Cette page a été traduite par l'API Cloud Translation.

Utiliser des scripts d'ingestion déployés en tant que fonctions Cloud Run

Compatible avec:

<ph type="x-smartling-placeholder"></ph> Google SecOps <ph type="x-smartling-placeholder"></ph> SIEM

Google Security Operations fournit un ensemble de scripts d'ingestion, écrits en Python, destinés à être déployés en tant que fonctions Cloud Run. Ces scripts vous permettent pour ingérer des données à partir des sources de journal suivantes, répertoriées par nom et type de journal.

Armis Google Security Operations Integration
Aruba Central (ARUBA_CENTRAL)
Azure Event Hub (configurable log type)
Box (BOX)
Citrix Cloud audit logs (CITRIX_MONITOR)
Citrix session metadata (CITRIX_SESSION_METADATA)
Cloud Storage (configurable log type)
Duo Admin (DUO_ADMIN)
MISP (MISP_IOC)
OneLogin (ONELOGIN_SSO)
OneLogin user context (ONELOGIN_USER_CONTEXT)
Proofpoint (configurable log type)
Pub/Sub (configurable log type)
Slack audit logs (SLACK_AUDIT)
STIX/TAXII threat intelligence (STIX)
Tenable.io (TENABLE_IO)
Trend Micro Cloud App Security (configurable log type)
Trend Micro Vision One audit logs (TREND_MICRO_VISION_AUDIT)

Ces scripts se trouvent dans le dossier "Google Security Operations" Dépôt GitHub

Limite connue:lorsque ces scripts sont utilisés dans un environnement sans état comme les fonctions Cloud Run, il est possible qu'elles n'enverront pas tous les journaux Google Security Operations, car il manque la fonctionnalité de point de contrôle. Google Security Operations a testé les scripts avec Python 3.9 environnement d'exécution.

Avant de commencer

Consultez les ressources suivantes, qui fournissent du contexte et des informations générales qui vous permettent d'utiliser efficacement les scripts d'ingestion Google Security Operations.

Déployer des fonctions Cloud Run pour des informations sur le déploiement des fonctions Cloud Run à partir de votre ordinateur local.
Créer des secrets et y accéder explique comment utiliser Secret Manager. Vous en aurez besoin pour stocker et accéder au fichier JSON du compte de service Google Security Operations.
Installez la Google Cloud CLI. Vous l'utiliserez pour déployer la fonction Cloud Run.
Documentation Google Cloud Pub/Sub prévoient d'ingérer des données à partir de Pub/Sub.

Assembler les fichiers pour un seul type de journal

Chaque sous-répertoire de Google Security Operations GitHub contient des fichiers qui pour ingérer des données pour un seul type de journal Google Security Operations. Le script se connecte appareil à source unique, puis envoie des journaux bruts à Google Security Operations à l'aide de la API d'ingestion. Nous vous recommandons de déployer chaque type de journal en tant que fonction Cloud Run. Accéder aux scripts dans le GitHub Google Security Operations un dépôt de clés. Chaque sous-répertoire de GitHub contient les fichiers suivants spécifiques au type de journal qu'il ingère.

main.py est le script d'ingestion spécifique au type de journal. Il se connecte à l'appareil source et ingère les données dans Google Security Operations.
.env.yml stocke la configuration requise par le script Python et est spécifiques au déploiement. Vous devez modifier ce fichier pour définir la configuration requis par le script d'ingestion.
README.md fournit des informations sur les paramètres de configuration.
Requirements.txt définit les dépendances requises par l'ingestion script. De plus, le dossier common contient des fonctions utilitaires qui dont dépendent les scripts d'ingestion.

Procédez comme suit pour assembler les fichiers qui ingèrent les données d'un seul type de journal:

Créez un répertoire de déploiement pour stocker les fichiers de la fonction Cloud Run. Il contiendra tous les fichiers nécessaires au déploiement.
Copiez tous les fichiers du sous-répertoire GitHub du type de journal sélectionné. (par exemple, le contexte utilisateur OneLogin) à ce répertoire de déploiement.
Copiez le dossier common et tout son contenu dans le répertoire de déploiement.

