Utilizzare gli script di importazione di cui è stato eseguito il deployment come funzioni Cloud Run
Google Security Operations ha fornito un insieme di script di importazione, scritti in Python, che devono essere implementati come funzioni Cloud Run. Questi script ti consentono di importare i dati dalle seguenti origini log, elencate per nome e tipo di log.
- Armis Google Security Operations Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Activity (
DUO_ACTIVITY) - Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Questi script si trovano nel repository GitHub di Google Security Operations.
Limitazione nota: quando questi script vengono utilizzati in un ambiente senza stato come le funzioni Cloud Run, potrebbero non inviare tutti i log a Google Security Operations perché non dispongono della funzionalità di checkpoint. Google Security Operations ha testato gli script con il runtime Python 3.9.
Prima di iniziare
Leggi le seguenti risorse che forniscono contesto e informazioni di sfondo che ti consentono di utilizzare in modo efficace gli script di importazione di Google Security Operations.
- Eseguire il deployment di Cloud Run Functions per informazioni su come eseguire il deployment di Cloud Run Functions dalla tua macchina locale.
- Creazione e accesso ai secret spiega come utilizzare Secret Manager. Ti servirà per archiviare e accedere al file JSON dell'account di servizio Google Security Operations.
- Installa Google Cloud CLI. Lo utilizzerai per eseguire il deployment della funzione Cloud Run.
- Documentazione di Google Cloud Pub/Sub se prevedi di importare dati da Pub/Sub.
Assemble i file per un singolo tipo di log
Ogni sottodirectory in GitHub di Google Security Operations contiene file che importano i dati per un singolo tipo di log di Google Security Operations. Lo script si connette a un singolo dispositivo di origine e invia i log non elaborati a Google Security Operations utilizzando l'API Ingestion. Ti consigliamo di eseguire il deployment di ogni tipo di log come funzione Cloud Run distinta. Accedi agli script nel repository GitHub di Google Security Operations. Ogni sottodirectory in GitHub contiene i seguenti file specifici per il tipo di log importato.
main.pyè lo script di importazione specifico per il tipo di log. Si connette al dispositivo di origine e importa i dati in Google Security Operations..env.ymlmemorizza la configurazione richiesta dallo script Python ed è specifica per il deployment. Modifica questo file per impostare i parametri di configurazione richiesti dallo script di importazione.README.mdfornisce informazioni sui parametri di configurazione.Requirements.txtdefinisce le dipendenze richieste dallo script di importazione. Inoltre, la cartellacommoncontiene funzioni di utilità da cui dipendono tutti gli script di importazione.
Per assemblare i file che importano i dati per un singolo tipo di log:
- Crea una directory di deployment per archiviare i file per la funzione Cloud Run. che conterrà tutti i file necessari per il deployment.
- Copia tutti i file dalla sottodirectory GitHub del tipo di log selezionato, ad esempio OneLogin User Context, in questa directory di deployment.
- Copia la cartella
commone tutti i contenuti nella directory di deployment. I contenuti della directory saranno simili al seguente:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Configura gli script
- Avvia una sessione Cloud Shell.
- Connettiti tramite SSH a una VM Linux Google Cloud. Consulta Connettiti alle VM Linux usando gli strumenti Google.
Carica gli script di importazione facendo clic su Altro > Carica o Scarica per spostare i file o le cartelle da o verso Cloud Shell.
I file e le cartelle possono essere caricati e scaricati solo dalla home directory. Per altre opzioni per trasferire file tra Cloud Shell e la tua workstation locale, consulta [Carica e scarica file e cartelle da Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.
Modifica il file
.env.ymlper la funzione e compila le variabili di ambiente richieste. La tabella seguente elenca le variabili dell'ambiente di runtime comuni a tutti gli script di importazione.Nome variabile Descrizione Obbligatorio Predefinito Secret CHRONICLE_CUSTOMER_IDID cliente Google Security Operations. Sì Nessuno No CHRONICLE_REGIONRegione di Google Security Operations. Sì us
Altri valori validi:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2esouthamerica-east1.No CHRONICLE_SERVICE_ACCOUNTContenuti del file JSON dell'account di servizio Google Security Operations. Sì Nessuno Sì CHRONICLE_NAMESPACELo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. No Nessuno No Ogni script richiede variabili di ambiente specifiche. Consulta Parametri di configurazione per tipo di log per informazioni dettagliate sulle variabili di ambiente richieste da ciascun tipo di log.
