Usa gli script di importazione di cui è stato eseguito il deployment come Cloud Functions
Chronicle ha fornito un insieme di script di importazione, scritti in Python, il cui deployment dovrebbe essere eseguito come Cloud Functions. Questi script ti consentono di importare i dati dalle seguenti origini log, elencate per nome e tipo di log.
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Questi script si trovano nel repository GitHub di Chronicle.
Limitazione nota: quando vengono utilizzati in un ambiente senza stato come Cloud Functions, questi script potrebbero non inviare tutti i log a Chronicle perché non dispongono della funzionalità di checkpoint. Chronicle ha testato gli script con il runtime di Python 3.9.
Prima di iniziare
Leggi le seguenti risorse che forniscono contesto e informazioni di base che ti consentono di utilizzare in modo efficace gli script di importazione di Chronicle.
- Deployment di Cloud Functions per informazioni su come eseguire il deployment di Cloud Functions dalla tua macchina locale.
- Creazione e accesso ai secret illustra come utilizzare Secret Manager. Ne avrai bisogno per archiviare e accedere al file JSON dell'account di servizio Chronicle.
- Installa Google Cloud CLI. Lo utilizzerai per eseguire il deployment della funzione Cloud Functions.
- Documentazione di Google Cloud Pub/Sub se prevedi di importare dati da Pub/Sub.
Assembla i file per un singolo tipo di log
Ogni sottodirectory in Chronicle GitHub contiene i file che importano i dati per un singolo tipo di log di Chronicle. Lo script si connette a un singolo dispositivo di origine e invia i log non elaborati a Chronicle utilizzando l'API Ingestion. Ti consigliamo di eseguire il deployment di ogni tipo di log come funzione Cloud Functions separata. Accedere agli script nel repository GitHub di Chronicle. Ogni sottodirectory in GitHub contiene i seguenti file specifici per il tipo di log che importa.
main.pyè lo script di importazione specifico per il tipo di log. Si connette al dispositivo di origine e importa i dati su Chronicle..env.ymlarchivia la configurazione richiesta dallo script Python ed è specifica per il deployment. Modifica questo file per impostare i parametri di configurazione richiesti dallo script di importazione.README.mdfornisce informazioni sui parametri di configurazione.Requirements.txtdefinisce le dipendenze richieste dallo script di importazione. Inoltre, la cartellacommoncontiene funzioni di utilità da cui dipendono tutti gli script di importazione.
Per assemblare i file che importano i dati per un singolo tipo di log, procedi nel seguente modo:
- Creare una directory di deployment per archiviare i file per la funzione Cloud Functions. Questo conterrà tutti i file necessari per il deployment.
- Copia tutti i file dalla sottodirectory GitHub del tipo di log desiderato, ad esempio OneLogin User Context, in questa directory di deployment.
- Copia la cartella
commone tutti i contenuti nella directory di deployment. I contenuti della directory saranno simili ai seguenti:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Configura gli script
- Avvia una sessione di Cloud Shell.
- Connettiti con SSH a una VM Google Cloud Linux. Consulta la pagina Connetterti alle VM Linux usando gli strumenti Google.
Carica gli script di importazione facendo clic su Altro > Carica o Scarica per spostare file o cartelle da o verso Cloud Shell.
Puoi caricare e scaricare file e cartelle solo dalla tua directory home. Per ulteriori opzioni per il trasferimento di file tra Cloud Shell e la workstation locale, consulta la pagina Caricare e scaricare file e cartelle da Cloud Shell.
Modifica il file
.env.ymlper la funzione e compila le variabili di ambiente richieste. La seguente tabella elenca le variabili di ambiente di runtime comuni a tutti gli script di importazione.Nome variabile Descrizione Elemento obbligatorio Impostazione predefinita Secret CHRONICLE_CUSTOMER_IDID cliente Chronicle. Sì Nessun elemento No CHRONICLE_REGIONRegione Chronicle. Sì us
Altri valori validi sonoasia-southeast1,europeeeurope-west2.No CHRONICLE_SERVICE_ACCOUNTContenuto del file JSON dell'account di servizio Chronicle. Sì Nessun elemento Sì CHRONICLE_NAMESPACELo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. No Nessun elemento No Ogni script richiede variabili di ambiente specifiche per lo script. Per ulteriori dettagli sulle variabili di ambiente richieste da ogni tipo di log, consulta Parametri di configurazione per tipo di log.
