Usa secuencias de comandos de transferencia implementadas como funciones de Cloud Run
Google Security Operations proporcionó un conjunto de secuencias de comandos de transferencia, escritas en Python, para implementarse como funciones de Cloud Run. Estas secuencias de comandos te para transferir datos de las siguientes fuentes de registros, enumeradas por nombre y tipo de registro.
- Armis Google Security Operations Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Estas secuencias de comandos se encuentran en el repositorio de GitHub de Google Security Operations.
Limitación conocida: cuando estas secuencias de comandos se usan en una zona sin estado entorno como Cloud Run Functions, es posible que no envíen todos los registros a Google Security Operations porque carece de la funcionalidad de punto de control. Google Security Operations ha probado las secuencias de comandos con el estándar Python 3.9 entorno de ejecución.
Antes de comenzar
Lee los siguientes recursos que proporcionan contexto y antecedentes que te permiten usar las secuencias de comandos de transferencia de Google Security Operations de manera eficaz.
- Implementa funciones de Cloud Run para para implementar funciones de Cloud Run desde tu máquina local.
- En Crea y accede a secretos, se explica cómo usar Secret Manager. La necesitarás para almacenar y acceder al archivo JSON de la cuenta de servicio de Google Security Operations.
- Instala Google Cloud CLI. La usarás para implementar la función de Cloud Run.
- Documentación de Google Cloud Pub/Sub, si planeas transferir datos de Pub/Sub.
Reúne los archivos para un solo tipo de registro
Cada subdirectorio de Google Security Operations GitHub contiene archivos que transferir datos para un solo tipo de registro de Google Security Operations. La secuencia de comandos se conecta a un de origen único y envía registros sin procesar a Google Security Operations mediante el Transferencia de datos. Recomendamos que implementes cada tipo de registro como un Cloud Run. Accede a las secuencias de comandos en el repositorio de GitHub de Google Security Operations. Cada subdirectorio en GitHub contiene los siguientes archivos específicos al tipo de registro que transfiere.
main.pyes la secuencia de comandos de transferencia específica del tipo de registro. Se conecta al dispositivo de origen y transfiere datos a Google Security Operations..env.ymlalmacena la configuración que requiere la secuencia de comandos de Python y es específica de la implementación. Modificas este archivo para establecer según los parámetros requeridos por la secuencia de comandos de transferencia.README.mdproporciona información sobre los parámetros de configuración.Requirements.txtdefine las dependencias que requiere la secuencia de comandos de transferencia. Además, la carpetacommoncontiene funciones de utilidad que todas de las secuencias de comandos de transferencia.
Sigue estos pasos para ensamblar los archivos que transfieren datos de un solo tipo de registro:
- Crea un directorio de implementación para almacenar los archivos de la función de Cloud Run. Contiene todos los archivos necesarios para la implementación.
- Copia todos los archivos del subdirectorio de GitHub del tipo de registro seleccionado. (por ejemplo, contexto del usuario de OneLogin) a este directorio de implementación.
- Copia la carpeta
commony todo su contenido en el directorio de implementación. El contenido del directorio será similar al siguiente:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Configura las secuencias de comandos
- Iniciar una sesión de Cloud Shell
- Conéctate con SSH a una VM de Linux de Google Cloud. Consulta Cómo conectarse a VMs de Linux con herramientas de Google.
Para subir las secuencias de comandos de transferencia, haz clic en Más > Subir o Descargar para mover tus archivos o carpetas hacia o desde Cloud Shell.
Solo puedes subir y descargar archivos y carpetas desde el directorio principal. Si quieres más opciones para transferir archivos entre Cloud Shell y tu estación de trabajo local, consulta [Subir y descargar archivos y carpetas de Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.
Edita el archivo
.env.ymlde la función y propaga las variables de entorno necesarias. En la siguiente tabla, se enumeran las variables del entorno de ejecución comunes a todas las secuencias de comandos de transferencia.Nombre de la variable Descripción Obligatorio Predeterminado Secreto CHRONICLE_CUSTOMER_IDID de cliente de Google Security Operations. Sí Ninguno No CHRONICLE_REGIONRegión de Google Security Operations Sí us
Otros valores válidos:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west12,me-central1,me-central2,me-west1ynorthamerica-northeast2.No CHRONICLE_SERVICE_ACCOUNTContenido del archivo JSON de la cuenta de servicio de Google Security Operations. Sí Ninguno Sí CHRONICLE_NAMESPACEEs el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Cómo trabajar con espacios de nombres de activos. No Ninguno No Cada secuencia de comandos requiere variables de entorno específicas para ella. Consulta Parámetros de configuración por tipo de registro para obtener detalles sobre las variables de entorno que requiere cada tipo de registro.
