Gunakan skrip penyerapan yang di-deploy sebagai Cloud Functions
Chronicle telah menyediakan serangkaian skrip penyerapan, yang ditulis dalam Python, yang dimaksudkan untuk di-deploy sebagai Cloud Functions. Skrip ini memungkinkan Anda menyerap data dari sumber log berikut, yang dicantumkan menurut nama dan jenis log.
- Armis Chronicle Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Skrip ini berada di repositori GitHub Chronicle.
Keterbatasan yang diketahui: Saat digunakan di lingkungan stateless seperti Cloud Functions, skrip ini mungkin tidak mengirim semua log ke Chronicle karena tidak memiliki fungsi checkpoint. Chronicle telah menguji skrip dengan runtime Python 3.9.
Sebelum memulai
Baca referensi berikut yang memberikan konteks dan informasi latar belakang sehingga Anda dapat menggunakan skrip penyerapan Chronicle secara efektif.
- Men-deploy Cloud Functions untuk mengetahui informasi tentang cara men-deploy Cloud Functions dari komputer lokal.
- Cara membuat dan mengakses secret menjelaskan cara menggunakan Secret Manager. Anda akan memerlukannya untuk menyimpan dan mengakses file JSON akun layanan Chronicle.
- Menginstal Google Cloud CLI. Anda akan menggunakannya untuk men-deploy Cloud Function.
- Dokumentasi Google Cloud Pub/Sub jika Anda berencana untuk menyerap data dari Pub/Sub.
Mengumpulkan file untuk satu jenis log
Setiap sub-direktori di Chronicle GitHub berisi file yang menyerap data untuk satu jenis log Chronicle. Skrip ini terhubung ke satu perangkat sumber, lalu mengirimkan log mentah ke Chronicle menggunakan Ingestion API. Sebaiknya deploy setiap jenis log sebagai Cloud Function terpisah. Akses skrip di repositori GitHub Chronicle. Setiap sub-direktori di GitHub berisi file berikut khusus untuk jenis log yang diserap.
main.pyadalah skrip penyerapan khusus untuk jenis log. API ini terhubung ke perangkat sumber dan menyerap data ke Chronicle..env.ymlmenyimpan konfigurasi yang diperlukan oleh skrip Python dan khusus untuk deployment. Anda dapat mengubah file ini untuk menetapkan parameter konfigurasi yang diperlukan oleh skrip penyerapan.README.mdmenyediakan informasi tentang parameter konfigurasi.Requirements.txtmenentukan dependensi yang diperlukan oleh skrip penyerapan. Selain itu, foldercommonberisi fungsi utilitas yang diandalkan oleh semua skrip penyerapan.
Lakukan langkah-langkah berikut untuk menyusun file yang menyerap data untuk satu jenis log:
- Buat direktori deployment guna menyimpan file untuk Cloud Function. File ini akan berisi semua file yang diperlukan untuk deployment.
- Salin semua file dari subdirektori GitHub jenis log yang dipilih, misalnya OneLogin User Context, ke direktori deployment ini.
- Salin folder
commondan semua konten ke direktori deployment. Isi direktori akan terlihat seperti berikut:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Mengonfigurasi skrip
- Luncurkan sesi Cloud Shell.
- Hubungkan SSH ke VM Google Cloud Linux. Baca artikel Terhubung ke VM Linux menggunakan alat Google.
Upload skrip penyerapan dengan mengklik Lainnya > Upload atau Download untuk memindahkan file atau folder ke atau dari Cloud Shell.
File dan folder hanya dapat diupload ke dan didownload dari direktori utama Anda. Guna mengetahui opsi selengkapnya untuk mentransfer file antara Cloud Shell dan workstation lokal, lihat [Mengupload dan mendownload file dan folder dari Cloud Shell](/shell/docs/upload-and-downloading-files#upload_and_download_files_and_folders.
