Als Cloud Run-Funktionen bereitgestellte Aufnahmeskripts verwenden

Unterstützt in:

Google Security Operations hat eine Reihe von Python-Aufnahmescripts bereitgestellt, die als Cloud Run-Funktionen bereitgestellt werden sollen. Mit diesen Scripts können Sie Daten aus den folgenden Protokollquellen aufnehmen, die nach Name und Protokolltyp aufgelistet sind.

  • Armis Google Security Operations Integration
  • Aruba Central (ARUBA_CENTRAL)
  • Azure Event Hub (configurable log type)
  • Box (BOX)
  • Citrix Cloud audit logs (CITRIX_MONITOR)
  • Citrix session metadata (CITRIX_SESSION_METADATA)
  • Cloud Storage (configurable log type)
  • Duo Admin (DUO_ADMIN)
  • MISP (MISP_IOC)
  • OneLogin (ONELOGIN_SSO)
  • OneLogin user context (ONELOGIN_USER_CONTEXT)
  • Proofpoint (configurable log type)
  • Pub/Sub (configurable log type)
  • Slack audit logs (SLACK_AUDIT)
  • STIX/TAXII threat intelligence (STIX)
  • Tenable.io (TENABLE_IO)
  • Trend Micro Cloud App Security (configurable log type)
  • Trend Micro Vision One audit logs (TREND_MICRO_VISION_AUDIT)

Diese Skripts befinden sich in der Google Security Operations-Hilfe GitHub-Repository.

Bekannte Einschränkung: Wenn diese Scripts in einer zustandslosen Umgebung wie Cloud Run-Funktionen verwendet werden, werden möglicherweise nicht alle Protokolle an Google Security Operations gesendet, da keine Checkpoint-Funktion vorhanden ist. Google Security Operations hat die Skripts mit Python 3.9 Laufzeit.

Hinweise

Die folgenden Ressourcen bieten Kontext und Hintergrundinformationen. mit denen Sie die Google Security Operations-Aufnahmeskripts effektiv einsetzen können.

Dateien für einen einzelnen Logtyp zusammenstellen

Jedes Unterverzeichnis im GitHub-Repository von Google Security Operations enthält Dateien, in die Daten für einen einzelnen Google Security Operations-Logtyp aufgenommen werden. Das Script stellt eine Verbindung zu einem einzelnen Quellgerät her und sendet dann Rohprotokolle über die Ingestion API an Google Security Operations. Wir empfehlen, jeden Protokolltyp als separate Cloud Run-Funktion bereitzustellen. Auf Skripts im Google Security Operations GitHub zugreifen zu erstellen. Jedes Unterverzeichnis in GitHub enthält die folgenden Dateien, die dem aufgenommenen Protokolltyp entsprechen.

  • main.py ist das für den Logtyp spezifische Aufnahmeskript. Es verbindet sich das Quellgerät und nimmt Daten in Google Security Operations auf.
  • .env.yml speichert die vom Python-Skript erforderliche Konfiguration und ist die für die Bereitstellung spezifisch sind. In dieser Datei legen Sie die Konfigurationsparameter fest, die vom Datenaufnahme-Script benötigt werden.
  • README.md enthält Informationen zu Konfigurationsparametern.
  • Requirements.txt definiert die Abhängigkeiten, die für die Aufnahme erforderlich sind . Außerdem enthält der Ordner common Dienstprogrammfunktionen, von denen alle Datenaufnahmescripts abhängen.

Führen Sie die folgenden Schritte aus, um die Dateien zusammenzustellen, die Daten für ein einzelnes Logtyp:

  1. Erstellen Sie ein Bereitstellungsverzeichnis, um die Dateien für die Cloud Run-Funktion zu speichern. Darin sind alle Dateien enthalten, die für die Bereitstellung benötigt werden.
  2. Kopieren Sie alle Dateien aus dem GitHub-Unterverzeichnis des ausgewählten Protokolltyps, z. B. „OneLogin User Context“, in dieses Bereitstellungsverzeichnis.
  3. Kopieren Sie den Ordner common und den gesamten Inhalt in das Bereitstellungsverzeichnis.

