Utilizza gli script di importazione di cui è stato eseguito il deployment come Cloud Functions
Chronicle ha fornito un set di script di importazione, scritti in Python, di cui è previsto il deployment come Cloud Functions. Questi script consentono di importare i dati dalle seguenti origini di log, elencate per nome e tipo di log.
- Armis Chronicle Integration
- Aruba Central (
ARUBA_CENTRAL
) - Azure Event Hub (configurable log type)
- Box (
BOX
) - Citrix Cloud audit logs (
CITRIX_MONITOR
) - Citrix session metadata (
CITRIX_SESSION_METADATA
) - Cloud Storage (configurable log type)
- Duo Admin (
DUO_ADMIN
) - MISP (
MISP_IOC
) - OneLogin (
ONELOGIN_SSO
) - OneLogin user context (
ONELOGIN_USER_CONTEXT
) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT
) - STIX/TAXII threat intelligence (
STIX
) - Tenable.io (
TENABLE_IO
) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT
)
Questi script si trovano nel repository GitHub di Chronicle.
Limitazione nota: quando questi script vengono utilizzati in un ambiente stateless come Cloud Functions, potrebbero non inviare tutti i log a Chronicle perché non dispongono di funzionalità di checkpoint. Chronicle ha testato gli script con il runtime Python 3.9.
Prima di iniziare
Leggi le seguenti risorse che forniscono contesto e informazioni di base che ti consentono di utilizzare gli script di importazione di Chronicle in modo efficace.
- Eseguire il deployment di Cloud Functions per informazioni su come eseguire il deployment di Cloud Functions dalla tua macchina locale.
- La sezione Creazione e accesso ai secret spiega come utilizzare Secret Manager. Sarà necessario per archiviare e accedere al file JSON dell'account di servizio Chronicle.
- Installa Google Cloud CLI. Lo utilizzerai per eseguire il deployment della Cloud Function.
- Documentazione di Google Cloud Pub/Sub se prevedi di importare dati da Pub/Sub.
Combina i file per un singolo tipo di log
Ogni sottodirectory in Chronicle GitHub contiene file che importano dati per un singolo tipo di log Chronicle. Lo script si connette a un singolo dispositivo di origine e poi invia log non elaborati a Chronicle utilizzando l'API Ingestion. Ti consigliamo di eseguire il deployment di ogni tipo di log come funzione Cloud Function separata. Accedi agli script nel repository GitHub di Chronicle. Ogni sottodirectory di GitHub contiene i seguenti file specifici per il tipo di log che importa.
main.py
è lo script di importazione specifico per il tipo di log. Si connette al dispositivo di origine e importa i dati a Chronicle..env.yml
archivia la configurazione richiesta dallo script Python ed è specifica per il deployment. Modifica questo file per impostare i parametri di configurazione richiesti dallo script di importazione.README.md
fornisce informazioni sui parametri di configurazione.Requirements.txt
definisce le dipendenze richieste dallo script di importazione. Inoltre, la cartellacommon
contiene funzioni di utilità da cui dipendono tutti gli script di importazione.
Segui questi passaggi per assemblare i file che importano i dati per un singolo tipo di log:
- Crea una directory di deployment per archiviare i file della Cloud Function. che conterrà tutti i file necessari per il deployment.
- Copia tutti i file dalla sottodirectory GitHub del tipo di log selezionato, ad esempio OneLogin User Context, in questa directory di deployment.
- Copia la cartella
common
e tutti i contenuti nella directory di deployment. I contenuti della directory saranno simili ai seguenti:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Configura gli script
- Avvia una sessione di Cloud Shell.
- Connettiti tramite SSH a una VM Google Cloud Linux. Vedi Connettersi a VM Linux utilizzando gli strumenti Google.
Carica gli script di importazione facendo clic su > Carica o Scarica per spostare i file o le cartelle da o verso Cloud Shell.
AltroI file e le cartelle possono essere caricati e scaricati solo dalla home directory. Per ulteriori opzioni per trasferire file tra Cloud Shell e la workstation locale, vedi [Caricare e scaricare file e cartelle da Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders).
