Cloud Functions としてデプロイされた取り込みスクリプトを使用する
Chronicle は、Cloud Functions としてデプロイされることを目的とした Python で記述された一連の取り込みスクリプトを提供しています。これらのスクリプトを使用すると、次のログソースからデータを取り込むことができます。データはログ名と種類で一覧表示されます。
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
このスクリプトは、Chronicle の GitHub リポジトリにあります。
既知の制限: これらのスクリプトが Cloud Functions などのステートレス環境で使用される場合、チェックポイント機能がないため、すべてのログを Chronicle に送信できない場合があります。Chronicle は、Python 3.9 ランタイムでスクリプトをテストしています。
始める前に
Chronicle の取り込みスクリプトを効果的に使用するためのコンテキストと背景に関する情報を提供する次のリソースをご覧ください。
- ローカルマシンから Cloud Functions をデプロイする方法については、Cloud Functions のデプロイをご覧ください。
- シークレットの作成とアクセスでは、Secret Manager の使用方法を説明します。これは、Chronicle サービス アカウントの JSON ファイルを保存してアクセスする際に必要になります。
- Google Cloud CLI をインストールする。 これを使用して Cloud Functions の関数をデプロイします。
- Google Cloud Pub/Sub ドキュメント(Pub/Sub からデータを取り込む場合)。
1 つのログタイプのファイルを作成する
Chronicle GitHub の各サブディレクトリには、単一の Chronicle ログタイプのデータを取り込むファイルが含まれています。このスクリプトは、単一のソースデバイスに接続した後、Ingestion API を使用して未加工のログを Chronicle に送信します。各ログタイプは個別の Cloud Functions としてデプロイすることをおすすめします。Chronicle GitHub リポジトリのスクリプトにアクセスします。GitHub の各サブディレクトリには、取り込むログタイプに固有の次のファイルが含まれています。
main.pyは、ログタイプに固有の取り込みスクリプトです。ソースデバイスに接続し、Chronicle にデータを取り込みます。.env.ymlは、Python スクリプトで必要とされる構成を保存し、デプロイに固有のものです。このファイルを変更して、取り込みスクリプトで必要な構成パラメータを設定します。README.mdは構成パラメータに関する情報を提供します。Requirements.txtは、取り込みスクリプトに必要な依存関係を定義します。さらに、commonフォルダには、すべての取り込みスクリプトが依存するユーティリティ関数が含まれています。
次の手順に沿って、単一のログタイプのデータを取り込むファイルを作成します。
- Cloud Function のファイルを保存するデプロイ ディレクトリを作成します。これには、デプロイに必要なすべてのファイルが含まれます。
- 任意のログタイプの GitHub サブディレクトリ(OneLogin ユーザー コンテキストなど)から、このデプロイ ディレクトリにすべてのファイルをコピーします。
commonフォルダとすべてのコンテンツをデプロイ ディレクトリにコピーします。ディレクトリの内容は次のようになります。
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
スクリプトを構成する
- Cloud Shell セッションを起動します。
- Google Cloud Linux VM に SSH 接続します。Googleの ツールを使用して Linux VM に接続をご覧ください。
取り込みスクリプトをアップロードするには、 その他 > [アップロード] または [ダウンロード] をクリックして Cloud Shell間でフォルダやファイルを移動します。
ファイルやフォルダは、ホーム ディレクトリでのみアップロードおよびダウンロードできます。Cloud Shell とローカル ワークステーションの間でファイルを転送するその他のオプションについては、Cloud Shell からファイルとフォルダをアップロードおよびダウンロードするをご覧ください。
関数の
.env.ymlファイルを編集して、必要な環境変数を入力します。次の表に、すべての取り込みスクリプトに共通するランタイム環境変数を示します。変数名 説明 必須 デフォルト シークレット CHRONICLE_CUSTOMER_IDChronicle お客様 ID。 あり なし いいえ CHRONICLE_REGIONChronicle リージョン。 あり us
その他の有効な値はasia-southeast1、europe、europe-west2です。いいえ CHRONICLE_SERVICE_ACCOUNTChronicle サービス アカウントの JSON ファイルの内容。 あり なし あり CHRONICLE_NAMESPACEChronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 いいえ なし いいえ 各スクリプトには、スクリプトに固有の環境変数が必要です。各ログタイプに必要な環境変数の詳細については、ログタイプごとの構成パラメータをご覧ください。
Secret = Yes とマークされた環境変数は Secret Manager でシークレットとして構成する必要があります。Secret Manager の使用料金については、Secret Manager の料金をご覧ください。
詳しい手順については、シークレットの作成とアクセスをご覧ください。
Secret Manager でシークレットを作成したら、環境変数の値としてシークレット リソース名を使用します。たとえば、projects/{project_id}/secrets/{secret_id}/versions/{version_id} です。ここで、{project_id}、{secret_id}、{version_id} は、実際の環境に固有のものです。
