduler para buscar dados ao longo do tempo. O script de transferência do Pub/Sub monitora continuamente a assinatura do Pub/Sub. Para mais informações, consulte Como executar serviços em uma programação e Como usar o Pub/Sub para acionar uma função do Cloud Run.
Implantar a Cloud Run function
- Inicie uma sessão do Cloud Shell.
- Conecte-se por SSH a uma VM Linux do Google Cloud. Consulte Conectar-se a VMs do Linux usando as ferramentas do Google.
- Mude para o diretório em que você copiou os scripts de transferência.
Execute o comando a seguir para implantar a função do Cloud Run.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSubstitua
<FUNCTION_NAME>pelo nome que você definiu para a função do Cloud Run.Substitua
<SERVICE_ACCOUNT_EMAIL>pelo endereço de e-mail da conta de serviço que você quer que a função do Cloud Run use.Se você não mudar o diretório para o local dos arquivos, use a opção
--sourcepara especificar o local dos scripts de implantação.A conta de serviço que executa a função do Cloud Run precisa ter os papéis Invocador do Cloud Functions (
roles/cloudfunctions.invoker) e Assessor de secret do Secret Manager (roles/secretmanager.secretAccessor).
Conferir os registros do ambiente de execução
Os scripts de transferência mostram mensagens de execução no stdout. As funções do Cloud Run oferecem um mecanismo para visualizar mensagens de registro. Para mais informações, consulte as informações do Cloud Functions sobre Como visualizar logs de execução.
Parâmetros de configuração por tipo de registro
Integração do Armis com o Google Security Operations
Esse script coleta os dados usando chamadas de API da plataforma Armis para diferentes tipos de eventos, como alertas, atividades, dispositivos e vulnerabilidades. Os dados coletados são processados pelo Google Security Operations e analisados pelos analisadores correspondentes.
Fluxo do script
Confira o fluxo do script:
Verifique as variáveis de ambiente.
Implante o script nas funções do Cloud Run.
Coletar dados usando o script de transferência.
Ingerir dados coletados no Google Security Operations.
Analisar os dados coletados usando os analisadores correspondentes no Google Security Operations.
Usar um script para coletar e processar dados no Google Security Operations
Verifique as variáveis de ambiente.
Variável Descrição Obrigatório Padrão Secret CHRONICLE_CUSTOMER_IDID de cliente do Google Security Operations. Sim - Não CHRONICLE_REGIONRegião do Google Security Operations. Sim EUA Sim CHRONICLE_SERVICE_ACCOUNTConteúdo do arquivo JSON da conta de serviço das operações de segurança do Google. Sim - Sim CHRONICLE_NAMESPACEO namespace com que os registros do Google Security Operations são rotulados. Não - Não POLL_INTERVALIntervalo de frequência em que a função é executada para receber mais Intervalo de frequência em que a função é executada para receber mais dados de registro (em minutos). Essa duração precisa ser igual ao intervalo de jobs do Cloud Scheduler. Sim 10 Não ARMIS_SERVER_URLURL do servidor da plataforma Armis. Sim - Não ARMIS_API_SECRET_KEYA chave secreta é necessária para autenticar. Sim - Sim HTTPS_PROXYURL do servidor proxy. Não - Não CHRONICLE_DATA_TYPETipo de dados do Google Security Operations para enviar dados para o Google Security Operations. Sim - Não Configure o diretório.
Crie um novo diretório para a implantação das funções do Cloud Run e adicione a ele um diretório
commone o conteúdo do script de ingestão (armis).Defina as variáveis de ambiente de execução necessárias.
Defina as variáveis de ambiente necessárias no arquivo
.env.yml.Use secrets.
As variáveis de ambiente marcadas como secretas precisam ser configuradas como secrets no Secret Manager. Para mais informações sobre como criar secrets, consulte Criar um secret.
Depois de criar os secrets no Secret Manager, use o nome do recurso do secret como o valor das variáveis de ambiente. Exemplo:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Configure o namespace.