Modifica il file
.env.yml
per la funzione e compila le variabili di ambiente richieste. La seguente tabella elenca le variabili di ambiente di runtime comuni a tutti gli script di importazione.Nome variabile Descrizione Obbligatorio Predefinito Secret CHRONICLE_CUSTOMER_ID
ID cliente Chronicle. Sì Nessuna No CHRONICLE_REGION
Regione Chronicle. Sì us
Altri valori validi:asia-northeast1
,asia-south1
,asia-southeast1
,australia-southeast1
,europe
,europe-west2
,europe-west3
,europe-west6
,me-central2
,me-west1
enorthamerica-northeast2
.No CHRONICLE_SERVICE_ACCOUNT
Contenuti del file JSON dell'account di servizio Chronicle. Sì Nessuna Sì CHRONICLE_NAMESPACE
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. No Nessuna No Ogni script richiede variabili di ambiente specifiche dello script. Consulta Parametri di configurazione per tipo di log per i dettagli sulle variabili di ambiente richieste per ogni tipo di log.
Le variabili di ambiente contrassegnate come Secret = Yes
devono essere configurate come secret
in Secret Manager. Consulta i prezzi di Secret Manager per informazioni sul costo dell'utilizzo di Secret Manager.
Per istruzioni dettagliate, consulta Creazione e accesso ai secret.
Dopo aver creato i secret in Secret Manager, utilizza il nome della risorsa secret come valore per le variabili di ambiente. Ad esempio:
projects/{project_id}/secrets/{secret_id}/versions/{version_id}
, dove {project_id}
, {secret_id}
e {version_id}
sono specifici per il tuo ambiente.
Configurare uno scheduler o un trigger
Tutti gli script, ad eccezione di Pub/Sub, vengono implementati per raccogliere dati a intervalli periodici da un dispositivo di origine. Devi configurare un trigger utilizzando Cloud Scheduler per recuperare i dati nel tempo. Lo script di importazione per Pub/Sub monitora costantemente la sottoscrizione Pub/Sub. Per ulteriori informazioni, consulta gli articoli Esecuzione di servizi in base a una pianificazione e Utilizzo di Pub/Sub per attivare una funzione Cloud Functions.
Esegui il deployment della Cloud Function
- Avvia una sessione di Cloud Shell.
- Connettiti tramite SSH a una VM Google Cloud Linux. Vedi Connettersi a VM Linux utilizzando gli strumenti Google.
- Passa alla directory in cui hai copiato gli script di importazione.
Esegui questo comando per eseguire il deployment della Cloud Function.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml
Sostituisci
<FUNCTION_NAME>
con il nome che definisci per la Cloud Function.Sostituisci
<SERVICE_ACCOUNT_EMAIL>
con l'indirizzo email dell'account di servizio che vuoi che la funzione Cloud Function utilizzi.Se non cambi la directory nella posizione dei file, assicurati di utilizzare l'opzione
--source
per specificare la posizione degli script di deployment.L'account di servizio che esegue la Cloud Function deve disporre dei ruoli Invoker di Cloud Functions (
roles/cloudfunctions.invoker
) e Accessore secret di Secret Manager (roles/secretmanager.secretAccessor
).
Visualizza log di runtime
Gli script di importazione stampano i messaggi di runtime su stdout. Cloud Functions fornisce un meccanismo per visualizzare i messaggi di log. Per ulteriori informazioni, consulta le informazioni di Cloud Functions sulla visualizzazione dei log di runtime.
Parametri di configurazione per tipo di log
Integrazione di Armis Chronicle
Questo script raccoglie i dati utilizzando le chiamate API dalla piattaforma Armis per diversi tipi di eventi come avvisi, attività, dispositivi e vulnerabilità. I dati raccolti vengono importati in Chronicle e analizzati dai parser corrispondenti.
Flusso dello script
Di seguito è riportato il flusso dello script:
Verifica le variabili di ambiente.
Eseguire il deployment dello script in Cloud Functions.
Raccogli i dati utilizzando lo script di importazione.
Importa i dati raccolti in Chronicle.
Analizza i dati raccolti tramite parser corrispondenti in Chronicle.
Utilizza uno script per raccogliere e importare dati in Chronicle
Verifica le variabili di ambiente.
