Utilizza gli script di importazione di cui è stato eseguito il deployment come Cloud Functions

Chronicle ha fornito un set di script di importazione, scritti in Python, di cui è previsto il deployment come Cloud Functions. Questi script consentono di importare i dati dalle seguenti origini di log, elencate per nome e tipo di log.

  • Armis Chronicle Integration
  • Aruba Central (ARUBA_CENTRAL)
  • Azure Event Hub (configurable log type)
  • Box (BOX)
  • Citrix Cloud audit logs (CITRIX_MONITOR)
  • Citrix session metadata (CITRIX_SESSION_METADATA)
  • Cloud Storage (configurable log type)
  • Duo Admin (DUO_ADMIN)
  • MISP (MISP_IOC)
  • OneLogin (ONELOGIN_SSO)
  • OneLogin user context (ONELOGIN_USER_CONTEXT)
  • Proofpoint (configurable log type)
  • Pub/Sub (configurable log type)
  • Slack audit logs (SLACK_AUDIT)
  • STIX/TAXII threat intelligence (STIX)
  • Tenable.io (TENABLE_IO)
  • Trend Micro Cloud App Security (configurable log type)
  • Trend Micro Vision One audit logs (TREND_MICRO_VISION_AUDIT)

Questi script si trovano nel repository GitHub di Chronicle.

Limitazione nota: quando questi script vengono utilizzati in un ambiente stateless come Cloud Functions, potrebbero non inviare tutti i log a Chronicle perché non dispongono di funzionalità di checkpoint. Chronicle ha testato gli script con il runtime Python 3.9.

Prima di iniziare

Leggi le seguenti risorse che forniscono contesto e informazioni di base che ti consentono di utilizzare gli script di importazione di Chronicle in modo efficace.

Combina i file per un singolo tipo di log

Ogni sottodirectory in Chronicle GitHub contiene file che importano dati per un singolo tipo di log Chronicle. Lo script si connette a un singolo dispositivo di origine e poi invia log non elaborati a Chronicle utilizzando l'API Ingestion. Ti consigliamo di eseguire il deployment di ogni tipo di log come funzione Cloud Function separata. Accedi agli script nel repository GitHub di Chronicle. Ogni sottodirectory di GitHub contiene i seguenti file specifici per il tipo di log che importa.

  • main.py è lo script di importazione specifico per il tipo di log. Si connette al dispositivo di origine e importa i dati a Chronicle.
  • .env.yml archivia la configurazione richiesta dallo script Python ed è specifica per il deployment. Modifica questo file per impostare i parametri di configurazione richiesti dallo script di importazione.
  • README.md fornisce informazioni sui parametri di configurazione.
  • Requirements.txt definisce le dipendenze richieste dallo script di importazione. Inoltre, la cartella common contiene funzioni di utilità da cui dipendono tutti gli script di importazione.

Segui questi passaggi per assemblare i file che importano i dati per un singolo tipo di log:

  1. Crea una directory di deployment per archiviare i file della Cloud Function. che conterrà tutti i file necessari per il deployment.
  2. Copia tutti i file dalla sottodirectory GitHub del tipo di log selezionato, ad esempio OneLogin User Context, in questa directory di deployment.
  3. Copia la cartella common e tutti i contenuti nella directory di deployment.

  4. I contenuti della directory saranno simili ai seguenti:

    one_login_user
├─common
│  ├─__init__.py
│  ├─auth.py
│  ├─env_constants.py
│  ├─ingest.py
│  ├─status.py
│  └─utils.py
├─env.yml
├─main.py
└─requirements.txt

Configura gli script

  1. Avvia una sessione di Cloud Shell.
  2. Connettiti tramite SSH a una VM Google Cloud Linux. Vedi Connettersi a VM Linux utilizzando gli strumenti Google.

  3. Carica gli script di importazione facendo clic su Altro > Carica o Scarica per spostare i file o le cartelle da o verso Cloud Shell.

