Utilizza gli script di importazione di cui è stato eseguito il deployment come funzioni Cloud Run
Google Security Operations ha fornito un insieme di script di importazione, scritti in Python, il cui deployment è previsto come funzioni Cloud Run. Questi script ti consentono di importare i dati dalle seguenti origini log, elencate per nome e tipo di log.
- Armis Google Security Operations Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Questi script si trovano in Google Security Operations Repository GitHub.
Limitazione nota:quando questi script vengono utilizzati in un ambiente stateless come funzioni Cloud Run, potrebbero non inviare tutti i log Google Security Operations perché non dispone di funzionalità di checkpoint. Google Security Operations ha testato gli script con il runtime Python 3.9.
Prima di iniziare
Leggi le seguenti risorse che forniscono contesto e informazioni di sfondo che ti consentono di utilizzare in modo efficace gli script di importazione di Google Security Operations.
- Eseguire il deployment delle funzioni Cloud Run per informazioni su come eseguire il deployment delle funzioni Cloud Run dalla tua macchina locale.
- Creazione e accesso ai secret spiega come utilizzare Secret Manager. Ti servirà per archiviare e accedere al file JSON dell'account di servizio Google Security Operations.
- Installa Google Cloud CLI. Lo utilizzerai per il deployment della funzione Cloud Run.
- Documentazione di Google Cloud Pub/Sub se prevedi di importare dati da Pub/Sub.
Combina i file per un singolo tipo di log
Ogni sottodirectory in Google Security Operations GitHub contiene file importare i dati per un singolo tipo di log di Google Security Operations. Lo script si collega a uno dispositivo di origine e invia i log non elaborati a Google Security Operations utilizzando API Ingestion. Ti consigliamo di eseguire il deployment di ogni tipo di log come server nella funzione Cloud Run. Accedi agli script nel GitHub di Google Security Operations repository Git. Ogni sottodirectory in GitHub contiene i seguenti file specifici al tipo di log che importa.
main.pyè lo script di importazione specifico per il tipo di log. Si connette il dispositivo di origine e importa i dati in Google Security Operations..env.ymlarchivia la configurazione richiesta dallo script Python e specifici del deployment. Modifica questo file per impostare la configurazione richiesti dallo script di importazione.README.mdfornisce informazioni sui parametri di configurazione.Requirements.txtdefinisce le dipendenze richieste dallo script di importazione. Inoltre, la cartellacommoncontiene funzioni di utilità che da cui dipendono gli script di importazione.
Per assemblare i file che importano i dati per un singolo tipo di log:
- Creare una directory di deployment in cui archiviare i file per la funzione Cloud Run. Questo conterrà tutti i file necessari per il deployment.
- Copia tutti i file dalla sottodirectory GitHub del tipo di log selezionato, ad esempio Contesto utente OneLogin, in questa directory di deployment.
- Copia la cartella
commone tutto il contenuto nella directory di deployment. Il contenuto della directory sarà simile al seguente:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Configura gli script
- Avvia una sessione di Cloud Shell.
- Connettiti tramite SSH a una VM Linux Google Cloud. Consulta Connettersi alle VM Linux utilizzando Strumenti Google.
Carica gli script di importazione facendo clic su Altro > Carica o Scarica per spostare i file o le cartelle da o verso Cloud Shell.
I file e le cartelle possono essere caricati e scaricati solo dalla home directory. Per altre opzioni per trasferire file tra Cloud Shell e la tua workstation locale, consulta [Carica e scarica file e cartelle da Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.
Modifica il file
.env.ymlper la funzione e compila le variabili di ambiente richieste. La tabella seguente elenca le variabili dell'ambiente di runtime comuni a tutti gli script di importazione.Nome variabile Descrizione Obbligatorio Predefinito Secret CHRONICLE_CUSTOMER_IDID cliente Google Security Operations. Sì Nessuno No CHRONICLE_REGIONRegione Google Security Operations. Sì us
Altri valori validi:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west12,me-central1,me-central2,me-west1enorthamerica-northeast2.No CHRONICLE_SERVICE_ACCOUNTContenuti del file JSON dell'account di servizio di Google Security Operations. Sì Nessuno Sì CHRONICLE_NAMESPACELo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. No Nessuno No Ogni script richiede variabili di ambiente specifiche. Consulta Parametri di configurazione per log tipo per informazioni dettagliate sulle variabili di ambiente richieste da ciascun tipo di log.