Le contenu du répertoire doit ressembler à ce qui suit:

one_login_user
├─common
│  ├─__init__.py
│  ├─auth.py
│  ├─env_constants.py
│  ├─ingest.py
│  ├─status.py
│  └─utils.py
├─env.yml
├─main.py
└─requirements.txt

Configurer les scripts

Lancez une session Cloud Shell.
Se connecter en SSH à une VM Linux Google Cloud Consultez la section Se connecter à des VM Linux à l'aide de Outils Google
Importez les scripts d'ingestion en cliquant sur Plus > Importer ou Télécharger pour déplacer vos fichiers ou dossiers vers ou depuis Cloud Shell.

Les fichiers et les dossiers ne peuvent être importés et téléchargés que depuis votre répertoire d'accueil. Pour accéder à d'autres options de transfert de fichiers entre Cloud Shell et votre poste de travail local, procédez comme suit : consultez la section [Importer et télécharger des fichiers et des dossiers depuis Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders).

Modifiez le fichier .env.yml pour la fonction et renseignez les champs variables d'environnement. Le tableau suivant répertorie l'environnement d'exécution variables communes à tous les scripts d'ingestion.

Nom de la variable	Description	Obligatoire	Par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client Google Security Operations.	Oui	Aucun	Non
`CHRONICLE_REGION`	Région Google Security Operations.	Oui	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Contenu du fichier JSON du compte de service Google Security Operations.	Oui	Aucun	Oui
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour sur les espaces de noms Google Security Operations, consultez Utiliser les espaces de noms d'éléments.	Non	Aucun	Non

Chaque script nécessite des variables d'environnement qui lui sont propres. Voir Paramètres de configuration par journal d'entraînement pour en savoir plus sur les variables d'environnement requises par chaque type de journal.

Les variables d'environnement marquées comme Secret = Yes doivent être configurées en tant que secrets dans Secret Manager. Consultez la page Secret Manager prix pour en savoir plus sur le coût d'utilisation Secret Manager.

Voir la section Créer et accéder secrets pour des instructions détaillées.

Une fois les secrets créés dans Secret Manager, utilisez le secret nom de ressource comme valeur des variables d'environnement. Par exemple: projects/{project_id}/secrets/{secret_id}/versions/{version_id}, où {project_id}, {secret_id} et {version_id} sont spécifiques à votre environnement.

Configurer un programmeur ou un déclencheur

Tous les scripts, à l'exception de Pub/Sub, sont implémentés pour collecter les données des intervalles périodiques à partir d'un appareil source. Vous devez configurer un déclencheur avec Cloud Scheduler pour récupérer des données au fil du temps Script d'ingestion pour Pub/Sub surveille en permanence l'abonnement Pub/Sub. Pour plus d'informations, consultez la section Exécuter des services selon un calendrier. Utiliser Pub/Sub pour déclencher une fonction Cloud Run

Déployer la fonction Cloud Run

Lancez une session Cloud Shell.
Se connecter via SSH à une VM Linux Google Cloud Voir Connectez-vous à des VM Linux à l'aide des outils Google.
Accédez au répertoire dans lequel vous avez copié les scripts d'ingestion.
Exécutez la commande suivante pour déployer la fonction Cloud Run.

gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml

Remplacez <FUNCTION_NAME> par le nom que vous définissez pour le fonction Cloud Run.

Remplacez <SERVICE_ACCOUNT_EMAIL> par l'adresse e-mail du service. que votre fonction Cloud Run doit utiliser. que votre fonction Cloud Run doit utiliser.

Si vous ne remplacez pas le répertoire par l'emplacement des fichiers, assurez-vous veillez à utiliser l'option --source pour spécifier l'emplacement des scripts de déploiement.

Le compte de service qui exécute votre fonction Cloud Run doit disposer Demandeur Cloud Functions (roles/cloudfunctions.invoker) et l'accesseur de secrets Secret Manager (roles/secretmanager.secretAccessor) de rôles.

Afficher les journaux d'exécution

Les scripts d'ingestion impriment les messages d'exécution dans stdout. Fonctions Cloud Run fournit un mécanisme permettant d'afficher les messages de journal. Pour en savoir plus, consultez la documentation Informations sur les fonctions concernant l'affichage de l'environnement d'exécution journaux.