    I file e le cartelle possono essere caricati e scaricati solo dalla home directory. Per ulteriori opzioni per trasferire file tra Cloud Shell e la workstation locale, vedi [Caricare e scaricare file e cartelle da Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders).

  4. Modifica il file .env.yml per la funzione e compila le variabili di ambiente richieste. La seguente tabella elenca le variabili di ambiente di runtime comuni a tutti gli script di importazione.

    Nome variabile Descrizione Obbligatorio Predefinito Secret
    CHRONICLE_CUSTOMER_ID ID cliente Chronicle. Nessuna No
    CHRONICLE_REGION Regione Chronicle. us
    Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.    		 No
    CHRONICLE_SERVICE_ACCOUNT Contenuti del file JSON dell'account di servizio Chronicle. Nessuna
    CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. No Nessuna No

  5. Ogni script richiede variabili di ambiente specifiche dello script. Consulta Parametri di configurazione per tipo di log per i dettagli sulle variabili di ambiente richieste per ogni tipo di log.

Le variabili di ambiente contrassegnate come Secret = Yes devono essere configurate come secret in Secret Manager. Consulta i prezzi di Secret Manager per informazioni sul costo dell'utilizzo di Secret Manager.

Per istruzioni dettagliate, consulta Creazione e accesso ai secret.

Dopo aver creato i secret in Secret Manager, utilizza il nome della risorsa secret come valore per le variabili di ambiente. Ad esempio: projects/{project_id}/secrets/{secret_id}/versions/{version_id}, dove {project_id}, {secret_id} e {version_id} sono specifici per il tuo ambiente.

Configurare uno scheduler o un trigger

Tutti gli script, ad eccezione di Pub/Sub, vengono implementati per raccogliere dati a intervalli periodici da un dispositivo di origine. Devi configurare un trigger utilizzando Cloud Scheduler per recuperare i dati nel tempo. Lo script di importazione per Pub/Sub monitora costantemente la sottoscrizione Pub/Sub. Per ulteriori informazioni, consulta gli articoli Esecuzione di servizi in base a una pianificazione e Utilizzo di Pub/Sub per attivare una funzione Cloud Functions.

Esegui il deployment della Cloud Function

  1. Avvia una sessione di Cloud Shell.
  2. Connettiti tramite SSH a una VM Google Cloud Linux. Vedi Connettersi a VM Linux utilizzando gli strumenti Google.
  3. Passa alla directory in cui hai copiato gli script di importazione.

  4. Esegui questo comando per eseguire il deployment della Cloud Function.

    gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml

    Sostituisci <FUNCTION_NAME> con il nome che definisci per la Cloud Function.

    Sostituisci <SERVICE_ACCOUNT_EMAIL> con l'indirizzo email dell'account di servizio che vuoi che la funzione Cloud Function utilizzi.

    Se non cambi la directory nella posizione dei file, assicurati di utilizzare l'opzione --source per specificare la posizione degli script di deployment.

    L'account di servizio che esegue la Cloud Function deve disporre dei ruoli Invoker di Cloud Functions (roles/cloudfunctions.invoker) e Accessore secret di Secret Manager (roles/secretmanager.secretAccessor).

Visualizza log di runtime

Gli script di importazione stampano i messaggi di runtime su stdout. Cloud Functions fornisce un meccanismo per visualizzare i messaggi di log. Per ulteriori informazioni, consulta le informazioni di Cloud Functions sulla visualizzazione dei log di runtime.

Parametri di configurazione per tipo di log

Integrazione di Armis Chronicle

Questo script raccoglie i dati utilizzando le chiamate API dalla piattaforma Armis per diversi tipi di eventi come avvisi, attività, dispositivi e vulnerabilità. I dati raccolti vengono importati in Chronicle e analizzati dai parser corrispondenti.

