Usa secuencias de comandos de transferencia implementadas como Cloud Functions
Chronicle proporcionó un conjunto de secuencias de comandos de transferencia, escritas en Python, que se deben implementar como Cloud Functions. Estas secuencias de comandos te permiten transferir datos de las siguientes fuentes de registro, enumeradas por nombre y tipo de registro.
- Armis Chronicle Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Estas secuencias de comandos se encuentran en el repositorio de GitHub de Chronicle.
Limitación conocida: Cuando estas secuencias de comandos se usan en un entorno sin estado, como Cloud Functions, es posible que no envíen todos los registros a Chronicle porque carecen de funcionalidad de punto de control. Chronicle probó las secuencias de comandos con el entorno de ejecución de Python 3.9.
Antes de comenzar
Lee los siguientes recursos que proporcionan contexto y datos generales que te permiten usar las secuencias de comandos de transferencia de Chronicle de forma eficaz.
- Consulta Implementa Cloud Functions para obtener información sobre cómo implementar Cloud Functions desde tu máquina local.
- En Crea secretos y accede a ellos, se explica cómo usar Secret Manager. La necesitarás para almacenar el archivo JSON de la cuenta de servicio de Chronicle y acceder a él.
- Instala Google Cloud CLI. La usarás para implementar la Cloud Function.
- Documentación de Google Cloud Pub/Sub si planeas transferir datos desde Pub/Sub
Ensambla los archivos para un solo tipo de registro
Cada subdirectorio en la GitHub de Chronicle contiene archivos que transfieren datos para un solo tipo de registro de Chronicle. La secuencia de comandos se conecta a un solo dispositivo de origen y, luego, envía registros sin procesar a Chronicle mediante la API de transferencia. Te recomendamos que implementes cada tipo de registro como una Cloud Function independiente. Accede a las secuencias de comandos en el repositorio de GitHub de Chronicle. Cada subdirectorio en GitHub contiene los siguientes archivos específicos para el tipo de registro que transfiere.
main.pyes la secuencia de comandos de transferencia específica para el tipo de registro. Se conecta al dispositivo de origen y transfiere datos a Chronicle..env.ymlalmacena la configuración que requiere la secuencia de comandos de Python y es específica de la implementación. Modifica este archivo para establecer los parámetros de configuración que requiere la secuencia de comandos de transferencia.README.mdproporciona información sobre los parámetros de configuración.Requirements.txtdefine las dependencias que requiere la secuencia de comandos de transferencia. Además, la carpetacommoncontiene funciones de utilidad de las que dependen todas las secuencias de comandos de transferencia.
Sigue estos pasos a fin de ensamblar los archivos que transfieren datos para un solo tipo de registro:
- Crea un directorio de implementación para almacenar los archivos de la Cloud Function. Este contendrá todos los archivos necesarios para la implementación.
- Copia todos los archivos del subdirectorio de GitHub del tipo de registro seleccionado, por ejemplo, el contexto del usuario OneLogin, en este directorio de implementación.
- Copia la carpeta
commony todo el contenido en el directorio de implementación. El contenido del directorio será similar al siguiente:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Configura las secuencias de comandos
- Inicia una sesión de Cloud Shell.
- Conéctate con SSH a una VM de Linux de Google Cloud. Consulta Conéctate a las VM de Linux mediante las herramientas de Google.
Para subir las secuencias de comandos de transferencia, haz clic en Más > Subir o Descargar para mover tus archivos o carpetas desde o hacia Cloud Shell.
Los archivos y las carpetas solo se pueden subir y descargar desde tu directorio principal. Si quieres conocer más opciones para transferir archivos entre Cloud Shell y tu estación de trabajo local, consulta [Sube y descarga archivos y carpetas desde Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.
Edita el archivo
.env.ymlde la función y propaga las variables de entorno necesarias. En la siguiente tabla, se enumeran las variables de entorno de ejecución comunes a todas las secuencias de comandos de transferencia.Nombre de la variable Descripción Requeridos Predeterminado Secreto CHRONICLE_CUSTOMER_IDID de cliente de Chronicle. Sí Ninguna No CHRONICLE_REGIONRegión de Chronicle. Sí us
Otros valores válidos:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,me-central2,me-west1ynorthamerica-northeast2.No CHRONICLE_SERVICE_ACCOUNTContenido del archivo JSON de la cuenta de servicio de Chronicle. Sí Ninguna Sí CHRONICLE_NAMESPACEEl espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Trabaja con espacios de nombres de recursos. No Ninguna No Cada secuencia de comandos requiere variables de entorno específicas. Consulta Parámetros de configuración por tipo de registro para obtener detalles sobre las variables de entorno que requiere cada tipo de registro.