Variabile Description Obbligatorio Predefinito Segreto CHRONICLE_CUSTOMER_ID
ID cliente Chronicle. Sì - No CHRONICLE_REGION
Regione Chronicle. Sì US Sì CHRONICLE_SERVICE_ACCOUNT
Contenuti del file JSON dell'account di servizio Chronicle. Sì - Sì CHRONICLE_NAMESPACE
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. No - No POLL_INTERVAL
Intervallo di frequenza in cui viene eseguita la funzione per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. Sì 10 No ARMIS_SERVER_URL
URL del server della piattaforma Armis. Sì - No ARMIS_API_SECRET_KEY
La chiave segreta è obbligatoria per l'autenticazione. Sì - Sì HTTPS_PROXY
URL del server proxy. No - No CHRONICLE_DATA_TYPE
Tipo di dati Chronicle per il push dei dati in Chronicle. Sì - No Configura la directory.
Crea una nuova directory per il deployment di Cloud Functions e aggiungici una directory
common
e i contenuti dello script di importazione (armis
).Imposta le variabili di ambiente di runtime richieste.
Definisci le variabili di ambiente richieste nel file
.env.yml
.Utilizza i secret.
Le variabili di ambiente contrassegnate come secret devono essere configurate come secret in Secret Manager. Per saperne di più su come creare i secret, vedi Creare un secret.
Dopo aver creato i secret in Secret Manager, utilizza il nome della risorsa del secret come valore per le variabili di ambiente. Ad esempio:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}
Configura lo spazio dei nomi.
Imposta la variabile di ambiente
CHRONICLE_NAMESPACE
per configurare lo spazio dei nomi. I log di Chronicle vengono importati nello spazio dei nomi.Eseguire il deployment di Cloud Functions.
Esegui questo comando dall'interno della directory creata in precedenza per eseguire il deployment della funzione Cloud Functions.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml
Specifiche predefinite di Cloud Functions.
Variabile Predefinito Description Memoria 256 MB Nessuna Timeout 60 secondi Nessuna Regione us-central1 Nessuna Numero minimo di istanze 0 Nessuna Numero massimo di istanze 100 Nessuna Per saperne di più su come configurare queste variabili, consulta Configurare Cloud Functions.
Recuperare dati storici.
Per recuperare i dati storici e continuare a raccoglierli in tempo reale:
- Configura la variabile di ambiente
POLL_INTERVAL
in minuti per il quale devono essere recuperati i dati storici. - Attiva la funzione utilizzando uno scheduler o manualmente eseguendo il comando in Google Cloud CLI dopo aver configurato Cloud Functions.
- Configura la variabile di ambiente
Aruba Centrale
Questo script recupera gli audit log dalla piattaforma Aruba Central e li importa in Chronicle con il tipo di log ARUBA_CENTRAL
. Per informazioni su come utilizzare la libreria, consulta l'SDK Python pycentral.
Definisci le seguenti variabili di ambiente nel file .env.yml
.
Variabile | Description | Predefinito | Segreto |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 10 | No |
ARUBA_CLIENT_ID |
ID client del gateway API Aruba Central. | Nessuna | No |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Client secret del gateway API Aruba Central. | Nessuna | Sì |
ARUBA_USERNAME |
Nome utente della piattaforma Aruba Central. | Nessuna | No |
ARUBA_PASSWORD_SECRET_PATH |
Password della piattaforma Aruba Central. | Nessuna | Sì |
ARUBA_BASE_URL |
URL di base del gateway API Aruba Central. | Nessuna | No |
ARUBA_CUSTOMER_ID |
ID cliente della piattaforma Aruba Central. | Nessuna | No |
Hub eventi di Azure
A differenza di altri script di importazione, questo script utilizza le funzioni di Azure per recuperare gli eventi dall'hub eventi di Azure. Una funzione Azure si attiva ogni volta che viene aggiunto un nuovo evento a un bucket e ogni evento viene importato gradualmente in Chronicle.
Passaggi per eseguire il deployment delle funzioni di Azure:
- Scarica dal repository il file del connettore dati denominato
Azure_eventhub_API_function_app.json
. - Accedi al portale Microsoft Azure.
- Nella sezione di configurazione, vai a Microsoft Sentinel > Seleziona la tua area di lavoro dall'elenco > Seleziona connettore dati e procedi nel seguente modo:
- Imposta il seguente flag su true nell'URL:
feature.BringYourOwnConnector=true
. Ad esempio: https://portal.azure.com/?feature.BringYourOwnConnector=true&...