スケジューラまたはトリガーを設定する
Pub/Sub を除くすべてのスクリプトは、ソースデバイスから定期的にデータを収集するように実装されます。時間の経過とともにデータを取得するには、Cloud Scheduler を使用してトリガーを設定する必要があります。Pub/Sub の取り込みスクリプトは、Pub/Sub サブスクリプションを継続的にモニタリングします。詳細については、スケジュールに沿ってサービスを実行すると Pub/Sub を使用して Cloud Functions の関数をトリガーするをご覧ください。
Cloud Functions 関数のデプロイ
- Cloud Shell セッションを起動します。
- SSH 経由で Google Cloud Linux VM に接続します。Googleの ツールを使用して Linux VM に接続をご覧ください。
- 取り込みスクリプトをコピーしたディレクトリに移動します。
次のコマンドを実行して、Cloud Functions をデプロイします。
gcloud functions deploy <FUNCTION NAME> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlここで、
FUNCTION_NAMEは Cloud Functions に定義する名前です。注: ディレクトリをファイルの場所に変更しない場合は、
--sourceオプションを使用してデプロイ スクリプトの場所を指定してください。
ランタイムログの表示
取り込みスクリプトは stdout にランタイム メッセージを出力します。Cloud Functions には、ログメッセージを表示するメカニズムがあります。詳細については、Cloud Functions のランタイムログの表示に関する情報をご覧ください。
ログタイプごとの構成パラメータ
アルバ セントラル
このスクリプトは Alba Central プラットフォームから監査ログを取得し、それらを ARUBA_CENTRAL ログタイプで Chronicle に取り込みます。ライブラリの使用方法については、pycentral Python SDK をご覧ください。
.env.yml ファイルで次の環境変数を定義します。
| 変数 | 説明 | デフォルト | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1 および europe。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | 10 | いいえ |
ARUBA_CLIENT_ID |
Alba Central API ゲートウェイのクライアント ID。 | なし | いいえ |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Alba Central API ゲートウェイのクライアント シークレット。 | なし | あり |
ARUBA_USERNAME |
Aruba Central プラットフォームのユーザー名。 | なし | いいえ |
ARUBA_PASSWORD_SECRET_PATH |
Alba Central プラットフォームのパスワード。 | なし | あり |
ARUBA_BASE_URL |
Aruba Central API ゲートウェイのベース URL。 | なし | いいえ |
ARUBA_CUSTOMER_ID |
アルバ セントラル プラットフォームのお客様 ID。 | なし | いいえ |
Azure Event Hub
他の取り込みスクリプトとは異なり、このスクリプトでは、Azure 関数を使用して Azure Event Hub からイベントを取得します。Azure 関数は、新しいイベントがバケットに追加されるたびにトリガーされ、各イベントは Chronicle に段階的に取り込まれます。
Azure Functions の関数をデプロイする手順:
- リポジトリから
Azure_eventhub_API_function_app.jsonという名前のデータコネクタ ファイルをダウンロードします。 - Microsoft Azure ポータルにログインします。
- 構成セクションの Microsoft の [Sentinel] > リストから ワークスペースを選択 > [データコネクタを選択] に移動して、次の操作を行います。
- URL でフラグ
feature.BringYourOwnConnector=trueを true に設定します。(例: https://portal.azure.com/?feature.BringYourOwnConnector=true&...)。
- URL でフラグ
- ページで [インポート] ボタンを探し、ステップ 1 でダウンロードしたデータコネクタ ファイルをインポートします。
- [Azure にデプロイする] ボタンをクリックして関数をデプロイし、同じページの手順に沿って操作します。
- 適切なサブスクリプション、リソース グループ、ロケーションを選択し、必要な値を指定します。
- [確認 + 作成] をクリックします。
- [作成] をクリックしてデプロイします。
ボックス
このスクリプトは、Box 内で発生したイベントの詳細を取得し、BOX ログタイプを使用して Chronicle に取り込みます。このデータにより、Box 環境内のオブジェクトに対する CRUD オペレーションに関する分析情報を得ることができます。Box のイベントの詳細については、Box のイベント API をご覧ください。
.env.yml ファイルで次の環境変数を定義します。Box クライアント ID、クライアント シークレット、サブジェクト ID の詳細については、クライアント認証情報の付与をご覧ください。
| 変数名 | 説明 | デフォルト値 | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | 5 | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1、europe、europe-west2。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