Defina a variável de ambiente
CHRONICLE_NAMESPACEpara configurar o namespace. Os registros do Google Security Operations são ingeridos no namespace.Implante as funções do Cloud Run.
Execute o comando abaixo no diretório criado anteriormente para implantar a função do Cloud.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlEspecificações padrão das funções do Cloud Run.
Variável Padrão Descrição Memória 256 MB Nenhum Nenhum Tempo limite esgotado 60 segundos Nenhum Nenhum Região us-central1 Nenhum Nenhum Número mínimo de instâncias 0 Nenhum Nenhum Número máximo de instâncias 100 Nenhum Nenhum Para mais informações sobre como configurar essas variáveis, consulte Configurar funções do Cloud Run.
Buscar dados históricos.
Para buscar dados históricos e continuar coletando dados em tempo real:
- Configure a variável de ambiente
POLL_INTERVALem minutos para que os dados históricos sejam buscados. - Ative a função usando um programador ou manualmente executando o comando na Google Cloud CLI após configurar as funções do Cloud Run.
- Configure a variável de ambiente
Aruba Central
Esse script extrai registros de auditoria do Aruba Central e os insere
nas Operações de segurança do Google com o tipo de registro ARUBA_CENTRAL. Para saber como usar a biblioteca, consulte o SDK pycentral
Python.
Defina as seguintes variáveis de ambiente no arquivo .env.yml.
| Variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo de job do Cloud Scheduler. | 10 | Não |
ARUBA_CLIENT_ID |
ID do cliente do gateway da API Aruba Central. | Nenhum | Não |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Chave secreta do cliente do gateway da API Aruba Central. | Nenhum | Sim |
ARUBA_USERNAME |
Nome de usuário da plataforma Aruba Central. | Nenhum | Não |
ARUBA_PASSWORD_SECRET_PATH |
Senha da plataforma Aruba Central. | Nenhum | Sim |
ARUBA_BASE_URL |
URL base do gateway da API Aruba Central. | Nenhum | Não |
ARUBA_CUSTOMER_ID |
ID do cliente da plataforma Aruba Central. | Nenhum | Não |
Hub de eventos do Azure
Ao contrário de outros scripts de ingestão, este usa funções do Azure para buscar eventos do Azure Event Hub. Uma função do Azure se aciona sempre que um novo evento é adicionado a um bucket, e cada evento é ingerido gradualmente no Google Security Operations.
Etapas para implantar funções do Azure:
- Faça o download do arquivo de conector de dados chamado
Azure_eventhub_API_function_app.jsondo repositório. - Faça login no portal do Microsoft Azure.
- Navegue até a Microsoft Sentinel > Selecione seu espaço de trabalho na lista >
Selecione o conector de dados na seção de configuração e faça o seguinte:
- Defina a seguinte flag como "true" no URL:
feature.BringYourOwnConnector=true. Por exemplo: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Encontre o botão import na página e importe o arquivo do conector de dados salvo na etapa 1.
- Defina a seguinte flag como "true" no URL:
- Clique no botão Implantar no Azure para implantar a função e siga as etapas mencionadas na mesma página.
- Selecione a assinatura, o grupo de recursos e o local e forneça os valores necessários.
- Clique em Revisar + criar.
- Clique em Criar para implantar.
Box
Esse script recebe detalhes sobre eventos que acontecem no Box e os ingere
no Google Security Operations com o tipo de registro BOX. Os dados fornecem insights sobre operações CRUD em objetos no ambiente do Box. Para saber mais sobre os eventos do Box, consulte a API Events do Box.