Le variabili di ambiente contrassegnate come Secret = Yes devono essere configurate come secret in Secret Manager. Consulta i prezzi di Secret Manager per informazioni sui costi di utilizzo di Secret Manager.
Per istruzioni dettagliate, consulta Creazione e accesso ai secret.
Dopo aver creato i secret in Secret Manager, utilizza il nome della risorsa secret come valore per le variabili di ambiente. Ad esempio:
projects/{project_id}/secrets/{secret_id}/versions/{version_id}, dove {project_id}, {secret_id}
e {version_id} sono specifici per il tuo ambiente.
Configurare uno scheduler o un trigger
Tutti gli script, tranne Pub/Sub, vengono implementati per raccogliere i dati a intervalli periodici da un dispositivo di origine. Devi configurare un trigger utilizzando Cloud Scheduler per recuperare i dati nel tempo. Lo script di importazione per Pub/Sub monitora continuamente la sottoscrizione Pub/Sub. Per ulteriori informazioni, consulta Esecuzione di servizi in base a una pianificazione e Utilizzo di Pub/Sub per attivare una funzione Cloud Functions.
Esegui il deployment della funzione Cloud Functions
- Avvia una sessione di Cloud Shell.
- Connettiti tramite SSH a una VM Google Cloud Linux. Consulta la pagina Connetterti alle VM Linux usando gli strumenti Google.
- Passa alla directory in cui hai copiato gli script di importazione.
Esegui questo comando per eseguire il deployment della funzione Cloud Functions.
gcloud functions deploy <FUNCTION NAME> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlDove
FUNCTION_NAMEè il nome che definisci per la funzione Cloud Functions.Nota: se non modifichi la posizione dei file nella directory, assicurati di utilizzare l'opzione
--sourceper specificare il percorso degli script di deployment.
Visualizza log di runtime
Gli script di importazione stampano i messaggi di runtime su stdout. Cloud Functions offre un meccanismo per visualizzare i messaggi di log. Per ulteriori informazioni, consulta le informazioni sulle funzioni Cloud Functions sulla visualizzazione dei log di runtime.
Parametri di configurazione per tipo di log
Aruba Centrale
Questo script recupera gli audit log dalla piattaforma Aruba Central e li importa in Chronicle, con il tipo di log ARUBA_CENTRAL. Per informazioni su come utilizzare la libreria, consulta l'SDK Python centrale.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Description | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1 e europe. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
POLL_INTERVAL |
Intervallo di frequenza alla quale la funzione viene eseguita per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 10 | No |
ARUBA_CLIENT_ID |
ID client del gateway API Aruba Central. | Nessun elemento | No |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Client secret del gateway API Aruba Central. | Nessun elemento | Sì |
ARUBA_USERNAME |
Nome utente della piattaforma Aruba Central. | Nessun elemento | No |
ARUBA_PASSWORD_SECRET_PATH |
Password della piattaforma Aruba Central. | Nessun elemento | Sì |
ARUBA_BASE_URL |
URL di base del gateway API Aruba Central. | Nessun elemento | No |
ARUBA_CUSTOMER_ID |
ID cliente della piattaforma Aruba Central. | Nessun elemento | No |
Hub eventi Azure
A differenza di altri script di importazione, questo script utilizza le funzioni di Azure per recuperare gli eventi da Azure Event Hub. Una funzione Azure si attiva ogni volta che viene aggiunto un nuovo evento in un bucket e ogni evento viene gradualmente importato in Chronicle.
Passaggi per eseguire il deployment delle funzioni di Azure:
- Scarica dal repository il file del connettore dati denominato
Azure_eventhub_API_function_app.json. - Accedi al portale Microsoft Azure.
- Vai a Microsoft Sentinel > Select your workspace from the list > Select Data Connector, nella sezione di configurazione, e segui questi passaggi:
- Imposta il seguente flag su true nell'URL:
feature.BringYourOwnConnector=true. Ad esempio: https://portal.azure.com/?feature.BringYourOwnConnector=true&...
- Imposta il seguente flag su true nell'URL:
- Trova il pulsante import nella pagina e importa il file del connettore di dati scaricato nel passaggio 1.