Las variables de entorno marcadas como Secret = Yes se deben configurar como Secrets en
Secret Manager. Consulta Secret Manager
precios para obtener información sobre el costo de uso
Secret Manager.
Consulta Cómo crear y acceder Secrets para instrucciones detalladas.
Después de crear los Secrets en Secret Manager, úsalos
el nombre del recurso como el valor de las variables de entorno. Por ejemplo, projects/{project_id}/secrets/{secret_id}/versions/{version_id}, en el que {project_id}, {secret_id} y {version_id} son específicos de tu entorno.
Configura un programador o activador
Todas las secuencias de comandos, excepto Pub/Sub, se implementan para recopilar los datos en intervalos periódicos desde un dispositivo de origen. Debes configurar un activador con Cloud Scheduler para recuperar datos a lo largo del tiempo. La secuencia de comandos de transferencia para Pub/Sub supervisa continuamente la suscripción a Pub/Sub. Para obtener más información, consulta Cómo ejecutar servicios según un programa y Cómo usar Pub/Sub para activar una función de Cloud Run.
Implementa la función de Cloud Run
- Iniciar una sesión de Cloud Shell
- Conéctate a través de SSH a una VM de Google Cloud Linux. Consulta Conéctate a VMs de Linux con herramientas de Google.
- Cambia al directorio en el que copiaste las secuencias de comandos de transferencia.
Ejecuta el siguiente comando para implementar la función de Cloud Run.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlReemplaza
<FUNCTION_NAME>por el nombre que definas para la función de Cloud Run.Reemplaza
<SERVICE_ACCOUNT_EMAIL>por la dirección de correo electrónico de la cuenta de servicio que deseas que use tu función de Cloud Run.Si no cambias de directorio a la ubicación de los archivos, asegúrate de usar la opción
--sourcepara especificar la ubicación de las secuencias de comandos de implementación.La cuenta de servicio que ejecuta tu función de Cloud Run debe tener los roles Invocador de Cloud Functions (
roles/cloudfunctions.invoker) y Accesor de secretos de Secret Manager (roles/secretmanager.secretAccessor).
Cómo ver registros del entorno de ejecución
Las secuencias de comandos de transferencia imprimen mensajes del entorno de ejecución en stdout. Funciones de Cloud Run proporciona un mecanismo para ver los mensajes de registro. Para obtener más información, consulta la información de Cloud Functions sobre Cómo ver los registros del entorno de ejecución.
Parámetros de configuración por tipo de registro
Integración de Google Security Operations en Armis
Esta secuencia de comandos recopila los datos mediante llamadas a la API de la plataforma de Armis para diferentes tipos de eventos, como alertas, actividades, dispositivos y vulnerabilidades. Los datos recopilados se transfieren a Google Security Operations y los analizadores correspondientes los analizan.
Flujo de la secuencia de comandos
A continuación, se muestra el flujo de la secuencia de comandos:
Verifica las variables de entorno.
Implementar la secuencia de comandos en funciones de Cloud Run
Recopilar datos con la secuencia de comandos de transferencia
Transferir los datos recopilados a Google Security Operations
Analiza los datos recopilados a través de los analizadores correspondientes en Google Security Operations.
Usa una secuencia de comandos para recopilar y transferir datos a Google Security Operations
Verifica las variables de entorno.