Defina as seguintes variáveis de ambiente no arquivo .env.yml. Para mais
informações sobre o ID do cliente, a chave secreta do cliente e o ID do assunto do Box, consulte Concessão de
credenciais do
cliente.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo de jobs do Cloud Scheduler. | 5 | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
BOX_CLIENT_ID |
ID do cliente da plataforma Box, disponível no console do desenvolvedor do Box. | Nenhum | Não |
BOX_CLIENT_SECRET |
Caminho para o secret no Secret Manager que armazena o secret do cliente da plataforma Box usado para autenticação. | Nenhum | Sim |
BOX_SUBJECT_ID |
ID de usuário ou empresarial do Box. | Nenhum | Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
Registros de auditoria do Citrix Cloud
Esse script coleta registros de auditoria do Citrix Cloud e os insere no Google Security Operations com o tipo de registro CITRIX_MONITOR. Esses registros ajudam a identificar
atividades realizadas no ambiente do Citrix Cloud, fornecendo informações
sobre o que mudou, quem mudou, quando foi alterado e assim por diante. Para mais
informações, consulte a API SystemLog do Citrix Cloud.
Defina as seguintes variáveis de ambiente no arquivo .env.yml. Para
informações sobre IDs e chaves secretas do cliente do Citrix, consulte Primeiras etapas
com as APIs
do Citrix.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CITRIX_CLIENT_ID |
ID do cliente da API Citrix. | Nenhum | Não |
CITRIX_CLIENT_SECRET |
Caminho para o secret no Secret Manager que armazena o segredo de cliente da API do Citrix usado para autenticação. | Nenhum | Sim |
CITRIX_CUSTOMER_ID |
CustomerID da Citrix. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que outros dados de registro são coletados (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 30 | Não |
URL_DOMAIN |
Endpoint do Citrix Cloud. | Nenhum | Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
Metadados da sessão do Citrix
Esse script coleta metadados de sessão do Citrix de ambientes do Citrix e os ingere no Google Security Operations com o tipo de registro CITRIX_MONITOR. Os dados incluem detalhes de login do usuário, duração da sessão, horário de criação da sessão, horário de término da sessão e outros metadados relacionados à sessão. Para mais informações, consulte a
API Citrix Monitor Service.
Defina as seguintes variáveis de ambiente no arquivo .env.yml. Para
informações sobre IDs e chaves secretas do cliente do Citrix, consulte Primeiras etapas
com as APIs
do Citrix.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
URL_DOMAIN |
Domínio do URL do Citrix. | Nenhum | Não |
CITRIX_CLIENT_ID |
ID do cliente do Citrix. | Nenhum | Não |
CITRIX_CLIENT_SECRET |
Caminho para o secret no Secret Manager que armazena a chave secreta do cliente Citrix usada para autenticação. | Nenhum | Sim |
CITRIX_CUSTOMER_ID |
ID do cliente do Citrix. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 30 | Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespace de recursos. | Nenhum | Não |
Cloud Storage
Esse script busca registros do sistema no Cloud Storage e os insere no Google Security Operations com um valor configurável para o tipo de registro. Para mais detalhes, consulte a biblioteca de cliente do Python do Google Cloud.
Defina as seguintes variáveis de ambiente no arquivo .env.yml. O Google Cloud
tem registros relevantes para a segurança, alguns tipos dos quais não podem ser exportados diretamente
para o Google Security Operations. Para mais informações, consulte Análise de registros de
segurança.
| Variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber mais dados de registro (em minutos). Essa duração precisa ser igual ao intervalo de jobs do Cloud Scheduler. | 60 | Não |
GCS_BUCKET_NAME |
Nome do bucket do Cloud Storage de onde os dados serão buscados. | Nenhum | Não |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Cloud. | Nenhum | Sim |
CHRONICLE_DATA_TYPE |
Tipo de registro para enviar dados à instância do Google Security Operations. | Nenhum | Não |
Atividade no Duo
Esse script extrai os registros de atividade do Duo do Duo Admin e os insere nas
Operações de segurança do Google com o tipo de registro DUO_ACTIVITY. Para mais informações, consulte a
API Duo Admin.