- Fai clic sul pulsante Esegui il deployment in Azure per eseguire il deployment della funzione e segui i passaggi indicati nella stessa pagina.
- Seleziona l'opzione Abbonamento preferita, Gruppo di risorse e Località, quindi fornisci i valori richiesti.
- Fai clic su Rivedi + crea.
- Fai clic su Crea per eseguire il deployment.
Box
Questo script riceve dettagli sugli eventi che si verificano all'interno di Box e li importa in Chronicle con il tipo di log BOX. I dati forniscono insight sulle operazioni CRUD sugli oggetti nell'ambiente Box. Per informazioni sugli eventi Box, consulta l'API Box events.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per saperne di più su Box Client ID, Client Secret e Subject ID, consulta l'articolo Client Credentials Grant.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
POLL_INTERVAL |
Intervallo di frequenza alla quale la funzione viene eseguita per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1, europe e europe-west2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
BOX_CLIENT_ID |
Client-ID della piattaforma Box, disponibile nella console per sviluppatori Box. | Nessun elemento | No |
BOX_CLIENT_SECRET |
Percorso del secret in Secret Manager che memorizza il client secret della piattaforma Box utilizzato per l'autenticazione. | Nessun elemento | Sì |
BOX_SUBJECT_ID |
Box User ID o Enterprise ID. | Nessun elemento | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
Audit log di Citrix Cloud
Questo script raccoglie gli audit log di Citrix Cloud e li importa in Chronicle con il tipo di log CITRIX_MONITOR. Questi log aiutano a identificare le attività eseguite nell'ambiente Citrix Cloud fornendo informazioni su cosa è cambiato, chi lo ha modificato, quando è stato modificato e così via. Per ulteriori informazioni, consulta l'API Citrix Cloud SystemLog.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni
su ID client Citrix e Client Secret, consulta la
Guida introduttiva alle API Citrix.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1, europe e europe-west2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
CITRIX_CLIENT_ID |
ID client API Citrix. | Nessun elemento | No |
CITRIX_CLIENT_SECRET |
Percorso del secret in Secret Manager che memorizza il client secret dell'API Citrix utilizzato per l'autenticazione. | Nessun elemento | Sì |
CITRIX_CUSTOMER_ID |
ID cliente Citrix. | Nessun elemento | No |
POLL_INTERVAL |
Intervallo di frequenza alla quale vengono raccolti dati di log aggiuntivi (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 30 | No |
URL_DOMAIN |
Citrix Endpoint Cloud | Nessun elemento | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
Metadati sessione Citrix
Questo script raccoglie i metadati della sessione Citrix dagli ambienti Citrix e li importa in Chronicle con il tipo di log CITRIX_MONITOR. I dati includono dettagli di accesso dell'utente, durata della sessione, ora di creazione della sessione, ora di fine della sessione e altri metadati relativi alla sessione. Per maggiori informazioni, consulta la pagina relativa all'API Citrix Monitor Service.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni
su ID client Citrix e Client Secret, consulta la
Guida introduttiva alle API Citrix.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1, europe e europe-west2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
URL_DOMAIN |
Dominio dell'URL di Citrix. | Nessun elemento | No |
CITRIX_CLIENT_ID |
ID client Citrix. | Nessun elemento | No |
CITRIX_CLIENT_SECRET |
Percorso del secret in Secret Manager che memorizza il client secret Citrix utilizzato per l'autenticazione. | Nessun elemento | Sì |
CITRIX_CUSTOMER_ID |
ID cliente Citrix. | Nessun elemento | No |
POLL_INTERVAL |
Intervallo di frequenza alla quale la funzione viene eseguita per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 30 | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
Cloud Storage
Questo script recupera i log di sistema da Cloud Storage e li importa in Chronicle, con un valore configurabile per il tipo di log. Per i dettagli, consulta la libreria client di Google Cloud Python.