BOX_CLIENT_ID |
Box デベロッパー クライアント コンソールで、Box プラットフォームのクライアント ID を使用できます。 | なし | いいえ |
BOX_CLIENT_SECRET |
認証に使用される Box プラットフォームのクライアント シークレットを格納する Secret Manager のシークレットへのパス。 | なし | あり |
BOX_SUBJECT_ID |
Box ユーザー ID または企業 ID。 | なし | いいえ |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
Citrix Cloud 監査ログ
このスクリプトでは、Citrix Cloud 監査ログを収集し、CITRIX_MONITOR ログタイプで Chronicle に取り込みます。これらのログは、何が変更されたか、誰が変更したか、いつ変更されたかなどに関する情報を提供することで、Citrix Cloud 環境で行われたアクティビティを特定するのに役立ちます。詳細については、Citrix Cloud SystemLog API をご覧ください。
.env.yml ファイルで次の環境変数を定義します。Citrix クライアント ID とクライアント シークレットの詳細については、Citrix API のスタートガイドをご覧ください。
| 変数名 | 説明 | デフォルト値 | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1、europe、europe-west2。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
CITRIX_CLIENT_ID |
Citrix API クライアント ID。 | なし | いいえ |
CITRIX_CLIENT_SECRET |
認証に使用される Citrix API クライアント シークレットを格納する Secret Manager のシークレットへのパス。 | なし | あり |
CITRIX_CUSTOMER_ID |
Citrix お客様 ID。 | なし | いいえ |
POLL_INTERVAL |
追加のログデータが収集される頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブの間隔と同じにする必要があります。 | 30 | いいえ |
URL_DOMAIN |
Citrix Cloud エンドポイント。 | なし | いいえ |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
Citrix セッション メタデータ
このスクリプトは、Citrix 環境から Citrix セッション メタデータを収集し、CITRIX_MONITOR ログタイプで Chronicle に取り込みます。このデータには、ユーザーのログインの詳細、セッション継続時間、セッション作成時間、セッション終了時刻、セッションに関連するその他のメタデータが含まれます。詳細については、Citrix Monitor Service API をご覧ください。
.env.yml ファイルで次の環境変数を定義します。Citrix クライアント ID とクライアント シークレットの詳細については、Citrix API のスタートガイドをご覧ください。
| 変数名 | 説明 | デフォルト値 | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1、europe、europe-west2。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
URL_DOMAIN |
Citrix URL ドメイン。 | なし | いいえ |
CITRIX_CLIENT_ID |
Citrix クライアント ID。 | なし | いいえ |
CITRIX_CLIENT_SECRET |
認証に使用される Citrix クライアント シークレットを格納する Secret Manager のシークレットへのパス。 | なし | あり |
CITRIX_CUSTOMER_ID |
Citrix お客様 ID。 | なし | いいえ |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | 30 | いいえ |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
Cloud Storage
このスクリプトは Cloud Storage からシステムログを取得し、ログタイプの構成可能な値を使用して Chronicle に取り込みます。詳細については、Google Cloud Python クライアント ライブラリをご覧ください。
.env.yml ファイルで次の環境変数を定義します。Google Cloud には、セキュリティに関連するログがあり、一部のログタイプは Chronicle に直接エクスポートできません。詳細については、セキュリティ ログ分析をご覧ください。
| 変数 | 説明 | デフォルト | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1 および europe。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | 60 | いいえ |
GCS_BUCKET_NAME |
データを取得する Cloud Storage バケットの名前。 | なし | いいえ |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Google Cloud サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
CHRONICLE_DATA_TYPE |
Chronicle インスタンスにデータを push するログタイプ。 | なし | いいえ |
Duo 管理者
このスクリプトは、ユーザー アカウントやセキュリティなどのさまざまなオブジェクトに対して実行される CRUD オペレーションに関連するイベントを Duo 管理者から取得します。イベントは、DUO_ADMIN ログタイプを使用して Chronicle に取り込まれます。詳細については、Duo Admin API をご覧ください。