Edit file
.env.ymluntuk fungsi dan isi variabel lingkungan yang diperlukan. Tabel berikut mencantumkan variabel lingkungan runtime yang umum untuk semua skrip penyerapan.Nama variabel Deskripsi Diperlukan Default Rahasia CHRONICLE_CUSTOMER_IDID pelanggan Chronicle. Ya Tidak ada Tidak CHRONICLE_REGIONRegion Chronicle. Ya us
Nilai valid lainnya:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,me-central2,me-west1, dannorthamerica-northeast2.Tidak CHRONICLE_SERVICE_ACCOUNTKonten file JSON akun layanan Chronicle. Ya Tidak ada Ya CHRONICLE_NAMESPACENamespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menggunakan namespace aset. Tidak Tidak ada Tidak Setiap skrip memerlukan variabel lingkungan khusus untuk skrip. Lihat Parameter konfigurasi menurut jenis log untuk mengetahui detail tentang variabel lingkungan yang diperlukan oleh setiap jenis log.
Variabel lingkungan yang ditandai sebagai Secret = Yes harus dikonfigurasi sebagai rahasia di Secret Manager. Lihat Harga Secret Manager untuk mengetahui informasi tentang biaya penggunaan Secret Manager.
Lihat Membuat dan mengakses secret untuk petunjuk mendetail.
Setelah secret dibuat di Secret Manager, gunakan
nama resource secret sebagai nilai untuk variabel lingkungan. Misalnya:
projects/{project_id}/secrets/{secret_id}/versions/{version_id}, dengan {project_id}, {secret_id},
dan {version_id} khusus untuk lingkungan Anda.
Menyiapkan penjadwal atau pemicu
Semua skrip, kecuali Pub/Sub, diimplementasikan untuk mengumpulkan data pada interval berkala dari perangkat sumber. Anda harus menyiapkan pemicu menggunakan Cloud Scheduler untuk mengambil data dari waktu ke waktu. Skrip penyerapan untuk Pub/Sub terus memantau langganan Pub/Sub. Untuk mengetahui informasi selengkapnya, lihat Menjalankan layanan sesuai jadwal dan Menggunakan Pub/Sub untuk memicu Cloud Function.
Men-deploy Cloud Function
- Luncurkan sesi Cloud Shell.
- Hubungkan ke VM Google Cloud Linux melalui SSH. Baca artikel Terhubung ke VM Linux menggunakan alat Google.
- Ubah ke direktori tempat Anda menyalin skrip penyerapan.
Jalankan perintah berikut untuk men-deploy Cloud Function.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlGanti
<FUNCTION_NAME>dengan nama yang Anda tentukan untuk Cloud Function.Ganti
<SERVICE_ACCOUNT_EMAIL>dengan alamat email akun layanan yang ingin digunakan oleh Cloud Function Anda.Jika Anda tidak mengubah direktori ke lokasi file, pastikan Anda menggunakan opsi
--sourceuntuk menentukan lokasi skrip deployment.Akun layanan yang menjalankan Cloud Function Anda harus memiliki peran Cloud Functions Invoker (
roles/cloudfunctions.invoker) dan Secret Manager Secret Accessor (roles/secretmanager.secretAccessor).
Lihat log runtime
Skrip penyerapan akan mencetak pesan runtime ke stdout. Cloud Functions menyediakan mekanisme untuk melihat pesan log. Untuk mengetahui informasi selengkapnya, lihat informasi Cloud Functions tentang Melihat log runtime.
Parameter konfigurasi menurut jenis log
Integrasi Armis Chronicle
Skrip ini mengumpulkan data menggunakan panggilan API dari platform Armis untuk berbagai jenis peristiwa seperti pemberitahuan, aktivitas, perangkat, dan kerentanan. Data yang dikumpulkan akan ditransfer ke Chronicle dan diuraikan oleh parser yang sesuai.
Alur skrip
Berikut adalah alur skripnya:
Memverifikasi variabel lingkungan.
Men-deploy skrip ke Cloud Functions.
Kumpulkan data menggunakan skrip penyerapan.
Serap data yang dikumpulkan ke Chronicle.
Mengurai data yang dikumpulkan melalui parser yang sesuai di Chronicle.
Gunakan skrip untuk mengumpulkan dan menyerap data ke Chronicle
Memverifikasi variabel lingkungan.