Definisci le seguenti variabili di ambiente nel file .env.yml. Google Cloud offre log relativi alla sicurezza, da cui alcuni tipi di log non sono esportabili direttamente in Chronicle. Per saperne di più, vedi Analisi dei log di sicurezza.
| Variabile | Descrizione | Impostazione predefinita | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1 e europe. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
POLL_INTERVAL |
Intervallo di frequenza alla quale viene eseguita la funzione per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo di job di Cloud Scheduler. | 60 | No |
GCS_BUCKET_NAME |
Nome del bucket Cloud Storage da cui recuperare i dati. | Nessun elemento | No |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Google Cloud. | Nessun elemento | Sì |
CHRONICLE_DATA_TYPE |
Tipo di log per eseguire il push dei dati nell'istanza Chronicle. | Nessun elemento | No |
Amministratore Duo
Lo script riceve eventi da Duo Admin relativi alle operazioni CRUD eseguite su vari oggetti, ad esempio account utente e sicurezza. Gli eventi vengono importati in Chronicle con il tipo di log DUO_ADMIN. Per maggiori informazioni, consulta
l'API Duo Admin.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1, europe e europe-west2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
POLL_INTERVAL |
Intervallo di frequenza alla quale la funzione viene eseguita per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | Nessun elemento | No |
DUO_API_DETAILS |
Percorso del secret in Secret Manager che archivia il file JSON dell'account Duo. Contiene la chiave di integrazione dell'API Duo, la chiave segreta dell'API Duo e il nome host dell'API Duo Admin. Ad esempio:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Consulta la documentazione per gli amministratori di Duo per istruzioni sul download del file JSON. |
Nessun elemento | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
ISP
Questo script recupera le informazioni sulle relazioni di minaccia da MISP, una piattaforma open source di intelligence e condivisione delle minacce, e le importa in Chronicle con il tipo di log MISP_IOC. Per ulteriori informazioni, consulta la pagina relativa all'API MISP events.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
POLL_INTERVAL |
Intervallo di frequenza alla quale la funzione viene eseguita per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1, europe e europe-west2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
ORG_NAME |
Nome dell'organizzazione per l'applicazione di filtri agli eventi. | Nessun elemento | No |
API_KEY |
Percorso del secret in Secret Manager che archivia la chiave API per l'autenticazione utilizzata. | Nessun elemento | Sì |
TARGET_SERVER |
L'indirizzo IP dell'istanza MISP che hai creato. | Nessun elemento | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
Eventi OneLogin
Questo script riceve eventi da un ambiente OneLogin e li importa in
Chronicle con il tipo di log ONELOGIN_SSO. Questi eventi forniscono informazioni quali operazioni sugli account utente. Per ulteriori informazioni, consulta
l'API OneLogin events.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni sugli ID client e sui client Secret di OneLogin, consulta Utilizzo delle credenziali API.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
POLL_INTERVAL |
Intervallo di frequenza alla quale la funzione viene eseguita per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1, europe e europe-west2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
CLIENT_ID |
ID client della piattaforma OneLogin. | Nessun elemento | No |
CLIENT_SECRET |
Percorso del secret in Secret Manager che memorizza il client secret della piattaforma OneLogin utilizzata per l'autenticazione. | Nessun elemento | Sì |
TOKEN_ENDPOINT |
L'URL per richiedere un token di accesso. | https://api.it.onelogin.com/auth/oauth2/v2/token' | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
Contesto utente OneLogin
Questo script riceve i dati relativi agli account utente da un ambiente OneLogin e li importa in Chronicle con il tipo di log ONELOGIN_USER_CONTEXT. Per saperne di più, consulta l'API OneLogin User.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni sugli ID client e sui client Secret di OneLogin, consulta Utilizzo delle credenziali API.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
POLL_INTERVAL |
Intervallo di frequenza alla quale la funzione viene eseguita per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 30 | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1, europe e europe-west2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
CLIENT_ID |
ID client della piattaforma OneLogin. | Nessun elemento | No |
CLIENT_SECRET |
Percorso del secret in Secret Manager che memorizza il client secret della piattaforma OneLogin utilizzata per l'autenticazione. | Nessun elemento | Sì |
TOKEN_ENDPOINT |
L'URL per richiedere un token di accesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
Dimostrazione
Questo script recupera i dati relativi agli utenti scelti come target dagli attacchi di una determinata organizzazione entro un determinato periodo di tempo e li importa in Chronicle. Per informazioni sull'API utilizzata, consulta l'articolo sull'API People.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per dettagli su come ottenere l'entità del servizio Proofpoint e il secret Proofpoint, consulta la sezione Fornire le credenziali di TAP di proofpoint alla guida per la configurazione di Arctic Wolf.