Le variabili di ambiente contrassegnate come Secret = Yes devono essere configurate come secret in Secret Manager. Per informazioni sul costo dell'utilizzo di Secret Manager, consulta la pagina Prezzi di Secret Manager.
Per istruzioni dettagliate, consulta Creare e accedere ai secret.
Dopo aver creato i secret in Secret Manager, utilizza il nome della risorsa secret come valore per le variabili di ambiente. Ad esempio:
projects/{project_id}/secrets/{secret_id}/versions/{version_id}, dove
{project_id}, {secret_id} e {version_id} sono specifici del tuo
ambiente.
Configurare uno scheduler o un trigger
Tutti gli script, ad eccezione di Pub/Sub, vengono implementati per raccogliere i dati a intervalli periodici da un dispositivo di origine. Devi configurare un trigger utilizzando Cloud Scheduler per recuperare i dati nel tempo. Lo script di importazione per Pub/Sub monitora continuamente la sottoscrizione Pub/Sub. Per saperne di più, consulta Eseguire i servizi in base a una pianificazione e Utilizzare Pub/Sub per attivare una funzione Cloud Run.
Esegui il deployment della funzione Cloud Run
- Avvia una sessione di Cloud Shell.
- Connettiti tramite SSH a una VM Linux Google Cloud. Consulta Connettiti alle VM Linux usando gli strumenti Google.
- Passa alla directory in cui hai copiato gli script di importazione.
Esegui il seguente comando per eseguire il deployment della funzione Cloud Run.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSostituisci
<FUNCTION_NAME>con il nome che definisci per la funzione Cloud Run.Sostituisci
<SERVICE_ACCOUNT_EMAIL>con l'indirizzo email dell'account di servizio che vuoi utilizzare per la funzione Cloud Run.Se non cambi directory nella posizione dei file, assicurati di utilizzare l'opzione
--sourceper specificare la posizione degli script di deployment.L'account di servizio che esegue la funzione Cloud Run deve disporre dei ruoli Cloud Functions Invoker (
roles/cloudfunctions.invoker) e Secret Manager Secret Accessor (roles/secretmanager.secretAccessor).
Visualizza i log di runtime
Gli script di importazione stampano i messaggi di runtime in stdout. Le funzioni Cloud Run forniscono un meccanismo per visualizzare i messaggi di log. Per ulteriori informazioni, consulta le informazioni di Cloud Functions sulla visualizzazione dei log di runtime.
Parametri di configurazione per tipo di log
Integrazione di Armis con Google Security Operations
Questo script raccoglie i dati utilizzando le chiamate API della piattaforma Armis per diversi tipi di eventi, come avvisi, attività, dispositivi e vulnerabilità. I dati raccolti vengono importati in Google Security Operations e analizzati dai relativi analizzatori.
Flusso di script
Di seguito è riportato il flusso dello script:
Verifica le variabili di ambiente.
Esegui il deployment dello script nelle funzioni Cloud Run.
Raccogli i dati utilizzando lo script di importazione.
Importa i dati raccolti in Google Security Operations.
Analizza i dati raccolti tramite i parser corrispondenti in Google Security Operations.
Utilizzare uno script per raccogliere e importare i dati in Google Security Operations
Verifica le variabili di ambiente.