- Imposta il seguente flag su true nell'URL:
- Individua il pulsante di import nella pagina e importa il file del connettore dati scaricato nel passaggio 1.
- Fai clic sul pulsante Esegui il deployment in Azure per eseguire il deployment della funzione e segui i passaggi descritti nella stessa pagina.
- Seleziona le opzioni Subscription (Abbonamento), Resource Group (Gruppo di risorse) e Location (Località) preferite e fornisci i valori richiesti.
- Fai clic su Rivedi + Crea.
- Fai clic su Crea per eseguire il deployment.
Box
Questo script ottiene i dettagli sugli eventi che si verificano all'interno di Box e li importa in Chronicle con il tipo di log BOX
. I dati forniscono insight sulle operazioni CRUD sugli oggetti nell'ambiente Box. Per informazioni sugli eventi Box, consulta l'articolo sull'API Box events.
Definisci le seguenti variabili di ambiente nel file .env.yml
. Per ulteriori informazioni sull'ID client Box, sul client secret e sull'ID soggetto, vedi Client Credentials Grant (Concessione credenziali client).
Nome variabile | Descrizione | Valore predefinito | Secret |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
BOX_CLIENT_ID |
ID client della piattaforma Box, disponibile nella console per gli sviluppatori Box. | Nessuna | No |
BOX_CLIENT_SECRET |
Percorso del secret in Secret Manager in cui è archiviato il client secret della piattaforma Box utilizzata per l'autenticazione. | Nessuna | Sì |
BOX_SUBJECT_ID |
ID utente Box o ID azienda. | Nessuna | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
Audit log di Citrix Cloud
Questo script raccoglie gli audit log di Citrix Cloud e li importa in Chronicle con il tipo di log CITRIX_MONITOR
. Questi log consentono di identificare le attività eseguite nell'ambiente Citrix Cloud, fornendo informazioni su cosa è cambiato, chi lo ha modificato, quando è stato modificato e così via. Per ulteriori informazioni, consulta la pagina relativa all'API Citrix Cloud SystemLog.
Definisci le seguenti variabili di ambiente nel file .env.yml
. Per informazioni
su ID client e client secret Citrix, consulta la
Guida introduttiva alle API Citrix.
Nome variabile | Descrizione | Valore predefinito | Secret |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
CITRIX_CLIENT_ID |
ID client API Citrix. | Nessuna | No |
CITRIX_CLIENT_SECRET |
Percorso del secret in Secret Manager in cui è archiviato il client secret dell'API Citrix utilizzato per l'autenticazione. | Nessuna | Sì |
CITRIX_CUSTOMER_ID |
ID cliente Citrix | Nessuna | No |
POLL_INTERVAL |
Intervallo di frequenza con cui vengono raccolti dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 30 | No |
URL_DOMAIN |
l'endpoint Citrix Cloud. | Nessuna | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
Metadati sessione Citrix
Questo script raccoglie i metadati di sessione Citrix dagli ambienti Citrix e li importa in Chronicle con il tipo di log CITRIX_MONITOR
. I dati includono i dettagli di accesso dell'utente, la durata della sessione, l'ora di creazione e l'ora di fine della sessione e altri metadati relativi alla sessione. Per ulteriori informazioni, consulta
la pagina relativa all'API Citrix Monitor Service.
Definisci le seguenti variabili di ambiente nel file .env.yml
. Per informazioni
su ID client e client secret Citrix, consulta la
Guida introduttiva alle API Citrix.
Nome variabile | Descrizione | Valore predefinito | Secret |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
URL_DOMAIN |
Dominio URL Citrix. | Nessuna | No |
CITRIX_CLIENT_ID |
ID client Citrix. | Nessuna | No |
CITRIX_CLIENT_SECRET |
Percorso del secret in Secret Manager in cui è archiviato il client secret Citrix utilizzato per l'autenticazione. | Nessuna | Sì |
CITRIX_CUSTOMER_ID |
ID cliente Citrix. | Nessuna | No |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 30 | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
Cloud Storage
Questo script recupera i log di sistema da Cloud Storage e li importa in Chronicle con un valore configurabile per il tipo di log. Per maggiori dettagli, consulta la libreria client Python di Google Cloud.