Las variables de entorno marcadas como Secret = Yes deben configurarse como secretos en Secret Manager. Consulta Precios de Secret Manager para obtener información sobre el costo de usar Secret Manager.
Consulta Crea secretos y accede a ellos para obtener instrucciones detalladas.
Después de crear los secretos en Secret Manager, usa el nombre del recurso del secreto como el valor para las variables de entorno. Por ejemplo: projects/{project_id}/secrets/{secret_id}/versions/{version_id}, en el que {project_id}, {secret_id} y {version_id} son específicos de tu entorno.
Configura un programador o activador
Todas las secuencias de comandos, excepto Pub/Sub, se implementan para recopilar datos en intervalos periódicos desde un dispositivo de origen. Debes configurar un activador con Cloud Scheduler para recuperar datos a lo largo del tiempo. La secuencia de comandos de transferencia para Pub/Sub supervisa de forma continua la suscripción a Pub/Sub. Si deseas obtener más información, consulta Ejecuta servicios de forma programada y Usa Pub/Sub para activar una función de Cloud Functions.
Implementa la Cloud Function
- Inicia una sesión de Cloud Shell.
- Conéctate a través de SSH a una VM de Linux de Google Cloud. Consulta Conéctate a las VM de Linux mediante las herramientas de Google.
- Cambia al directorio en el que copiaste las secuencias de comandos de transferencia.
Ejecuta el siguiente comando para implementar la Cloud Function.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlReemplaza
<FUNCTION_NAME>por el nombre que definas para la Cloud Function.Reemplaza
<SERVICE_ACCOUNT_EMAIL>por la dirección de correo electrónico de la cuenta de servicio que deseas que use tu Cloud Function.Si no cambias el directorio a la ubicación de los archivos, asegúrate de usar la opción
--sourcepara especificar la ubicación de las secuencias de comandos de implementación.La cuenta de servicio que ejecuta tu Cloud Function debe tener los roles de Invocador de Cloud Functions (
roles/cloudfunctions.invoker) y Descriptor de acceso a secretos de Secret Manager (roles/secretmanager.secretAccessor).
Visualiza los registros del entorno de ejecución
Las secuencias de comandos de transferencia imprimen mensajes del entorno de ejecución en stdout. Cloud Functions proporciona un mecanismo para ver los mensajes de registro. Para obtener más información, consulta la información de Cloud Functions sobre la visualización de los registros del entorno de ejecución.
Parámetros de configuración por tipo de registro
Integración de Armis Chronicle
Esta secuencia de comandos recopila los datos mediante llamadas a la API desde la plataforma Armis para diferentes tipos de eventos, como alertas, actividades, dispositivos y vulnerabilidades. Los datos recopilados se transfieren a Chronicle y los analizan los analizadores correspondientes.
Flujo de la secuencia de comandos
A continuación, se muestra el flujo de la secuencia de comandos:
Verificar las variables de entorno
Implementar la secuencia de comandos en Cloud Functions
Recopilar datos con la secuencia de comandos de transferencia
Transferir los datos recopilados a Chronicle
Analizar los datos recopilados mediante los analizadores correspondientes en Chronicle
Usa una secuencia de comandos para recopilar y transferir datos a Chronicle
Verificar las variables de entorno
Variable Descripción Obligatorio Valor predeterminado Secreto CHRONICLE_CUSTOMER_IDID de cliente de Chronicle. Sí - No CHRONICLE_REGIONRegión de Chronicle. Sí EE.UU. Sí CHRONICLE_SERVICE_ACCOUNTContenido del archivo JSON de la cuenta de servicio de Chronicle. Sí - Sí CHRONICLE_NAMESPACEEl espacio de nombres con el que se etiquetan los registros de Chronicle. No - No POLL_INTERVALEs el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. Sí 10 No ARMIS_SERVER_URLURL del servidor de la plataforma Armis. Sí - No ARMIS_API_SECRET_KEYSe requiere la clave secreta para la autenticación. Sí - Sí HTTPS_PROXYURL del servidor proxy. No - No CHRONICLE_DATA_TYPETipo de datos de Chronicle para enviar datos a Chronicle. Sí - No Configura el directorio.