| Variabile | Descrizione | Impostazione predefinita | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1 e europe. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
POLL_INTERVAL |
Intervallo di frequenza alla quale viene eseguita la funzione per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo di job di Cloud Scheduler. | 360 | No |
CHRONICLE_DATA_TYPE |
Tipo di log per eseguire il push dei dati nell'istanza Chronicle. | Nessun elemento | No |
PROOFPOINT_SERVER_URL |
URL di base del gateway API Proofpoint Server. | Nessun elemento | No |
PROOFPOINT_SERVICE_PRINCIPLE |
Nome utente della piattaforma Proofpoint. Questa è in genere l'entità del servizio. | Nessun elemento | No |
PROOFPOINT_SECRET |
Percorso di Secret Manager con la versione in cui è archiviata la password della piattaforma Proofpoint. | Nessun elemento | Sì |
PROOFPOINT_RETRIEVAL_RANGE |
Numero che indica quanti giorni devono essere recuperati. I valori accettati sono 14, 30 e 90. | Nessun elemento | No |
Pub/Sub
Questo script raccoglie i messaggi dalle sottoscrizioni Pub/Sub e importa i dati in Chronicle. Monitora costantemente il gateway della sottoscrizione e importa i messaggi più recenti quando vengono visualizzati. Per maggiori informazioni, consulta i seguenti documenti:
Questo script di importazione richiede l'impostazione di variabili sia nel file .env.yml che nel job Cloud Scheduler.
Definisci le seguenti variabili di ambiente nel file
.env.yml.Nome variabile Descrizione Valore predefinito Secret CHRONICLE_CUSTOMER_IDID cliente istanza Chronicle. Nessun elemento No CHRONICLE_REGIONRegione istanza Chronicle. us
Altri valori validi:asia-southeast1,europeeeurope-west2.No CHRONICLE_SERVICE_ACCOUNTPercorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. Nessun elemento Sì CHRONICLE_NAMESPACELo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. Nessun elemento No Imposta le seguenti variabili nel campo Corpo del messaggio di Cloud Scheduler come stringa in formato JSON. Per ulteriori informazioni sul campo Corpo del messaggio, consulta la sezione Creare Cloud Scheduler.
Nome variabile Descrizione Valore predefinito Secret PROJECT_IDID progetto Pub/Sub. Consulta Creazione e gestione dei progetti per informazioni sull'ID progetto. Nessun elemento No SUBSCRIPTION_IDID sottoscrizione Pub/Sub. Nessun elemento No CHRONICLE_DATA_TYPEEtichetta di importazione per il tipo di log fornito durante il push dei dati a Chronicle. Consulta la sezione Analizzatori predefiniti supportati per un elenco dei tipi di log supportati. Nessun elemento No Di seguito è riportato un esempio di stringa in formato JSON per il campo Corpo del messaggio.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Audit log Slack
Questo script riceve gli audit log di un'organizzazione Slack Enterprise Grid e li importa in Chronicle con il tipo di log SLACK_AUDIT. Per ulteriori informazioni, consulta la pagina relativa all'API Slack Audit Logs.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1, europe e europe-west2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
POLL_INTERVAL |
Intervallo di frequenza alla quale la funzione viene eseguita per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
SLACK_ADMIN_TOKEN |
Percorso del secret in Secret Manager che memorizza il token di autenticazione Slack. |
Nessuno |
Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, consulta Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
STIX/TAXII
Questo script estrae gli indicatori dal server STIX/TAXII e li importa in
Chronicle. Per ulteriori informazioni, consulta la documentazione dell'API STIX/TAXII.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Impostazione predefinita | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1, europe e europe-west2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
POLL_INTERVAL |
Intervallo di frequenza (in minuti) durante il quale la funzione viene eseguita. Questa durata deve essere uguale al job Cloud Scheduler. | 60 | No |
TAXII_VERSION |
La versione STIX/TAXII da utilizzare. Le opzioni possibili sono 1,1, 2,0, 2,1 | Nessun elemento | No |
TAXII_DISCOVERY_URL |
URL di rilevamento del server TAXII | Nessun elemento | No |
TAXII_COLLECTION_NAMES |
Raccolte (CSV) da cui recuperare i dati. Lascia il campo vuoto per recuperare i dati da tutte le raccolte. | Nessun elemento | No |
TAXII_USERNAME |
Eventuali nomi utente richiesti per l'autenticazione. | Nessun elemento | No |
TAXII_PASSWORD_SECRET_PATH |
Password obbligatoria per l'autenticazione, se presente. | Nessun elemento | Sì |
Tenable.io
Questo script recupera i dati di asset e vulnerabilità dalla piattaforma Tenable.io e li importa in Chronicle con il tipo di log TENABLE_IO. Per informazioni sulla libreria utilizzata, consulta la pagina sull'SDK Python pyTenable.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per maggiori dettagli sui dati relativi ad asset e vulnerabilità, consulta l'API Tenable.io: Export assets (Esporta risorse) ed Export vulnerabilità (Esporta vulnerabilità).