Paramètres de configuration par type de journal

Intégration des opérations de sécurité avec Google Armis

Ce script collecte les données à l'aide d'appels d'API à partir de la plate-forme Armis pour différentes types d'événements tels que les alertes, les activités, les appareils et les vulnérabilités. Les données collectées sont ingérées dans Google Security Operations et analysées par les analyseurs correspondants.

Flux du script

Voici le flux du script:

Vérifier les variables d'environnement
Déployer le script sur les fonctions Cloud Run
Collectez des données à l'aide du script d'ingestion.
Ingérer les données collectées dans Google Security Operations
Analyser les données collectées via les analyseurs correspondants dans Google Security Operations

Utiliser un script pour collecter et ingérer des données dans Google Security Operations

Vérifier les variables d'environnement

Variable	Description	Obligatoire	Par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client Google Security Operations.	Oui	-	Non
`CHRONICLE_REGION`	Région Google Security Operations.	Oui	États-Unis	Oui
`CHRONICLE_SERVICE_ACCOUNT`	Contenu du fichier JSON du compte de service Google Security Operations.	Oui	-	Oui
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés.	Non	-	Non
`POLL_INTERVAL`	Intervalle de fréquence auquel la fonction s'exécute pour obtenir des	Intervalle de fréquence auquel la fonction s'exécute pour obtenir des (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler.	Oui	10	Non
`ARMIS_SERVER_URL`	URL du serveur de la plate-forme Armis.	Oui	-	Non
`ARMIS_API_SECRET_KEY`	Clé secrète requise pour l'authentification.	Oui	-	Oui
`HTTPS_PROXY`	URL du serveur proxy.	Non	-	Non
`CHRONICLE_DATA_TYPE`	Type de données Google Security Operations à utiliser pour transférer les données vers Google Security Operations	Oui	-	Non

Configurez le répertoire.

Créer un répertoire pour le déploiement des fonctions Cloud Run et l'ajouter un répertoire common et le contenu du script d'ingestion (armis).
Définissez les variables d'environnement d'exécution requises.

Définissez les variables d'environnement requises dans le fichier .env.yml.
Utilisez des secrets.

Les variables d'environnement marquées comme "secrets" doivent être configurées en tant que secrets dans Secret Manager. Pour en savoir plus sur la création de secrets, consultez Créer un secret.

Après avoir créé les secrets dans Secret Manager, utilisez la ressource du secret comme valeur pour les variables d'environnement. Exemple :

CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}
Configurez l'espace de noms.

Définissez la variable d'environnement CHRONICLE_NAMESPACE pour configurer l'espace de noms. Les journaux Google Security Operations sont ingérés dans l'espace de noms.
Déployer les fonctions Cloud Run

Exécutez la commande suivante à partir du répertoire créé précédemment pour déployer la fonction Cloud. gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml

Spécifications par défaut des fonctions Cloud Run

Variable	Par défaut	Description
Mémoire	256 MB	Aucun	Aucun
Délai expiré	60 secondes	Aucun	Aucun
Région	us-central1	Aucun	Aucun
Nombre minimal d'instances	0	Aucun	Aucun
Nombre maximal d'instances	100	Aucun	Aucun

Pour plus d'informations sur la configuration de ces variables, consultez la section Configurer Fonctions Cloud Run.

Extraire les données historiques

Pour extraire des données historiques et continuer à collecter des données en temps réel:
1. Configurez la variable d'environnement POLL_INTERVAL en quelques minutes pendant lesquelles les données historiques doivent être extraites.
2. Déclenchez la fonction à l'aide d'un programmeur ou manuellement en exécutant la commande dans Google Cloud CLI après avoir configuré les fonctions Cloud Run.

Aruba Centrale

Ce script extrait les journaux d'audit de la plate-forme Aruba Central et les ingère dans Google Security Operations avec le type de journal ARUBA_CENTRAL. Pour en savoir plus sur la bibliothèque, consultez la documentation pycentral pour Python SDK.

Définissez les variables d'environnement suivantes dans le fichier .env.yml.