Crea un directorio nuevo para la implementación de Cloud Functions y agrégale un directorio
commony el contenido de la secuencia de comandos de transferencia (armis).Configura las variables de entorno de ejecución necesarias.
Define las variables de entorno necesarias en el archivo
.env.yml.Usar Secrets
Las variables de entorno marcadas como Secret se deben configurar como Secrets en Secret Manager. Si quieres obtener más información para crear secretos, consulta Crea un secreto.
Después de crear los secretos en Secret Manager, usa el nombre del recurso del secreto como el valor de las variables de entorno. Por ejemplo:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Configurar el espacio de nombres
Establece la variable de entorno
CHRONICLE_NAMESPACEpara configurar el espacio de nombres. Los registros de Chronicle se transfieren al espacio de nombres.Implementar las funciones de Cloud Functions
Ejecuta el siguiente comando desde el directorio creado con anterioridad para implementar la Cloud Function.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymly las especificaciones predeterminadas de Cloud Functions.
Variable Valor predeterminado Descripción Memoria 256 MB Ninguna Se agotó el tiempo de espera 60 segundos Ninguna Región us-central1 Ninguna Cantidad mínima de instancias 0 Ninguna Cantidad máxima de instancias 100 Ninguna Para obtener más información sobre cómo configurar estas variables, consulta Configura Cloud Functions.
Recuperar datos históricos
Para recuperar datos históricos y seguir recopilando datos en tiempo real, sigue estos pasos:
- Configura en minutos la variable de entorno
POLL_INTERVALpara la que se deben recuperar los datos históricos. - Activa la función con un programador o manualmente ejecutando el comando en Google Cloud CLI después de configurar Cloud Functions.
- Configura en minutos la variable de entorno
Aruba Central
Esta secuencia de comandos recupera registros de auditoría de la plataforma de Aruba Central y los transfiere a Chronicle con el tipo de registro ARUBA_CENTRAL. Para obtener información sobre cómo se puede usar la biblioteca, consulta la página del SDK de pycentral para Python.
Define las siguientes variables de entorno en el archivo .env.yml.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Trabaja con espacios de nombres de recursos. | Ninguna | No |
POLL_INTERVAL |
El intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 10 | No |
ARUBA_CLIENT_ID |
ID de cliente de la puerta de enlace de la API de Aruba Central. | Ninguna | No |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Secreto del cliente de la puerta de enlace de la API de Aruba Central. | Ninguna | Sí |
ARUBA_USERNAME |
Nombre de usuario de la plataforma Aruba Central. | Ninguna | No |
ARUBA_PASSWORD_SECRET_PATH |
Contraseña de la plataforma de Aruba Central. | Ninguna | Sí |
ARUBA_BASE_URL |
URL base de la puerta de enlace de la API de Aruba Central. | Ninguna | No |
ARUBA_CUSTOMER_ID |
ID de cliente de la plataforma de Aruba Central. | Ninguna | No |
Azure Event Hub
A diferencia de otras secuencias de comandos de transferencia, esta secuencia de comandos usa las funciones de Azure para recuperar eventos de Azure Event Hub. Una función de Azure se activa a sí misma cada vez que se agrega un evento nuevo a un bucket, y cada evento se transfiere gradualmente a Chronicle.
Pasos para implementar las funciones de Azure:
- Descarga el archivo del conector de datos llamado
Azure_eventhub_API_function_app.jsondel repositorio. - Accede a tu portal de Microsoft Azure.
- Navega a Microsoft Sentinel > Selecciona tu lugar de trabajo de la lista > Seleccionar conector de datos en la sección de configuración y haz lo siguiente:
- Configura la siguiente marca como verdadera en la URL:
feature.BringYourOwnConnector=true. Por ejemplo: https://portal.azure.com/?feature.BringYourOwnConnector=true&...