.env.yml ファイルで次の環境変数を定義します。
| 変数名 | 説明 | デフォルト値 | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1、europe、europe-west2。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | なし | いいえ |
DUO_API_DETAILS |
Duo アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。これには、Duo Admin API の統合キー、Duo Admin API の秘密鍵、Duo Admin API ホスト名が含まれます。例:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
JSON ファイルをダウンロードする方法については、Duo 管理者のドキュメントをご覧ください。 |
なし | あり |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
MISP
このスクリプトは、オープンソースの脅威インテリジェンスと共有プラットフォームである MISP から脅威関係情報を取得し、MISP_IOC ログタイプを使用して Chronicle に取り込みます。詳細については、MISP Events API をご覧ください。
.env.yml ファイルで次の環境変数を定義します。
| 変数 | 説明 | デフォルト値 | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | 5 | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1、europe、europe-west2。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
ORG_NAME |
イベントをフィルタリングする組織名。 | なし | いいえ |
API_KEY |
使用する認証の API キーを格納する Secret Manager のシークレットへのパス。 | なし | あり |
TARGET_SERVER |
作成した MISP インスタンスの IP アドレス。 | なし | いいえ |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
OneLogin イベント
このスクリプトは OneOne 環境からイベントを取得し、それらを ONELOGIN_SSO ログタイプで Chronicle に取り込みます。これらのイベントでは、ユーザー アカウントの操作などの情報が提供されます。詳細については、OneLogin Events API をご覧ください。
.env.yml ファイルで次の環境変数を定義します。OneLogin クライアント ID とクライアント シークレットについては、API 認証情報の使用をご覧ください。
| 変数名 | 説明 | デフォルト値 | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | 5 | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1、europe、europe-west2。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
CLIENT_ID |
OneLogin プラットフォームのクライアント ID。 | なし | いいえ |
CLIENT_SECRET |
認証に使用される OneLogin プラットフォームのクライアント シークレットを格納する Secret Manager のシークレットへのパス。 | なし | あり |
TOKEN_ENDPOINT |
アクセス トークンをリクエストする URL。 | https://api.us.onelogin.com/auth/oauth2/v2/token | いいえ |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
OneLogin ユーザー コンテキスト
このスクリプトは、OneLogin 環境からユーザー アカウントに関連するデータを取得し、ONELOGIN_USER_CONTEXT ログタイプで Chronicle に取り込みます。詳細については、 OneLogin User API をご覧ください。
.env.yml ファイルで次の環境変数を定義します。OneLogin クライアント ID とクライアント シークレットについては、API 認証情報の使用をご覧ください。
| 変数名 | 説明 | デフォルト値 | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | 30 | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1、europe、europe-west2。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
CLIENT_ID |
OneLogin プラットフォームのクライアント ID。 | なし | いいえ |
CLIENT_SECRET |
認証に使用される OneLogin プラットフォームのクライアント シークレットを格納する Secret Manager のシークレットへのパス。 | なし | あり |
TOKEN_ENDPOINT |
アクセス トークンをリクエストする URL。 | https://api.us.onelogin.com/auth/oauth2/v2/token |
いいえ |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
Proofpoint
このスクリプトは、特定の期間内に特定の組織から攻撃を受けたユーザーに関するデータを取得し、そのデータを Chronicle に取り込みます。使用されている API については、People API をご覧ください。