Variabel Deskripsi Wajib Default Rahasia CHRONICLE_CUSTOMER_IDID pelanggan Chronicle. Ya - Tidak CHRONICLE_REGIONRegion Chronicle. Ya US Ya CHRONICLE_SERVICE_ACCOUNTKonten file JSON akun layanan Chronicle. Ya - Ya CHRONICLE_NAMESPACENamespace yang diberi label dalam log Chronicle. Tidak - Tidak POLL_INTERVALInterval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. Ya 10 Tidak ARMIS_SERVER_URLURL server platform Armis. Ya - Tidak ARMIS_API_SECRET_KEYKunci rahasia diperlukan untuk mengautentikasi. Ya - Ya HTTPS_PROXYURL server proxy. Tidak - Tidak CHRONICLE_DATA_TYPEJenis data Chronicle untuk mengirim data ke Chronicle. Ya - Tidak Siapkan direktori.
Buat direktori baru untuk deployment Cloud Functions, lalu tambahkan direktori
commondan konten skrip penyerapan (armis) ke dalamnya.Tetapkan variabel lingkungan runtime yang diperlukan.
Tentukan variabel lingkungan yang diperlukan dalam file
.env.yml.Menggunakan secret.
Variabel lingkungan yang ditandai sebagai rahasia harus dikonfigurasi sebagai rahasia dalam Secret Manager. Untuk mengetahui informasi selengkapnya tentang cara membuat secret, lihat Membuat rahasia.
Setelah membuat secret di Secret Manager, gunakan nama resource secret sebagai nilai untuk variabel lingkungan. Contoh:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Konfigurasikan namespace.
Tetapkan variabel lingkungan
CHRONICLE_NAMESPACEuntuk mengonfigurasi namespace. Log Chronicle diserap ke dalam namespace.Men-deploy Cloud Functions.
Jalankan perintah berikut dari dalam direktori yang dibuat sebelumnya untuk men-deploy cloud function.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSpesifikasi default Cloud Functions.
Variabel Default Deskripsi Memori 256 MB Tidak ada Waktu habis 60 detik Tidak ada Region us-central1 Tidak ada Instance Minimum 0 Tidak ada Instance Maksimum 100 Tidak ada Untuk informasi selengkapnya tentang cara mengonfigurasi variabel ini, lihat artikel Mengonfigurasi Cloud Functions.
Mengambil data historis.
Untuk mengambil data historis dan terus mengumpulkan data real-time:
- Konfigurasikan variabel lingkungan
POLL_INTERVALdalam hitungan menit yang mengharuskan pengambilan data historis. - Picu fungsi menggunakan penjadwal atau secara manual dengan menjalankan perintah di Google Cloud CLI setelah mengonfigurasi Cloud Functions.
- Konfigurasikan variabel lingkungan
Aruba Tengah
Skrip ini mengambil log audit dari platform Aruba Central dan memasukkannya ke dalam Chronicle dengan jenis log ARUBA_CENTRAL. Untuk mengetahui informasi tentang cara penggunaan library ini, lihat pycentral Python SDK.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Variabel | Deskripsi | Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 10 | Tidak |
ARUBA_CLIENT_ID |
Client ID gateway API Aruba Central API. | Tidak ada | Tidak |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Rahasia klien gateway API Aruba Central API. | Tidak ada | Ya |
ARUBA_USERNAME |
Nama pengguna platform Aruba Central. | Tidak ada | Tidak |
ARUBA_PASSWORD_SECRET_PATH |
Sandi platform Aruba Central. | Tidak ada | Ya |
ARUBA_BASE_URL |
URL dasar gateway Aruba Central API. | Tidak ada | Tidak |
ARUBA_CUSTOMER_ID |
ID Pelanggan platform Aruba Central. | Tidak ada | Tidak |
Pusat Acara Azure
Tidak seperti skrip penyerapan lainnya, skrip ini menggunakan fungsi Azure untuk mengambil peristiwa dari Azure Event Hub. Fungsi Azure memicu dirinya sendiri setiap kali peristiwa baru ditambahkan ke dalam bucket, dan setiap peristiwa secara bertahap ditransfer ke Chronicle.
Langkah-langkah untuk men-deploy fungsi Azure:
- Download file konektor data bernama
Azure_eventhub_API_function_app.jsondari repositori. - Login ke portal Microsoft Azure Anda.