Variabile Descrizione Obbligatorio Predefinito Segreto CHRONICLE_CUSTOMER_IDID cliente Google Security Operations. Sì - No CHRONICLE_REGIONRegione di Google Security Operations. Sì US Sì CHRONICLE_SERVICE_ACCOUNTContenuti del file JSON dell'account di servizio Google Security Operations. Sì - Sì CHRONICLE_NAMESPACELo spazio dei nomi con cui sono etichettati i log di Google Security Operations. No - No POLL_INTERVALIntervallo di frequenza con cui viene eseguita la funzione per ottenere ulteriori Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. Sì 10 No ARMIS_SERVER_URLURL del server della piattaforma Armis. Sì - No ARMIS_API_SECRET_KEYChiave segreta richiesta per l'autenticazione. Sì - Sì HTTPS_PROXYURL del server proxy. No - No CHRONICLE_DATA_TYPETipo di dati di Google Security Operations per inviare i dati a Google Security Operations. Sì - No Configura la directory.
Crea una nuova directory per il deployment delle funzioni Cloud Run e aggiungi una directory
commone i contenuti dello script di importazione (armis).Imposta le variabili di ambiente di runtime richieste.
Definisci le variabili di ambiente richieste nel file
.env.yml.Utilizza i secret.
Le variabili di ambiente contrassegnate come secret devono essere configurate come secret in Secret Manager. Per ulteriori informazioni su come creare i secret, consulta Creare un secret.
Dopo aver creato i secret in Secret Manager, utilizza il nome della risorsa del secret come valore per le variabili di ambiente. Ad esempio:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Configura lo spazio dei nomi.
Imposta la variabile di ambiente
CHRONICLE_NAMESPACEper configurare lo spazio dei nomi. I log di Google Security Operations vengono importati nello spazio dei nomi.Esegui il deployment delle funzioni Cloud Run.
Esegui il comando seguente dalla directory creata in precedenza per eseguire il deployment della funzione cloud.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSpecifiche predefinite di Cloud Run Functions.
Variabile Predefinito Descrizione Memoria 256 MB Nessuno Nessuno Tempo scaduto 60 secondi Nessuno Nessuno Regione us-central1 Nessuno Nessuno Numero minimo di istanze 0 Nessuno Nessuno Numero massimo di istanze 100 Nessuno Nessuno Per ulteriori informazioni su come configurare queste variabili, consulta Configurare le funzioni Cloud Run.
Recupera i dati storici.
Per recuperare i dati storici e continuare a raccogliere i dati in tempo reale:
- Configura la variabile di ambiente
POLL_INTERVALin minuti per i quali devono essere recuperati i dati storici. - Attiva la funzione utilizzando un programmatore o manualmente eseguendo il comando in Google Cloud CLI dopo aver configurato le funzioni Cloud Run.
- Configura la variabile di ambiente
Aruba Central
Questo script recupera i log di controllo dalla piattaforma Aruba Central e li importa in Google Security Operations con il tipo di log ARUBA_CENTRAL. Per informazioni su come utilizzare la libreria, consulta l'SDK Python pycentral.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 10 | No |
ARUBA_CLIENT_ID |
ID client del gateway API Aruba Central. | Nessuno | No |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Client secret dell'API gateway di Aruba Central. | Nessuno | Sì |
ARUBA_USERNAME |
Nome utente della piattaforma Aruba Central. | Nessuno | No |
ARUBA_PASSWORD_SECRET_PATH |
Password della piattaforma Aruba Central. | Nessuno | Sì |
ARUBA_BASE_URL |
URL di base del gateway API Aruba Central. | Nessuno | No |
ARUBA_CUSTOMER_ID |
ID cliente della piattaforma Aruba Central. | Nessuno | No |
Azure Event Hub
A differenza di altri script di importazione, questo script utilizza le funzioni Azure per recuperare gli eventi da Azure Event Hub. Una funzione Azure si attiva ogni volta che un nuovo evento viene aggiunto a un bucket e ogni evento viene importato gradualmente in Google Security Operations.
Passaggi per eseguire il deployment di Azure Functions:
- Scarica il file del connettore dati denominato
Azure_eventhub_API_function_app.jsondal repository. - Accedi al portale di Microsoft Azure.