Definisci le seguenti variabili di ambiente nel file .env.yml
. Google Cloud dispone di log relativi alla sicurezza da cui alcuni tipi di log non possono essere esportati direttamente a Chronicle. Per ulteriori informazioni, vedi Analisi dei log di sicurezza.
Variabile | Descrizione | Predefinito | Secret |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 60 | No |
GCS_BUCKET_NAME |
Nome del bucket Cloud Storage da cui recuperare i dati. | Nessuna | No |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Google Cloud. | Nessuna | Sì |
CHRONICLE_DATA_TYPE |
Tipo di log per eseguire il push dei dati nell'istanza Chronicle. | Nessuna | No |
Amministratore Duo
Lo script riceve dall'amministratore di Duo eventi relativi alle operazioni CRUD eseguite su vari oggetti, come l'account utente e la sicurezza. Gli eventi vengono importati in Chronicle con il tipo di log DUO_ADMIN
. Per ulteriori informazioni, consulta
la pagina relativa all'API Duo Admin.
Definisci le seguenti variabili di ambiente nel file .env.yml
.
Nome variabile | Descrizione | Valore predefinito | Secret |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | Nessuna | No |
DUO_API_DETAILS |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account Duo. Contiene la chiave di integrazione dell'API Duo Admin, la chiave segreta dell'API Duo Admin e il nome host dell'API Duo Admin. Ad esempio:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Consulta la documentazione per amministratori di Duo per istruzioni su come scaricare il file JSON. |
Nessuna | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
MISP
Questo script recupera le informazioni sulle minacce da MISP, una piattaforma di condivisione e intelligence sulle minacce open source, e le importa in Chronicle con il tipo di log MISP_IOC
. Per ulteriori informazioni, consulta
la pagina relativa all'API MISP Eventi.
Definisci le seguenti variabili di ambiente nel file .env.yml
.
Variabile | Descrizione | Valore predefinito | Secret |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
ORG_NAME |
Nome dell'organizzazione per filtrare gli eventi. | Nessuna | No |
API_KEY |
Percorso del secret in Secret Manager in cui è archiviata la chiave API per l'autenticazione utilizzata. | Nessuna | Sì |
TARGET_SERVER |
L'indirizzo IP dell'istanza MISP che hai creato. | Nessuna | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
Eventi OneLogin
Questo script recupera gli eventi da un ambiente OneLogin e li importa in Chronicle con il tipo di log ONELOGIN_SSO
. Questi eventi forniscono informazioni come le operazioni sugli account utente. Per ulteriori informazioni, consulta
la pagina relativa all'API OneLogin Eventi.
Definisci le seguenti variabili di ambiente nel file .env.yml
. Per informazioni
su ID client e client secret OneLogin, consulta
Utilizzo delle credenziali API.
Nome variabile | Descrizione | Valore predefinito | Secret |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
CLIENT_ID |
ID client della piattaforma OneLogin. | Nessuna | No |
CLIENT_SECRET |
Percorso del secret in Secret Manager in cui è archiviato il client secret della piattaforma OneLogin utilizzata per l'autenticazione. | Nessuna | Sì |
TOKEN_ENDPOINT |
L'URL per richiedere un token di accesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
Contesto utente OneLogin
Questo script recupera i dati relativi agli account utente da un ambiente OneLogin e li importa in Chronicle con il tipo di log ONELOGIN_USER_CONTEXT
. Per ulteriori informazioni, vedi la API OneLogin User.
Definisci le seguenti variabili di ambiente nel file .env.yml
. Per informazioni
su ID client e client secret OneLogin, consulta
Utilizzo delle credenziali API.
Nome variabile | Descrizione | Valore predefinito | Secret |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 30 | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
CLIENT_ID |
ID client della piattaforma OneLogin. | Nessuna | No |
CLIENT_SECRET |
Percorso del secret in Secret Manager in cui è archiviato il client secret della piattaforma OneLogin utilizzata per l'autenticazione. | Nessuna | Sì |
TOKEN_ENDPOINT |
L'URL per richiedere un token di accesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
Proofpoint
Questo script recupera i dati sugli utenti presi di mira dagli attacchi di una determinata organizzazione in un determinato periodo di tempo e li importa in Chronicle. Per informazioni sull'API utilizzata, consulta la pagina dedicata all'API People.