Flusso dello script

Di seguito è riportato il flusso dello script:

  1. Verifica le variabili di ambiente.

  2. Eseguire il deployment dello script in Cloud Functions.

  3. Raccogli i dati utilizzando lo script di importazione.

  4. Importa i dati raccolti in Chronicle.

  5. Analizza i dati raccolti tramite parser corrispondenti in Chronicle.

Utilizza uno script per raccogliere e importare dati in Chronicle

  1. Verifica le variabili di ambiente.

    Variabile Description Obbligatorio Predefinito Segreto
    CHRONICLE_CUSTOMER_ID ID cliente Chronicle. - No
    CHRONICLE_REGION Regione Chronicle. US
    CHRONICLE_SERVICE_ACCOUNT Contenuti del file JSON dell'account di servizio Chronicle. -
    CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. No - No
    POLL_INTERVAL Intervallo di frequenza in cui viene eseguita la funzione per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 10 No
    ARMIS_SERVER_URL URL del server della piattaforma Armis. - No
    ARMIS_API_SECRET_KEY La chiave segreta è obbligatoria per l'autenticazione. -
    HTTPS_PROXY URL del server proxy. No - No
    CHRONICLE_DATA_TYPE Tipo di dati Chronicle per il push dei dati in Chronicle. - No

  2. Configura la directory.

    Crea una nuova directory per il deployment di Cloud Functions e aggiungici una directory common e i contenuti dello script di importazione (armis).

  3. Imposta le variabili di ambiente di runtime richieste.

    Definisci le variabili di ambiente richieste nel file .env.yml.

  4. Utilizza i secret.

    Le variabili di ambiente contrassegnate come secret devono essere configurate come secret in Secret Manager. Per saperne di più su come creare i secret, vedi Creare un secret.

    Dopo aver creato i secret in Secret Manager, utilizza il nome della risorsa del secret come valore per le variabili di ambiente. Ad esempio:

    CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}

  5. Configura lo spazio dei nomi.

    Imposta la variabile di ambiente CHRONICLE_NAMESPACE per configurare lo spazio dei nomi. I log di Chronicle vengono importati nello spazio dei nomi.

  6. Eseguire il deployment di Cloud Functions.

    Esegui questo comando dall'interno della directory creata in precedenza per eseguire il deployment della funzione Cloud Functions. gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml

  7. Specifiche predefinite di Cloud Functions.

    Variabile Predefinito Description
    Memoria 256 MB Nessuna
    Timeout 60 secondi Nessuna
    Regione us-central1 Nessuna
    Numero minimo di istanze 0 Nessuna
    Numero massimo di istanze 100 Nessuna

    Per saperne di più su come configurare queste variabili, consulta Configurare Cloud Functions.

  8. Recuperare dati storici.

    Per recuperare i dati storici e continuare a raccoglierli in tempo reale:

    1. Configura la variabile di ambiente POLL_INTERVAL in minuti per il quale devono essere recuperati i dati storici.
    2. Attiva la funzione utilizzando uno scheduler o manualmente eseguendo il comando in Google Cloud CLI dopo aver configurato Cloud Functions.

Aruba Centrale

Questo script recupera gli audit log dalla piattaforma Aruba Central e li importa in Chronicle con il tipo di log ARUBA_CENTRAL. Per informazioni su come utilizzare la libreria, consulta l'SDK Python pycentral.

Definisci le seguenti variabili di ambiente nel file .env.yml.

Variabile Description Predefinito Segreto
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 10 No
ARUBA_CLIENT_ID ID client del gateway API Aruba Central. Nessuna No
ARUBA_CLIENT_SECRET_SECRET_PATH Client secret del gateway API Aruba Central. Nessuna
ARUBA_USERNAME Nome utente della piattaforma Aruba Central. Nessuna No
ARUBA_PASSWORD_SECRET_PATH Password della piattaforma Aruba Central. Nessuna
ARUBA_BASE_URL URL di base del gateway API Aruba Central. Nessuna No
ARUBA_CUSTOMER_ID ID cliente della piattaforma Aruba Central. Nessuna No

Hub eventi di Azure

A differenza di altri script di importazione, questo script utilizza le funzioni di Azure per recuperare gli eventi dall'hub eventi di Azure. Una funzione Azure si attiva ogni volta che viene aggiunto un nuovo evento a un bucket e ogni evento viene importato gradualmente in Chronicle.