- Buka Microsoft Sentinel > Select your workspace dari daftar > Select Data Connector di bagian konfigurasi, lalu lakukan hal berikut:
- Tetapkan tanda berikut sebagai benar (true) di URL:
feature.BringYourOwnConnector=true. Misalnya: https://portal.azure.com/?feature.BringYourOwnConnector=true&...
- Tetapkan tanda berikut sebagai benar (true) di URL:
- Temukan tombol import di halaman, lalu impor file konektor data yang didownload pada langkah 1.
- Klik tombol Deploy to Azure untuk men-deploy fungsi Anda, lalu ikuti langkah-langkah yang disebutkan di halaman yang sama.
- Pilih Langganan, Grup resource, dan Lokasi yang diinginkan, lalu berikan nilai yang diperlukan.
- Klik Review + Create.
- Klik Create untuk men-deploy.
Box
Skrip ini mendapatkan detail tentang peristiwa yang terjadi dalam Box dan menyerapnya
ke dalam Chronicle dengan jenis log BOX. Data tersebut memberikan insight tentang operasi CRUD pada objek di lingkungan Box. Untuk mengetahui informasi tentang peristiwa Box, lihat API peristiwa Box.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk mengetahui informasi selengkapnya tentang Client ID Box, Rahasia Klien, dan ID Subjek, lihat Pemberian Kredensial Klien.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 5 | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
BOX_CLIENT_ID |
Client ID platform Box, tersedia di konsol developer Box. | Tidak ada | Tidak |
BOX_CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan rahasia klien platform Box yang digunakan untuk autentikasi. | Tidak ada | Ya |
BOX_SUBJECT_ID |
ID Pengguna Box atau ID Perusahaan. | Tidak ada | Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
Log audit Citrix Cloud
Skrip ini mengumpulkan log audit Citrix Cloud dan memasukkannya ke dalam Chronicle dengan jenis log CITRIX_MONITOR. Log ini membantu mengidentifikasi aktivitas yang dilakukan di lingkungan Citrix Cloud dengan menyediakan informasi tentang apa yang berubah, siapa yang mengubahnya, kapan diubah, dan sebagainya. Untuk mengetahui informasi selengkapnya, lihat Citrix Cloud SystemLog API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk informasi
tentang Client ID dan Rahasia Klien Citrix, lihat
Memulai API Citrix.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
CITRIX_CLIENT_ID |
Client ID Citrix API. | Tidak ada | Tidak |
CITRIX_CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan Client Secret Citrix API yang digunakan untuk autentikasi. | Tidak ada | Ya |
CITRIX_CUSTOMER_ID |
ID Pelanggan Citrix. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat data log tambahan dikumpulkan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 30 | Tidak |
URL_DOMAIN |
Citrix Cloud Endpoint. | Tidak ada | Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
Metadata sesi Citrix
Skrip ini mengumpulkan metadata sesi Citrix dari lingkungan Citrix dan memasukkannya ke dalam Chronicle dengan jenis log CITRIX_MONITOR. Data tersebut mencakup detail login pengguna, durasi sesi, waktu pembuatan sesi, waktu berakhirnya sesi, dan metadata lain yang terkait dengan sesi. Untuk mengetahui informasi selengkapnya, lihat
Citrix Monitor Service API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk informasi
tentang Client ID dan Rahasia Klien Citrix, lihat
Memulai API Citrix.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
URL_DOMAIN |
Domain URL Citrix. | Tidak ada | Tidak |
CITRIX_CLIENT_ID |
Client-ID Citrix. | Tidak ada | Tidak |
CITRIX_CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan Rahasia Klien Citrix yang digunakan untuk autentikasi. | Tidak ada | Ya |
CITRIX_CUSTOMER_ID |
ID pelanggan Citrix. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 30 | Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menangani namespace aset. | Tidak ada | Tidak |
Cloud Storage
Skrip ini mengambil log sistem dari Cloud Storage dan menyerapnya ke dalam Chronicle dengan nilai yang dapat dikonfigurasi untuk jenis log tersebut. Untuk mengetahui detailnya, lihat library klien Google Cloud Python.