- Configura la siguiente marca como verdadera en la URL:
- Busca el botón import en la página y, luego, importa el archivo del conector de datos descargado en el paso 1.
- Haz clic en el botón Implementar en Azure para implementar la función y sigue los pasos que se mencionan en la misma página.
- Selecciona la Suscripción, el Grupo de recursos y la Ubicación que prefieras, y proporciona los valores necesarios.
- Haz clic en Revisar y crear.
- Haz clic en Crear para la implementación.
Box
Esta secuencia de comandos obtiene detalles sobre los eventos que ocurren en Box y los transfiere
a Chronicle con el tipo de registro BOX. Los datos proporcionan estadísticas sobre las operaciones de CRUD en los objetos del entorno de Box. Si deseas obtener información sobre los eventos de Box, consulta la API de Box Events.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener más información sobre el ID de cliente de Box, el secreto de cliente y el ID de asunto, consulta Otorgamiento de credenciales de cliente.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
POLL_INTERVAL |
El intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
BOX_CLIENT_ID |
ID de cliente de la plataforma de Box, disponible en la consola para desarrolladores de Box. | Ninguna | No |
BOX_CLIENT_SECRET |
Ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la plataforma de Box que se usa para la autenticación. | Ninguna | Sí |
BOX_SUBJECT_ID |
ID de usuario o ID de empresa de Box. | Ninguna | No |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Trabaja con espacios de nombres de recursos. | Ninguna | No |
Registros de auditoría de Citrix Cloud
Esta secuencia de comandos recopila registros de auditoría de Citrix Cloud y los transfiere a Chronicle con el tipo de registro CITRIX_MONITOR. Estos registros ayudan a identificar las actividades realizadas en el entorno de Citrix Cloud, ya que proporcionan información sobre qué cambió, quién lo hizo, cuándo se modificó, etcétera. Para obtener más información, consulta API de Citrix Cloud SystemLog.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener información sobre los IDs de cliente y los secretos de cliente de Citrix, consulta Comienza a usar las APIs de Citrix.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
CITRIX_CLIENT_ID |
ID de cliente de la API de Citrix. | Ninguna | No |
CITRIX_CLIENT_SECRET |
Ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la API de Citrix que se usa para la autenticación. | Ninguna | Sí |
CITRIX_CUSTOMER_ID |
ID de cliente de Citrix. | Ninguna | No |
POLL_INTERVAL |
El intervalo de frecuencia en el que se recopilan datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 30 | No |
URL_DOMAIN |
Citrix Cloud Endpoint | Ninguna | No |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Trabaja con espacios de nombres de recursos. | Ninguna | No |
Metadatos de la sesión de Citrix
Esta secuencia de comandos recopila metadatos de la sesión de Citrix de los entornos de Citrix y los transfiere a Chronicle con el tipo de registro CITRIX_MONITOR. Los datos incluyen login details del usuario, la duración de la sesión, la hora de creación de la sesión, la hora de finalización de la sesión y otros metadatos relacionados con la sesión. Para obtener más información, consulta la API de Citrix Monitor Service.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener información sobre los IDs de cliente y los secretos de cliente de Citrix, consulta Comienza a usar las APIs de Citrix.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
URL_DOMAIN |
Dominio de URL de Citrix. | Ninguna | No |
CITRIX_CLIENT_ID |
ID de cliente de Citrix. | Ninguna | No |
CITRIX_CLIENT_SECRET |
Ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de Citrix que se usa para la autenticación. | Ninguna | Sí |
CITRIX_CUSTOMER_ID |
ID de cliente de Citrix. | Ninguna | No |
POLL_INTERVAL |
El intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 30 | No |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Trabaja con espacios de nombres de recursos. | Ninguna | No |
Cloud Storage
Esta secuencia de comandos recupera los registros del sistema de Cloud Storage y los transfiere a Chronicle con un valor configurable para el tipo de registro. Para obtener más información, consulta la biblioteca cliente de Google Cloud para Python.