Definisci le seguenti variabili di ambiente nel file .env.yml
. Per informazioni dettagliate su come ottenere l'entità di servizio Proofpoint e il secret di Proofpoint, consulta la guida alla configurazione delle credenziali TAP per i proofpoint di Arctic Wolf.
Variabile | Descrizione | Predefinito | Secret |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 360 | No |
CHRONICLE_DATA_TYPE |
Tipo di log per eseguire il push dei dati nell'istanza Chronicle. | Nessuna | No |
PROOFPOINT_SERVER_URL |
URL di base del gateway API Proofpoint Server. | Nessuna | No |
PROOFPOINT_SERVICE_PRINCIPLE |
Nome utente della piattaforma Proofpoint. In genere si tratta dell'entità di servizio. | Nessuna | No |
PROOFPOINT_SECRET |
Percorso di Secret Manager con la versione, in cui è archiviata la password della piattaforma Proofpoint. | Nessuna | Sì |
PROOFPOINT_RETRIEVAL_RANGE |
Numero che indica il numero di giorni da cui devono essere recuperati i dati. I valori accettati sono 14, 30 e 90. | Nessuna | No |
Pub/Sub
Questo script raccoglie i messaggi dalle sottoscrizioni Pub/Sub e importa i dati in Chronicle. Monitora costantemente il gateway di abbonamento e importa i messaggi più recenti quando vengono visualizzati. Per ulteriori informazioni, consulta i seguenti documenti:
Questo script di importazione richiede l'impostazione delle variabili sia nel file .env.yml
sia nel job di Cloud Scheduler.
Definisci le seguenti variabili di ambiente nel file
.env.yml
.Nome variabile Descrizione Valore predefinito Secret CHRONICLE_CUSTOMER_ID
ID cliente dell'istanza Chronicle. Nessuna No CHRONICLE_REGION
Regione dell'istanza Chronicle. us
Altri valori validi:asia-northeast1
,asia-south1
,asia-southeast1
,australia-southeast1
,europe
,europe-west2
,europe-west3
,europe-west6
,me-central2
,me-west1
enorthamerica-northeast2
.No CHRONICLE_SERVICE_ACCOUNT
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. Nessuna Sì CHRONICLE_NAMESPACE
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. Nessuna No Imposta le seguenti variabili nel campo Corpo del messaggio di Cloud Scheduler come stringa in formato JSON. Per ulteriori informazioni sul campo Corpo del messaggio, consulta la sezione Creazione di Cloud Scheduler.
Nome variabile Descrizione Valore predefinito Secret PROJECT_ID
ID progetto Pub/Sub. Per informazioni sull'ID progetto, consulta Creazione e gestione dei progetti. Nessuna No SUBSCRIPTION_ID
ID sottoscrizione Pub/Sub. Nessuna No CHRONICLE_DATA_TYPE
Etichetta di importazione per il tipo di log fornito durante il push dei dati a Chronicle. Consulta Analizzatori predefiniti supportati per un elenco dei tipi di log supportati. Nessuna No Ecco un esempio di stringa in formato JSON per il campo Corpo del messaggio.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Audit log di Slack
Questo script riceve audit log da un'organizzazione Slack Enterprise Grid e li importa in Chronicle con il tipo di log SLACK_AUDIT
. Per ulteriori informazioni, consulta
API Slack Audit Logs.
Definisci le seguenti variabili di ambiente nel file .env.yml
.
Nome variabile | Descrizione | Valore predefinito | Secret |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 5 | No |
SLACK_ADMIN_TOKEN |
Percorso del secret in Secret Manager in cui è archiviato il token di autenticazione Slack. |
Nessuno |
Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
STIX/TAXII
Questo script estrae gli indicatori dal server STIX/TAXII e li importa in Chronicle. Per ulteriori informazioni, consulta la documentazione relativa all'API STIX/TAXII.
Definisci le seguenti variabili di ambiente nel file .env.yml
.