Le variabili di ambiente contrassegnate come Secret = Yes devono essere configurate come secret in Secret Manager. Per informazioni sul costo dell'utilizzo di Secret Manager, consulta la pagina Prezzi di Secret Manager.
Consulta la sezione Creare e accedere secret per istruzioni dettagliate.
Dopo aver creato i secret in Secret Manager, utilizza il secret
nome risorsa come valore per le variabili di ambiente. Ad esempio:
projects/{project_id}/secrets/{secret_id}/versions/{version_id}, dove
{project_id}, {secret_id} e {version_id} sono specifici del tuo
ambiente.
Configurare uno scheduler o un trigger
Tutti gli script, ad eccezione di Pub/Sub, vengono implementati per raccogliere i dati a intervalli periodici da un dispositivo di origine. Devi configurare un trigger utilizzando Cloud Scheduler per recuperare i dati nel tempo. Lo script di importazione per Pub/Sub monitora continuamente la sottoscrizione Pub/Sub. Per saperne di più, consulta Eseguire i servizi in base a una pianificazione e Utilizzare Pub/Sub per attivare una funzione Cloud Run.
Esegui il deployment della funzione Cloud Run
- Avvia una sessione di Cloud Shell.
- Connettiti tramite SSH a una VM Google Cloud Linux. Consulta Connettiti alle VM Linux utilizzando gli strumenti Google.
- Passa alla directory in cui hai copiato gli script di importazione.
Esegui questo comando per eseguire il deployment della funzione Cloud Run.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSostituisci
<FUNCTION_NAME>con il nome che definisci per la funzione Cloud Run.Sostituisci
<SERVICE_ACCOUNT_EMAIL>con l'indirizzo email del servizio che deve essere utilizzato dalla funzione Cloud Run. che deve essere utilizzato dalla funzione Cloud Run.Se non modifichi la directory nella posizione dei file, crea assicurati di utilizzare l'opzione
--sourceper specificare script di deployment.L'account di servizio che esegue la funzione Cloud Run deve avere Invoker di Cloud Functions (
roles/cloudfunctions.invoker) e la funzione di accesso ai secret di Secret Manager (roles/secretmanager.secretAccessor) ruoli.
Visualizza i log di runtime
Gli script di importazione stampano i messaggi di runtime su stdout. Le funzioni Cloud Run forniscono un meccanismo per visualizzare i messaggi di log. Per ulteriori informazioni, consulta la sezione Informazioni sulle funzioni sulla visualizzazione del runtime log.
Parametri di configurazione per tipo di log
Integrazione di Armis con Google Security Operations
Questo script raccoglie i dati utilizzando le chiamate API della piattaforma Armis per diversi tipi di eventi, come avvisi, attività, dispositivi e vulnerabilità. I dati raccolti vengono importati in Google Security Operations e analizzati dai relativi analizzatori.
Flusso di script
Di seguito è riportato il flusso dello script:
Verifica le variabili di ambiente.
Eseguire il deployment dello script nelle funzioni di Cloud Run.
Raccogli i dati utilizzando lo script di importazione.
Importa i dati raccolti in Google Security Operations.
Analizza i dati raccolti tramite i parser corrispondenti in Google Security Operations.
Utilizza uno script per raccogliere e importare dati in Google Security Operations
Verifica le variabili di ambiente.
Variabile Descrizione Obbligatorio Predefinito Segreto CHRONICLE_CUSTOMER_IDID cliente Google Security Operations. Sì - No CHRONICLE_REGIONRegione Google Security Operations. Sì US Sì CHRONICLE_SERVICE_ACCOUNTContenuti del file JSON dell'account di servizio Google Security Operations. Sì - Sì CHRONICLE_NAMESPACELo spazio dei nomi con cui sono etichettati i log di Google Security Operations. No - No POLL_INTERVALL'intervallo di frequenza con cui viene eseguita la funzione per ottenere L'intervallo di frequenza con cui viene eseguita la funzione per ottenere dati di log (in minuti). La durata deve corrispondere all'intervallo del job Cloud Scheduler. Sì 10 No ARMIS_SERVER_URLURL del server della piattaforma Armis. Sì - No ARMIS_API_SECRET_KEYChiave del secret obbligatoria per l'autenticazione. Sì - Sì HTTPS_PROXYURL del server proxy. No - No CHRONICLE_DATA_TYPETipo di dati di Google Security Operations per inviare i dati a Google Security Operations. Sì - No Configura la directory.