Defina as seguintes variáveis de ambiente no arquivo .env.yml.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1,
asia-southeast1, australia-southeast1, europe,
europe-west2, europe-west3, europe-west6,
europe-west12, me-central1, me-central2,
me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
BACKSTORY_API_V1_URL |
O caminho do URL da API Duo Security. Para mais informações sobre como fazer o download do arquivo JSON que contém a chave de integração da API Duo Admin, consulte a documentação do Duo Admin. | Nenhum | Sim |
DUO_SECRET_KEY |
A chave secreta do DUO necessária para buscar registros da API do DUO. Consulte a documentação do administrador do Duo para ver instruções sobre como fazer o download do arquivo JSON que contém a chave de integração da API Duo Admin, a chave secreta da API Duo Admin e o nome do host da API Duo Admin. |
Nenhum | Sim |
DUO_INTEGRATION_KEY |
A chave de integração do DUO necessária para buscar registros da API do DUO. Consulte
a documentação do Duo Admin para ver instruções sobre como fazer o download do arquivo JSON
que contém a chave de integração da API Duo Admin, a chave secreta da API Duo Admin
e o nome de host da API Duo Admin. |
Nenhum | Sim |
LOG_FETCH_DURATION |
A duração em que os registros são buscados. | 1 | Não |
CHECKPOINT_FILE_PATH |
O caminho do arquivo em que o carimbo de data/hora do último registro ingerido é armazenado. | checkpoint.json |
Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
Administrador do Duo
O script recebe eventos do Duo Admin relacionados a operações CRUD realizadas em
vários objetos, como conta de usuário e segurança. Os eventos são processados no
Google Security Operations com o tipo de registro DUO_ADMIN. Para mais informações, consulte a
API Duo Admin.
Defina as seguintes variáveis de ambiente no arquivo .env.yml.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber mais dados de registro (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | Nenhum | Não |
DUO_API_DETAILS |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta
da Duo. Ele contém a chave de integração da API Duo Admin, a chave secreta da API Duo Admin e o nome de host da API Duo Admin. Por exemplo:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Consulte a documentação do administrador do Duo para ver instruções sobre como fazer o download do arquivo JSON. |
Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
MISP
Esse script extrai informações de relação de ameaças do MISP, uma plataforma de compartilhamento e inteligência de ameaças
de código aberto, e as insere no Google Security Operations com
o tipo de registro MISP_IOC. Para mais informações, consulte a API Events do MISP.
Defina as seguintes variáveis de ambiente no arquivo .env.yml.
| Variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo de jobs do Cloud Scheduler. | 5 | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
ORG_NAME |
Nome da organização para filtrar eventos. | Nenhum | Não |
API_KEY |
Caminho para o secret no Secret Manager que armazena a chave de API para a autenticação usada. | Nenhum | Sim |
TARGET_SERVER |
O endereço IP da instância do MISP que você criou. | Nenhum | Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
Eventos da OneLogin
Esse script recebe eventos de um ambiente do OneLogin e os envia para as Operações de segurança do Google com o tipo de registro ONELOGIN_SSO. Esses eventos fornecem
informações, como operações em contas de usuário. Para mais informações, consulte a
API OneLogin Events.
Defina as seguintes variáveis de ambiente no arquivo .env.yml. Para
informações sobre IDs e segredos de cliente do OneLogin, consulte Como trabalhar com
credenciais de API.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo de jobs do Cloud Scheduler. | 5 | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CLIENT_ID |
ID do cliente da plataforma OneLogin. | Nenhum | Não |
CLIENT_SECRET |
Caminho para o secret no Secret Manager que armazena o secret do cliente da plataforma OneLogin usado para autenticação. | Nenhum | Sim |
TOKEN_ENDPOINT |
O URL para solicitar um token de acesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespace de recursos. | Nenhum | Não |
Contexto do usuário da OneLogin
Esse script recebe dados relacionados a contas de usuário de um ambiente do OneLogin e os envia para as operações de segurança do Google com o tipo de registro ONELOGIN_USER_CONTEXT.
Para mais informações, consulte a API User
OneLogin.
Defina as seguintes variáveis de ambiente no arquivo .env.yml. Para
informações sobre IDs e segredos de cliente do OneLogin, consulte Como trabalhar com
credenciais de API.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 30 | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CLIENT_ID |
ID do cliente da plataforma OneLogin. | Nenhum | Não |
CLIENT_SECRET |
Caminho para o secret no Secret Manager que armazena o secret do cliente da plataforma OneLogin usado para autenticação. | Nenhum | Sim |
TOKEN_ENDPOINT |
O URL para solicitar um token de acesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespace de recursos. | Nenhum | Não |
Proofpoint
Esse script busca dados sobre usuários que foram alvos de ataques de uma organização específica em um determinado período e os envia para as operações de segurança do Google. Para saber mais sobre a API usada, consulte a API People.