- Vai a Microsoft Sentinel > Seleziona il tuo spazio di lavoro dall'elenco >
Seleziona Data Connector nella sezione di configurazione ed esegui le seguenti operazioni:
- Imposta il seguente flag come true nell'URL:
feature.BringYourOwnConnector=true. Ad esempio: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Individua il pulsante import nella pagina e importa il file del connettore di dati scaricato nel passaggio 1.
- Imposta il seguente flag come true nell'URL:
- Fai clic sul pulsante Esegui il deployment in Azure per eseguire il deployment della funzione e segui la procedura indicata nella stessa pagina.
- Seleziona l'Abbonamento, il Gruppo di risorse e la Località preferiti e fornisci i valori richiesti.
- Fai clic su Rivedi e crea.
- Fai clic su Crea per eseguire il deployment.
Box
Questo script recupera i dettagli sugli eventi che si verificano in Box e li importa in Google Security Operations con il tipo di log BOX. I dati forniscono informazioni sulle operazioni CRUD sugli oggetti nell'ambiente Box. Per informazioni sugli eventi Box, consulta l'API Box Events.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per maggiori informazioni sull'ID client, sul client secret e sull'ID soggetto di Box, consulta Concessione delle credenziali client.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
BOX_CLIENT_ID |
ID cliente della piattaforma Box, disponibile nella console di sviluppo Box. | Nessuno | No |
BOX_CLIENT_SECRET |
Percorso del secret in Secret Manager che memorizza il client secret della piattaforma Box utilizzato per l'autenticazione. | Nessuno | Sì |
BOX_SUBJECT_ID |
ID utente o ID azienda Box. | Nessuno | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
Audit log di Citrix Cloud
Questo script raccoglie gli audit log di Citrix Cloud e li importa in Google Security Operations con il tipo di log CITRIX_MONITOR. Questi log consentono di identificare le attività eseguite nell'ambiente Citrix Cloud fornendo informazioni su cosa è cambiato, chi lo ha modificato, quando è stata apportata la modifica e così via. Per ulteriori informazioni, consulta l'API SystemLog di Citrix Cloud.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni su ID client e client secret di Citrix, consulta Iniziare a utilizzare le API di Citrix.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
CITRIX_CLIENT_ID |
ID client dell'API Citrix. | Nessuno | No |
CITRIX_CLIENT_SECRET |
Percorso del secret in Secret Manager che memorizza il client secret dell'API Citrix utilizzato per l'autenticazione. | Nessuno | Sì |
CITRIX_CUSTOMER_ID |
ID cliente Citrix. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui vengono raccolti dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 30 | No |
URL_DOMAIN |
Endpoint Citrix Cloud. | Nessuno | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
Metadati della sessione Citrix
Questo script raccoglie i metadati delle sessioni Citrix dagli ambienti Citrix e li importa in Google Security Operations con il tipo di log CITRIX_MONITOR. I dati includono dettagli di accesso utente, durata della sessione, ora di creazione della sessione, ora di fine della sessione e altri metadati relativi alla sessione. Per ulteriori informazioni, consulta la Citrix Monitor Service API.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni su ID client e client secret di Citrix, consulta Iniziare a utilizzare le API di Citrix.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
URL_DOMAIN |
Dominio dell'URL Citrix. | Nessuno | No |
CITRIX_CLIENT_ID |
ID client Citrix. | Nessuno | No |
CITRIX_CLIENT_SECRET |
Percorso del secret in Secret Manager che memorizza il client secret di Citrix utilizzato per l'autenticazione. | Nessuno | Sì |
CITRIX_CUSTOMER_ID |
ID cliente Citrix. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 30 | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
Cloud Storage
Questo script recupera i log di sistema da Cloud Storage e li importa in Google Security Operations con un valore configurabile per il tipo di log. Per maggiori dettagli, consulta la libreria client Google Cloud per Python.