.env.yml ファイルで次の環境変数を定義します。Proofpoint サービス プリンシパルと Proofpoint シークレットの取得の詳細については、Arctic Wolf 構成ガイドにプルーフポイント TAP 認証情報を提供するをご覧ください。
| 変数 | 説明 | デフォルト | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1 および europe。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | 360 | いいえ |
CHRONICLE_DATA_TYPE |
Chronicle インスタンスにデータを push するログタイプ。 | なし | いいえ |
PROOFPOINT_SERVER_URL |
Proofpoint Server API ゲートウェイのベース URL。 | なし | いいえ |
PROOFPOINT_SERVICE_PRINCIPLE |
Proofpoint プラットフォームのユーザー名。通常、これはサービス プリンシパルです。 | なし | いいえ |
PROOFPOINT_SECRET |
Proofpoint プラットフォームのパスワードが保存されているバージョンを含む Secret Manager のパス。 | なし | あり |
PROOFPOINT_RETRIEVAL_RANGE |
データを取得する日数を示す数値。指定できる値は 14、30、90 です。 | なし | いいえ |
Pub/Sub
このスクリプトでは、Pub/Sub サブスクリプションからメッセージを収集し、そのデータを Chronicle に取り込みます。サブスクリプション ゲートウェイを継続的にモニタリングし、新しいメッセージが出現すると取り込みます。詳細については、次のドキュメントをご覧ください。
この取り込みスクリプトでは、.env.yml ファイルと Cloud Scheduler ジョブの両方で変数を設定する必要があります。
.env.ymlファイルで次の環境変数を定義します。変数名 説明 デフォルト値 シークレット CHRONICLE_CUSTOMER_IDChronicle インスタンスのお客様 ID。 なし いいえ CHRONICLE_REGIONChronicle インスタンス リージョン。 us
その他の有効な値:asia-southeast1、europe、europe-west2です。いいえ CHRONICLE_SERVICE_ACCOUNTChronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 なし あり CHRONICLE_NAMESPACEChronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 なし いいえ Cloud Scheduler の [メッセージ本文] フィールドで次の変数を JSON 形式の文字列として設定します。[メッセージ本文] フィールドの詳細については、Cloud Scheduler を作成するをご覧ください。
変数名 説明 デフォルト値 シークレット PROJECT_IDPub/Sub プロジェクト ID。プロジェクト ID については、プロジェクトの作成と管理をご覧ください。 なし いいえ SUBSCRIPTION_IDPub/Sub サブスクリプション ID なし いいえ CHRONICLE_DATA_TYPEChronicle にデータを push する際に指定されたログタイプの取り込みラベル。サポートされているログタイプの一覧については、 サポートされているデフォルト パーサーをご覧ください。 なし いいえ メッセージ本文フィールドの JSON 形式の文字列の例を次に示します。
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Slack の監査ログ
このスクリプトは Slack Enterprise Grid 組織から監査ログを取得し、それらを SLACK_AUDIT ログタイプで Chronicle に取り込みます。詳細については、Slack Audit Logs API をご覧ください。
.env.yml ファイルで次の環境変数を定義します。
| 変数名 | 説明 | デフォルト値 | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1、europe、europe-west2。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | 5 | いいえ |
SLACK_ADMIN_TOKEN |
Slack 認証トークンを格納する Secret Manager のシークレットへのパス。 |
なし |
はい |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
STIX/TAXII
このスクリプトは、STIX/TAXII サーバーからインジケーターを pull して Chronicle に取り込みます。詳細については、STIX/TAXII API のドキュメントをご覧ください。.env.yml ファイルで次の環境変数を定義します。
| 変数名 | 説明 | デフォルト | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1、europe、europe-west2。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
POLL_INTERVAL |
関数が実行される頻度の間隔(分)。この期間は Cloud Scheduler ジョブと同じにする必要があります。 | 60 | いいえ |
TAXII_VERSION |
使用する STIX/TAXII バージョン。有効なオプションは 1.1、2.0、2.1 です。 | なし | いいえ |
TAXII_DISCOVERY_URL |
TAXII サーバーのディスカバリ URL。 | なし | いいえ |
TAXII_COLLECTION_NAMES |
データを取得するコレクション(CSV)。すべてのコレクションからデータを取得するには、空のままにします。 | なし | いいえ |
TAXII_USERNAME |