Passaggi per eseguire il deployment delle funzioni di Azure:

  1. Scarica dal repository il file del connettore dati denominato Azure_eventhub_API_function_app.json.
  2. Accedi al portale Microsoft Azure.
  3. Nella sezione di configurazione, vai a Microsoft Sentinel > Seleziona la tua area di lavoro dall'elenco > Seleziona connettore dati e procedi nel seguente modo:
  4. Individua il pulsante di import nella pagina e importa il file del connettore dati scaricato nel passaggio 1.
  5. Fai clic sul pulsante Esegui il deployment in Azure per eseguire il deployment della funzione e segui i passaggi descritti nella stessa pagina.
  6. Seleziona le opzioni Subscription (Abbonamento), Resource Group (Gruppo di risorse) e Location (Località) preferite e fornisci i valori richiesti.
  7. Fai clic su Rivedi + Crea.
  8. Fai clic su Crea per eseguire il deployment.

Box

Questo script ottiene i dettagli sugli eventi che si verificano all'interno di Box e li importa in Chronicle con il tipo di log BOX. I dati forniscono insight sulle operazioni CRUD sugli oggetti nell'ambiente Box. Per informazioni sugli eventi Box, consulta l'articolo sull'API Box events.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per ulteriori informazioni sull'ID client Box, sul client secret e sull'ID soggetto, vedi Client Credentials Grant (Concessione credenziali client).

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 5 No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
BOX_CLIENT_ID ID client della piattaforma Box, disponibile nella console per gli sviluppatori Box. Nessuna No
BOX_CLIENT_SECRET Percorso del secret in Secret Manager in cui è archiviato il client secret della piattaforma Box utilizzata per l'autenticazione. Nessuna
BOX_SUBJECT_ID ID utente Box o ID azienda. Nessuna No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No

Audit log di Citrix Cloud

Questo script raccoglie gli audit log di Citrix Cloud e li importa in Chronicle con il tipo di log CITRIX_MONITOR. Questi log consentono di identificare le attività eseguite nell'ambiente Citrix Cloud, fornendo informazioni su cosa è cambiato, chi lo ha modificato, quando è stato modificato e così via. Per ulteriori informazioni, consulta la pagina relativa all'API Citrix Cloud SystemLog.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni su ID client e client secret Citrix, consulta la Guida introduttiva alle API Citrix.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
CITRIX_CLIENT_ID ID client API Citrix. Nessuna No
CITRIX_CLIENT_SECRET Percorso del secret in Secret Manager in cui è archiviato il client secret dell'API Citrix utilizzato per l'autenticazione. Nessuna
CITRIX_CUSTOMER_ID ID cliente Citrix Nessuna No
POLL_INTERVAL Intervallo di frequenza con cui vengono raccolti dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 30 No
URL_DOMAIN l'endpoint Citrix Cloud. Nessuna No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No

Metadati sessione Citrix

Questo script raccoglie i metadati di sessione Citrix dagli ambienti Citrix e li importa in Chronicle con il tipo di log CITRIX_MONITOR. I dati includono i dettagli di accesso dell'utente, la durata della sessione, l'ora di creazione e l'ora di fine della sessione e altri metadati relativi alla sessione. Per ulteriori informazioni, consulta la pagina relativa all'API Citrix Monitor Service.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni su ID client e client secret Citrix, consulta la Guida introduttiva alle API Citrix.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
URL_DOMAIN Dominio URL Citrix. Nessuna No
CITRIX_CLIENT_ID ID client Citrix. Nessuna No
CITRIX_CLIENT_SECRET Percorso del secret in Secret Manager in cui è archiviato il client secret Citrix utilizzato per l'autenticazione. Nessuna
CITRIX_CUSTOMER_ID ID cliente Citrix. Nessuna No
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 30 No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No

Cloud Storage

Questo script recupera i log di sistema da Cloud Storage e li importa in Chronicle con un valore configurabile per il tipo di log. Per maggiori dettagli, consulta la libreria client Python di Google Cloud.