Definisci le seguenti variabili di ambiente nel file .env.yml. Google Cloud possiede log pertinenti per la sicurezza da cui alcuni tipi di log non sono esportabili direttamente in Google Security Operations. Per ulteriori informazioni, consulta Analisi dei log di sicurezza.
| Variabile | Descrizione | Predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere ulteriori dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 60 | No |
GCS_BUCKET_NAME |
Nome del bucket Cloud Storage da cui recuperare i dati. | Nessuno | No |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Cloud. | Nessuno | Sì |
CHRONICLE_DATA_TYPE |
Tipo di log per inviare i dati all'istanza Google Security Operations. | Nessuno | No |
Attività di Duo
Questo script recupera i log delle attività di Duo da Duo Admin e li importa in Google Security Operations con il tipo di log DUO_ACTIVITY. Per ulteriori informazioni, consulta l'API Duo Admin.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1,
asia-southeast1, australia-southeast1, europe,
europe-west2, europe-west3, europe-west6,
europe-west12, me-central1, me-central2,
me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
BACKSTORY_API_V1_URL |
Il percorso dell'URL dell'API Duo Security. Per ulteriori informazioni sul download del file JSON contenente la chiave di integrazione dell'API Duo Admin, consulta la documentazione di Duo Admin. | Nessuno | Sì |
DUO_SECRET_KEY |
La chiave secret DUO necessaria per recuperare i log dall'API DUO. Consulta la documentazione di Duo Admin per istruzioni su come scaricare il file JSON contenente la chiave di integrazione dell'API Duo Admin, la chiave segreta dell'API Duo Admin e l'hostname dell'API Duo Admin. |
Nessuno | Sì |
DUO_INTEGRATION_KEY |
La chiave di integrazione DUO richiesta per recuperare i log dall'API DUO. Consulta la documentazione di Duo Admin per istruzioni su come scaricare il file JSON contenente la chiave di integrazione dell'API Duo Admin, la chiave segreta dell'API Duo Admin e l'hostname dell'API Duo Admin. |
Nessuno | Sì |
LOG_FETCH_DURATION |
La durata per cui vengono recuperati i log. | 1 | No |
CHECKPOINT_FILE_PATH |
Il percorso del file in cui è memorizzato il timestamp del checkpoint dell'ultimo log importato. | checkpoint.json |
No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
Duo Admin
Lo script riceve eventi da Duo Admin relativi alle operazioni CRUD eseguite su vari oggetti, come l'account utente e la sicurezza. Gli eventi vengono importati in Google Security Operations con il tipo di log DUO_ADMIN. Per ulteriori informazioni, consulta l'API Duo Admin.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | Nessuno | No |
DUO_API_DETAILS |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account Duo. Questo file contiene la chiave di integrazione dell'API Duo Admin, la chiave segreta dell'API Duo Admin e l'hostname dell'API Duo Admin. Ad esempio:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Consulta la documentazione di Duo Admin per istruzioni su come scaricare il file JSON. |
Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
MISP
Questo script recupera le informazioni sulle relazioni di minaccia da MISP, una piattaforma di condivisione e di intelligence sulle minacce open source, e le importa in Google Security Operations con il tipo di log MISP_IOC. Per ulteriori informazioni, consulta l'API Eventi MISP.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
ORG_NAME |
Nome dell'organizzazione per filtrare gli eventi. | Nessuno | No |
API_KEY |
Percorso del secret in Secret Manager che memorizza la chiave API per l'autenticazione utilizzata. | Nessuno | Sì |
TARGET_SERVER |
L'indirizzo IP dell'istanza MISP che hai creato. | Nessuno | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
Eventi OneLogin
Questo script recupera gli eventi da un ambiente OneLogin e li importa in Google Security Operations con il tipo di log ONELOGIN_SSO. Questi eventi forniscono informazioni come le operazioni sugli account utente. Per ulteriori informazioni, consulta l'API OneLogin Events.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni sugli ID client e sui secret client di OneLogin, consulta Utilizzo delle credenziali API.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
CLIENT_ID |
ID cliente della piattaforma OneLogin. | Nessuno | No |
CLIENT_SECRET |
Percorso del secret in Secret Manager che memorizza il client secret della piattaforma OneLogin utilizzato per l'autenticazione. | Nessuno | Sì |
TOKEN_ENDPOINT |
L'URL per richiedere un token di accesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
Contesto utente OneLogin
Questo script recupera i dati relativi agli account utente da un ambiente OneLogin e li importa in Google Security Operations con il tipo di log ONELOGIN_USER_CONTEXT.