Crea una nuova directory per il deployment delle funzioni Cloud Run e aggiungi una directory
commone i contenuti dello script di importazione (armis).Imposta le variabili di ambiente di runtime richieste.
Definisci le variabili di ambiente richieste nel file
.env.yml.Utilizza i secret.
Le variabili di ambiente contrassegnate come secret devono essere configurate come secret in Secret Manager. Per ulteriori informazioni su come creare i secret, consulta Creare un secret.
Dopo aver creato i secret in Secret Manager, utilizza la risorsa del secret come valore per le variabili di ambiente. Ad esempio:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Configura lo spazio dei nomi.
Imposta la variabile di ambiente
CHRONICLE_NAMESPACEper configurare lo spazio dei nomi. I log di Google Security Operations vengono importati nello spazio dei nomi.Esegui il deployment delle funzioni Cloud Run.
Esegui questo comando dalla directory creata in precedenza per eseguire il deployment della funzione Cloud Functions.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSpecifiche predefinite delle funzioni Cloud Run.
Variabile Predefinito Descrizione Memoria 256 MB Nessuno Nessuno Tempo scaduto 60 secondi Nessuno Nessuno Regione us-central1 Nessuno Nessuno Numero minimo di istanze 0 Nessuno Nessuno Numero massimo di istanze 100 Nessuno Nessuno Per ulteriori informazioni su come configurare queste variabili, consulta Configurare le funzioni Cloud Run.
Recupera i dati storici.
Per recuperare i dati storici e continuare a raccogliere dati in tempo reale:
- Configura la variabile di ambiente
POLL_INTERVALin minuti per i quali devono essere recuperati i dati storici. - Attiva la funzione utilizzando uno scheduler o manualmente eseguendo il comando in Google Cloud CLI dopo aver configurato le funzioni di Cloud Run.
- Configura la variabile di ambiente
Aruba Central
Questo script recupera i log di controllo dalla piattaforma Aruba Central e li importa in Google Security Operations con il tipo di log ARUBA_CENTRAL. Per informazioni su
su come può essere utilizzata la libreria, consulta il documento pycentral Python
l'SDK.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato File JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
POLL_INTERVAL |
L'intervallo di frequenza con cui viene eseguita la funzione per ottenere dati di log aggiuntivi (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 10 | No |
ARUBA_CLIENT_ID |
ID client gateway API Aruba Central. | Nessuno | No |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Client secret del gateway API Aruba Central. | Nessuno | Sì |
ARUBA_USERNAME |
Nome utente della piattaforma Aruba Central. | Nessuno | No |
ARUBA_PASSWORD_SECRET_PATH |
Password della piattaforma Aruba Central. | Nessuno | Sì |
ARUBA_BASE_URL |
URL di base del gateway API Aruba Central. | Nessuno | No |
ARUBA_CUSTOMER_ID |
ID cliente della piattaforma Aruba Central. | Nessuno | No |
Azure Event Hub
A differenza di altri script di importazione, questo script utilizza le funzioni Azure per recuperare gli eventi da Azure Event Hub. Una funzione Azure si attiva ogni volta che un nuovo evento viene aggiunto a un bucket e ogni evento viene importato gradualmente in Google Security Operations.
Passaggi per eseguire il deployment delle funzioni Azure:
- Scarica il file del connettore dati denominato
Azure_eventhub_API_function_app.jsondal repository. - Accedi al portale di Microsoft Azure.