Variable Descripción Obligatorio Valor predeterminado Secreto CHRONICLE_CUSTOMER_IDID de cliente de Google Security Operations. Sí - No CHRONICLE_REGIONRegión de Google Security Operations Sí EE.UU. Sí CHRONICLE_SERVICE_ACCOUNTContenido del archivo JSON de la cuenta de servicio de Google Security Operations. Sí - Sí CHRONICLE_NAMESPACEEl espacio de nombres con el que están etiquetados los registros de Google Security Operations. No - No POLL_INTERVALEs el intervalo de frecuencia en el que se ejecuta la función para obtener información adicional. Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo de trabajos de Cloud Scheduler. Sí 10 No ARMIS_SERVER_URLURL del servidor de la plataforma Armis. Sí - No ARMIS_API_SECRET_KEYSe requiere una clave secreta para autenticar. Sí - Sí HTTPS_PROXYURL del servidor proxy. No - No CHRONICLE_DATA_TYPETipo de datos de Google Security Operations para enviar datos a Google Security Operations. Sí - No Configura el directorio.
Crea un directorio nuevo para la implementación de funciones de Cloud Run y agrégale Un directorio
commony el contenido de la secuencia de comandos de transferencia (armis)Configura las variables de entorno de ejecución necesarias.
Define las variables de entorno necesarias en el archivo
.env.yml.Usa Secrets.
Las variables de entorno marcadas como secretas se deben configurar como secretos en Secret Manager. Para obtener más información sobre cómo crear secretos, consulta Crea un secreto.
Después de crear los secretos en Secret Manager, usa el nombre del recurso del secreto como el valor de las variables de entorno. Por ejemplo:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Configura el espacio de nombres.
Establece la variable de entorno
CHRONICLE_NAMESPACEpara configurar el espacio de nombres. Los registros de Google Security Operations se transfieren al espacio de nombres.Implementar las funciones de Cloud Run
Ejecuta el siguiente comando desde el directorio creado previamente para implementar la Cloud Function.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlEspecificaciones predeterminadas de las funciones de Cloud Run
Variable Valor predeterminado Descripción Memoria 256 MB Ninguno Ninguno Se agotó el tiempo de espera 60 segundos Ninguno Ninguno Región us-central1 Ninguno Ninguno Cantidad mínima de instancias 0 Ninguno Ninguno Cantidad máxima de instancias 100 Ninguno Ninguno Para obtener más información sobre cómo configurar estas variables, consulta Cómo configurar funciones de Cloud Run.
Recupera datos históricos.
Para recuperar datos históricos y seguir recopilando datos en tiempo real, haz lo siguiente:
- Configura la variable de entorno
POLL_INTERVALen minutos para los que se deben recuperar los datos históricos. - Activa la función con un programador o manualmente ejecutando el comando en Google Cloud CLI después de configurar las funciones de Cloud Run.
- Configura la variable de entorno
Aruba Central
Esta secuencia de comandos recupera registros de auditoría de la plataforma central de Aruba y los transfiere
en Google Security Operations con el tipo de registro ARUBA_CENTRAL. Para obtener información sobre
cómo puede usarse la biblioteca, consulta la documentación de pycentral de Python
SDK.
Define las siguientes variables de entorno en el archivo .env.yml.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler. | 10 | No |
ARUBA_CLIENT_ID |
ID de cliente de la puerta de enlace de la API de Aruba Central. | Ninguno | No |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Secreto de cliente de la puerta de enlace de la API de Aruba Central | Ninguno | Sí |
ARUBA_USERNAME |
Nombre de usuario de la plataforma Aruba Central. | Ninguno | No |
ARUBA_PASSWORD_SECRET_PATH |
Contraseña de la plataforma de Aruba Central. | Ninguno | Sí |
ARUBA_BASE_URL |
Es la URL base de la puerta de enlace de la API de Aruba Central. | Ninguno | No |
ARUBA_CUSTOMER_ID |
ID de cliente de la plataforma Aruba Central. | Ninguno | No |
Azure Event Hub
A diferencia de otras secuencias de comandos de transferencia, esta usa funciones de Azure para recuperar eventos de Azure Event Hub. Una función de Azure se activa automáticamente cada vez que se produce un evento nuevo. se agregan a un bucket, y cada evento se transfiere Google Security Operations.
Pasos para implementar funciones de Azure:
- Descarga el archivo del conector de datos llamado
Azure_eventhub_API_function_app.jsondel repositorio. - Accede al portal de Microsoft Azure.
