Usar scripts de ingestão implantados como funções do Cloud Run
O Google Security Operations forneceu um conjunto de scripts de ingestão, escritos em Python, que devem ser implantados como funções do Cloud Run. Com esses scripts, para ingerir dados das seguintes origens de registro, listadas por nome e tipo.
- Armis Google Security Operations Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Esses scripts estão localizados no diretório Operações de segurança Repositório do GitHub.
Limitação conhecida: quando esses scripts são usados em um ambiente sem estado, como as funções do Cloud Run, eles podem não enviar todos os registros para as operações de segurança do Google porque não têm a funcionalidade de ponto de verificação. O Google Security Operations testou os scripts com a linguagem de programação Python 3.9 ambiente de execução.
Antes de começar
Leia os recursos a seguir para fornecer contexto e informações básicas que permitem usar os scripts de ingestão do Google Security Operations de maneira eficaz.
- Implantar funções do Cloud Run para informações sobre como implantar funções do Cloud Run na sua máquina local.
- Como criar e acessar secrets explica como usar o Secret Manager. Você vai precisar dele para armazenar acesse o arquivo JSON da conta de serviço do Google Security Operations.
- Instale a CLI do Google Cloud. Você vai usar isso para implantar a função do Cloud Run.
- Documentação do Google Cloud Pub/Sub se você planeja consumir dados do Pub/Sub.
Reúna os arquivos para um único tipo de registro
Cada subdiretório nas Operações de segurança do Google O GitHub contém arquivos que ingerir dados para um único tipo de registro das Operações de segurança do Google. O script se conecta a um único dispositivo de origem e envia registros brutos ao Google Security Operations usando a API Ingestion. Recomendamos implantar cada tipo de registro separadamente função do Cloud Run. Acessar os scripts no GitHub das Operações de segurança do Google repositório de dados. Cada subdiretório no GitHub contém os seguintes arquivos específicos para o tipo de registro que ele processa.
main.pyé o script de transferência específico para o tipo de registro. Ele se conecta ao dispositivo de origem e envia dados para as Operações de segurança do Google.- O
.env.ymlarmazena a configuração necessária pelo script Python e é específico para a implantação. Você modifica esse arquivo para definir as configurações parâmetros exigidos pelo script de ingestão. README.mdfornece informações sobre parâmetros de configuração.Requirements.txtdefine as dependências necessárias para a ingestão script. Além disso, a pastacommoncontém funções utilitárias que todas de que os scripts de ingestão dependem.
Siga estas etapas para reunir os arquivos que ingerem dados de um único Tipo de registro:
- Crie um diretório de implantação para armazenar os arquivos da função do Cloud Run. Ele conterá todos os arquivos necessários para a implantação.
- Copie todos os arquivos do subdiretório do GitHub do tipo de registro selecionado, por exemplo, OneLogin User Context, para este diretório de implantação.
- Copie a pasta
commone todo o conteúdo para o diretório de implantação. O conteúdo do diretório será semelhante ao seguinte:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Configurar os scripts
- Inicie uma sessão do Cloud Shell.
- Conecte-se com SSH a uma VM Linux do Google Cloud. Consulte Conectar-se a VMs do Linux usando as ferramentas do Google.
Faça o upload dos scripts de ingestão Mais > Fazer upload ou Fazer o download para mover arquivos ou pastas de ou para o Cloud Shell.
Só é possível fazer upload e download de arquivos e pastas no diretório principal. Para mais opções de transferência de arquivos entre o Cloud Shell e sua estação de trabalho local, consulte [Fazer upload e download de arquivos e pastas do Cloud Shell](/shell/docs/upload-and-downloading-files#upload_and_download_files_and_folders.
Edite o arquivo
.env.ymlda função e preencha os campos variáveis de ambiente. A tabela a seguir lista o ambiente de execução variáveis comuns a todos os scripts de ingestão.Nome da variável Descrição Obrigatório Padrão Secret CHRONICLE_CUSTOMER_IDID de cliente do Google Security Operations. Sim Nenhum Não CHRONICLE_REGIONRegião do Google Security Operations. Sim us
Outros valores válidos:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west12,me-central1,me-central2,me-west1enorthamerica-northeast2.Não CHRONICLE_SERVICE_ACCOUNTConteúdo do arquivo JSON da conta de serviço das operações de segurança do Google. Sim Nenhum Sim CHRONICLE_NAMESPACEO namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. Não Nenhum Não Cada script requer variáveis de ambiente específicas. Consulte Parâmetros de configuração por registro tipo para detalhes sobre as variáveis de ambiente exigidas por cada tipo de registro.