Tentukan variabel lingkungan berikut dalam file .env.yml. Google Cloud memiliki log yang relevan dengan keamanan. Beberapa jenis log tidak dapat diekspor langsung ke Chronicle. Untuk mengetahui informasi selengkapnya, lihat Analisis log keamanan.
| Variabel | Deskripsi | Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke rahasia di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 60 | Tidak |
GCS_BUCKET_NAME |
Nama bucket Cloud Storage tempat data diambil. | Tidak ada | Tidak |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Jalur ke secret di Secret Manager yang menyimpan file JSON Akun Layanan Google Cloud. | Tidak ada | Ya |
CHRONICLE_DATA_TYPE |
Jenis log untuk mengirim data ke instance Chronicle. | Tidak ada | Tidak |
Admin Duo
Skrip ini mendapatkan peristiwa dari Duo Admin terkait operasi CRUD yang dilakukan di berbagai objek seperti keamanan dan akun pengguna. Peristiwa ini ditransfer ke Chronicle dengan jenis log DUO_ADMIN. Untuk mengetahui informasi selengkapnya, lihat
Duo Admin API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | Tidak ada | Tidak |
DUO_API_DETAILS |
Jalur ke secret di Secret Manager yang menyimpan file JSON
akun Duo. Kunci ini berisi kunci integrasi Duo Admin API, kunci rahasia Duo Admin API, dan nama host Duo Admin API. Misalnya:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Lihat dokumentasi Admin Duo untuk mengetahui petunjuk tentang cara mendownload file JSON. |
Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
ISP
Skrip ini mengambil informasi hubungan ancaman dari MISP, yakni platform berbagi dan kecerdasan ancaman open source, lalu menyerapnya ke dalam Chronicle dengan jenis log MISP_IOC. Untuk informasi selengkapnya, lihat
MISP Events API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 5 | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
ORG_NAME |
Nama organisasi untuk peristiwa pemfilteran. | Tidak ada | Tidak |
API_KEY |
Jalur ke secret di Secret Manager yang menyimpan kunci API untuk autentikasi yang digunakan. | Tidak ada | Ya |
TARGET_SERVER |
Alamat IP instance MISP yang Anda buat. | Tidak ada | Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menangani namespace aset. | Tidak ada | Tidak |
Peristiwa OneLogin
Skrip ini mengambil peristiwa dari lingkungan OneLogin dan memasukkannya ke dalam Chronicle dengan jenis log ONELOGIN_SSO. Peristiwa ini memberikan informasi seperti operasi pada akun pengguna. Untuk mengetahui informasi selengkapnya, lihat OneLogin Events API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk informasi tentang Client ID dan Rahasia Klien OneLogin, lihat Bekerja dengan Kredensial API.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 5 | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
CLIENT_ID |
Client ID platform OneLogin. | Tidak ada | Tidak |
CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan rahasia klien platform OneLogin yang digunakan untuk autentikasi. | Tidak ada | Ya |
TOKEN_ENDPOINT |
URL untuk meminta Token Akses. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menangani namespace aset. | Tidak ada | Tidak |
Konteks pengguna OneLogin
Skrip ini mendapatkan data yang terkait dengan akun pengguna dari lingkungan OneLogin dan
menyerapnya ke Chronicle dengan jenis log ONELOGIN_USER_CONTEXT. Untuk informasi selengkapnya, lihat OneLogin User API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk informasi tentang Client ID dan Rahasia Klien OneLogin, lihat Bekerja dengan Kredensial API.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 30 | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
CLIENT_ID |
Client ID platform OneLogin. | Tidak ada | Tidak |
CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan rahasia klien platform OneLogin yang digunakan untuk autentikasi. | Tidak ada | Ya |
TOKEN_ENDPOINT |
URL untuk meminta Token Akses. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menangani namespace aset. | Tidak ada | Tidak |
Bukti
Skrip ini mengambil data tentang pengguna yang menjadi target serangan dari organisasi tertentu dalam jangka waktu tertentu, lalu menyerap data tersebut ke dalam Chronicle. Untuk informasi tentang API yang digunakan, lihat People API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk mengetahui detail tentang cara mendapatkan akun utama layanan Proofpoint dan rahasia Proofpoint, lihat Panduan konfigurasi TAP memberikan bukti checkpoint ke Arctic Wolf.