Nome variabile | Description | Predefinito | Segreto |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
POLL_INTERVAL |
Intervallo di frequenza (in minuti) in cui viene eseguita la funzione. Questa durata deve essere uguale al job Cloud Scheduler. | 60 | No |
TAXII_VERSION |
La versione STIX/TAXII da utilizzare. Le opzioni possibili sono 1.1, 2.0, 2.1 | Nessuna | No |
TAXII_DISCOVERY_URL |
URL di rilevamento del server TAXII. | Nessuna | No |
TAXII_COLLECTION_NAMES |
Raccolte (CSV) da cui recuperare i dati. Lascia il campo vuoto per recuperare i dati da tutte le raccolte. | Nessuna | No |
TAXII_USERNAME |
Nome utente obbligatorio per l'autenticazione, se presente. | Nessuna | No |
TAXII_PASSWORD_SECRET_PATH |
Eventuale password obbligatoria per l'autenticazione. | Nessuna | Sì |
Tenable.io
Questo script recupera i dati di asset e vulnerabilità dalla piattaforma Tenable.io e li importa in Chronicle con il tipo di log TENABLE_IO
. Per informazioni sulla libreria utilizzata, consulta l'SDK pyTenable Python.
Definisci le seguenti variabili di ambiente nel file .env.yml
. Per maggiori dettagli su dati relativi ad asset e vulnerabilità, vedi l'API Tenable.io: Esportare gli asset ed Esportare le vulnerabilità.
Variabile | Description | Predefinito | Segreto |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 360 | No |
TENABLE_ACCESS_KEY |
La chiave di accesso utilizzata per l'autenticazione. | Nessuna | No |
TENABLE_SECRET_KEY_PATH |
Percorso di Google Secret Manager con la versione in cui è archiviata la password di Tenable Server. | Nessuna | Sì |
TENABLE_DATA_TYPE |
Tipo di dati da importare in Chronicle. Valori possibili: ASSETS, VULNERABILITIES. | RISORSE, VULNERABILITÀ | No |
TENABLE_VULNERABILITY |
Lo stato delle vulnerabilità che vuoi includere nell'esportazione. Valori possibili: "OPEN", "REOPENED" e "FIXED". | APERTI, RIAPERTI | No |
Sicurezza delle app cloud Trend Micro
Questo script recupera i log di sicurezza dalla piattaforma Trend Micro e li importa in Chronicle. Per informazioni sull'API utilizzata, consulta la pagina dedicata all'API dei log di sicurezza. Definisci le seguenti variabili di ambiente nel file .env.yml
.
Variabile | Description | Predefinito | Segreto |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 10 | No |
CHRONICLE_DATA_TYPE |
Tipo di log per eseguire il push dei dati nell'istanza Chronicle. | Nessuna | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Percorso di Google Secret Manager con la versione in cui è archiviato il token di autenticazione per Trend Micro Server. | Nessuna | Sì |
TREND_MICRO_SERVICE_URL |
URL del servizio Cloud App Security. | Nessuna | No |
TREND_MICRO_SERVICE |
Il nome del servizio protetto di cui recuperare i log. Supporta valori separati da virgole. Valori possibili: Exchange, sharepoint, onedrive, casella personale, box, googledrive, gmail, Teams, Exchangeserver, salesforce_sandbox, salesforce_production, Teams_chat. | Exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, Teams, Exchangeserver, salesforce_sandbox, salesforce_production, Teams_chat | No |
TREND_MICRO_EVENT |
Il tipo di evento di sicurezza da cui recuperare i log. Supporta valori separati da virgole. Valori possibili: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | No |
Trend Micro Vision One
Questo script recupera gli audit log di Trend Micro Vision One e li importa in Chronicle con il tipo di log TREND_MICRO_VISION_AUDIT
. Per informazioni sull'API utilizzata, consulta la sezione relativa all'API degli audit log. Definisci le seguenti variabili di ambiente nel file .env.yml
.
Variabile | Description | Predefinito | Segreto |
---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle. | Nessuna | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle. | us Altri valori validi: asia-northeast1 , asia-south1 , asia-southeast1 , australia-southeast1 , europe , europe-west2 , europe-west3 , europe-west6 , me-central2 , me-west1 e northamerica-northeast2 . |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager in cui è archiviato il file JSON dell'account di servizio Chronicle. | Nessuna | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuna | No |
POLL_INTERVAL |
Intervallo di frequenza in cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 10 | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Percorso di Google Secret Manager con la versione in cui è archiviato il token di autenticazione per Trend Micro Server. | Nessuna | Sì |
TREND_MICRO_DOMAIN |
Trend Micro Vision Una regione in cui si trova l'endpoint di servizio. | Nessuna | No |