As variáveis de ambiente marcadas como Secret = Yes precisam ser configuradas como secrets no
com o Secret Manager. Consulte Secret Manager
preços para informações sobre o custo de uso
com o Secret Manager.
Consulte Como criar e acessar secrets para instruções detalhadas.
Depois que os secrets forem criados no Secret Manager, use o nome do recurso
secreto como o valor das variáveis de ambiente. Por exemplo:
projects/{project_id}/secrets/{secret_id}/versions/{version_id}, em que
{project_id}, {secret_id} e {version_id} são específicos do seu
ambiente.
Configurar um programador ou acionador
Todos os scripts, exceto o Pub/Sub, são implementados para coletar os dados em intervalos periódicos de um dispositivo de origem. É necessário configurar um acionador usando o Cloud Scheduler para buscar dados ao longo do tempo. O script de ingestão do Pub/Sub monitora continuamente a assinatura do Pub/Sub. Para mais informações, consulte Como executar serviços em uma programação e Como usar o Pub/Sub para acionar uma função do Cloud Run.
Implantar a Cloud Run function
- Inicie uma sessão do Cloud Shell.
- Conecte-se por SSH a uma VM Linux do Google Cloud. Consulte Conecte-se a VMs do Linux usando as ferramentas do Google.
- Mude para o diretório em que você copiou os scripts de transferência.
Execute o comando a seguir para implantar a função do Cloud Run.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSubstitua
<FUNCTION_NAME>pelo nome que você definiu para a função do Cloud Run.Substitua
<SERVICE_ACCOUNT_EMAIL>pelo endereço de e-mail da conta de serviço que você quer que a função do Cloud Run use.Se você não mudar o diretório para o local dos arquivos, faça use a opção
--sourcepara especificar a localização scripts de implantação.A conta de serviço que executa a função do Cloud Run precisa ter os papéis Invocador do Cloud Functions (
roles/cloudfunctions.invoker) e Assessor de secret do Secret Manager (roles/secretmanager.secretAccessor).
Ver registros do ambiente de execução
Os scripts de ingestão imprimem mensagens de ambiente de execução em stdout. As funções do Cloud Run oferecem um mecanismo para visualizar mensagens de registro. Para mais informações, consulte a documentação Informações de funções sobre Como visualizar o ambiente de execução registros do Terraform.
Parâmetros de configuração por tipo de registro
Integração do Armis com o Google Security Operations
Esse script coleta os dados usando chamadas de API da plataforma Armis para diferentes tipos de eventos, como alertas, atividades, dispositivos e vulnerabilidades. Os dados coletados são processados pelo Google Security Operations e analisados pelos analisadores correspondentes.
Fluxo de script
Confira o fluxo do script:
Verifique as variáveis de ambiente.
Implantar o script nas funções do Cloud Run.
Coletar dados usando o script de ingestão.
Ingerir dados coletados no Google Security Operations.
Analisar os dados coletados usando os analisadores correspondentes no Google Security Operations.
Usar um script para coletar e processar dados no Google Security Operations
Verifique as variáveis de ambiente.
Variável Descrição Obrigatório Padrão Secret CHRONICLE_CUSTOMER_IDID de cliente das Operações de segurança do Google. Sim - Não CHRONICLE_REGIONRegião do Google Security Operations. Sim EUA Sim CHRONICLE_SERVICE_ACCOUNTConteúdo do arquivo JSON da conta de serviço das operações de segurança do Google. Sim - Sim CHRONICLE_NAMESPACEO namespace com que os registros de Operações de segurança do Google são rotulados. Não - Não POLL_INTERVALIntervalo de frequência em que a função é executada para receber mais O intervalo de frequência em que a função é executada para receber dados de registro (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. Sim 10 Não ARMIS_SERVER_URLURL do servidor da plataforma Armis. Sim - Não ARMIS_API_SECRET_KEYChave secreta necessária para a autenticação. Sim - Sim HTTPS_PROXYURL do servidor proxy. Não - Não CHRONICLE_DATA_TYPETipo de dados das Operações de segurança do Google para enviar dados às Operações de segurança do Google. Sim - Não Configure o diretório.