- Navega a Microsoft Sentinel > Selecciona tu lugar de trabajo de la lista >
Selecciona Data Connector en la sección de configuración y haz lo siguiente:
- Configura la siguiente marca como verdadera en la URL:
feature.BringYourOwnConnector=truePor ejemplo: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Busca el botón Importar en la página y, luego, importa los datos. el archivo del conector descargado en el paso 1.
- Configura la siguiente marca como verdadera en la URL:
- Haz clic en el botón Deploy to Azure para implementar tu función y sigue los pasos que se mencionan en la misma página.
- Selecciona la Suscripción, el Grupo de recursos y la Ubicación que prefieras. y proporciona los valores requeridos.
- Haz clic en Revisar + crear.
- Haz clic en Crear para realizar la implementación.
Box
Esta secuencia de comandos obtiene detalles sobre los eventos que ocurren en Box y los transfiere a Google Security Operations con el tipo de registro BOX. Los datos proporcionan estadísticas sobre las operaciones de CRUD en los objetos del entorno de Box. Para obtener información sobre los eventos de Box, consulta la API de eventos de Box.
Define las siguientes variables de entorno en el archivo .env.yml. Para ver más
información sobre el ID de cliente de Box, el secreto de cliente y el ID de sujeto, consulta Client
Credenciales
Otorgar
de Google Cloud.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
BOX_CLIENT_ID |
ID de cliente de la plataforma Box, disponible en la consola del desarrollador de Box. | Ninguno | No |
BOX_CLIENT_SECRET |
Es la ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la plataforma de Box que se usa para la autenticación. | Ninguno | Sí |
BOX_SUBJECT_ID |
ID de usuario o ID de empresa de la casilla. | Ninguno | No |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
Registros de auditoría de Citrix Cloud
Esta secuencia de comandos recopila los registros de auditoría de Citrix Cloud y los transfiere a Google Security Operations con el tipo de registro CITRIX_MONITOR. Estos registros ayudan a identificar
actividades realizadas en el entorno de Citrix Cloud brindando información
sobre qué cambió, quién lo hizo, cuándo, etc. Para ver más
consulta la documentación de Citrix Cloud SystemLog
API
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener información sobre los IDs de cliente y los secretos de cliente de Citrix, consulta Cómo comenzar a usar las APIs de Citrix.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
CITRIX_CLIENT_ID |
ID de cliente de la API de Citrix | Ninguno | No |
CITRIX_CLIENT_SECRET |
Ruta de acceso al secreto en Secret Manager que almacena la API de Citrix El secreto del cliente que se usa para la autenticación. | Ninguno | Sí |
CITRIX_CUSTOMER_ID |
CustomerID de Citrix | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia en el que se recopilan datos de registro adicionales (en minutos). Esta duración debe ser la misma que la del trabajo de Cloud Scheduler durante un intervalo de tiempo determinado. | 30 | No |
URL_DOMAIN |
Cloud Endpoints de Citrix. | Ninguno | No |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
Metadatos de la sesión de Citrix
Esta secuencia de comandos recopila metadatos de sesión de Citrix de los entornos de Citrix y los transfiere a Google Security Operations con el tipo de registro CITRIX_MONITOR. Los datos incluyen
login details del usuario, duración de la sesión, hora de creación de la sesión, hora de finalización de la sesión,
y otros metadatos relacionados con la sesión. Para obtener más información, consulta la
API de Citrix Monitor Service.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener información sobre los IDs de cliente y los secretos de cliente de Citrix, consulta Cómo comenzar a usar las APIs de Citrix.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
URL_DOMAIN |
Dominio de URL de Citrix | Ninguno | No |
CITRIX_CLIENT_ID |
ID de cliente de Citrix. | Ninguno | No |
CITRIX_CLIENT_SECRET |
Es la ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de Citrix que se usa para la autenticación. | Ninguno | Sí |
CITRIX_CUSTOMER_ID |
ID de cliente de Citrix. | Ninguno | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler. | 30 | No |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos. | Ninguno | No |
Cloud Storage
Esta secuencia recupera los registros del sistema de Cloud Storage y los transfiere a Google Security Operations con un valor configurable para el tipo de registro. Para obtener más información, consulta el cliente de Google Cloud para Python biblioteca.