Define las siguientes variables de entorno en el archivo .env.yml. Google Cloud tiene registros relevantes para la seguridad desde los que algunos tipos de registros no se pueden exportar directamente a Chronicle. Para obtener más información, consulta Estadísticas de registros de seguridad.
| Variable | Descripción | Predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Cómo trabajar con espacios de nombres de recursos. | Ninguna | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 60 | No |
GCS_BUCKET_NAME |
Nombre del bucket de Cloud Storage desde el cual se recuperarán los datos. | Ninguna | No |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Ruta de acceso al Secret en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Cloud. | Ninguna | Sí |
CHRONICLE_DATA_TYPE |
Tipo de registro para enviar datos a la instancia de Chronicle. | Ninguna | No |
Administrador de Duo
La secuencia de comandos obtiene eventos del administrador de Duo relacionados con operaciones de CRUD realizadas en varios objetos, como la cuenta de usuario y la seguridad. Los eventos se transfieren a Chronicle con el tipo de registro DUO_ADMIN. Para obtener más información, consulta la API de Duo Admin.
Define las siguientes variables de entorno en el archivo .env.yml.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
POLL_INTERVAL |
El intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | Ninguna | No |
DUO_API_DETAILS |
Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de Duo. Este contiene la clave de integración de la API de Duo Admin, la clave secreta de la API de Duo Admin y el nombre de host de la API de Duo Admin. Por ejemplo:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Consulta la documentación de Duo Admin para obtener instrucciones sobre cómo descargar el archivo JSON. |
Ninguna | Sí |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Trabaja con espacios de nombres de recursos. | Ninguna | No |
MISP
Esta secuencia de comandos recupera información sobre la relación entre amenazas de MISP, una plataforma de código abierto de inteligencia sobre amenazas y uso compartido, y la transfiere a Chronicle con el tipo de registro MISP_IOC. Para obtener más información, consulta la API de eventos de MISP.
Define las siguientes variables de entorno en el archivo .env.yml.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
POLL_INTERVAL |
El intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
ORG_NAME |
Nombre de la organización para filtrar eventos. | Ninguna | No |
API_KEY |
Ruta de acceso al secreto en Secret Manager que almacena la clave de API para la autenticación que se usa. | Ninguna | Sí |
TARGET_SERVER |
La dirección IP de la instancia de MISP que creaste. | Ninguna | No |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Trabaja con espacios de nombres de recursos. | Ninguna | No |
Eventos OneLogin
Esta secuencia de comandos obtiene eventos de un entorno de OneLogin y los transfiere a Chronicle con el tipo de registro ONELOGIN_SSO. Estos eventos proporcionan información como las operaciones en las cuentas de usuario. Para obtener más información, consulta la API de OneLogin Events.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener información sobre los ID de cliente OneLogin y los secretos del cliente, consulta Cómo trabajar con credenciales de la API.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
POLL_INTERVAL |
El intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
CLIENT_ID |
ID de cliente de la plataforma OneLogin. | Ninguna | No |
CLIENT_SECRET |
Ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la plataforma OneLogin que se usa para la autenticación. | Ninguna | Sí |
TOKEN_ENDPOINT |
La URL para solicitar un token de acceso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Trabaja con espacios de nombres de recursos. | Ninguna | No |
Contexto del usuario OneLogin
Esta secuencia de comandos obtiene datos relacionados con las cuentas de usuario de un entorno de OneLogin y
los transfiere a Chronicle con el tipo de registro ONELOGIN_USER_CONTEXT. Para obtener más información, consulta la API de OneLogin User.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener información sobre los ID de cliente OneLogin y los secretos del cliente, consulta Cómo trabajar con credenciales de la API.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
POLL_INTERVAL |
El intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 30 | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
CLIENT_ID |
ID de cliente de la plataforma OneLogin. | Ninguna | No |
CLIENT_SECRET |
Ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la plataforma OneLogin que se usa para la autenticación. | Ninguna | Sí |
TOKEN_ENDPOINT |
La URL para solicitar un token de acceso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Trabaja con espacios de nombres de recursos. | Ninguna | No |
Proofpoint
Esta secuencia de comandos recupera datos sobre los usuarios a los que fueron víctimas de ataques de una organización en particular en un período determinado y los transfiere a Chronicle. Para obtener información sobre la API que se usa, consulta la API de People.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener detalles sobre cómo obtener el principal de servicio y el secreto de Proofpoint, consulta la Guía de configuración para proporcionar credenciales TAP de Proofpoint a Arctic Wolf.