Crie um novo diretório para a implantação das funções do Cloud Run e adicione a ele um diretório
commone o conteúdo do script de transferência (armis).Defina as variáveis de ambiente de execução necessárias.
Defina as variáveis de ambiente necessárias no arquivo
.env.yml.Use secrets.
As variáveis de ambiente marcadas como secretas precisam ser configuradas como secrets no Secret Manager. Para mais informações sobre como criar secrets, consulte Criar um secret.
Depois de criar os secrets no Secret Manager, use o nome do recurso do secret como o valor das variáveis de ambiente. Exemplo:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Configure o namespace.
Defina a variável de ambiente
CHRONICLE_NAMESPACEpara configurar o namespace. Os registros de Google Security Operations são ingeridos no namespace.Implantar as funções do Cloud Run.
Execute o comando abaixo no diretório criado anteriormente para implantar a função do Cloud.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlO Cloud Run funciona com as especificações padrão.
Variável Padrão Descrição Memória 256 MB Nenhum Nenhum Tempo esgotado 60 segundos Nenhum Nenhum Região us-central1 Nenhum Nenhum Número mínimo de instâncias 0 Nenhum Nenhum Número máximo de instâncias 100 Nenhum Nenhum Para mais informações sobre como configurar essas variáveis, consulte Configurar funções do Cloud Run.
Buscar dados históricos.
Para buscar dados históricos e continuar coletando dados em tempo real:
- Configure a variável de ambiente
POLL_INTERVALem minutos para que os dados históricos sejam buscados. - Ative a função usando um programador ou manualmente executando o comando na CLI do Google Cloud após configurar as funções do Cloud Run.
- Configure a variável de ambiente
Aruba Central
Esse script extrai registros de auditoria da plataforma Aruba Central e os insere
no Google Security Operations com o tipo de registro ARUBA_CENTRAL. Para saber como usar a biblioteca, consulte o SDK pycentral
Python.
Defina as seguintes variáveis de ambiente no arquivo .env.yml.
| Variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros de Operações de segurança do Google são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). A duração precisa ser igual a o intervalo do job do Cloud Scheduler. | 10 | Não |
ARUBA_CLIENT_ID |
ID do cliente do gateway da API Aruba Central. | Nenhum | Não |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Chave secreta do cliente do gateway da API Central de Aruba. | Nenhum | Sim |
ARUBA_USERNAME |
Nome de usuário da plataforma Aruba Central. | Nenhum | Não |
ARUBA_PASSWORD_SECRET_PATH |
Senha da plataforma Aruba Central. | Nenhum | Sim |
ARUBA_BASE_URL |
URL base do gateway da API Aruba Central. | Nenhum | Não |
ARUBA_CUSTOMER_ID |
ID de cliente da plataforma Aruba Central. | Nenhum | Não |
Hub de eventos do Azure
Ao contrário de outros scripts de ingestão, este usa funções do Azure para buscar eventos pelo Hub de Eventos do Azure. Uma função do Azure é acionada automaticamente sempre que um novo evento é adicionados a um bucket, e cada evento é gradualmente ingerido no Operações de segurança do Google.
Etapas para implantar as funções do Azure:
- Faça o download do arquivo de conector de dados chamado
Azure_eventhub_API_function_app.jsondo repositório. - Faça login no portal do Microsoft Azure.
- Acesse o Microsoft Sentinel > Selecione seu espaço de trabalho na lista >
Selecione "Conector de dados" na seção de configuração e faça o seguinte:
- Defina a seguinte sinalização como verdadeira no URL:
feature.BringYourOwnConnector=true: Por exemplo: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Encontre o botão import na página e importe o arquivo de conector de dados salvo na etapa 1.
- Defina a seguinte sinalização como verdadeira no URL:
- Clique no botão Implantar no Azure para implantar a função e siga as etapas mencionadas na mesma página.
- Selecione a Assinatura, o Grupo de recursos e o Local que você preferir. e informe os valores necessários.
- Clique em Revisar + Criar.
- Clique em Criar para implantar.