- Vai a Microsoft Sentinel > Seleziona la tua area di lavoro dall'elenco >
Seleziona Connettore dati nella sezione di configurazione e segui questi passaggi:
- Imposta il seguente flag come true nell'URL:
feature.BringYourOwnConnector=true. Ad esempio: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Individua il pulsante Importa nella pagina e importa il file del connettore di dati scaricato nel passaggio 1.
- Imposta il seguente flag come true nell'URL:
- Fai clic sul pulsante Deploy to Azure per eseguire il deployment della funzione e segui le passaggi indicati nella stessa pagina.
- Seleziona l'Abbonamento, il Gruppo di risorse e la Località preferiti e fornisci i valori richiesti.
- Fai clic su Rivedi e crea.
- Fai clic su Crea per eseguire il deployment.
Box
Questo script ottiene i dettagli sugli eventi che si verificano in Box e li importa
in Google Security Operations con il tipo di log BOX. I dati forniscono insight sulle operazioni CRUD sugli oggetti nell'ambiente Box. Per informazioni sugli eventi Box, consulta l'API Box events.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per maggiori informazioni sull'ID client, sul client secret e sull'ID soggetto di Box, consulta Concessione delle credenziali client.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato File JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
BOX_CLIENT_ID |
ID client della piattaforma Box, disponibile nella console per gli sviluppatori di Box. | Nessuno | No |
BOX_CLIENT_SECRET |
Percorso del secret in Secret Manager in cui è archiviato il client secret della piattaforma Box utilizzata per l'autenticazione. | Nessuno | Sì |
BOX_SUBJECT_ID |
ID utente di Box o ID azienda. | Nessuno | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
Audit log di Citrix Cloud
Questo script raccoglie gli audit log di Citrix Cloud e li importa in
Google Security Operations con il tipo di log CITRIX_MONITOR. Questi log consentono di identificare
di attività eseguite nell'ambiente Citrix Cloud fornendo informazioni
che cosa è cambiato, chi l'ha modificato, quando è stato modificato e così via. Per maggiori informazioni
consulta la documentazione Citrix Cloud SystemLog
tramite Google Cloud.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni su ID client e client secret di Citrix, consulta Iniziare a utilizzare le API di Citrix.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato File JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
CITRIX_CLIENT_ID |
ID client API Citrix. | Nessuno | No |
CITRIX_CLIENT_SECRET |
Percorso del secret in Secret Manager in cui è archiviata l'API Citrix Client secret utilizzato per l'autenticazione. | Nessuno | Sì |
CITRIX_CUSTOMER_ID |
ID cliente Citrix. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui vengono raccolti dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 30 | No |
URL_DOMAIN |
Citrix Cloud Endpoint. | Nessuno | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
Metadati della sessione Citrix
Questo script raccoglie i metadati delle sessioni Citrix dagli ambienti Citrix e li importa in Google Security Operations con il tipo di log CITRIX_MONITOR. I dati includono
dettagli di accesso dell'utente, durata della sessione, ora di creazione della sessione, ora di fine della sessione,
e altri metadati relativi alla sessione. Per ulteriori informazioni, consulta
API Citrix Monitor Service.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni su ID client e client secret di Citrix, consulta Iniziare a utilizzare le API di Citrix.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato File JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
URL_DOMAIN |
Dominio URL Citrix. | Nessuno | No |
CITRIX_CLIENT_ID |
ID client Citrix. | Nessuno | No |
CITRIX_CLIENT_SECRET |
Percorso del secret in Secret Manager in cui è archiviato Citrix Client secret utilizzato per l'autenticazione. | Nessuno | Sì |
CITRIX_CUSTOMER_ID |
ID cliente Citrix. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve corrispondere a l'intervallo del job Cloud Scheduler. | 30 | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
Cloud Storage
Questo script recupera i log di sistema da Cloud Storage e li importa in Google Security Operations con un valore configurabile per il tipo di log. Per maggiori dettagli, vedi il client Python di Google Cloud libreria di Google.