Define las siguientes variables de entorno en el archivo .env.yml. Google Cloud
tiene registros relacionados con la seguridad desde los que algunos tipos de registro no se pueden exportar directamente
a Google Security Operations. Para obtener más información, consulta Análisis de registros de seguridad.
| Variable | Descripción | Predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Cómo trabajar con espacios de nombres de recursos. | Ninguno | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo de trabajo de Cloud Scheduler. | 60 | No |
GCS_BUCKET_NAME |
Nombre del bucket de Cloud Storage desde el que se recuperarán los datos. | Ninguno | No |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Cloud. | Ninguno | Sí |
CHRONICLE_DATA_TYPE |
Tipo de registro para enviar datos a la instancia de Google Security Operations. | Ninguno | No |
Administrador de Duo
La secuencia de comandos obtiene eventos de Duo Admin relacionados con las operaciones CRUD que se realizan en varios objetos, como la cuenta de usuario y la seguridad. Los eventos se transfieren
Google Security Operations con el tipo de registro DUO_ADMIN Para obtener más información, consulta la API de Duo Admin.
Define las siguientes variables de entorno en el archivo .env.yml.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler. | Ninguno | No |
DUO_API_DETAILS |
Ruta al secreto en Secret Manager que almacena la cuenta de Duo
Archivo JSON. Contiene la clave de integración de la API de Duo Admin, Duo Admin
la clave secreta de API y el nombre de host de la API de Duo Admin. Por ejemplo:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Consulta la documentación de Duo Admin y obtén instrucciones para descargar el archivo JSON. |
Ninguno | Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations; consulta Trabaja con espacios de nombres de recursos. | Ninguno | No |
MISP
Esta secuencia de comandos recupera información de la relación de amenazas de MISP, una plataforma de intercambio y de inteligencia de amenazas de código abierto, y la transfiere a Google Security Operations con el tipo de registro MISP_IOC. Para obtener más información, consulta la API de MISP Events.
Define las siguientes variables de entorno en el archivo .env.yml.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
ORG_NAME |
Es el nombre de la organización para filtrar eventos. | Ninguno | No |
API_KEY |
Ruta de acceso al secreto en Secret Manager que almacena la clave de API para usa la autenticación. | Ninguno | Sí |
TARGET_SERVER |
La dirección IP de la instancia de MISP que creaste | Ninguno | No |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos. | Ninguno | No |
Eventos de OneLogin
Esta secuencia de comandos obtiene eventos de un entorno de OneLogin y los transfiere
Google Security Operations con el tipo de registro ONELOGIN_SSO Estos eventos proporcionan
información, como operaciones en cuentas de usuario. Para obtener más información, consulta la
Eventos de OneLogin
API
de Google Cloud.
Define las siguientes variables de entorno en el archivo .env.yml. Para
sobre los IDs de cliente de OneLogin y los secretos del cliente, consulta Cómo trabajar con la API
Credenciales.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
CLIENT_ID |
ID de cliente de la plataforma OneLogin. | Ninguno | No |
CLIENT_SECRET |
Es la ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la plataforma de OneLogin que se usa para la autenticación. | Ninguno | Sí |
TOKEN_ENDPOINT |
La URL para solicitar un token de acceso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
Contexto del usuario de OneLogin
Esta secuencia de comandos obtiene datos relacionados con las cuentas de usuario de un entorno de OneLogin y los transfiere a Google Security Operations con el tipo de registro ONELOGIN_USER_CONTEXT.
Para obtener más información, consulta la API de OneLogin User.
Define las siguientes variables de entorno en el archivo .env.yml. Para
sobre los IDs de cliente de OneLogin y los secretos del cliente, consulta Cómo trabajar con la API
Credenciales.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler. | 30 | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
CLIENT_ID |
ID de cliente de la plataforma OneLogin. | Ninguno | No |
CLIENT_SECRET |
Es la ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la plataforma de OneLogin que se usa para la autenticación. | Ninguno | Sí |
TOKEN_ENDPOINT |
La URL para solicitar un token de acceso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
Proofpoint
Esta secuencia de comandos recupera datos sobre los usuarios que son objetivo de ataques de una organización en particular durante un período determinado y los transfiere a Operaciones de seguridad de Google. Para obtener información sobre la API utilizada, consulta la API de People.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener detalles sobre cómo obtener el principal de servicio y el secreto de Proofpoint, consulta la guía de configuración para proporcionar credenciales de TAP de Proofpoint a Arctic Wolf.