| Variable | Descripción | Predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Cómo trabajar con espacios de nombres de recursos. | Ninguna | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 360 | No |
CHRONICLE_DATA_TYPE |
Tipo de registro para enviar datos a la instancia de Chronicle. | Ninguna | No |
PROOFPOINT_SERVER_URL |
URL base de la puerta de enlace de la API de Proofpoint Server. | Ninguna | No |
PROOFPOINT_SERVICE_PRINCIPLE |
Nombre de usuario de la plataforma Proofpoint. Por lo general, es el servicio principal. | Ninguna | No |
PROOFPOINT_SECRET |
Ruta de acceso de Secret Manager con la versión, en la que se almacena la contraseña de la plataforma de Proofpoint. | Ninguna | Sí |
PROOFPOINT_RETRIEVAL_RANGE |
Número que indica la cantidad de días que se deben recuperar los datos. Se aceptan los valores 14, 30 y 90. | Ninguna | No |
Pub/Sub
Esta secuencia de comandos recopila mensajes de suscripciones a Pub/Sub y transfiere los datos a Chronicle. Supervisa de manera continua la puerta de enlace de suscripción y transfiere los mensajes más nuevos cuando aparecen. Para obtener más información, consulta los siguientes documentos:
Esta secuencia de comandos de transferencia requiere que establezcas variables en el archivo .env.yml y en el trabajo de Cloud Scheduler.
Define las siguientes variables de entorno en el archivo
.env.yml.Nombre de la variable Descripción Valor predeterminado Secreto CHRONICLE_CUSTOMER_IDID de cliente de la instancia de Chronicle. Ninguna No CHRONICLE_REGIONRegión de la instancia de Chronicle. us
Otros valores válidos:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,me-central2,me-west1ynorthamerica-northeast2.No CHRONICLE_SERVICE_ACCOUNTRuta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. Ninguna Sí CHRONICLE_NAMESPACEEl espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Trabaja con espacios de nombres de recursos. Ninguna No Configura las siguientes variables en el campo Cuerpo del mensaje de Cloud Scheduler como una string con formato JSON. Consulta cómo crear Cloud Scheduler para obtener más información sobre el campo Cuerpo del mensaje.
Nombre de la variable Descripción Valor predeterminado Secreto PROJECT_IDID del proyecto de Pub/Sub. Consulta cómo crear y administrar proyectos para obtener información sobre el ID del proyecto. Ninguna No SUBSCRIPTION_IDID de suscripción de Pub/Sub. Ninguna No CHRONICLE_DATA_TYPEEtiqueta de transferencia para el tipo de registro que se proporciona cuando se envían datos a Chronicle. Consulta Analizadores predeterminados compatibles para obtener una lista de los tipos de registros compatibles. Ninguna No A continuación, se muestra un ejemplo de string con formato JSON para el campo Cuerpo del mensaje.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Registros de auditoría de Slack
Esta secuencia de comandos obtiene registros de auditoría de una organización de Slack Enterprise Grid y
los transfiere a Chronicle con el tipo de registro SLACK_AUDIT. Para obtener más información, consulta API de registros de auditoría de Slack.
Define las siguientes variables de entorno en el archivo .env.yml.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
POLL_INTERVAL |
El intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 5 | No |
SLACK_ADMIN_TOKEN |
Ruta de acceso al secreto en Secret Manager que almacena el token de autenticación
de Slack. |
Ninguno |
Sí |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Trabaja con espacios de nombres de recursos. | Ninguna | No |
STIX/TAXII
Esta secuencia de comandos extrae indicadores del servidor STIX/TAXII y los transfiere a Chronicle. Para obtener más información, consulta la documentación de la API de STIX/TAXII.