  4. Der Inhalt des Verzeichnisses sieht etwa so aus:

    one_login_user
├─common
│  ├─__init__.py
│  ├─auth.py
│  ├─env_constants.py
│  ├─ingest.py
│  ├─status.py
│  └─utils.py
├─env.yml
├─main.py
└─requirements.txt

Skripts konfigurieren

  1. Starten Sie eine Cloud Shell-Sitzung.
  2. Stellen Sie eine SSH-Verbindung zu einer Google Cloud Linux-VM her. Weitere Informationen finden Sie unter Mit Google-Tools eine Verbindung zu Linux-VMs herstellen.

  3. Laden Sie die Aufnahmeskripts hoch, indem Sie auf Mehr > Hochladen oder Herunterladen, um Dateien oder Ordner zu oder von Cloud Shell zu verschieben.

    Dateien und Ordner können nur in Ihr Basisverzeichnis hoch- und heruntergeladen werden. Weitere Optionen zum Übertragen von Dateien zwischen Cloud Shell und Ihrer lokalen Workstation finden Sie unter [Dateien und Ordner von Cloud Shell hoch- und herunterladen](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.

  4. Bearbeiten Sie die Datei .env.yml für die Funktion und füllen Sie die erforderlichen Umgebungsvariablen. In der folgenden Tabelle wird die Laufzeitumgebung aufgelistet Variablen, die allen Aufnahmeskripts gemeinsam sind.

    Variablenname Beschreibung Erforderlich Standard Secret
    CHRONICLE_CUSTOMER_ID Google Security Operations-Kundennummer. Ja Keine Nein
    CHRONICLE_REGION Google Security Operations-Region. Ja us
    Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.    		 Nein
    CHRONICLE_SERVICE_ACCOUNT Inhalt der JSON-Datei des Google Security Operations-Dienstkontos. Ja Keine Ja
    CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Logs gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Nein Keine Nein

  5. Für jedes Skript sind spezifische Umgebungsvariablen erforderlich. Weitere Informationen finden Sie unter Konfigurationsparameter nach Protokoll Typ finden Sie Details zu den Umgebungsvariablen, die für jeden Logtyp erforderlich sind.

Umgebungsvariablen, die als Secret = Yes markiert sind, müssen als Secrets konfiguriert werden in Secret Manager Siehe Secret Manager finden Sie Informationen zu den Nutzungskosten. Secret Manager

Eine detaillierte Anleitung finden Sie unter Secrets erstellen und darauf zugreifen.

Nachdem die Secrets in Secret Manager erstellt wurden, verwenden Sie das Secret Ressourcenname als Wert für Umgebungsvariablen. Beispiel: projects/{project_id}/secrets/{secret_id}/versions/{version_id}, wobei {project_id}, {secret_id} und {version_id} für Ihre Umgebung spezifisch sind.

Planer oder Trigger einrichten

Alle Scripts mit Ausnahme von Pub/Sub werden so implementiert, dass die Daten in regelmäßigen Abständen von einem Quellgerät erfasst werden. Sie müssen einen Trigger einrichten mit Cloud Scheduler Daten im Zeitverlauf abrufen. Das Datenaufnahme-Script für Pub/Sub überwacht das Pub/Sub-Abo kontinuierlich. Weitere Informationen finden Sie unter Dienste nach Zeitplan ausführen und Mit Pub/Sub eine Cloud Run-Funktion auslösen.

Cloud Run-Funktion bereitstellen

  1. Starten Sie eine Cloud Shell-Sitzung.
  2. Stellen Sie eine SSH-Verbindung zu einer Google Cloud Linux-VM her. Weitere Informationen finden Sie unter Mit Google-Tools eine Verbindung zu Linux-VMs herstellen.
  3. Wechseln Sie zu dem Verzeichnis, in das Sie die Aufnahmeskripts kopiert haben.

  4. Führen Sie den folgenden Befehl aus, um die Cloud Run-Funktion bereitzustellen.

    gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml

    Ersetzen Sie <FUNCTION_NAME> durch den Namen, den Sie für den Cloud Run-Funktion.

    Ersetzen Sie <SERVICE_ACCOUNT_EMAIL> durch die E-Mail-Adresse des Dienstkontos, das Ihre Cloud Run-Funktion verwenden soll.

    Wenn Sie das Verzeichnis nicht in den Speicherort der Dateien ändern, verwenden Sie die Option --source, um den Speicherort der Bereitstellungsskripts.

    Das Dienstkonto, in dem Ihre Cloud Run-Funktion ausgeführt wird, muss die Rollen Cloud Functions-Aufrufer (roles/cloudfunctions.invoker) und Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) haben.