Definisci le seguenti variabili di ambiente nel file .env.yml. Google Cloud dispone di log relativi alla sicurezza da cui alcuni tipi di log non possono essere esportati direttamente a Chronicle. Per ulteriori informazioni, vedi Analisi dei log di sicurezza.

Variabile Descrizione Predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 60 No
GCS_BUCKET_NAME Nome del bucket Cloud Storage da cui recuperare i dati. Nessuna No
GCP_SERVICE_ACCOUNT_SECRET_PATH Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Google Cloud. Nessuna
CHRONICLE_DATA_TYPE Tipo di log per eseguire il push dei dati nell'istanza Chronicle. Nessuna No

Amministratore Duo

Lo script riceve dall'amministratore di Duo eventi relativi alle operazioni CRUD eseguite su vari oggetti, come l'account utente e la sicurezza. Gli eventi vengono importati in Chronicle con il tipo di log DUO_ADMIN. Per ulteriori informazioni, consulta la pagina relativa all'API Duo Admin.

Definisci le seguenti variabili di ambiente nel file .env.yml.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. Nessuna No
DUO_API_DETAILS Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account Duo. Contiene la chiave di integrazione dell'API Duo Admin, la chiave segreta dell'API Duo Admin e il nome host dell'API Duo Admin. Ad esempio:
{ "ikey": "abcd123", "skey": "def345", "api_host": "abc-123" }
Consulta la documentazione per amministratori di Duo per istruzioni su come scaricare il file JSON.
 Nessuna
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No

MISP

Questo script recupera le informazioni sulle minacce da MISP, una piattaforma di condivisione e intelligence sulle minacce open source, e le importa in Chronicle con il tipo di log MISP_IOC. Per ulteriori informazioni, consulta la pagina relativa all'API MISP Eventi.

Definisci le seguenti variabili di ambiente nel file .env.yml.

Variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 5 No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
ORG_NAME Nome dell'organizzazione per filtrare gli eventi. Nessuna No
API_KEY Percorso del secret in Secret Manager in cui è archiviata la chiave API per l'autenticazione utilizzata. Nessuna
TARGET_SERVER L'indirizzo IP dell'istanza MISP che hai creato. Nessuna No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. Nessuna No

Eventi OneLogin

Questo script recupera gli eventi da un ambiente OneLogin e li importa in Chronicle con il tipo di log ONELOGIN_SSO. Questi eventi forniscono informazioni come le operazioni sugli account utente. Per ulteriori informazioni, consulta la pagina relativa all'API OneLogin Eventi.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni su ID client e client secret OneLogin, consulta Utilizzo delle credenziali API.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 5 No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
CLIENT_ID ID client della piattaforma OneLogin. Nessuna No
CLIENT_SECRET Percorso del secret in Secret Manager in cui è archiviato il client secret della piattaforma OneLogin utilizzata per l'autenticazione. Nessuna
TOKEN_ENDPOINT L'URL per richiedere un token di accesso. https://api.us.onelogin.com/auth/oauth2/v2/token No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No

Contesto utente OneLogin

Questo script recupera i dati relativi agli account utente da un ambiente OneLogin e li importa in Chronicle con il tipo di log ONELOGIN_USER_CONTEXT. Per ulteriori informazioni, vedi la API OneLogin User.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni su ID client e client secret OneLogin, consulta Utilizzo delle credenziali API.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 30 No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
CLIENT_ID ID client della piattaforma OneLogin. Nessuna No
CLIENT_SECRET Percorso del secret in Secret Manager in cui è archiviato il client secret della piattaforma OneLogin utilizzata per l'autenticazione. Nessuna
TOKEN_ENDPOINT L'URL per richiedere un token di accesso. https://api.us.onelogin.com/auth/oauth2/v2/token No
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No

Proofpoint

Questo script recupera i dati sugli utenti presi di mira dagli attacchi di una determinata organizzazione in un determinato periodo di tempo e li importa in Chronicle. Per informazioni sull'API utilizzata, consulta la pagina dedicata all'API People.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni dettagliate su come ottenere l'entità di servizio Proofpoint e il secret di Proofpoint, consulta la guida alla configurazione delle credenziali TAP per i proofpoint di Arctic Wolf.