Box
Esse script recebe detalhes sobre eventos que acontecem no Box e os ingere
às Operações de segurança do Google com o tipo de registro BOX. Os dados fornecem insights sobre operações CRUD em objetos no ambiente do Box. Para saber mais sobre os eventos do Box, consulte a API Events do Box.
Defina as seguintes variáveis de ambiente no arquivo .env.yml. Para mais
informações sobre o ID do cliente do Box, a chave secreta do cliente e o ID do assunto, consulte
Credenciais
Concessão
,
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo de jobs do Cloud Scheduler. | 5 | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
BOX_CLIENT_ID |
ID do cliente da plataforma Box, disponível no console do desenvolvedor da Box. | Nenhum | Não |
BOX_CLIENT_SECRET |
Caminho para o secret no Secret Manager que armazena o secret do cliente da plataforma Box usado para autenticação. | Nenhum | Sim |
BOX_SUBJECT_ID |
ID do usuário do Box ou ID da empresa. | Nenhum | Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros de Operações de segurança do Google são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
Registros de auditoria do Citrix Cloud
Esse script coleta registros de auditoria do Citrix Cloud e os ingere no
Operações de segurança do Google com o tipo de registro CITRIX_MONITOR. Esses registros ajudam a identificar
realizadas no ambiente do Citrix Cloud, fornecendo informações
sobre o que mudou, quem o alterou, quando foi alterado e assim por diante. Para mais
informações, consulte a API SystemLog do Citrix Cloud.
Defina as variáveis de ambiente a seguir no arquivo .env.yml. Para
informações sobre IDs e chaves secretas do cliente do Citrix, consulte Primeiras etapas
com as APIs
do Citrix.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CITRIX_CLIENT_ID |
ID do cliente da API Citrix. | Nenhum | Não |
CITRIX_CLIENT_SECRET |
Caminho para o secret no Secret Manager que armazena o segredo de cliente da API Citrix usado para autenticação. | Nenhum | Sim |
CITRIX_CUSTOMER_ID |
ID de cliente do Citrix. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que dados de registro adicionais são coletados (em minutos). A duração precisa ser a mesma do job do Cloud Scheduler intervalo. | 30 | Não |
URL_DOMAIN |
Endpoint do Citrix Cloud. | Nenhum | Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros de Operações de segurança do Google são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
Metadados da sessão do Citrix
Esse script coleta metadados de sessão do Citrix de ambientes do Citrix e os processa no Google Security Operations com o tipo de registro CITRIX_MONITOR. Os dados incluem detalhes de login do usuário, duração da sessão, horário de criação da sessão, horário de término da sessão e outros metadados relacionados à sessão. Para mais informações, consulte a
API Citrix Monitor Service.
Defina as variáveis de ambiente a seguir no arquivo .env.yml. Para
informações sobre IDs e chaves secretas do cliente Citrix, consulte Primeiros passos
com o Citrix
APIs do Google.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
URL_DOMAIN |
domínio do URL do Citrix. | Nenhum | Não |
CITRIX_CLIENT_ID |
ID do cliente do Citrix. | Nenhum | Não |
CITRIX_CLIENT_SECRET |
Caminho para o secret no Secret Manager que armazena a chave secreta do cliente Citrix usada para autenticação. | Nenhum | Sim |
CITRIX_CUSTOMER_ID |
ID de cliente do Citrix. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo de job do Cloud Scheduler. | 30 | Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros de Operações de segurança do Google são rotulados. Para informações sobre namespaces do Google Security Operations, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
Cloud Storage
O script busca registros do sistema no Cloud Storage e os ingere no Operações de segurança do Google com um valor configurável para o tipo de registro. Para mais detalhes, consulte a biblioteca de cliente do Python do Google Cloud.
Defina as variáveis de ambiente a seguir no arquivo .env.yml. Google Cloud
tem registros relevantes para a segurança, e alguns tipos deles não podem ser exportados diretamente
às Operações de segurança do Google. Para mais informações, consulte Análise de registros de
segurança.
| Variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros de Operações de segurança do Google são rotulados. Para informações sobre namespaces do Google Security Operations, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber mais dados de registro (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 60 | Não |
GCS_BUCKET_NAME |
Nome do bucket do Cloud Storage de onde os dados serão buscados. | Nenhum | Não |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Cloud. | Nenhum | Sim |
CHRONICLE_DATA_TYPE |
Tipo de registro para enviar dados para a instância do Google Security Operations. | Nenhum | Não |
Administrador do Duo
O script recebe eventos do administrador do Duo relacionados às operações CRUD realizadas no
vários objetos, como conta de usuário e segurança. Os eventos são ingeridos
Operações de segurança do Google com o tipo de registro DUO_ADMIN. Para mais informações, consulte a
API Duo Admin.