| Variable | Descripción | Predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Cómo trabajar con espacios de nombres de recursos. | Ninguno | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo de trabajo de Cloud Scheduler. | 360 | No |
CHRONICLE_DATA_TYPE |
Tipo de registro para enviar datos a la instancia de Google Security Operations. | Ninguno | No |
PROOFPOINT_SERVER_URL |
Es la URL base de la puerta de enlace de la API del servidor de Proofpoint. | Ninguno | No |
PROOFPOINT_SERVICE_PRINCIPLE |
Nombre de usuario de la plataforma de Proofpoint. Por lo general, es el principal del servicio. | Ninguno | No |
PROOFPOINT_SECRET |
Es la ruta de acceso de Secret Manager con la versión, donde se almacena la contraseña de la plataforma de Proofpoint. | Ninguno | Sí |
PROOFPOINT_RETRIEVAL_RANGE |
Es un número que indica a partir de cuántos días se deben recuperar los datos. Los valores aceptados son 14, 30 y 90. | Ninguno | No |
Pub/Sub
Esta secuencia de comandos recopila mensajes de las suscripciones a Pub/Sub y transfiere los datos a Google Security Operations. Supervisa de forma continua la puerta de enlace de suscripción y transfiere los mensajes más recientes cuando aparecen. Para obtener más información, consulta los siguientes documentos:
Esta secuencia de comandos de transferencia requiere que establezcas variables en .env.yml
y el trabajo de Cloud Scheduler.
Define las siguientes variables de entorno en el archivo
.env.yml.Nombre de la variable Descripción Valor predeterminado Secreto CHRONICLE_CUSTOMER_IDID de cliente de la instancia de Google Security Operations. Ninguno No CHRONICLE_REGIONRegión de la instancia de Google Security Operations. us
Otros valores válidos:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west12,me-central1,me-central2,me-west1ynorthamerica-northeast2.No CHRONICLE_SERVICE_ACCOUNTRuta de acceso al secreto en Secret Manager que almacena las operaciones de seguridad de Google archivo JSON de la cuenta de servicio. Ninguno Sí CHRONICLE_NAMESPACEEl espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations, consulta Trabaja con Espacios de nombres de elementos. Ninguno No Configura las siguientes variables en el campo Cuerpo del mensaje de Cloud Scheduler como una cadena con formato JSON. Consulta Cómo crear Cloud Scheduler para obtener más información sobre el campo Cuerpo del mensaje.
Nombre de la variable Descripción Valor predeterminado Secreto PROJECT_IDID del proyecto de Pub/Sub. Consulta Crea y administra proyectos para información sobre el ID del proyecto. Ninguno No SUBSCRIPTION_IDID de suscripción a Pub/Sub. Ninguno No CHRONICLE_DATA_TYPEEtiqueta de transferencia para el tipo de registro proporcionado cuando se envían datos a Google Security Operations. Consulta Analizadores predeterminados admitidos para obtener una lista de los tipos de registros admitidos. Ninguno No Este es un ejemplo de cadena con formato JSON para el campo Cuerpo del mensaje.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Registros de auditoría de Slack
Esta secuencia de comandos obtiene registros de auditoría de una organización de Slack Enterprise Grid y
las transfiere a Google Security Operations con el tipo de registro SLACK_AUDIT. Para obtener más información, consulta la API de registros de auditoría de Slack.
Define las siguientes variables de entorno en el archivo .env.yml.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler. | 5 | No |
SLACK_ADMIN_TOKEN |
Ruta de acceso al secreto en Secret Manager que almacena el Slack
Token de autenticación. |
Ninguno |
Sí |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
STIX/TAXII
Esta secuencia de comandos extrae indicadores del servidor STIX/TAXII y los transfiere
Google Security Operations. Para obtener más información, consulta API de STIX/TAXII
documentación.