Variable	Description	Par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le Fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour sur les espaces de noms Google Security Operations, consultez Utiliser les espaces de noms d'éléments.	Aucun	Non
`POLL_INTERVAL`	Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle du job Cloud Scheduler.	10	Non
`ARUBA_CLIENT_ID`	ID client de la passerelle API Aruba Central.	Aucun	Non
`ARUBA_CLIENT_SECRET_SECRET_PATH`	Code secret du client de la passerelle API Aruba Central.	Aucun	Oui
`ARUBA_USERNAME`	Nom d'utilisateur de la plate-forme Aruba Central.	Aucun	Non
`ARUBA_PASSWORD_SECRET_PATH`	Mot de passe de la plate-forme Aruba Central.	Aucun	Oui
`ARUBA_BASE_URL`	URL de base de la passerelle API Aruba Central.	Aucun	Non
`ARUBA_CUSTOMER_ID`	Numéro client de la plate-forme Aruba Central.	Aucun	Non

Azure Event Hub

Contrairement à d'autres scripts d'ingestion, ce script utilise les fonctions Azure pour extraire les événements depuis Azure Event Hub. Une fonction Azure se déclenche chaque fois qu’un nouvel événement est dans un bucket, et chaque événement est progressivement ingéré Google Security Operations.

Étapes pour déployer Azure Functions:

Téléchargez le fichier de connecteur de données Azure_eventhub_API_function_app.json du dépôt.
Connectez-vous à votre portail Microsoft Azure.
Accédez à Microsoft Sentinel > Sélectionnez votre espace de travail dans la liste > Sélectionnez Data Connector dans la section de configuration, puis procédez comme suit: <ph type="x-smartling-placeholder">
- Définissez l'indicateur suivant sur "true" dans l'URL: feature.BringYourOwnConnector=true Par exemple: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Recherchez le bouton Importer sur la page et importez les données. fichier de connecteur téléchargé à l'étape 1.
Cliquez sur le bouton Deploy to Azure (Déployer sur Azure) pour déployer votre fonction, puis suivez les les étapes mentionnées sur la même page.
Sélectionnez l'abonnement, le groupe de ressources et l'emplacement de votre choix. et fournissez les valeurs requises.
Cliquez sur Examiner + Créer.
Cliquez sur Créer pour procéder au déploiement.

Box

Ce script récupère des informations sur les événements qui se produisent dans Box et les ingère dans Google Security Operations avec le type de journal BOX. Les données fournissent des informations sur les opérations CRUD sur les objets dans l'environnement Box. Pour en savoir plus sur les événements Box, consultez l'API Box Events.

Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour plus des informations sur l'ID client, le code secret du client et l'ID d'objet Box, consultez la page Client Certificats Accorder pour en savoir plus.

Nom de la variable	Description	Valeur par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`POLL_INTERVAL`	Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle du job Cloud Scheduler.	5	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le Fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`BOX_CLIENT_ID`	ID client de la plate-forme Box, disponible dans la console pour les développeurs Box.	Aucun	Non
`BOX_CLIENT_SECRET`	Chemin d'accès au secret dans Secret Manager qui stocke le client secret de la plateforme Box utilisée pour l’authentification.	Aucun	Oui
`BOX_SUBJECT_ID`	ID utilisateur Box ou ID d'entreprise.	Aucun	Non
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour sur les espaces de noms Google Security Operations, consultez Utiliser les espaces de noms d'éléments.	Aucun	Non

Journaux d'audit Citrix Cloud

Ce script collecte les journaux d'audit Citrix Cloud et les ingère dans Google Security Operations avec le type de journal CITRIX_MONITOR Ces journaux permettent d'identifier les activités effectuées dans l'environnement Citrix Cloud en fournissant des informations sur ce qui a changé, qui l’a changé, quand il a été modifié, etc. Pour plus consultez le document Citrix Cloud SystemLog API.

Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour sur les ID client et codes secrets Citrix, consultez la page Premiers pas avec Citrix API.

Nom de la variable	Description	Valeur par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le Fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`CITRIX_CLIENT_ID`	ID client de l'API Citrix	Aucun	Non
`CITRIX_CLIENT_SECRET`	Chemin d'accès au secret dans Secret Manager qui stocke l'API Citrix Code secret du client utilisé pour l'authentification.	Aucun	Oui
`CITRIX_CUSTOMER_ID`	Numéro client Citrix.	Aucun	Non
`POLL_INTERVAL`	Intervalle de fréquence auquel des données de journaux supplémentaires sont collectées (en minutes). Cette durée doit être identique à celle du job Cloud Scheduler l'intervalle.	30	Non
`URL_DOMAIN`	Citrix Cloud Endpoint	Aucun	Non
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour sur les espaces de noms Google Security Operations, consultez Utiliser les espaces de noms d'éléments.	Aucun	Non