Variabile Descrizione Predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 360 No
CHRONICLE_DATA_TYPE Tipo di log per eseguire il push dei dati nell'istanza Chronicle. Nessuna No
PROOFPOINT_SERVER_URL URL di base del gateway API Proofpoint Server. Nessuna No
PROOFPOINT_SERVICE_PRINCIPLE Nome utente della piattaforma Proofpoint. In genere si tratta dell'entità di servizio. Nessuna No
PROOFPOINT_SECRET Percorso di Secret Manager con la versione, in cui è archiviata la password della piattaforma Proofpoint. Nessuna
PROOFPOINT_RETRIEVAL_RANGE Numero che indica il numero di giorni da cui devono essere recuperati i dati. I valori accettati sono 14, 30 e 90. Nessuna No

Pub/Sub

Questo script raccoglie i messaggi dalle sottoscrizioni Pub/Sub e importa i dati in Chronicle. Monitora costantemente il gateway di abbonamento e importa i messaggi più recenti quando vengono visualizzati. Per ulteriori informazioni, consulta i seguenti documenti:

Questo script di importazione richiede l'impostazione delle variabili sia nel file .env.yml sia nel job di Cloud Scheduler.

  • Definisci le seguenti variabili di ambiente nel file .env.yml.

    Nome variabile Descrizione Valore predefinito Secret
    CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
    CHRONICLE_REGION Regione dell'istanza Chronicle. us
    Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.    		 No
    CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
    CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. Nessuna No

  • Imposta le seguenti variabili nel campo Corpo del messaggio di Cloud Scheduler come stringa in formato JSON. Per ulteriori informazioni sul campo Corpo del messaggio, consulta la sezione Creazione di Cloud Scheduler.

    Nome variabile Descrizione Valore predefinito Secret
    PROJECT_ID ID progetto Pub/Sub. Per informazioni sull'ID progetto, consulta Creazione e gestione dei progetti. Nessuna No
    SUBSCRIPTION_ID ID sottoscrizione Pub/Sub. Nessuna No
    CHRONICLE_DATA_TYPE Etichetta di importazione per il tipo di log fornito durante il push dei dati a Chronicle. Consulta Analizzatori predefiniti supportati per un elenco dei tipi di log supportati. Nessuna No

    Ecco un esempio di stringa in formato JSON per il campo Corpo del messaggio.

    { "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}

Audit log di Slack

Questo script riceve audit log da un'organizzazione Slack Enterprise Grid e li importa in Chronicle con il tipo di log SLACK_AUDIT. Per ulteriori informazioni, consulta API Slack Audit Logs.

Definisci le seguenti variabili di ambiente nel file .env.yml.

Nome variabile Descrizione Valore predefinito Secret
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 5 No
SLACK_ADMIN_TOKEN Percorso del secret in Secret Manager in cui è archiviato il token di autenticazione Slack.
 Nessuno
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No

STIX/TAXII

Questo script estrae gli indicatori dal server STIX/TAXII e li importa in Chronicle. Per ulteriori informazioni, consulta la documentazione relativa all'API STIX/TAXII. Definisci le seguenti variabili di ambiente nel file .env.yml.

Nome variabile Description Predefinito Segreto
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
POLL_INTERVAL Intervallo di frequenza (in minuti) in cui viene eseguita la funzione. Questa durata deve essere uguale al job Cloud Scheduler. 60 No
TAXII_VERSION La versione STIX/TAXII da utilizzare. Le opzioni possibili sono 1.1, 2.0, 2.1 Nessuna No
TAXII_DISCOVERY_URL URL di rilevamento del server TAXII. Nessuna No
TAXII_COLLECTION_NAMES Raccolte (CSV) da cui recuperare i dati. Lascia il campo vuoto per recuperare i dati da tutte le raccolte. Nessuna No
TAXII_USERNAME Nome utente obbligatorio per l'autenticazione, se presente. Nessuna No
TAXII_PASSWORD_SECRET_PATH Eventuale password obbligatoria per l'autenticazione. Nessuna

Tenable.io

Questo script recupera i dati di asset e vulnerabilità dalla piattaforma Tenable.io e li importa in Chronicle con il tipo di log TENABLE_IO. Per informazioni sulla libreria utilizzata, consulta l'SDK pyTenable Python.