Laufzeitlogs ansehen

Die Aufnahmeskripts geben Laufzeitnachrichten an stdout aus. Cloud Run-Funktionen stellt einen Mechanismus zum Anzeigen von Logeinträgen bereit. Weitere Informationen finden Sie in der Cloud Informationen zu Funktionen zum Aufrufen der Laufzeit Logs

Konfigurationsparameter nach Logtyp

Armis Google Security Operations-Einbindung

Dieses Script erfasst die Daten mithilfe von API-Aufrufen von der Armis-Plattform für verschiedene Arten von Ereignissen wie Benachrichtigungen, Aktivitäten, Geräte und Sicherheitslücken. Die erhobenen Daten werden in Google Security Operations aufgenommen und von den entsprechenden Parsern geparst.

Scriptablauf

Im Folgenden wird der Ablauf des Skripts dargestellt:

  1. Prüfen Sie die Umgebungsvariablen.

  2. Stellen Sie das Skript für Cloud Run-Funktionen bereit.

  3. Daten mit dem Datenaufnahme-Script erfassen

  4. Erfasste Daten in Google Security Operations aufnehmen.

  5. Erfasste Daten mithilfe von entsprechenden Parsern in Google Security Operations parsen

Mit einem Script Daten in Google Security Operations erfassen und aufnehmen

  1. Umgebungsvariablen überprüfen

    Variable Beschreibung Erforderlich Default Secret
    CHRONICLE_CUSTOMER_ID Google Security Operations-Kundennummer. Ja - Nein
    CHRONICLE_REGION Google Security Operations-Region. Ja USA Ja
    CHRONICLE_SERVICE_ACCOUNT Inhalt der JSON-Datei des Dienstkontos für Google Security Operations. Ja - Ja
    CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Logs gekennzeichnet sind. Nein - Nein
    POLL_INTERVAL Intervall, in dem die Funktion ausgeführt wird, um zusätzliche Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. Ja 10 Nein
    ARMIS_SERVER_URL Server-URL der Armis-Plattform. Ja - Nein
    ARMIS_API_SECRET_KEY Für die Authentifizierung ist ein geheimer Schlüssel erforderlich. Ja - Ja
    HTTPS_PROXY Proxyserver-URL. Nein - Nein
    CHRONICLE_DATA_TYPE Google Security Operations-Datentyp, um Daten in Google Security Operations zu übertragen. Ja - Nein

  2. Richten Sie das Verzeichnis ein.

    Neues Verzeichnis für das Deployment der Cloud Run-Funktionen erstellen und hinzufügen ein common-Verzeichnis und den Inhalt des Aufnahmeskripts (armis)

  3. Legen Sie die erforderlichen Laufzeit-Umgebungsvariablen fest.

    Definieren Sie die erforderlichen Umgebungsvariablen in der Datei .env.yml.

  4. Verwenden Sie Secrets.

    Als geheim gekennzeichnete Umgebungsvariablen müssen im Secret Manager als Secrets konfiguriert werden. Weitere Informationen zum Erstellen von Secrets finden Sie unter Secret erstellen.

    Verwenden Sie nach dem Erstellen der Secrets in Secret Manager den Ressourcennamen des Secrets als Wert für Umgebungsvariablen. Beispiel:

    CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}

  5. Konfigurieren Sie den Namespace.

    Legen Sie die Umgebungsvariable CHRONICLE_NAMESPACE fest, um den Namespace zu konfigurieren. Die Google Security Operations-Logs werden in den Namespace aufgenommen.

  6. Cloud Run-Funktionen bereitstellen

    Führen Sie den folgenden Befehl aus dem zuvor erstellten Verzeichnis aus, um die Cloud Functions-Funktion bereitzustellen. gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml

  7. Standardspezifikationen für Cloud Run-Funktionen

    Variable Default Beschreibung
    Speicher 256 MB Keine Keine
    Zeitüberschreitung 60 Sekunden Keine Keine
    Region us-central1 Keine Keine
    Mindestanzahl von Instanzen 0 Keine Keine
    Maximale Anzahl von Instanzen 100 Keine Keine

    Weitere Informationen zum Konfigurieren dieser Variablen finden Sie unter Konfigurieren Cloud Run-Funktionen.