認証に必要なユーザー名(ある場合)。 | なし | いいえ |
TAXII_PASSWORD_SECRET_PATH |
認証に必要なパスワード(ある場合)。 | なし | あり |
Tenable.io
このスクリプトは Tenable.io プラットフォームからアセットと脆弱性のデータを取得し、それを TENABLE_IO ログタイプで Chronicle に取り込みます。使用するライブラリの詳細については、pyTenable Python SDK をご覧ください。
.env.yml ファイルで次の環境変数を定義します。アセットと脆弱性のデータの詳細については、Tenable.io API のアセットのエクスポートと脆弱性のエクスポートをご覧ください。
| 変数 | 説明 | デフォルト | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1 および europe。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | 360 | いいえ |
TENABLE_ACCESS_KEY |
認証に使用されるアクセスキー | なし | いいえ |
TENABLE_SECRET_KEY_PATH |
Tenable Server のパスワードが格納されているバージョンを持つ Google Secret Manager のパス。 | なし | あり |
TENABLE_DATA_TYPE |
Chronicle に取り込むデータのタイプ。有効な値: ASSETS、VULNERABILITIES | ASSETS, VULNERABILITIES | いいえ |
TENABLE_VULNERABILITY |
エクスポートに含める脆弱性の状態。有効な値は、「OPEN」、「REOPENED」、「FIXED」です。 | OPEN, REOPENED | いいえ |
Trend Micro Cloud App Security
このスクリプトは、Trend Micro プラットフォームからセキュリティ ログを取得して Chronicle に取り込みます。使用される API については、セキュリティ ログ API をご覧ください。.env.yml ファイルで次の環境変数を定義します。
| 変数 | 説明 | デフォルト | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1 および europe。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | 10 | いいえ |
CHRONICLE_DATA_TYPE |
Chronicle インスタンスにデータを push するログタイプ。 | なし | いいえ |
TREND_MICRO_AUTHENTICATION_TOKEN |
トレンド マイクロサーバーの認証トークンが格納されているバージョンを持つ Google シークレット マネージャーのパス。 | なし | あり |
TREND_MICRO_SERVICE_URL |
Cloud App Security サービスのサービス URL。 | なし | いいえ |
TREND_MICRO_SERVICE |
ログを取得する保護されているサービスの名前。カンマ区切りの値をサポートします。可能な値: Exchange、sharepoint、onedrive、dropbox、box、googledrive、gmail、teams、exchangeserver、salesforce_sandbox、salesforce_production、teams_chat。 | Exchange、sharepoint、onedrive、dropbox、box、googledrive、gmail、teams、exchangeserver、salesforce_sandbox、salesforce_production、teams_chat | いいえ |
TREND_MICRO_EVENT |
ログを取得するセキュリティ イベントのタイプ。カンマ区切りの値をサポートします。可能な値: securityrisk、virtualanalyzer、ransomware、dlp。 | securityrisk, virtualanalyzer, ransomware, dlp | いいえ |
Trend Micro Vision One
このスクリプトでは、Trend Micro Vision One の監査ログが取得され、ログタイプ TREND_MICRO_VISION_AUDIT で Chronicle に取り込まれます。使用される API については、監査ログ API をご覧ください。.env.yml ファイルで次の環境変数を定義します。
| 変数 | 説明 | デフォルト | シークレット |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Chronicle インスタンスのお客様 ID。 | なし | いいえ |
CHRONICLE_REGION |
Chronicle インスタンス リージョン。 | usその他の有効な値: asia-southeast1 および europe。 |
いいえ |
CHRONICLE_SERVICE_ACCOUNT |
Chronicle サービス アカウントの JSON ファイルを格納する Secret Manager のシークレットへのパス。 | なし | あり |
CHRONICLE_NAMESPACE |
Chronicle ログにラベルを付ける名前空間。Chronicle の名前空間については、アセットの名前空間の使用をご覧ください。 | なし | いいえ |
POLL_INTERVAL |
関数が追加のログデータを取得するために実行する頻度の間隔(分単位)。この期間は、Cloud Scheduler ジョブ間隔と同じにする必要があります。 | 10 | いいえ |
TREND_MICRO_AUTHENTICATION_TOKEN |
トレンド マイクロサーバーの認証トークンが格納されているバージョンを持つ Google シークレット マネージャーのパス。 | なし | あり |
TREND_MICRO_DOMAIN |
サービス エンドポイントが配置されているトレンド Micro Vision One リージョン。 | なし | いいえ |