Define las siguientes variables de entorno en el archivo .env.yml.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
POLL_INTERVAL |
Es el intervalo de frecuencia (en minutos) en el que se ejecuta la función. Esta duración debe ser la misma que la del trabajo de Cloud Scheduler. | 60 | No |
TAXII_VERSION |
Es la versión de STIX/TAXII que se usará. Las opciones posibles son 1.1, 2.0, 2.1. | Ninguna | No |
TAXII_DISCOVERY_URL |
URL de descubrimiento del servidor TAXII. | Ninguna | No |
TAXII_COLLECTION_NAMES |
Colecciones (CSV) desde las que se recuperan los datos. Déjalo vacío para recuperar datos de todas las colecciones. | Ninguna | No |
TAXII_USERNAME |
Nombre de usuario requerido para la autenticación, si corresponde. | Ninguna | No |
TAXII_PASSWORD_SECRET_PATH |
Se requiere contraseña para la autenticación, si corresponde. | Ninguna | Sí |
Tenable.io
Esta secuencia de comandos recupera datos de recursos y vulnerabilidades de la plataforma Tenable.io y los transfiere a Chronicle con el tipo de registro TENABLE_IO. Si deseas obtener información sobre la biblioteca que se usa, consulta el SDK de Python de pyTenable.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener detalles sobre los datos de activos y vulnerabilidades, consulta las secciones Exporta activos y Exporta vulnerabilidades de la API de Tenable.io.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Cómo trabajar con espacios de nombres de recursos. | Ninguna | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 360 | No |
TENABLE_ACCESS_KEY |
La clave de acceso que se usa para la autenticación. | Ninguna | No |
TENABLE_SECRET_KEY_PATH |
Ruta de acceso de Google Secret Manager con la versión, en la que se almacena la contraseña para Tenable Server. | Ninguna | Sí |
TENABLE_DATA_TYPE |
Tipo de datos que se transferirán en Chronicle. Valores posibles: ASSETS, VULNERABILITIES. | ACTIVOS, VULNERABILIDADES | No |
TENABLE_VULNERABILITY |
El estado de las vulnerabilidades que quieres que incluya la exportación. Valores posibles: "OPEN", "REOPENED" y "FIXED". | ABIERTO, REABRIDO | No |
Seguridad de apps de Trend Micro Cloud
Esta secuencia de comandos recupera los registros de seguridad de la plataforma de Trend Micro y los transfiere a Chronicle. Para obtener información sobre la API que se usa, consulta la API de registros de seguridad. Define las siguientes variables de entorno en el archivo .env.yml.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Cómo trabajar con espacios de nombres de recursos. | Ninguna | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 10 | No |
CHRONICLE_DATA_TYPE |
Tipo de registro para enviar datos a la instancia de Chronicle. | Ninguna | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Ruta de acceso de Google Secret Manager con la versión, donde se almacena el token de autenticación para el servidor de Trend Micro. | Ninguna | Sí |
TREND_MICRO_SERVICE_URL |
URL del servicio del servicio de seguridad de apps de Cloud. | Ninguna | No |
TREND_MICRO_SERVICE |
El nombre del servicio protegido, cuyos registros se recuperarán. Admite valores separados por comas. Valores posibles: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, equipos, exchangeserver, salesforce_sandbox, salesforce_production, team_chat. | intercambio, sharepoint, onedrive, dropbox, caja, googledrive, gmail, equipos, exchangeserver, salesforce_sandbox, salesforce_production, team_chat | No |
TREND_MICRO_EVENT |
El tipo de evento de seguridad cuyos registros se recuperarán. Admite valores separados por comas. Valores posibles: securityrisk, virtualanalyzer, ransomware, dlp. | riesgos de seguridad, virtualanalyzer, ransomware, dlp | No |
Trend Micro Vision One
Esta secuencia de comandos recupera los registros de auditoría de Trend Micro Vision One y los transfiere a Chronicle con el tipo de registro TREND_MICRO_VISION_AUDIT. Si deseas obtener información sobre la API que se usa, consulta la API de registros de auditoría. Define las siguientes variables de entorno en el archivo .env.yml.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente de la instancia de Chronicle. | Ninguna | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle. | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle. | Ninguna | Sí |
CHRONICLE_NAMESPACE |
El espacio de nombres con el que se etiquetan los registros de Chronicle. Para obtener información sobre los espacios de nombres de Chronicle, consulta Cómo trabajar con espacios de nombres de recursos. | Ninguna | No |
POLL_INTERVAL |
Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 10 | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Ruta de acceso de Google Secret Manager con la versión, donde se almacena el token de autenticación para el servidor de Trend Micro. | Ninguna | Sí |
TREND_MICRO_DOMAIN |
Región de Trend Micro Vision One donde se encuentra el extremo del servicio. | Ninguna | No |