  8. Rufen Sie Verlaufsdaten ab.

    So rufen Sie Verlaufsdaten ab und erfassen weiterhin Echtzeitdaten:

    1. Konfigurieren Sie die Umgebungsvariable POLL_INTERVAL in Minuten, für die die Verlaufsdaten abgerufen werden müssen.
    2. Lösen Sie die Funktion mithilfe eines Planers oder manuell durch Ausführen des Befehls in der Google Cloud CLI aus, nachdem Sie Cloud Run-Funktionen konfiguriert haben.

Aruba Centrale

Dieses Script ruft Audit-Logs von der Aruba Central-Plattform ab und nimmt sie mit dem ARUBA_CENTRAL-Logtyp in Google Security Operations auf. Informationen zur Verwendung der Bibliothek finden Sie im pycentral Python SDK.

Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.

Variable Beschreibung Default Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem der JSON-Datei des Google Security Operations-Dienstkontos. Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein
POLL_INTERVAL Frequenzintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Job-Intervall übereinstimmen. 10 Nein
ARUBA_CLIENT_ID Client-ID des Aruba Central API-Gateways. Keine Nein
ARUBA_CLIENT_SECRET_SECRET_PATH Client-Secret des Aruba Central API-Gateways. Keine Ja
ARUBA_USERNAME Nutzername der Aruba Central-Plattform. Keine Nein
ARUBA_PASSWORD_SECRET_PATH Passwort für die Aruba Central-Plattform. Keine Ja
ARUBA_BASE_URL Basis-URL des Aruba Central API-Gateways. Keine Nein
ARUBA_CUSTOMER_ID Kundennummer der Aruba Central-Plattform. Keine Nein

Azure Event Hub

Im Gegensatz zu anderen Aufnahmeskripts werden in diesem Skript Azure-Funktionen zum Abrufen von Ereignissen verwendet von Azure Event Hub. Eine Azure-Funktion löst sich selbst aus, wenn ein neues Ereignis werden einem Bucket hinzugefügt und jedes Ereignis wird nach und nach in Google Security Operations

Schritte zum Bereitstellen von Azure-Funktionen:

  1. Laden Sie die Daten-Connector-Datei mit dem Namen Azure_eventhub_API_function_app.json aus dem Repository.
  2. Melden Sie sich im Microsoft Azure-Portal an.
  3. Öffnen Sie Microsoft Sentinel > Wählen Sie einen Arbeitsbereich aus der Liste aus > Wählen Sie im Abschnitt „Konfiguration“ den Daten-Connector aus und gehen Sie so vor:
    • Setzen Sie das folgende Flag in der URL auf „true“: feature.BringYourOwnConnector=true Beispiel: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Suchen Sie auf der Seite nach der Schaltfläche Importieren, um die Daten zu importieren. Connector-Datei, die Sie in Schritt 1 heruntergeladen haben.
  4. Klicken Sie auf die Schaltfläche In Azure bereitstellen, um Ihre Funktion bereitzustellen, und folgen Sie der Anleitung auf derselben Seite.
  5. Wählen Sie das gewünschte Abo, die Ressourcengruppe und den Standort aus und geben Sie die erforderlichen Werte an.
  6. Klicken Sie auf Überprüfen + Erstellen.
  7. Klicken Sie zum Bereitstellen auf Erstellen.

Box

Dieses Script ruft Details zu Ereignissen in Box ab und nimmt sie mit dem Protokolltyp BOX in Google Security Operations auf. Die Daten liefern Einblicke in CRUD-Vorgänge für Objekte in der Box-Umgebung. Informationen zu Box-Ereignissen finden Sie in der Box Events API.

Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Weitere Informationen Informationen zur Box-Client-ID, dem Clientschlüssel und der Subjekt-ID finden Sie unter Client-ID, Clientschlüssel Anmeldedaten Erteilen .