| Variabile | Description | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1 e europe. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
POLL_INTERVAL |
Intervallo di frequenza alla quale viene eseguita la funzione per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo di job di Cloud Scheduler. | 360 | No |
TENABLE_ACCESS_KEY |
La chiave di accesso utilizzata per l'autenticazione. | Nessun elemento | No |
TENABLE_SECRET_KEY_PATH |
Percorso di Google Secret Manager con la versione in cui è archiviata la password di Tenable Server. | Nessun elemento | Sì |
TENABLE_DATA_TYPE |
Tipo di dati da importare in Chronicle. Valori possibili: ASSET, VULNERABILITÀ. | ASSET, VULNERABILITÀ | No |
TENABLE_VULNERABILITY |
Lo stato delle vulnerabilità che vuoi includere nell'esportazione. Valori possibili: `OPEN`, `REOPENED` e `FIXED`. | APRI, RIAPERTA | No |
Trend di sicurezza delle app in micro cloud
Questo script recupera i log di sicurezza dalla piattaforma Trend Micro e li importa in Chronicle. Per informazioni sull'API utilizzata, consulta l'articolo sull'API dei log di sicurezza. Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Description | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1 e europe. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
POLL_INTERVAL |
Intervallo di frequenza alla quale viene eseguita la funzione per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo di job di Cloud Scheduler. | 10 | No |
CHRONICLE_DATA_TYPE |
Tipo di log per eseguire il push dei dati nell'istanza Chronicle. | Nessun elemento | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Percorso di Google Secret Manager con la versione, in cui viene archiviato il token di autenticazione per Trend Micro Server. | Nessun elemento | Sì |
TREND_MICRO_SERVICE_URL |
URL del servizio Cloud App Security. | Nessun elemento | No |
TREND_MICRO_SERVICE |
Il nome del servizio protetto, i cui log recuperare. Supporta valori separati da virgole. Valori possibili: Exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, Teams, Exchangeserver, salesforce_sandbox, salesforce_production, Teams_chat. | Exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, team, Exchangeserver, salesforce_sandbox, salesforce_production, Teams_chat | No |
TREND_MICRO_EVENT |
Il tipo di evento di sicurezza di cui i log recuperare. Supporta valori separati da virgole. Valori possibili: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | No |
Trend Micro Vision 1
Questo script recupera gli audit log di Trend Micro Vision One e li importa in Chronicle, con il tipo di log TREND_MICRO_VISION_AUDIT. Per informazioni sull'API utilizzata, consulta l'API Audit Logs. Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Description | Predefinito | Segreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente istanza Chronicle. | Nessun elemento | No |
CHRONICLE_REGION |
Regione istanza Chronicle. | usAltri valori validi: asia-southeast1 e europe. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle. | Nessun elemento | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi a cui sono etichettati i log di Chronicle. Per informazioni sugli spazi dei nomi Chronicle, vedi Utilizzare gli spazi dei nomi degli asset. | Nessun elemento | No |
POLL_INTERVAL |
Intervallo di frequenza alla quale viene eseguita la funzione per ottenere altri dati di log (in minuti). Questa durata deve essere uguale all'intervallo di job di Cloud Scheduler. | 10 | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Percorso di Google Secret Manager con la versione, in cui viene archiviato il token di autenticazione per Trend Micro Server. | Nessun elemento | Sì |
TREND_MICRO_DOMAIN |
Area di tendenza di Micro Vision One in cui si trova l'endpoint di servizio. | Nessun elemento | No |