Defina as seguintes variáveis de ambiente no arquivo .env.yml. Para saber como acessar o principal do serviço e o segredo do Proofpoint, consulte o guia de configuração Como fornecer credenciais do TAP do Proofpoint para o Arctic Wolf.
| Variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber mais dados de registro (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 360 | Não |
CHRONICLE_DATA_TYPE |
Tipo de registro para enviar dados à instância do Google Security Operations. | Nenhum | Não |
PROOFPOINT_SERVER_URL |
URL base do gateway da API do servidor Proofpoint. | Nenhum | Não |
PROOFPOINT_SERVICE_PRINCIPLE |
Nome de usuário da plataforma Proofpoint. Isso geralmente é o principal do serviço. | Nenhum | Não |
PROOFPOINT_SECRET |
Caminho do Secret Manager com a versão em que a senha da plataforma Proofpoint está armazenada. | Nenhum | Sim |
PROOFPOINT_RETRIEVAL_RANGE |
Número que indica de quantos dias os dados devem ser recuperados. Os valores aceitos são 14, 30 e 90. | Nenhum | Não |
Pub/Sub
Esse script coleta mensagens de assinaturas do Pub/Sub e envia os dados para o Google Security Operations. Ele monitora continuamente o gateway de assinatura e processa as mensagens mais recentes quando elas aparecem. Para mais informações, consulte os documentos a seguir:
Esse script de transferência exige que você defina variáveis no arquivo .env.yml e no job do Cloud Scheduler.
Defina as seguintes variáveis de ambiente no arquivo
.env.yml.Nome da variável Descrição Valor padrão Secret CHRONICLE_CUSTOMER_IDID de cliente da instância do Google Security Operations. Nenhum Não CHRONICLE_REGIONRegião da instância do Google Security Operations. us
Outros valores válidos:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2esouthamerica-east1.Não CHRONICLE_SERVICE_ACCOUNTCaminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. Nenhum Sim CHRONICLE_NAMESPACEO namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces do Google Security Operations, consulte Trabalhar com namespace de recursos. Nenhum Não Defina as seguintes variáveis no campo Corpo da mensagem do Cloud Scheduler como uma string formatada em JSON. Consulte Como criar o programador de nuvem para mais informações sobre o campo Corpo da mensagem.
Nome da variável Descrição Valor padrão Secret PROJECT_IDID do projeto do Pub/Sub. Consulte Como criar e gerenciar projetos para informações sobre o ID do projeto. Nenhum Não SUBSCRIPTION_IDID da assinatura do Pub/Sub. Nenhum Não CHRONICLE_DATA_TYPERótulo de ingestão do tipo de registro fornecido ao enviar dados para o Google Security Operations. Consulte Analisadores padrão compatíveis para conferir uma lista de tipos de registro aceitos. Nenhum Não Confira um exemplo de string formatada em JSON para o campo Corpo da mensagem.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Registros de auditoria do Slack
Esse script recebe registros de auditoria de uma organização do Slack Enterprise Grid e os insere no Google Security Operations com o tipo de registro SLACK_AUDIT. Para mais
informações, consulte a API
Registros de auditoria do Slack.
Defina as seguintes variáveis de ambiente no arquivo .env.yml.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 5 | Não |
SLACK_ADMIN_TOKEN |
Caminho para o secret no Secret Manager que armazena o token de autenticação do
Slack. |
Nenhum |
Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespace de recursos. | Nenhum | Não |
STIX/TAXII
Esse script extrai indicadores do servidor STIX/TAXII e os insere no
Google Security Operations. Para mais informações, consulte a documentação da API STIX/TAXII.