| Variabel | Deskripsi | Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke rahasia di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 360 | Tidak |
CHRONICLE_DATA_TYPE |
Jenis log untuk mengirim data ke instance Chronicle. | Tidak ada | Tidak |
PROOFPOINT_SERVER_URL |
URL dasar gateway Proofpoint Server API. | Tidak ada | Tidak |
PROOFPOINT_SERVICE_PRINCIPLE |
Nama pengguna platform Proofpoint. Akun ini biasanya adalah akun utama layanan. | Tidak ada | Tidak |
PROOFPOINT_SECRET |
Jalur Secret Manager dengan versi, tempat sandi platform Proofpoint disimpan. | Tidak ada | Ya |
PROOFPOINT_RETRIEVAL_RANGE |
Angka yang menunjukkan dari berapa hari data harus diambil. Nilai yang diterima adalah 14, 30, dan 90. | Tidak ada | Tidak |
Pub/Sub
Skrip ini mengumpulkan pesan dari langganan Pub/Sub dan menyerap datanya ke Chronicle. Layanan ini terus memantau gateway langganan dan menyerap pesan yang lebih baru saat muncul. Untuk informasi selengkapnya, baca dokumen berikut:
Skrip penyerapan ini mengharuskan Anda menetapkan variabel di file .env.yml dan tugas Cloud Scheduler.
Tentukan variabel lingkungan berikut dalam file
.env.yml.Nama variabel Deskripsi Nilai Default Rahasia CHRONICLE_CUSTOMER_IDID pelanggan instance Chronicle. Tidak ada Tidak CHRONICLE_REGIONRegion instance Chronicle. us
Nilai valid lainnya:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,me-central2,me-west1, dannorthamerica-northeast2.Tidak CHRONICLE_SERVICE_ACCOUNTJalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle. Tidak ada Ya CHRONICLE_NAMESPACENamespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menggunakan Name Namespace Aset. Tidak ada Tidak Tetapkan variabel berikut di kolom Message body Cloud Scheduler sebagai string berformat JSON. Baca cara membuat Cloud Scheduler untuk mengetahui informasi selengkapnya tentang kolom Isi pesan.
Nama variabel Deskripsi Nilai Default Rahasia PROJECT_IDID project Pub/Sub. Baca artikel membuat dan mengelola project untuk mengetahui informasi tentang ID project. Tidak ada Tidak SUBSCRIPTION_IDID Langganan Pub/Sub. Tidak ada Tidak CHRONICLE_DATA_TYPELabel proses transfer untuk jenis log yang disediakan saat mengirim data ke Chronicle. Lihat Parser default yang didukung untuk mengetahui daftar jenis log yang didukung. Tidak ada Tidak Berikut adalah contoh string berformat JSON untuk kolom Isi pesan.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Log audit Slack
Skrip ini mendapatkan log audit dari organisasi Slack Enterprise Grid dan menyerapnya ke dalam Chronicle dengan jenis log SLACK_AUDIT. Untuk mengetahui informasi selengkapnya, lihat Slack Audit Logs API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 5 | Tidak |
SLACK_ADMIN_TOKEN |
Jalur ke secret di Secret Manager yang menyimpan token Autentikasi Slack. |
Tidak ada |
Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menangani namespace aset. | Tidak ada | Tidak |
STIX/TAXII
Skrip ini mengambil indikator dari server STIX/TAXII dan memasukkannya ke
Chronicle. Untuk mengetahui informasi selengkapnya, lihat
dokumentasi STIX/TAXII API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Nama Variabel | Deskripsi | Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke rahasia di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
POLL_INTERVAL |
Interval frekuensi (dalam menit) saat fungsi dieksekusi. Durasi ini harus sama dengan tugas Cloud Scheduler. | 60 | Tidak |
TAXII_VERSION |
Versi STIX/TAXII yang akan digunakan. Opsi yang memungkinkan adalah 1.1, 2.0, 2.1 | Tidak ada | Tidak |
TAXII_DISCOVERY_URL |
URL penemuan server TAXII. | Tidak ada | Tidak |
TAXII_COLLECTION_NAMES |
Koleksi (CSV) yang digunakan untuk mengambil data. Biarkan kosong untuk mengambil data dari semua koleksi. | Tidak ada | Tidak |
TAXII_USERNAME |
Nama pengguna wajib diisi untuk autentikasi, jika ada. | Tidak ada | Tidak |
TAXII_PASSWORD_SECRET_PATH |
Kata sandi diperlukan untuk autentikasi, jika ada. | Tidak ada | Ya |
Tenable.io
Skrip ini mengambil data aset dan kerentanan dari platform Tenable.io dan menyerapnya ke dalam Chronicle dengan jenis log TENABLE_IO. Untuk mengetahui informasi tentang library yang digunakan, lihat pyTenable Python SDK.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk mengetahui detail tentang data aset dan kerentanan, lihat Tenable.io API: Mengekspor aset dan Mengekspor kerentanan.