Defina as variáveis de ambiente a seguir no arquivo .env.yml.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
POLL_INTERVAL |
O intervalo de frequência em que a função é executada para conseguir dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo de job do Cloud Scheduler. | Nenhum | Não |
DUO_API_DETAILS |
Caminho para o secret no Secret Manager que armazena a conta do Duo
arquivo JSON. Contém a chave de integração da API Duo Admin, o Duo Admin
Chave secreta da API e o nome do host da API Duo Admin. Por exemplo:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Consulte a documentação do administrador do Duo para ver instruções sobre como fazer o download do arquivo JSON. |
Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
MISP
Este script busca informações sobre a relação de ameaças do MISP, uma ameaça de código aberto
plataforma de inteligência e compartilhamento do Google e o ingere nas Operações de segurança do Google com
o tipo de registro MISP_IOC. Para mais informações, consulte a API Events do MISP.
Defina as variáveis de ambiente a seguir no arquivo .env.yml.
| Variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo de jobs do Cloud Scheduler. | 5 | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
ORG_NAME |
Nome da organização para filtrar eventos. | Nenhum | Não |
API_KEY |
Caminho para o segredo no Secret Manager que armazena a chave de API para a autenticação usada. | Nenhum | Sim |
TARGET_SERVER |
O endereço IP da instância MISP que você criou. | Nenhum | Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre namespaces do Google Security Operations, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
Eventos do OneLogin
Esse script recebe eventos de um ambiente do OneLogin e os envia para as Operações de segurança do Google com o tipo de registro ONELOGIN_SSO. Esses eventos fornecem
informações, como operações em contas de usuário. Para mais informações, consulte a
API OneLogin Events.
Defina as variáveis de ambiente a seguir no arquivo .env.yml. Para
informações sobre IDs e segredos de cliente do OneLogin, consulte Como trabalhar com
credenciais de API.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo de jobs do Cloud Scheduler. | 5 | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CLIENT_ID |
ID do cliente da plataforma OneLogin. | Nenhum | Não |
CLIENT_SECRET |
Caminho para o secret no Secret Manager que armazena o cliente senha da plataforma OneLogin usada para autenticação. | Nenhum | Sim |
TOKEN_ENDPOINT |
O URL para solicitar um token de acesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros de Operações de segurança do Google são rotulados. Para informações sobre namespaces do Google Security Operations, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
Contexto do usuário da OneLogin
Esse script recebe dados relacionados a contas de usuário de um ambiente do OneLogin e os envia para as operações de segurança do Google com o tipo de registro ONELOGIN_USER_CONTEXT.
Para mais informações, consulte a API User
OneLogin.
Defina as variáveis de ambiente a seguir no arquivo .env.yml. Para
informações sobre IDs e senhas de cliente da OneLogin, consulte Como trabalhar com IDs de cliente
Credenciais.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). Essa duração precisa ser igual ao intervalo de job do Cloud Scheduler. | 30 | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CLIENT_ID |
ID do cliente da plataforma OneLogin. | Nenhum | Não |
CLIENT_SECRET |
Caminho para o secret no Secret Manager que armazena o cliente senha da plataforma OneLogin usada para autenticação. | Nenhum | Sim |
TOKEN_ENDPOINT |
O URL para solicitar um token de acesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Não |
CHRONICLE_NAMESPACE |
O namespace com que os registros de Operações de segurança do Google são rotulados. Para informações sobre namespaces do Google Security Operations, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
Proofpoint
Esse script busca dados sobre usuários que foram alvo de ataques de uma organização específica em um determinado período e os envia para as Operações de segurança do Google. Para saber mais sobre a API usada, consulte a API People.
