Use scripts de carregamento implementados como funções do Cloud Run
O Google Security Operations disponibilizou um conjunto de scripts de carregamento, escritos em Python, que se destinam a ser implementados como funções do Cloud Run. Estes scripts permitem-lhe introduzir dados das seguintes origens de registos, apresentadas por nome e tipo de registo.
- Armis Google SecOps Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Activity (
DUO_ACTIVITY) - Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Estes scripts estão localizados no repositório do GitHub do Google SecOps.
Limitação conhecida: quando estes scripts são usados num ambiente sem estado, como as funções do Cloud Run, podem não enviar todos os registos para o Google SecOps porque não têm a funcionalidade de ponto de verificação. O Google SecOps testou os scripts com o tempo de execução do Python 3.9.
Antes de começar
Leia os seguintes recursos que fornecem contexto e informações gerais que lhe permitem usar os scripts de carregamento do Google SecOps de forma eficaz.
- Implementar funções do Cloud Run para ver informações sobre como implementar funções do Cloud Run a partir da sua máquina local.
- Criar e aceder a segredos explica como usar o Secret Manager. Precisa deste ficheiro para armazenar e aceder ao ficheiro JSON da conta de serviço do Google SecOps.
- Instale a CLI do Google Cloud. Vai usá-lo para implementar a função do Cloud Run.
- Google Cloud Documentação do Pub/Sub se planear carregar dados do Pub/Sub.
Reúna os ficheiros para um único tipo de registo
Cada subdiretório no GitHub do Google SecOps contém ficheiros que carregam dados para um único tipo de registo do Google SecOps. O script liga-se a um dispositivo de origem único e, em seguida, envia registos não processados para o Google SecOps através da API de carregamento. Recomendamos que implemente cada tipo de registo como uma função do Cloud Run separada. Aceda aos scripts no repositório do GitHub do Google SecOps. Cada subdiretório no GitHub contém os seguintes ficheiros específicos do tipo de registo que carrega.
main.pyé o script de carregamento específico do tipo de registo. Liga-se ao dispositivo de origem e carrega dados para o Google SecOps..env.ymlarmazena a configuração exigida pelo script Python e é específica da implementação. Modifica este ficheiro para definir os parâmetros de configuração necessários para o script de carregamento.README.mdfornece informações sobre os parâmetros de configuração.Requirements.txtdefine as dependências necessárias para o script de carregamento. Além disso, a pastacommoncontém funções de utilidade das quais todos os scripts de carregamento dependem.
Siga estes passos para reunir os ficheiros que carregam dados para um único tipo de registo:
- Crie um diretório de implementação para armazenar os ficheiros da função do Cloud Run. Este ficheiro contém todos os ficheiros necessários para a implementação.
- Copie todos os ficheiros do subdiretório do GitHub do tipo de registo selecionado, por exemplo, o contexto do utilizador do OneLogin, para este diretório de implementação.
- Copie a pasta
commone todo o conteúdo para o diretório de implementação. O conteúdo do diretório tem um aspeto semelhante ao seguinte:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Configure os scripts
- Inicie uma sessão do Cloud Shell.
- Estabelecer ligação com SSH a uma Google Cloud VM do Linux. Consulte o artigo Estabeleça ligação a VMs do Linux através de ferramentas Google.
Carregue os scripts de carregamento clicando em Mais > Carregar ou Transferir para mover os seus ficheiros ou pastas para ou a partir do Cloud Shell.
Só é possível carregar e transferir ficheiros e pastas para o seu diretório inicial. Para ver mais opções de transferência de ficheiros entre o Cloud Shell e a sua estação de trabalho local, consulte o artigo [Carregue e transfira ficheiros e pastas a partir do Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.
Edite o ficheiro
.env.ymlpara a função e preencha as variáveis de ambiente necessárias. A tabela seguinte lista as variáveis do ambiente de tempo de execução comuns a todos os scripts de carregamento.Nome da variável Descrição Obrigatória Predefinição Secreto CHRONICLE_CUSTOMER_IDID de cliente do Chronicle (Google SecOps). Sim Nenhum Não CHRONICLE_REGIONRegião do Chronicle (Google SecOps). Sim us
Outros valores válidos:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2esouthamerica-east1.Não CHRONICLE_SERVICE_ACCOUNTConteúdo do ficheiro JSON da conta de serviço do Chronicle (Google SecOps). Sim Nenhum Sim CHRONICLE_NAMESPACEO espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. Não Nenhum Não Cada script requer variáveis de ambiente específicas do script. Consulte os parâmetros de configuração por tipo de registo para ver detalhes sobre as variáveis de ambiente necessárias para cada tipo de registo.