Métadonnées de session Citrix

Ce script collecte les métadonnées de session Citrix à partir des environnements Citrix et les ingère dans Google Security Operations avec le type de journal CITRIX_MONITOR. Ces données incluent : les identifiants de l'utilisateur, la durée de la session, l'heure de création de la session, l'heure de fin de la session, et d'autres métadonnées associées à la session. Pour en savoir plus, consultez les API Citrix Monitor Service

Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour sur les ID client et codes secrets Citrix, consultez la page Premiers pas avec Citrix API.

Nom de la variable	Description	Valeur par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le Fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`URL_DOMAIN`	Domaine d'URL Citrix.	Aucun	Non
`CITRIX_CLIENT_ID`	ID client Citrix.	Aucun	Non
`CITRIX_CLIENT_SECRET`	Chemin d'accès au secret dans Secret Manager qui stocke la bibliothèque Citrix Code secret du client utilisé pour l'authentification.	Aucun	Oui
`CITRIX_CUSTOMER_ID`	Numéro client Citrix	Aucun	Non
`POLL_INTERVAL`	Intervalle de fréquence auquel la fonction s'exécute pour obtenir de données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle du job Cloud Scheduler.	30	Non
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour sur les espaces de noms Google Security Operations, consultez la page Utiliser d'éléments.	Aucun	Non

Cloud Storage

Ce script extrait les journaux système de Cloud Storage et les ingère dans Google Security Operations avec une valeur configurable pour le type de journal. Pour en savoir plus, consultez le client Python Google Cloud bibliothèque.

Définissez les variables d'environnement suivantes dans le fichier .env.yml. Google Cloud contient des journaux de sécurité à partir desquels certains types de journaux ne peuvent pas être exportés directement. à Google Security Operations. Pour en savoir plus, consultez la section Journaux de sécurité données analytiques.

Variable	Description	Par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour en savoir plus sur les espaces de noms Google Security Operations, consultez Utiliser les espaces de noms d'éléments.	Aucun	Non
`POLL_INTERVAL`	Intervalle de fréquence d'exécution de la fonction pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler.	60	Non
`GCS_BUCKET_NAME`	Nom du bucket Cloud Storage à partir duquel extraire les données.	Aucun	Non
`GCP_SERVICE_ACCOUNT_SECRET_PATH`	Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Google Cloud.	Aucun	Oui
`CHRONICLE_DATA_TYPE`	Type de journal pour transférer les données vers l'instance Google Security Operations	Aucun	Non

Administrateur Duo

Le script récupère les événements de l’administrateur Duo liés aux opérations CRUD effectuées sur divers objets tels que le compte utilisateur et la sécurité. Les événements sont ingérés Google Security Operations avec le type de journal DUO_ADMIN Pour en savoir plus, consultez les API Duo Admin :

Définissez les variables d'environnement suivantes dans le fichier .env.yml.

Nom de la variable	Description	Valeur par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le Fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`POLL_INTERVAL`	Intervalle de fréquence auquel la fonction s'exécute pour obtenir de données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle du job Cloud Scheduler.	Aucun	Non
`DUO_API_DETAILS`	Chemin d'accès au secret qui stocke le compte Duo dans Secret Manager JSON. Ce dossier contient la clé d'intégration de l'API Duo Admin, Duo Admin la clé secrète de l’API et le nom d’hôte de l’API Duo Admin. Par exemple: `{ "ikey": "abcd123", "skey": "def345", "api_host": "abc-123" }` Consultez la documentation de Duo pour les administrateurs pour obtenir des instructions sur le téléchargement le fichier JSON.	Aucun	Oui
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour sur les espaces de noms Google Security Operations, consultez Utiliser les espaces de noms d'éléments.	Aucun	Non

MISP

Ce script récupère des informations sur les relations entre les menaces à partir de MISP, une menace Open Source d'intelligence et de partage, et les ingère dans Google Security Operations avec le type de journal MISP_IOC. Pour en savoir plus, consultez la page Événements MISP API.

Définissez les variables d'environnement suivantes dans le fichier .env.yml.