Defina as seguintes variáveis de ambiente no arquivo .env.yml. Para saber como acessar o principal do serviço e o segredo do Proofpoint, consulte o guia de configuração Como fornecer credenciais do TAP do Proofpoint para o Arctic Wolf.
| Variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber mais dados de registro (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 360 | Não |
CHRONICLE_DATA_TYPE |
Tipo de registro para enviar dados para a instância do Google Security Operations. | Nenhum | Não |
PROOFPOINT_SERVER_URL |
URL de base do gateway da API Proofpoint Server. | Nenhum | Não |
PROOFPOINT_SERVICE_PRINCIPLE |
Nome de usuário da plataforma Proofpoint. Isso geralmente é o principal do serviço. | Nenhum | Não |
PROOFPOINT_SECRET |
Caminho do Secret Manager com a versão em que a senha da plataforma Proofpoint está armazenada. | Nenhum | Sim |
PROOFPOINT_RETRIEVAL_RANGE |
Número que indica de quantos dias os dados devem ser recuperados. Os valores aceitos são 14, 30 e 90. | Nenhum | Não |
Pub/Sub
Esse script coleta mensagens de assinaturas do Pub/Sub e ingere as para as Operações de segurança do Google. Ele monitora continuamente o gateway de assinatura e ingere mensagens mais recentes quando elas aparecem. Para mais informações, consulte os documentos a seguir:
Este script de ingestão exige que você defina variáveis nos elementos .env.yml
e o job do Cloud Scheduler.
Defina as seguintes variáveis de ambiente no arquivo
.env.yml.Nome da variável Descrição Valor padrão Secret CHRONICLE_CUSTOMER_IDID de cliente da instância do Google Security Operations. Nenhum Não CHRONICLE_REGIONRegião da instância do Google Security Operations. us
Outros valores válidos:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west12,me-central1,me-central2,me-west1enorthamerica-northeast2.Não CHRONICLE_SERVICE_ACCOUNTCaminho para o secret no Secret Manager que armazena as Operações de segurança do Google arquivo JSON da conta de serviço. Nenhum Sim CHRONICLE_NAMESPACEO namespace com que os registros do Google Security Operations são rotulados. Para informações sobre namespaces do Google Security Operations, consulte Trabalhar com Namespaces de recursos. Nenhum Não Defina as variáveis a seguir no campo Corpo da mensagem do Cloud Scheduler como uma string formatada em JSON. Consulte como criar Cloud Scheduler para mais informações sobre o campo Corpo da mensagem.
Nome da variável Descrição Valor padrão Secret PROJECT_IDID do projeto do Pub/Sub. Consulte Como criar e gerenciar projetos para informações sobre o ID do projeto. Nenhum Não SUBSCRIPTION_IDID da assinatura do Pub/Sub. Nenhum Não CHRONICLE_DATA_TYPERótulo de ingestão para o tipo de registro fornecido ao enviar dados para as Operações de segurança do Google. Consulte Analisadores padrão compatíveis para ver uma lista dos tipos de registro aceitos. Nenhum Não Veja um exemplo de string formatada em JSON para o campo Corpo da mensagem.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Registros de auditoria do Slack
Esse script recebe registros de auditoria de uma organização do Slack Enterprise Grid e os
envia para o Google Security Operations com o tipo de registro SLACK_AUDIT. Para mais
informações, consulte Registros de auditoria do Slack
API.
Defina as variáveis de ambiente a seguir no arquivo .env.yml.
| Nome da variável | Descrição | Valor padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber dados de registro adicionais (em minutos). A duração precisa ser igual a o intervalo do job do Cloud Scheduler. | 5 | Não |
SLACK_ADMIN_TOKEN |
Caminho para o secret no Secret Manager que armazena o token de autenticação do
Slack. |
Nenhum |
Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre namespaces do Google Security Operations, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
STIX/TAXII
Esse script extrai indicadores do servidor STIX/TAXII e os insere no
Google Security Operations. Para mais informações, consulte a API STIX/TAXII
Documentação.