Definisci le seguenti variabili di ambiente nel file .env.yml. Per maggiori dettagli su dati relativi ad asset e vulnerabilità, vedi l'API Tenable.io: Esportare gli asset ed Esportare le vulnerabilità.

Variabile Description Predefinito Segreto
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 360 No
TENABLE_ACCESS_KEY La chiave di accesso utilizzata per l'autenticazione. Nessuna No
TENABLE_SECRET_KEY_PATH Percorso di Google Secret Manager con la versione in cui è archiviata la password di Tenable Server. Nessuna
TENABLE_DATA_TYPE Tipo di dati da importare in Chronicle. Valori possibili: ASSETS, VULNERABILITIES. RISORSE, VULNERABILITÀ No
TENABLE_VULNERABILITY Lo stato delle vulnerabilità che vuoi includere nell'esportazione. Valori possibili: "OPEN", "REOPENED" e "FIXED". APERTI, RIAPERTI No

Sicurezza delle app cloud Trend Micro

Questo script recupera i log di sicurezza dalla piattaforma Trend Micro e li importa in Chronicle. Per informazioni sull'API utilizzata, consulta la pagina dedicata all'API dei log di sicurezza. Definisci le seguenti variabili di ambiente nel file .env.yml.

Variabile Description Predefinito Segreto
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 10 No
CHRONICLE_DATA_TYPE Tipo di log per eseguire il push dei dati nell'istanza Chronicle. Nessuna No
TREND_MICRO_AUTHENTICATION_TOKEN Percorso di Google Secret Manager con la versione in cui è archiviato il token di autenticazione per Trend Micro Server. Nessuna
TREND_MICRO_SERVICE_URL URL del servizio Cloud App Security. Nessuna No
TREND_MICRO_SERVICE Il nome del servizio protetto di cui recuperare i log. Supporta valori separati da virgole. Valori possibili: Exchange, sharepoint, onedrive, casella personale, box, googledrive, gmail, Teams, Exchangeserver, salesforce_sandbox, salesforce_production, Teams_chat. Exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, Teams, Exchangeserver, salesforce_sandbox, salesforce_production, Teams_chat No
TREND_MICRO_EVENT Il tipo di evento di sicurezza da cui recuperare i log. Supporta valori separati da virgole. Valori possibili: securityrisk, virtualanalyzer, ransomware, dlp. securityrisk, virtualanalyzer, ransomware, dlp No

Trend Micro Vision One

Questo script recupera gli audit log di Trend Micro Vision One e li importa in Chronicle con il tipo di log TREND_MICRO_VISION_AUDIT. Per informazioni sull'API utilizzata, consulta la sezione relativa all'API degli audit log. Definisci le seguenti variabili di ambiente nel file .env.yml.

Variabile Description Predefinito Segreto
CHRONICLE_CUSTOMER_ID ID cliente dell'istanza Chronicle. Nessuna No
CHRONICLE_REGION Regione dell'istanza Chronicle. us
Altri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, me-central2, me-west1 e northamerica-northeast2.		 No
CHRONICLE_SERVICE_ACCOUNT Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna
CHRONICLE_NAMESPACE Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. Nessuna No
POLL_INTERVAL Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. 10 No
TREND_MICRO_AUTHENTICATION_TOKEN Percorso di Google Secret Manager con la versione in cui è archiviato il token di autenticazione per Trend Micro Server. Nessuna
TREND_MICRO_DOMAIN Trend Micro Vision Una regione in cui si trova l'endpoint di servizio. Nessuna No