Definisci le seguenti variabili di ambiente nel file .env.yml. Google Cloud
ha log per la sicurezza dai quali alcuni tipi di log non sono esportabili direttamente
a Google Security Operations. Per ulteriori informazioni, vedi Log di sicurezza
e analisi.
| Variabile | Descrizione | Predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza in cui viene eseguita la funzione per ottenere dati di log aggiuntivi (in minuti). La durata deve corrispondere all'intervallo del job Cloud Scheduler. | 60 | No |
GCS_BUCKET_NAME |
Nome del bucket Cloud Storage da cui recuperare i dati. | Nessuno | No |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Cloud. | Nessuno | Sì |
CHRONICLE_DATA_TYPE |
Tipo di log per il push dei dati all'istanza Google Security Operations. | Nessuno | No |
Amministratore Duo
Lo script riceve dall'amministratore Duo eventi relativi alle operazioni CRUD eseguite su
come l'account utente e la sicurezza. Gli eventi vengono importati in Google Security Operations con il tipo di log DUO_ADMIN. Per ulteriori informazioni, consulta
API Duo Admin.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato File JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve corrispondere a l'intervallo del job Cloud Scheduler. | Nessuno | No |
DUO_API_DETAILS |
Percorso del segreto in Secret Manager che memorizza il file JSON dell'account Duo. Contiene la chiave di integrazione dell'API Duo Admin, la chiave segreta dell'API Duo Admin e l'hostname dell'API Duo Admin. Ad esempio:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Per istruzioni sul download, consulta la documentazione per l'amministratore di Duo il file JSON. |
Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
MISP
Questo script recupera le informazioni sulle relazioni di minaccia da MISP, una piattaforma di condivisione e di intelligence sulle minacce open source, e le importa in Google Security Operations con il tipo di log MISP_IOC. Per ulteriori informazioni, consulta l'API Eventi MISP.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato File JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
ORG_NAME |
Nome dell'organizzazione per filtrare gli eventi. | Nessuno | No |
API_KEY |
Percorso del secret in Secret Manager in cui è archiviata la chiave API l'autenticazione utilizzata. | Nessuno | Sì |
TARGET_SERVER |
L'indirizzo IP dell'istanza MISP che hai creato. | Nessuno | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
Eventi OneLogin
Questo script recupera gli eventi da un ambiente OneLogin e li importa in Google Security Operations con il tipo di log ONELOGIN_SSO. Questi eventi offrono
informazioni come le operazioni
sugli account utente. Per ulteriori informazioni, consulta
Eventi OneLogin
dell'API
di Google.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per
per informazioni sugli ID client e i client secret OneLogin, consulta Utilizzo delle API
Credenziali.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato File JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
CLIENT_ID |
ID cliente della piattaforma OneLogin. | Nessuno | No |
CLIENT_SECRET |
Percorso del secret in Secret Manager in cui è archiviato il client secret della piattaforma OneLogin utilizzata per l'autenticazione. | Nessuno | Sì |
TOKEN_ENDPOINT |
L'URL per richiedere un token di accesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
Contesto utente OneLogin
Questo script recupera i dati relativi agli account utente da un ambiente OneLogin e li importa in Google Security Operations con il tipo di log ONELOGIN_USER_CONTEXT.
Per ulteriori informazioni, consulta l'API OneLogin User.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per
per informazioni sugli ID client e i client secret OneLogin, consulta Utilizzo delle API
Credenziali.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere dati aggiuntivi dei log (in minuti). Questa durata deve corrispondere a l'intervallo del job Cloud Scheduler. | 30 | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato File JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
CLIENT_ID |
ID cliente della piattaforma OneLogin. | Nessuno | No |
CLIENT_SECRET |
Percorso del secret in Secret Manager in cui è archiviato il client secret della piattaforma OneLogin utilizzata per l'autenticazione. | Nessuno | Sì |
TOKEN_ENDPOINT |
L'URL per richiedere un token di accesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare spazi dei nomi degli asset. | Nessuno | No |
Proofpoint
Questo script recupera i dati sugli utenti scelti come bersaglio di attacchi da parte di una determinata organizzazione in un determinato periodo di tempo e li importa in Google Security Operations. Per informazioni sull'API utilizzata, vedi l'API People.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni dettagliate su come ottenere il principale servizio Proofpoint e il secret Proofpoint, consulta la guida alla configurazione per fornire le credenziali TAP di Proofpoint ad Arctic Wolf.