Defina as seguintes variáveis de ambiente no arquivo .env.yml.
| Nome da variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
POLL_INTERVAL |
Intervalo de frequência (em minutos) em que a função é executada. Essa duração precisa ser igual à do job do Cloud Scheduler. | 60 | Não |
TAXII_VERSION |
A versão STIX/TAXII a ser usada. As opções possíveis são 1.1, 2.0 e 2.1. | Nenhum | Não |
TAXII_DISCOVERY_URL |
URL de descoberta do servidor TAXII. | Nenhum | Não |
TAXII_COLLECTION_NAMES |
Coleções (CSV) de onde buscar os dados. Deixe em branco para buscar dados de todas as coleções. | Nenhum | Não |
TAXII_USERNAME |
Nome de usuário necessário para a autenticação, se houver. | Nenhum | Não |
TAXII_PASSWORD_SECRET_PATH |
Senha necessária para a autenticação, se houver. | Nenhum | Sim |
Tenable.io
Esse script busca dados de recursos e vulnerabilidades do
plataforma Tenable.io e os envia para o Google Security Operations com o tipo de registro TENABLE_IO. Para
informações sobre a biblioteca usada, consulte o SDK pyTenable
Python.
Defina as seguintes variáveis de ambiente no arquivo .env.yml. Para detalhes
sobre dados de recursos e vulnerabilidades, consulte a API Tenable.io: Exportar
recursos
e Exportar
vulnerabilidades.
| Variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre os namespaces das Operações de segurança do Google, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber mais dados de registro (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 360 | Não |
TENABLE_ACCESS_KEY |
A chave de acesso usada para autenticação. | Nenhum | Não |
TENABLE_SECRET_KEY_PATH |
O caminho do Secret Manager do Google com a versão em que a senha do Tenable Server está armazenada. | Nenhum | Sim |
TENABLE_DATA_TYPE |
Tipo de dados a serem ingeridos no Google Security Operations. Valores possíveis: ASSETS, VULNERABILITIES. | RECURSOS, VULNERABILIDADES | Não |
TENABLE_VULNERABILITY |
O estado das vulnerabilidades que você quer que a exportação inclua. Valores possíveis: "OPEN", "REOPENED" e "FIXED". | ABERTO, REABRIR | Não |
Segurança de apps da Trend Micro Cloud
O script busca registros de segurança na plataforma Trend Micro e os ingere
às Operações de segurança do Google. Para informações sobre a API usada, consulte a documentação
registros
API.
Defina as seguintes variáveis de ambiente no arquivo .env.yml.
| Variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros de Operações de segurança do Google são rotulados. Para informações sobre namespaces do Google Security Operations, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber mais dados de registro (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 10 | Não |
CHRONICLE_DATA_TYPE |
Tipo de registro para enviar dados para a instância do Google Security Operations. | Nenhum | Não |
TREND_MICRO_AUTHENTICATION_TOKEN |
Caminho do Google Secret Manager com a versão em que o token de autenticação do Trend Micro Server está armazenado. | Nenhum | Sim |
TREND_MICRO_SERVICE_URL |
URL do serviço do Cloud App Security. | Nenhum | Não |
TREND_MICRO_SERVICE |
O nome do serviço protegido, cujos registros serão recuperados. Aceita valores separados por vírgulas. Valores possíveis: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. | troca, sharepoint, onedrive, caixa de depósito, caixa, googledrive, gmail, equipes, Exchangeserver, salesforce_sandbox, salesforce_production, times_chat | Não |
TREND_MICRO_EVENT |
O tipo de ocorrência de segurança com os registros a serem recuperados. Aceita valores separados por vírgulas. Valores possíveis: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | Não |
Tendência Micro Vision One
Esse script extrai os registros de auditoria do Trend Micro Vision One e os envia
para as operações de segurança do Google com o tipo de registro TREND_MICRO_VISION_AUDIT. Para
informações sobre a API usada, consulte a API de registros de auditoria.
Defina as variáveis de ambiente a seguir no arquivo .env.yml.
| Variável | Descrição | Padrão | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Google Security Operations. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Google Security Operations. | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o secret no Secret Manager que armazena o arquivo JSON da conta de serviço do Google Security Operations. | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O namespace com que os registros do Google Security Operations são rotulados. Para informações sobre namespaces do Google Security Operations, consulte Trabalhar com namespaces de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência em que a função é executada para receber mais dados de registro (em minutos). Essa duração precisa ser igual ao intervalo do job do Cloud Scheduler. | 10 | Não |
TREND_MICRO_AUTHENTICATION_TOKEN |
Caminho do Google Secret Manager com a versão em que o token de autenticação do Trend Micro Server está armazenado. | Nenhum | Sim |
TREND_MICRO_DOMAIN |
Região da Trend Micro Vision One em que o endpoint de serviço está localizado. | Nenhum | Não |