Defina as seguintes variáveis de ambiente no arquivo .env.yml.
| Nome da variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
POLL_INTERVAL |
Intervalo de frequência (em minutos) em que a função é executada. Essa duração precisa ser igual à do job do Cloud Scheduler. | 60 | Não |
TAXII_VERSION |
A versão STIX/TAXII a ser usada. As opções possíveis são 1.1, 2.0 e 2.1. | Nenhum | Não |
TAXII_DISCOVERY_URL |
URL de descoberta do servidor TAXII. | Nenhum | Não |
TAXII_COLLECTION_NAMES |
Coleções (CSV) para buscar os dados. Deixe em branco para buscar dados de todas as coleções. | Nenhum | Não |
TAXII_USERNAME |
Nome de usuário necessário para a autenticação, se houver. | Nenhum | Não |
TAXII_PASSWORD_SECRET_PATH |
Senha necessária para a autenticação, se houver. | Nenhum | Sim |
Tenable.io
Esse script busca dados de recursos e vulnerabilidades do
plataforma Tenable.io e os envia para o Google Security Operations com o tipo de registro TENABLE_IO. Para
informações sobre a biblioteca usada, consulte o SDK pyTenable
Python.
Defina as seguintes variáveis de ambiente no arquivo .env.yml. Para detalhes
sobre dados de recursos e vulnerabilidades, consulte a API Tenable.io: Exportar
recursos
e Exportar
vulnerabilidades.
| Variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber mais dados de registro (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 360 | Não |
TENABLE_ACCESS_KEY |
A chave de acesso usada para autenticação. | Nenhum | Não |
TENABLE_SECRET_KEY_PATH |
Caminho do Google Secret Manager com a versão em que a senha do Tenable Server está armazenada. | Nenhum | Sim |
TENABLE_DATA_TYPE |
Tipo de dados a serem ingeridos no Google Security Operations. Valores possíveis: ASSETS, VULNERABILITIES. | RECURSOS, VULNERABILIDADES | Não |
TENABLE_VULNERABILITY |
O estado das vulnerabilidades que você quer que a exportação inclua. Valores possíveis: "OPEN", "REOPENED" e "FIXED". | ABERTO, REABIERTO | Não |
Trend Micro Cloud App Security
Esse script extrai registros de segurança da plataforma da Trend Micro e os processa no Google Security Operations. Para informações sobre a API usada, consulte a API
de registros de
segurança.
Defina as seguintes variáveis de ambiente no arquivo .env.yml.
| Variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber mais dados de registro (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 10 | Não |
CHRONICLE_DATA_TYPE |
Tipo de registro para enviar dados à instância do Google Security Operations. | Nenhum | Não |
TREND_MICRO_AUTHENTICATION_TOKEN |
Caminho do Google Secret Manager com a versão em que o token de autenticação do Trend Micro Server está armazenado. | Nenhum | Sim |
TREND_MICRO_SERVICE_URL |
URL do serviço do Cloud App Security. | Nenhum | Não |
TREND_MICRO_SERVICE |
O nome do serviço protegido, cujos registros serão recuperados. Aceita valores separados por vírgulas. Valores possíveis: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. | exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat | Não |
TREND_MICRO_EVENT |
O tipo de ocorrência de segurança cujos registros serão recuperados. Aceita valores separados por vírgulas. Valores possíveis: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | Não |
Trend Micro Vision One
Esse script extrai os registros de auditoria do Trend Micro Vision One e os envia
para as operações de segurança do Google com o tipo de registro TREND_MICRO_VISION_AUDIT. Para
informações sobre a API usada, consulte a API de registros de auditoria.
Defina as seguintes variáveis de ambiente no arquivo .env.yml.
| Variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber mais dados de registro (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 10 | Não |
TREND_MICRO_AUTHENTICATION_TOKEN |
Caminho do Google Secret Manager com a versão em que o token de autenticação do Trend Micro Server está armazenado. | Nenhum | Sim |
TREND_MICRO_DOMAIN |
Região do Trend Micro Vision One em que o endpoint de serviço está localizado. | Nenhum | Não |