Per ulteriori informazioni, consulta l' API OneLogin User.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni sugli ID client e sui secret client di OneLogin, consulta Utilizzo delle credenziali API.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 30 | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
CLIENT_ID |
ID cliente della piattaforma OneLogin. | Nessuno | No |
CLIENT_SECRET |
Percorso del secret in Secret Manager che memorizza il client secret della piattaforma OneLogin utilizzato per l'autenticazione. | Nessuno | Sì |
TOKEN_ENDPOINT |
L'URL per richiedere un token di accesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
Proofpoint
Questo script recupera i dati sugli utenti scelti come bersaglio di attacchi da parte di una determinata organizzazione in un determinato periodo di tempo e li importa in Google Security Operations. Per informazioni sull'API utilizzata, consulta l'API People.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni dettagliate su come ottenere il principale servizio Proofpoint e il secret Proofpoint, consulta la guida alla configurazione per fornire le credenziali TAP di Proofpoint ad Arctic Wolf.
| Variabile | Descrizione | Predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere ulteriori dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 360 | No |
CHRONICLE_DATA_TYPE |
Tipo di log per inviare i dati all'istanza Google Security Operations. | Nessuno | No |
PROOFPOINT_SERVER_URL |
URL di base del gateway API del server Proofpoint. | Nessuno | No |
PROOFPOINT_SERVICE_PRINCIPLE |
Nome utente della piattaforma Proofpoint. In genere si tratta del principale del servizio. | Nessuno | No |
PROOFPOINT_SECRET |
Percorso di Secret Manager con la versione in cui è memorizzata la password della piattaforma Proofpoint. | Nessuno | Sì |
PROOFPOINT_RETRIEVAL_RANGE |
Numero che indica da quanti giorni devono essere recuperati i dati. I valori accettati sono 14, 30 e 90. | Nessuno | No |
Pub/Sub
Questo script raccoglie i messaggi dalle sottoscrizioni Pub/Sub e importa i dati in Google Security Operations. Monitora continuamente il gateway di sottoscrizione e importa i messaggi più recenti quando vengono visualizzati. Per ulteriori informazioni, consulta i seguenti documenti:
Questo script di importazione richiede l'impostazione di variabili sia nel file .env.yml
che nel job Cloud Scheduler.
Definisci le seguenti variabili di ambiente nel file
.env.yml.Nome variabile Descrizione Valore predefinito Secret CHRONICLE_CUSTOMER_IDID cliente dell'istanza Google Security Operations. Nessuno No CHRONICLE_REGIONRegione dell'istanza Google Security Operations. us
Altri valori validi:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2esouthamerica-east1.No CHRONICLE_SERVICE_ACCOUNTPercorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno Sì CHRONICLE_NAMESPACELo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No Imposta le seguenti variabili nel campo Testo messaggio di Cloud Scheduler come stringa in formato JSON. Per ulteriori informazioni sul campo Testo messaggio, consulta la sezione Creare Cloud Scheduler.