| Variabile | Descrizione | Predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere ulteriori dati di log (in minuti). La durata deve corrispondere all'intervallo del job Cloud Scheduler. | 360 | No |
CHRONICLE_DATA_TYPE |
Tipo di log per il push dei dati all'istanza Google Security Operations. | Nessuno | No |
PROOFPOINT_SERVER_URL |
URL di base del gateway API del server Proofpoint. | Nessuno | No |
PROOFPOINT_SERVICE_PRINCIPLE |
Nome utente della piattaforma Proofpoint. In genere si tratta del principale del servizio. | Nessuno | No |
PROOFPOINT_SECRET |
Percorso di Secret Manager con la versione in cui è memorizzata la password della piattaforma Proofpoint. | Nessuno | Sì |
PROOFPOINT_RETRIEVAL_RANGE |
Numero che indica per quanti giorni devono essere recuperati i dati. I valori accettati sono 14, 30 e 90. | Nessuno | No |
Pub/Sub
Questo script raccoglie i messaggi dalle sottoscrizioni Pub/Sub e importa i dati in Google Security Operations. Monitora continuamente il gateway di sottoscrizione e importa i messaggi più recenti quando vengono visualizzati. Per ulteriori informazioni, consulta seguenti documenti:
Questo script di importazione richiede l'impostazione di variabili sia nel file .env.yml
che nel job Cloud Scheduler.
Definisci le seguenti variabili di ambiente nel file
.env.yml.Nome variabile Descrizione Valore predefinito Secret CHRONICLE_CUSTOMER_IDID cliente dell'istanza Google Security Operations. Nessuno No CHRONICLE_REGIONRegione dell'istanza Google Security Operations. us
Altri valori validi:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west12,me-central1,me-central2,me-west1enorthamerica-northeast2.No CHRONICLE_SERVICE_ACCOUNTPercorso del segreto in Secret Manager che memorizza il file JSON dell'account di servizio Google Security Operations. Nessuno Sì CHRONICLE_NAMESPACELo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. Nessuno No Imposta le seguenti variabili nel campo Testo messaggio di Cloud Scheduler come stringa in formato JSON. Per ulteriori informazioni sul campo Testo messaggio, consulta la sezione sulla creazione di Cloud Scheduler.
Nome variabile Descrizione Valore predefinito Secret PROJECT_IDID progetto Pub/Sub. Per informazioni sull'ID progetto, consulta la sezione Creare e gestire progetti. Nessuno No SUBSCRIPTION_IDID sottoscrizione Pub/Sub. Nessuno No CHRONICLE_DATA_TYPEEtichetta di importazione per il tipo di log fornito durante l'invio dei dati a Google Security Operations. Consulta Parser predefiniti supportati per un elenco dei tipi di log supportati. Nessuno No Ecco un esempio di stringa in formato JSON per il campo Corpo del messaggio.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Audit log Slack
Questo script riceve gli audit log da un'organizzazione Slack Enterprise Grid e
li importa in Google Security Operations con il tipo di log SLACK_AUDIT. Per maggiori informazioni
informazioni, consulta Audit log di Slack
tramite Google Cloud.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato File JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
POLL_INTERVAL |
L'intervallo di frequenza con cui viene eseguita la funzione per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere a l'intervallo del job Cloud Scheduler. | 5 | No |
SLACK_ADMIN_TOKEN |
Percorso del secret in Secret Manager in cui è archiviato Slack
Token di autenticazione. |
Nessuna |
Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
STIX/TAXII
Questo script estrae gli indicatori dal server STIX/TAXII e li importa in
Google Security Operations. Per ulteriori informazioni, fai riferimento all’API STIX/TAXII
documentazione.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
POLL_INTERVAL |
Intervallo di frequenza (in minuti) a cui viene eseguita la funzione. La durata deve corrispondere a quella del job Cloud Scheduler. | 60 | No |
TAXII_VERSION |
La versione STIX/TAXII da utilizzare. Le opzioni possibili sono 1.1, 2.0, 2.1 | Nessuno | No |
TAXII_DISCOVERY_URL |
URL Discovery del server TAXII. | Nessuno | No |
TAXII_COLLECTION_NAMES |
Collezioni (CSV) da cui recuperare i dati. Lascia vuoto per recuperare i dati da tutte le raccolte. | Nessuno | No |
TAXII_USERNAME |
Nome utente richiesto per l'autenticazione, se presente. | Nessuno | No |
TAXII_PASSWORD_SECRET_PATH |
Password obbligatoria per l'autenticazione, se presente. | Nessuno | Sì |
Tenable.io
Questo script recupera i dati di asset e vulnerabilità dalla piattaforma Tenable.io
e lo importa in Google Security Operations con il tipo di log TENABLE_IO. Per informazioni sulla libreria utilizzata, consulta l'SDK Python pyTenable.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni dettagliate sui dati delle risorse e delle vulnerabilità, consulta l'API Tenable.io: Esportare risorse e Esportare vulnerabilità.