| Variabel | Deskripsi | Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke rahasia di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 360 | Tidak |
TENABLE_ACCESS_KEY |
Kunci akses yang digunakan untuk autentikasi. | Tidak ada | Tidak |
TENABLE_SECRET_KEY_PATH |
Jalur Google Secret Manager dengan versi, tempat sandi untuk Tenable Server disimpan. | Tidak ada | Ya |
TENABLE_DATA_TYPE |
Jenis data yang akan diserap di Chronicle. Nilai yang Mungkin: ASET, VULNERABILITAS. | ASET, VULNERABILITAS | Tidak |
TENABLE_VULNERABILITY |
Status kerentanan yang ingin disertakan dalam ekspor. Nilai yang memungkinkan: `OPEN`, `REOPENED`, dan `FIXED`. | DIBUKA, DIBUKA KEMBALI | Tidak |
Keamanan Aplikasi Trend Micro Cloud
Skrip ini mengambil log keamanan dari platform Trend Micro dan memasukkannya ke dalam Chronicle. Untuk informasi tentang API yang digunakan, lihat API log keamanan. Tentukan variabel lingkungan berikut dalam file .env.yml.
| Variabel | Deskripsi | Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke rahasia di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 10 | Tidak |
CHRONICLE_DATA_TYPE |
Jenis log untuk mengirim data ke instance Chronicle. | Tidak ada | Tidak |
TREND_MICRO_AUTHENTICATION_TOKEN |
Jalur Google Secret Manager dengan versi, tempat token autentikasi untuk Trend Micro Server disimpan. | Tidak ada | Ya |
TREND_MICRO_SERVICE_URL |
URL layanan layanan Keamanan Aplikasi Cloud. | Tidak ada | Tidak |
TREND_MICRO_SERVICE |
Nama layanan yang dilindungi, yang lognya akan diambil. Mendukung nilai yang dipisahkan koma. Nilai yang memungkinkan: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, Teams, exchangeserver, salesforce_sandbox, salesforce_production, Teams_chat. | exchange, sharepoint, onedrive, dropbox, kotak, googledrive, gmail, tim, exchangeserver, salesforce_sandbox, salesforce_production, Teams_chat | Tidak |
TREND_MICRO_EVENT |
Jenis peristiwa keamanan, yang lognya akan diambil. Mendukung nilai yang dipisahkan koma. Nilai yang mungkin: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | Tidak |
Trend Micro Vision One
Skrip ini mengambil log audit Trend Micro Vision One dan memasukkannya ke dalam Chronicle dengan jenis log TREND_MICRO_VISION_AUDIT. Untuk informasi tentang API yang digunakan, lihat API log audit. Tentukan variabel lingkungan berikut dalam file .env.yml.
| Variabel | Deskripsi | Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle. | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke rahasia di Secret Manager yang menyimpan file JSON akun layanan Chronicle. | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label dalam log Chronicle. Untuk mengetahui informasi tentang namespace Chronicle, lihat Menggunakan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 10 | Tidak |
TREND_MICRO_AUTHENTICATION_TOKEN |
Jalur Google Secret Manager dengan versi, tempat token autentikasi untuk Trend Micro Server disimpan. | Tidak ada | Ya |
TREND_MICRO_DOMAIN |
Region Trend Micro Vision One tempat endpoint layanan berada. | Tidak ada | Tidak |