Define las siguientes variables de entorno en el archivo .env.yml.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
POLL_INTERVAL |
Es el intervalo de frecuencia (en minutos) a la que se ejecuta la función. Esta duración debe ser la misma que la del trabajo de Cloud Scheduler. | 60 | No |
TAXII_VERSION |
La versión de STIX o TAXII que se debe usar. Las opciones posibles son 1.1, 2.0 y 2.1. | Ninguno | No |
TAXII_DISCOVERY_URL |
Es la URL de descubrimiento del servidor TAXII. | Ninguno | No |
TAXII_COLLECTION_NAMES |
Colecciones (CSV) desde las que se recuperan los datos. Deja el campo vacío para recuperar datos de todas las colecciones. | Ninguno | No |
TAXII_USERNAME |
Nombre de usuario necesario para la autenticación, si corresponde | Ninguno | No |
TAXII_PASSWORD_SECRET_PATH |
Se requiere una contraseña para la autenticación, si la hay. | Ninguno | Sí |
Tenable.io
Esta secuencia de comandos recupera datos de recursos y vulnerabilidades de la plataforma Tenable.io
y los transfiere a Google Security Operations con el tipo de registro TENABLE_IO. Para obtener información sobre la biblioteca que se usa, consulta el SDK de pyTenable para Python.
Define las siguientes variables de entorno en el archivo .env.yml. Más información
sobre datos de recursos y vulnerabilidades, consulta la API de Tenable.io: Exportar
recursos
y Exportar
vulnerabilidades.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos. | Ninguno | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo de trabajo de Cloud Scheduler. | 360 | No |
TENABLE_ACCESS_KEY |
La clave de acceso que se usa para la autenticación. | Ninguno | No |
TENABLE_SECRET_KEY_PATH |
Es la ruta de acceso de Google Secret Manager con la versión, donde se almacena la contraseña del servidor de Tenable. | Ninguno | Sí |
TENABLE_DATA_TYPE |
Es el tipo de datos que se transferirán a Google Security Operations. Valores posibles: ASSETS, VULNERABILITIES. | RECURSOS Y VULNERABILIDADES | No |
TENABLE_VULNERABILITY |
El estado de las vulnerabilidades que quieres que incluya la exportación. Valores posibles: "OPEN", "REOPENED" y "FIXED". | ABIERTO, REABRIDO | No |
Trend Micro Cloud App Security
Esta secuencia de comandos recupera registros de seguridad de la plataforma de Trend Micro y los transfiere a Google Security Operations. Para obtener información sobre la API que se usa, consulta la API de registros de seguridad.
Define las siguientes variables de entorno en el archivo .env.yml.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos. | Ninguno | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo de trabajos de Cloud Scheduler. | 10 | No |
CHRONICLE_DATA_TYPE |
Tipo de registro para enviar datos a la instancia de Google Security Operations. | Ninguno | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Ruta de acceso de Secret Manager de Google con la versión, en la que se almacena el token de autenticación para el servidor de Trend Micro. | Ninguno | Sí |
TREND_MICRO_SERVICE_URL |
Es la URL del servicio de Cloud App Security. | Ninguno | No |
TREND_MICRO_SERVICE |
El nombre del servicio protegido, cuyos registros se recuperarán. Admite valores separados por comas. Valores posibles: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. | Exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, equipos, Exchangeserver, salesforce_sandbox, salesforce_production, equipos_chat | No |
TREND_MICRO_EVENT |
Es el tipo de evento de seguridad cuyos registros se recuperarán. Admite valores separados por comas. Valores posibles: securityrisk, virtualanalyzer, ransomware, dlp. | riesgo de seguridad, virtualanalyzer, ransomware, dlp | No |
Trend Micro Vision One
Esta secuencia de comandos recupera los registros de auditoría de Trend Micro Vision One y los transfiere a las Operaciones de seguridad de Google con el tipo de registro TREND_MICRO_VISION_AUDIT. Para obtener información sobre la API que se usa, consulta la API de registros de auditoría.
Define las siguientes variables de entorno en el archivo .env.yml.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Google Security Operations. | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Google Security Operations | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations. | Ninguno | Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos. | Ninguno | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo de trabajos de Cloud Scheduler. | 10 | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Ruta de acceso de Secret Manager de Google con la versión, en la que se almacena el token de autenticación para el servidor de Trend Micro. | Ninguno | Sí |
TREND_MICRO_DOMAIN |
Región de Trend Micro Vision One donde se encuentra el extremo del servicio. | Ninguno | No |