Variable	Description	Valeur par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`POLL_INTERVAL`	Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle du job Cloud Scheduler.	5	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le Fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`ORG_NAME`	Nom de l'organisation pour le filtrage des événements.	Aucun	Non
`API_KEY`	Chemin d'accès au secret dans Secret Manager qui stocke la clé API pour utilisé l'authentification.	Aucun	Oui
`TARGET_SERVER`	Adresse IP de l'instance MISP que vous avez créée.	Aucun	Non
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour sur les espaces de noms Google Security Operations, consultez la page Utiliser d'éléments.	Aucun	Non

Événements OneLogin

Ce script récupère les événements d'un environnement OneLogin et les ingère dans Google Security Operations avec le type de journal ONELOGIN_SSO Ces événements vous permettent des informations telles que les opérations sur les comptes utilisateur. Pour en savoir plus, consultez les Événements OneLogin API pour en savoir plus.

Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour sur les ID client et les codes secrets du client OneLogin, reportez-vous à la section Utiliser l'API Identifiants

Nom de la variable	Description	Valeur par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`POLL_INTERVAL`	Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle du job Cloud Scheduler.	5	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le Fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`CLIENT_ID`	ID client de la plate-forme OneLogin.	Aucun	Non
`CLIENT_SECRET`	Chemin d'accès au secret dans Secret Manager qui stocke le client secret de la plate-forme OneLogin utilisée pour l'authentification.	Aucun	Oui
`TOKEN_ENDPOINT`	URL pour demander un jeton d'accès.	`https://api.us.onelogin.com/auth/oauth2/v2/token`	Non
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour sur les espaces de noms Google Security Operations, consultez la page Utiliser d'éléments.	Aucun	Non

Contexte utilisateur OneLogin

Ce script récupère les données liées aux comptes utilisateur à partir d'un environnement OneLogin. les ingère dans Google Security Operations avec le type de journal ONELOGIN_USER_CONTEXT ; Pour en savoir plus, consultez la page OneLogin User API pour en savoir plus.

Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour sur les ID client et les codes secrets du client OneLogin, reportez-vous à la section Utiliser l'API Identifiants

Nom de la variable	Description	Valeur par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`POLL_INTERVAL`	Intervalle de fréquence auquel la fonction s'exécute pour obtenir de données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle du job Cloud Scheduler.	30	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le Fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`CLIENT_ID`	ID client de la plate-forme OneLogin.	Aucun	Non
`CLIENT_SECRET`	Chemin d'accès au secret dans Secret Manager qui stocke le client secret de la plate-forme OneLogin utilisée pour l'authentification.	Aucun	Oui
`TOKEN_ENDPOINT`	URL pour demander un jeton d'accès.	`https://api.us.onelogin.com/auth/oauth2/v2/token`	Non
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour sur les espaces de noms Google Security Operations, consultez la page Utiliser d'éléments.	Aucun	Non

Proofpoint

Ce script extrait des données sur les utilisateurs ciblés par des attaques d'une organisation donnée sur une période donnée et les ingère dans Google Security Operations. Pour en savoir plus sur l'API utilisée, consultez la page API People.

Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour en savoir plus sur l'obtention du compte principal de service Proofpoint et du secret Proofpoint, consultez le guide Fournir des identifiants TAP de preuve de preuve à Arctic Wolf.

Variable	Description	Par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour en savoir plus sur les espaces de noms Google Security Operations, consultez Utiliser les espaces de noms d'éléments.	Aucun	Non
`POLL_INTERVAL`	Intervalle de fréquence d'exécution de la fonction pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler.	360	Non
`CHRONICLE_DATA_TYPE`	Type de journal pour transférer les données vers l'instance Google Security Operations	Aucun	Non
`PROOFPOINT_SERVER_URL`	URL de base de la passerelle de l'API Proofpoint Server.	Aucun	Non
`PROOFPOINT_SERVICE_PRINCIPLE`	Nom d'utilisateur de la plate-forme Proofpoint. Il s'agit généralement du principal de service.	Aucun	Non
`PROOFPOINT_SECRET`	Chemin d'accès à Secret Manager avec la version, où est stocké le mot de passe de la plate-forme Proofpoint.	Aucun	Oui
`PROOFPOINT_RETRIEVAL_RANGE`	Nombre indiquant le nombre de jours pendant lesquels les données doivent être récupérées. Les valeurs acceptées sont 14, 30 et 90.	Aucun	Non

Pub/Sub

Ce script collecte les messages des abonnements Pub/Sub et ingère les vers Google Security Operations. Il surveille en permanence la passerelle d'abonnement et ingère les nouveaux messages lorsqu'ils apparaissent. Pour en savoir plus, consultez les documents suivants :

Ce script d'ingestion nécessite que vous définissiez des variables à la fois dans .env.yml et le job Cloud Scheduler.