| Variabile | Descrizione | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere ulteriori dati di log (in minuti). La durata deve corrispondere all'intervallo del job Cloud Scheduler. | 360 | No |
TENABLE_ACCESS_KEY |
La chiave di accesso utilizzata per l'autenticazione. | Nessuno | No |
TENABLE_SECRET_KEY_PATH |
Percorso di Google Secret Manager con la versione in cui è archiviata la password per Tenable Server. | Nessuno | Sì |
TENABLE_DATA_TYPE |
Tipo di dati da importare in Google Security Operations. Valori possibili: ASSETS, VULNERABILITIES. | ASSET, VULNERABILITÀ | No |
TENABLE_VULNERABILITY |
Lo stato delle vulnerabilità che vuoi includere nell'esportazione. Valori possibili: "OPEN", "REOPENED" e "FIXED". | APERTO, RIAPERTO | No |
Sicurezza delle app Trend Micro Cloud
Questo script recupera i log di sicurezza dalla piattaforma Trend Micro e li importa
in Google Security Operations. Per informazioni sull'API utilizzata, consulta le
log
tramite Google Cloud.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, vedi Utilizzare gli spazi dei nomi delle risorse. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere ulteriori dati di log (in minuti). La durata deve corrispondere all'intervallo del job Cloud Scheduler. | 10 | No |
CHRONICLE_DATA_TYPE |
Tipo di log per il push dei dati all'istanza Google Security Operations. | Nessuno | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Percorso di Google Secret Manager con la versione in cui è memorizzato il token di autenticazione per Trend Micro Server. | Nessuno | Sì |
TREND_MICRO_SERVICE_URL |
URL del servizio Cloud App Security. | Nessuno | No |
TREND_MICRO_SERVICE |
Il nome del servizio protetto di cui recuperare i log. Supporta valori separati da virgole. Valori possibili: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, Teams, exchangeserver, Salesforce_sandbox, Salesforce_production, Teams_chat. | Exchange, sharepoint, onedrive, dropbox, casella, googledrive, gmail, team, Exchangeserver, Salesforce_sandbox, Salesforce_production, Teams_chat | No |
TREND_MICRO_EVENT |
Il tipo di evento di sicurezza di cui recuperare i log. Supporta i valori separati da virgole. Valori possibili: securityrisk, virtualanalyzer, ransomware, dlp. | rischio di sicurezza, virtualanalyzer, ransomware, dlp | No |
Trend Micro Vision One
Questo script recupera gli audit log di Trend Micro Vision One e li importa in Google Security Operations con il tipo di log TREND_MICRO_VISION_AUDIT. Per informazioni sull'API utilizzata, consulta l'API Audit Log.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Google Security Operations. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Google Security Operations. | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio di Google Security Operations. | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Google Security Operations. Per informazioni sugli spazi dei nomi di Google Security Operations, consulta Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui viene eseguita la funzione per ottenere ulteriori dati di log (in minuti). La durata deve corrispondere all'intervallo del job Cloud Scheduler. | 10 | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Percorso di Google Secret Manager con la versione in cui è memorizzato il token di autenticazione per Trend Micro Server. | Nessuno | Sì |
TREND_MICRO_DOMAIN |
Regione Trend Micro Vision One in cui si trova l'endpoint di servizio. | Nessuno | No |