Nome variabile Descrizione Valore predefinito Secret PROJECT_IDID progetto Pub/Sub. Per informazioni sull'ID progetto, consulta la sezione Creare e gestire progetti. Nessuno No SUBSCRIPTION_IDID sottoscrizione Pub/Sub. Nessuno No CHRONICLE_DATA_TYPEEtichetta di importazione per il tipo di log fornito durante l'invio dei dati a Google Security Operations. Consulta Parser predefiniti supportati per un elenco dei tipi di log supportati. Nessuno No Ecco un esempio di stringa formattata in JSON per il campo Testo del messaggio.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Log di controllo di Slack
Questo script recupera i log di controllo da un'organizzazione Slack Enterprise Grid e li importa in Google Security Operations con il tipo di log SLACK_AUDIT. Per ulteriori informazioni, consulta l'API Log di controllo di Slack.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
SLACK_ADMIN_TOKEN |
Percorso del secret in Secret Manager che memorizza il token di autenticazione di Slack. |
Nessuno |
Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
STIX/TAXII
Questo script estrae gli indicatori dal server STIX/TAXII e li importa in Google Security Operations. Per ulteriori informazioni, consulta la documentazione dell'API STIX/TAXII.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
POLL_INTERVAL |
Intervallo di frequenza (in minuti) a cui viene eseguita la funzione. Questa durata deve essere uguale a quella del job Cloud Scheduler. | 60 | No |
TAXII_VERSION |
La versione STIX/TAXII da utilizzare. Le opzioni possibili sono 1.1, 2.0, 2.1 | Nessuno | No |
TAXII_DISCOVERY_URL |
URL Discovery del server TAXII. | Nessuno | No |
TAXII_COLLECTION_NAMES |
Collezioni (CSV) da cui recuperare i dati. Lascia vuoto per recuperare i dati da tutte le raccolte. | Nessuno | No |
TAXII_USERNAME |
Nome utente obbligatorio per l'autenticazione, se presente. | Nessuno | No |
TAXII_PASSWORD_SECRET_PATH |
Password obbligatoria per l'autenticazione, se presente. | Nessuno | Sì |
Tenable.io
Questo script recupera i dati delle risorse e delle vulnerabilità dalla piattaforma Tenable.io
e li importa in Google Security Operations con il tipo di log TENABLE_IO. Per informazioni sulla libreria utilizzata, consulta l'SDK Python pyTenable.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni dettagliate sui dati delle risorse e delle vulnerabilità, consulta l'API Tenable.io: Esportare risorse e Esportare vulnerabilità.
| Variabile | Descrizione | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere ulteriori dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 360 | No |
TENABLE_ACCESS_KEY |
La chiave di accesso utilizzata per l'autenticazione. | Nessuno | No |
TENABLE_SECRET_KEY_PATH |
Percorso di Google Secret Manager con la versione in cui è archiviata la password per Tenable Server. | Nessuno | Sì |
TENABLE_DATA_TYPE |
Tipo di dati da importare in Google Security Operations. Valori possibili: ASSETS, VULNERABILITIES. | ASSET, VULNERABILITÀ | No |
TENABLE_VULNERABILITY |
Lo stato delle vulnerabilità che vuoi includere nell'esportazione. Valori possibili: "OPEN", "REOPENED" e "FIXED". | APERTO, RIAPERTO | No |
Trend Micro Cloud App Security
Questo script recupera i log di sicurezza dalla piattaforma Trend Micro e li importa
in Google Security Operations. Per informazioni sull'API utilizzata, consulta l'API security
logs.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere ulteriori dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 10 | No |
CHRONICLE_DATA_TYPE |
Tipo di log per inviare i dati all'istanza Google Security Operations. | Nessuno | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Percorso di Google Secret Manager con la versione in cui è memorizzato il token di autenticazione per Trend Micro Server. | Nessuno | Sì |
TREND_MICRO_SERVICE_URL |
URL del servizio Cloud App Security. | Nessuno | No |
TREND_MICRO_SERVICE |
Il nome del servizio protetto di cui recuperare i log. Supporta i valori separati da virgole. Possibili valori: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. | exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat | No |
TREND_MICRO_EVENT |
Il tipo di evento di sicurezza di cui recuperare i log. Supporta i valori separati da virgole. Valori possibili: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | No |
Trend Micro Vision One
Questo script recupera gli audit log di Trend Micro Vision One e li importa in Google Security Operations con il tipo di log TREND_MICRO_VISION_AUDIT. Per informazioni sull'API utilizzata, consulta l'API Audit Log.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere ulteriori dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 10 | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Percorso di Google Secret Manager con la versione in cui è memorizzato il token di autenticazione per Trend Micro Server. | Nessuno | Sì |
TREND_MICRO_DOMAIN |
Regione Trend Micro Vision One in cui si trova l'endpoint di servizio. | Nessuno | No |