Définissez les variables d'environnement suivantes dans le fichier .env.yml.

Nom de la variable	Description	Valeur par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke les opérations de sécurité Google fichier JSON du compte de service.	Aucun	Oui
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour sur les espaces de noms Google Security Operations, consultez la page Utiliser Espaces de noms des éléments	Aucun	Non

Définissez les variables suivantes dans le champ Corps du message de Cloud Scheduler sous la forme d'une chaîne au format JSON. Reportez-vous à la section Créer le Cloud Scheduler pour en savoir plus sur le champ Corps du message.

Nom de la variable	Description	Valeur par défaut	Secret
`PROJECT_ID`	ID du projet Pub/Sub. Consultez la section Créer et gérer des projets pour en savoir plus sur l'ID du projet.	Aucun	Non
`SUBSCRIPTION_ID`	ID d'abonnement Pub/Sub.	Aucun	Non
`CHRONICLE_DATA_TYPE`	Étiquette d'ingestion pour le type de journal fourni lors du transfert de données vers Google Security Operations. Consultez la section Analyseurs par défaut compatibles pour obtenir la liste des types de journaux compatibles.	Aucun	Non

Voici un exemple de chaîne au format JSON pour le champ Corps du message.

{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}

Journaux d'audit Slack

Ce script récupère les journaux d'audit d'une organisation Slack Enterprise Grid et les ingère dans Google Security Operations avec le type de journal SLACK_AUDIT. Pour plus plus d'informations, consultez la page Journaux d'audit Slack API.

Définissez les variables d'environnement suivantes dans le fichier .env.yml.

Nom de la variable	Description	Valeur par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le Fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`POLL_INTERVAL`	Intervalle de fréquence auquel la fonction s'exécute pour obtenir de données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle du job Cloud Scheduler.	5	Non
`SLACK_ADMIN_TOKEN`	Chemin d'accès au secret dans Secret Manager qui stocke le Slack Jeton d'authentification.	Aucune	Oui
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour sur les espaces de noms Google Security Operations, consultez la page Utiliser d'éléments.	Aucun	Non

STIX/TAXII

Ce script extrait des indicateurs du serveur STIX/TAXII et les ingère dans Google Security Operations. Pour en savoir plus, consultez la page sur l'API STIX/TAXII documentation. Définissez les variables d'environnement suivantes dans le fichier .env.yml.

Nom de la variable	Description	Par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`POLL_INTERVAL`	Intervalle de fréquence (en minutes) auquel la fonction s'exécute. Cette durée doit être identique à celle du job Cloud Scheduler.	60	Non
`TAXII_VERSION`	Version de STIX/TAXII à utiliser. Les options possibles sont 1.1, 2.0 et 2.1.	Aucun	Non
`TAXII_DISCOVERY_URL`	URL de découverte du serveur TAXII.	Aucun	Non
`TAXII_COLLECTION_NAMES`	Collections (CSV) à partir desquelles extraire les données. Laissez ce champ vide pour récupérer les données de toutes les collections.	Aucun	Non
`TAXII_USERNAME`	Nom d'utilisateur requis pour l'authentification, le cas échéant.	Aucun	Non
`TAXII_PASSWORD_SECRET_PATH`	Mot de passe requis pour l'authentification, le cas échéant.	Aucun	Oui

Tenable.io

Ce script extrait les données sur les éléments et les failles de la plate-forme Tenable.io et les ingère dans Google Security Operations avec le type de journal TENABLE_IO. Pour plus d'informations sur la bibliothèque utilisée, reportez-vous à la documentation pyTenable SDK.

Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour en savoir plus sur les données sur les actifs et les failles, consultez la documentation de l'API Tenable.io: Exporter composants et Exporter les failles.