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
POLL_INTERVAL Frequenzintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten (in Minuten). Diese Dauer muss mit der das Cloud Scheduler-Jobintervall. 5 Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem der JSON-Datei des Google Security Operations-Dienstkontos. Keine Ja
BOX_CLIENT_ID Client-ID der Box-Plattform, verfügbar in der Box-Entwicklerkonsole. Keine Nein
BOX_CLIENT_SECRET Pfad zum Secret in Secret Manager, in dem der Client gespeichert ist der für die Authentifizierung verwendeten Box-Plattform. Keine Ja
BOX_SUBJECT_ID Box-Nutzer-ID oder Unternehmens-ID Keine Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Logs gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein

Citrix Cloud-Audit-Logs

Dieses Skript erfasst Citrix Cloud-Audit-Logs und nimmt sie in Google Security Operations mit dem Logtyp CITRIX_MONITOR. Diese Logs helfen dabei, Aktivitäten in der Citrix Cloud-Umgebung zu identifizieren, indem sie Informationen dazu liefern, was geändert wurde, wer sie geändert hat, wann sie geändert wurde usw. Weitere Informationen finden Sie in der Citrix Cloud SystemLog API.

Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Informationen zu Citrix-Client-IDs und Clientschlüsseln finden Sie unter Einstieg in Citrix APIs.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem der JSON-Datei des Google Security Operations-Dienstkontos. Keine Ja
CITRIX_CLIENT_ID Citrix API-Client-ID. Keine Nein
CITRIX_CLIENT_SECRET Pfad zum Secret in Secret Manager, in dem das für die Authentifizierung verwendete Client-Secret der Citrix API gespeichert ist. Keine Ja
CITRIX_CUSTOMER_ID Citrix-Kundennummer. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem zusätzliche Protokolldaten erfasst werden (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 30 Nein
URL_DOMAIN Citrix Cloud-Endpunkt Keine Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Logs gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein

Citrix-Sitzungsmetadaten

Dieses Skript erfasst Citrix-Sitzungsmetadaten aus Citrix-Umgebungen und nimmt sie mit dem Logtyp CITRIX_MONITOR in Google Security Operations auf. Die Daten umfassen Details der Nutzeranmeldung, Sitzungsdauer, Erstellungszeit der Sitzung, Ende der Sitzung und andere Metadaten zur Sitzung. Weitere Informationen finden Sie in der Citrix Monitor Service API.

Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Informationen zu Citrix-Client-IDs und Clientschlüsseln finden Sie unter Einstieg in Citrix APIs.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem der JSON-Datei des Google Security Operations-Dienstkontos. Keine Ja
URL_DOMAIN Citrix-URL-Domain. Keine Nein
CITRIX_CLIENT_ID Citrix-Client-ID. Keine Nein
CITRIX_CLIENT_SECRET Pfad zum Secret in Secret Manager, in dem die Citrix-Daten gespeichert sind Für die Authentifizierung verwendeter Clientschlüssel. Keine Ja
CITRIX_CUSTOMER_ID Citrix-Kunden-ID. Keine Nein
POLL_INTERVAL Frequenzintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten (in Minuten). Diese Dauer muss mit der das Cloud Scheduler-Jobintervall. 30 Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Logs gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein

Cloud Storage

Dieses Skript ruft Systemlogs aus Cloud Storage ab und nimmt sie in Google Security Operations mit einem konfigurierbaren Wert für den Logtyp. Weitere Informationen finden Sie in der Google Cloud-Python-Clientbibliothek.

Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. In Google Cloud gibt es sicherheitsrelevante Logs, von denen einige Logtypen nicht direkt nach Google Security Operations exportiert werden können. Weitere Informationen finden Sie unter Sicherheitsprotokolle analysieren.

Variable Beschreibung Standard Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Logs gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein
POLL_INTERVAL Frequenzintervall, in dem die Funktion ausgeführt wird, um zusätzliche Logdaten zu erhalten (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. 60 Nein
GCS_BUCKET_NAME Name des Cloud Storage-Buckets, aus dem die Daten abgerufen werden sollen. Keine Nein
GCP_SERVICE_ACCOUNT_SECRET_PATH Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Cloud-Dienstkontos gespeichert ist. Keine Ja
CHRONICLE_DATA_TYPE Logtyp, mit dem Daten in die Google Security Operations-Instanz übertragen werden. Keine Nein

Duo-Administrator

Das Skript ruft Ereignisse vom Duo Admin ab, die mit CRUD-Vorgängen zusammenhängen, die ausgeführt werden am wie Nutzerkonten und Sicherheit. Die Ereignisse werden mit dem Protokolltyp DUO_ADMIN in Google Security Operations aufgenommen. Weitere Informationen finden Sie in der Duo Admin API.

Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem der JSON-Datei des Google Security Operations-Dienstkontos. Keine Ja
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit der das Cloud Scheduler-Jobintervall. Keine Nein
DUO_API_DETAILS Pfad zum Secret im Secret Manager, in dem die JSON-Datei des Duo-Kontos gespeichert ist. Enthält den Duo Admin API-Integrationsschlüssel, Duo Admin geheimen API-Schlüssel und den Hostname der Duo Admin API Hier einige Beispiele:
{ "ikey": "abcd123", "skey": "def345", "api_host": "abc-123" }
Eine Anleitung zum Herunterladen finden Sie in der Administratordokumentation von Duo. der JSON-Datei.
 Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein

MISP

Dieses Script ruft Informationen zu Bedrohungsbeziehungen von MISP ab, einer Open-Source-Plattform für Threat Intelligence und ‑Teilen, und nimmt sie mit dem MISP_IOC-Logtyp in Google Security Operations auf. Weitere Informationen finden Sie unter MISP-Ereignisse API hinzu.

Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.

Variable Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
POLL_INTERVAL Frequenzintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten (in Minuten). Diese Dauer muss mit der das Cloud Scheduler-Jobintervall. 5 Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem der JSON-Datei des Google Security Operations-Dienstkontos. Keine Ja
ORG_NAME Name der Organisation zum Filtern von Ereignissen. Keine Nein
API_KEY Pfad zum Secret in Secret Manager, in dem der API-Schlüssel für die verwendete Authentifizierung gespeichert ist. Keine Ja
TARGET_SERVER Die IP-Adresse der von Ihnen erstellten MISP-Instanz. Keine Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Logs gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein

OneLogin-Ereignisse

Dieses Script ruft Ereignisse aus einer OneLogin-Umgebung ab und nimmt sie mit dem ONELOGIN_SSO-Logtyp in Google Security Operations auf. Diese Ereignisse bieten z. B. Operationen in Nutzerkonten. Weitere Informationen finden Sie in der OneLogin Events API.

Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Informationen zu OneLogin-Client-IDs und Client-Secrets finden Sie unter API-Anmeldedaten verwenden.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
POLL_INTERVAL Frequenzintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten (in Minuten). Diese Dauer muss mit der das Cloud Scheduler-Jobintervall. 5 Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem der JSON-Datei des Google Security Operations-Dienstkontos. Keine Ja
CLIENT_ID Client-ID der OneLogin-Plattform. Keine Nein
CLIENT_SECRET Pfad zum Secret in Secret Manager, in dem der Client gespeichert ist Secret der für die Authentifizierung verwendeten OneLogin-Plattform. Keine Ja
TOKEN_ENDPOINT Die URL, unter der ein Zugriffstoken angefordert wird. https://api.us.onelogin.com/auth/oauth2/v2/token Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein

OneLogin-Nutzerkontext

Dieses Skript ruft Daten zu Nutzerkonten aus einer OneLogin-Umgebung ab und nimmt ihn mit dem Logtyp ONELOGIN_USER_CONTEXT in Google Security Operations auf. Weitere Informationen finden Sie in der OneLogin User API.

Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Für Informationen zu OneLogin-Client-IDs und Clientschlüsseln finden Sie unter Working with API (Mit API arbeiten) Anmeldedaten

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
POLL_INTERVAL Frequenzintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten (in Minuten). Diese Dauer muss mit der das Cloud Scheduler-Jobintervall. 30 Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem der JSON-Datei des Google Security Operations-Dienstkontos. Keine Ja
CLIENT_ID Client-ID der OneLogin-Plattform. Keine Nein
CLIENT_SECRET Pfad zum Secret in Secret Manager, in dem der Client gespeichert ist Secret der für die Authentifizierung verwendeten OneLogin-Plattform. Keine Ja
TOKEN_ENDPOINT Die URL, unter der ein Zugriffstoken angefordert wird. https://api.us.onelogin.com/auth/oauth2/v2/token Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Logs gekennzeichnet sind. Für Informationen zu Google Security Operations-Namespaces finden Sie unter Arbeiten mit Asset-Namespaces Keine Nein

Proofpoint

Dieses Skript ruft Daten von Nutzern ab, die innerhalb eines bestimmten Zeitraums von Angriffen einer bestimmten Organisation betroffen waren, und nimmt diese Daten in Google Security Operations auf. Informationen zur verwendeten API finden Sie in der People API.

Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Weitere Informationen zum Abrufen des Proofpoint-Dienstprinzipals und des Proofpoint-Geheimnisses finden Sie in der Konfigurationsanleitung zum Bereitstellen von Proofpoint-TAP-Anmeldedaten für Arctic Wolf.

Variable Beschreibung Standard Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Logs gekennzeichnet sind. Informationen zu Google Security Operations-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. 360 Nein
CHRONICLE_DATA_TYPE Logtyp, mit dem Daten in die Google Security Operations-Instanz übertragen werden. Keine Nein
PROOFPOINT_SERVER_URL Basis-URL des Proofpoint Server API-Gateways. Keine Nein
PROOFPOINT_SERVICE_PRINCIPLE Nutzername der Proofpoint-Plattform. Dies ist in der Regel das Diensthauptkonto. Keine Nein
PROOFPOINT_SECRET Pfad von Secret Manager mit der Version, in der das Passwort der Proofpoint-Plattform gespeichert ist. Keine Ja
PROOFPOINT_RETRIEVAL_RANGE Zahl, die angibt, ab wie vielen Tagen die Daten abgerufen werden sollen. Zulässige Werte sind 14, 30 und 90. Keine Nein

Pub/Sub

Dieses Script sammelt Nachrichten aus Pub/Sub-Abos und nimmt die Daten in Google Security Operations auf. Das Abo-Gateway wird kontinuierlich überwacht. und nimmt neuere Nachrichten auf, sobald sie angezeigt werden. Weitere Informationen finden Sie in folgenden Dokumenten:

Für dieses Datenaufnahmeskript müssen Sie Variablen sowohl in den .env.yml-Dateien und den Cloud Scheduler-Job.

  • Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.

    Variablenname Beschreibung Standardwert Secret
    CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
    CHRONICLE_REGION Region der Google Security Operations-Instanz. us
    Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.    		 Nein
    CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. Keine Ja
    CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein

  • Legen Sie die folgenden Variablen im Cloud Scheduler-Feld Message body (Nachrichtentext) als JSON-formatierten String fest. Weitere Informationen finden Sie unter Erstellen des Cloud Scheduler. zum Feld Nachrichtentext.

    Variablenname Beschreibung Standardwert Secret
    PROJECT_ID Pub/Sub-Projekt-ID. Informationen zur Projekt-ID finden Sie unter Projekte erstellen und verwalten. Keine Nein
    SUBSCRIPTION_ID Pub/Sub-Abo-ID. Keine Nein
    CHRONICLE_DATA_TYPE Aufnahmelabel für den Logtyp, der beim Pushen von Daten an Google Security Operations angegeben wurde. Eine Liste der unterstützten Logtypen finden Sie unter Unterstützte Standardparser. Keine Nein

    Hier ist ein Beispiel für einen JSON-formatierten String für das Feld Nachrichtentext.

    { "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}

Audit-Logs für Slack

Dieses Skript ruft Audit-Logs von einer Slack Enterprise Grid-Organisation und nimmt sie mit dem Logtyp SLACK_AUDIT in Google Security Operations auf. Weitere Informationen finden Sie unter Slack Audit Logs API.

Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem der JSON-Datei des Google Security Operations-Dienstkontos. Keine Ja
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit der das Cloud Scheduler-Jobintervall. 5 Nein
SLACK_ADMIN_TOKEN Pfad zum Secret in Secret Manager, in dem die Slack gespeichert wird Authentifizierungstoken.
 Keins
 Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Logs gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein

STIX/TAXII

Dieses Script ruft Indikatoren vom STIX/TAXII-Server ab und nimmt sie in Google Security Operations auf. Weitere Informationen finden Sie in der STIX/TAXII API-Dokumentation. Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml.

Variablenname Beschreibung Default Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. Keine Ja
POLL_INTERVAL Häufigkeitsintervall (in Minuten), in dem die Funktion ausgeführt wird. Diese Dauer muss mit der des Cloud Scheduler-Jobs übereinstimmen. 60 Nein
TAXII_VERSION Die zu verwendende STIX-/TAXII-Version. Mögliche Optionen sind 1.1, 2.0, 2.1. Keine Nein
TAXII_DISCOVERY_URL Discovery-URL des TAXII-Servers. Keine Nein
TAXII_COLLECTION_NAMES Sammlungen (CSV), aus denen die Daten abgerufen werden sollen. Lassen Sie das Feld leer, um Daten aus allen Sammlungen abzurufen. Keine Nein
TAXII_USERNAME Nutzername für die Authentifizierung erforderlich, falls vorhanden. Keine Nein
TAXII_PASSWORD_SECRET_PATH Gegebenenfalls ist zur Authentifizierung ein Passwort erforderlich. Keine Ja

Tenable.io

Dieses Script ruft Asset- und Sicherheitslückendaten von der Tenable.io-Plattform ab und nimmt sie mit dem Protokolltyp TENABLE_IO in Google Security Operations auf. Für Informationen zur verwendeten Bibliothek finden Sie unter pyTenable Python SDK.

Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Weitere Informationen zu Asset- und Sicherheitslückendaten finden Sie in der Tenable.io API: Assets exportieren und Sicherheitslücken exportieren.

Variable Beschreibung Default Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. 360 Nein
TENABLE_ACCESS_KEY Der für die Authentifizierung verwendete Zugriffsschlüssel. Keine Nein
TENABLE_SECRET_KEY_PATH Pfad von Google Secret Manager mit der Version, in der das Passwort für Tenable-Server gespeichert ist. Keine Ja
TENABLE_DATA_TYPE Typ der Daten, die in Google Security Operations aufgenommen werden sollen. Mögliche Werte: ASSETS, VULNERABILITIES. ASSETS, SCHWACHSTELLEN Nein
TENABLE_VULNERABILITY Der Status der Sicherheitslücken, die der Export enthalten soll. Mögliche Werte: „OPEN“, „REOPENED“ und „FIXED“. OFFEN, WIEDER ERÖFFNET Nein

Trend Micro Cloud App Security

Dieses Script ruft Sicherheitsprotokolle von der Trend Micro-Plattform ab und nimmt sie in Google Security Operations auf. Informationen zur verwendeten API finden Sie auf der Seite Sicherheit Protokolle API hinzu. Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.

Variable Beschreibung Default Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Namespaces für Google Security Operations finden Sie unter Asset-Namespaces verwenden. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. 10 Nein
CHRONICLE_DATA_TYPE Logtyp, mit dem Daten in die Google Security Operations-Instanz übertragen werden. Keine Nein
TREND_MICRO_AUTHENTICATION_TOKEN Pfad zum Google Secret Manager mit der Version, in der das Authentifizierungstoken für den Trend Micro-Server gespeichert ist. Keine Ja
TREND_MICRO_SERVICE_URL Dienst-URL des Cloud App Security-Dienstes. Keine Nein
TREND_MICRO_SERVICE Der Name des geschützten Dienstes, dessen Protokolle abgerufen werden sollen. Durch Kommas getrennte Werte werden unterstützt. Mögliche Werte: Exchange, Sharepoint, onedrive, dropbox, box, googledrive, gmail, Teams, Exchangeserver, salesforce_sandbox, salesforce_production, Teams_chat. Exchange, Sharepoint, Onedrive, Dropbox, Box, Googledrive, Gmail, Teams, Exchangeserver, salesforce_sandbox, salesforce_production, Teams_chat Nein
TREND_MICRO_EVENT Der Typ des Sicherheitsereignisses, dessen Logs abgerufen werden sollen. Unterstützt kommagetrennte Werte. Mögliche Werte: securityrisk, virtualanalyzer, ransomware, dlp. securityrisk, virtualanalyzer, ransomware, dlp Nein

Trend Micro Vision One

Dieses Script ruft die Audit-Logs von Trend Micro Vision One ab und nimmt sie mit dem Logtyp TREND_MICRO_VISION_AUDIT in Google Security Operations auf. Informationen zur verwendeten API finden Sie in der Audit Logs API. Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.

Variable Beschreibung Default Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Google Security Operations-Instanz. Keine Nein
CHRONICLE_REGION Google Security Operations-Instanzregion. us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Security Operations-Dienstkontos gespeichert ist. Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Google Security Operations-Protokolle gekennzeichnet sind. Informationen zu Google Security Operations-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. 10 Nein
TREND_MICRO_AUTHENTICATION_TOKEN Pfad zum Google Secret Manager mit der Version, in der das Authentifizierungstoken für den Trend Micro-Server gespeichert ist. Keine Ja
TREND_MICRO_DOMAIN Trend Micro Vision One-Region, in der sich der Dienstendpunkt befindet. Keine Nein