Variable	Description	Par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour en savoir plus sur les espaces de noms Google Security Operations, consultez Utiliser les espaces de noms d'éléments.	Aucun	Non
`POLL_INTERVAL`	Intervalle de fréquence d'exécution de la fonction pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler.	360	Non
`TENABLE_ACCESS_KEY`	Clé d'accès utilisée pour l'authentification.	Aucun	Non
`TENABLE_SECRET_KEY_PATH`	Chemin d'accès de Google Secret Manager avec la version où est stocké le mot de passe de Tenable Server.	Aucun	Oui
`TENABLE_DATA_TYPE`	Type de données à ingérer dans Google Security Operations. Valeurs possibles: ASSETS, VULNERABILITIES.	COMPOSANTS, VULNERABILITÉS	Non
`TENABLE_VULNERABILITY`	État des failles que vous souhaitez inclure dans l'exportation. Valeurs possibles : "OPEN", "REOPENED" et "FIXED".	OUVERT, ROUVERT	Non

Trend Micro Cloud App Security

Ce script extrait les journaux de sécurité de la plate-forme Trend Micro et les ingère. dans Google Security Operations. Pour plus d'informations sur l'API utilisée, consultez le guide de sécurité journaux API. Définissez les variables d'environnement suivantes dans le fichier .env.yml.

Variable	Description	Par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour en savoir plus sur les espaces de noms Google Security Operations, consultez Utiliser les espaces de noms d'éléments.	Aucun	Non
`POLL_INTERVAL`	Intervalle de fréquence d'exécution de la fonction pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler.	10	Non
`CHRONICLE_DATA_TYPE`	Type de journal pour transférer les données vers l'instance Google Security Operations	Aucun	Non
`TREND_MICRO_AUTHENTICATION_TOKEN`	Chemin d'accès de Google Secret Manager avec la version où est stocké le jeton d'authentification du serveur Trend Micro.	Aucun	Oui
`TREND_MICRO_SERVICE_URL`	URL du service Cloud App Security.	Aucun	Non
`TREND_MICRO_SERVICE`	Nom du service protégé, dont les journaux à récupérer. Accepte les valeurs séparées par une virgule. Valeurs possibles: Exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, Teams, Exchangeserver, salesforce_sandbox, salesforce_production, team_chat.	échange, sharepoint, onedrive, boîte de dépôt, boîte, googledrive, gmail, équipes, Exchangeserver, salesforce_sandbox, salesforce_production, team_chat	Non
`TREND_MICRO_EVENT`	Type d'événement lié à la sécurité, dont les journaux doivent être récupérés. Accepte les valeurs séparées par une virgule. Valeurs possibles: securityrisk, virtualanalyzer, ransomware, dlp.	sécuritéRisk, virtualanalyzer, rançongiciel, dlp	Non

Trend Micro Vision One

Ce script récupère les journaux d'audit de Trend Micro Vision One et les ingère dans Google Security Operations avec le type de journal TREND_MICRO_VISION_AUDIT. Pour sur l'API utilisée, consultez les journaux d'audit API. Définissez les variables d'environnement suivantes dans le fichier .env.yml.

Variable	Description	Par défaut	Secret
`CHRONICLE_CUSTOMER_ID`	Numéro client de l'instance Google Security Operations.	Aucun	Non
`CHRONICLE_REGION`	Région de l'instance Google Security Operations.	`us` Autres valeurs valides: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` et `northamerica-northeast2`.	Non
`CHRONICLE_SERVICE_ACCOUNT`	Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Google Security Operations.	Aucun	Oui
`CHRONICLE_NAMESPACE`	Espace de noms auquel les journaux Google Security Operations sont libellés. Pour en savoir plus sur les espaces de noms Google Security Operations, consultez Utiliser les espaces de noms d'éléments.	Aucun	Non
`POLL_INTERVAL`	Intervalle de fréquence d'exécution de la fonction pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler.	10	Non
`TREND_MICRO_AUTHENTICATION_TOKEN`	Chemin d'accès de Google Secret Manager avec la version où est stocké le jeton d'authentification du serveur Trend Micro.	Aucun	Oui
`TREND_MICRO_DOMAIN`	Région Trend Micro Vision One dans laquelle se trouve le point de terminaison du service.	Aucun	Non