As variáveis de ambiente marcadas como Secret = Yes têm de ser configuradas como segredos no Secret Manager. Consulte os preços do Secret Manager para ver informações sobre o custo de utilização do
Secret Manager.
Consulte o artigo Criar e aceder a segredos para ver instruções detalhadas.
Depois de criar os segredos no Secret Manager, use o nome do recurso
do segredo como o valor das variáveis de ambiente. Por exemplo:
projects/{project_id}/secrets/{secret_id}/versions/{version_id}, onde
{project_id}, {secret_id} e {version_id} são específicos do seu
ambiente.
Configure um agendador ou um acionador
Todos os scripts, exceto o Pub/Sub, são implementados para recolher os dados a intervalos periódicos a partir de um dispositivo de origem. Tem de configurar um acionador através do Cloud Scheduler para obter dados ao longo do tempo. O script de carregamento para o Pub/Sub monitoriza continuamente a subscrição do Pub/Sub. Para mais informações, consulte os artigos Executar serviços de acordo com uma programação e Usar o Pub/Sub para acionar uma função do Cloud Run.
Implemente a função do Cloud Run
- Inicie uma sessão do Cloud Shell.
- Ligue-se através de SSH a uma Google Cloud VM do Linux. Consulte o artigo Estabeleça ligação a VMs do Linux através de ferramentas Google.
- Altere para o diretório onde copiou os scripts de carregamento.
Execute o seguinte comando para implementar a função do Cloud Run.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSubstitua
<FUNCTION_NAME>pelo nome que definir para a função do Cloud Run.Substitua
<SERVICE_ACCOUNT_EMAIL>pelo endereço de email da conta de serviço que quer que a sua função do Cloud Run use. account you want your Cloud Run function to use.Se não alterar o diretório para a localização dos ficheiros, certifique-se de que usa a opção
--sourcepara especificar a localização dos scripts de implementação.A conta de serviço que executa a sua função do Cloud Run tem de ter as funções Cloud Functions Invoker (
roles/cloudfunctions.invoker) e Secret Manager Secret Accessor (roles/secretmanager.secretAccessor).
Veja os registos do tempo de execução
Os scripts de carregamento imprimem mensagens de tempo de execução para stdout. As funções do Cloud Run oferecem um mecanismo para ver mensagens de registo.
Parâmetros de configuração por tipo de registo
Integração do Armis com o Google SecOps
Este script recolhe os dados através de chamadas API da plataforma Armis para diferentes tipos de eventos, como alertas, atividades, dispositivos e vulnerabilidades. Os dados recolhidos são carregados para o Google SecOps e analisados pelos analisadores correspondentes.
Fluxo de script
Segue-se o fluxo do script:
Verifique as variáveis de ambiente.
Implemente o script nas funções do Cloud Run.
Recolha dados através do script de carregamento.
Carregue os dados recolhidos para o Google SecOps.
Analise os dados recolhidos através de analisadores correspondentes no Google SecOps.
Use um script para recolher e carregar dados para o Google SecOps
Verifique as variáveis de ambiente.
Variável Descrição Obrigatório Predefinição Secreto CHRONICLE_CUSTOMER_IDID de cliente do Chronicle (Google SecOps). Sim - Não CHRONICLE_REGIONRegião do Chronicle (Google SecOps). Sim EUA Sim CHRONICLE_SERVICE_ACCOUNTConteúdo do ficheiro JSON da conta de serviço do Chronicle (Google SecOps). Sim - Sim CHRONICLE_NAMESPACEO espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Não - Não POLL_INTERVALIntervalo de frequência com que a função é executada para obter informações adicionais Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. Sim 10 Não ARMIS_SERVER_URLURL do servidor da plataforma Armis. Sim - Não ARMIS_API_SECRET_KEYChave secreta necessária para a autenticação. Sim - Sim HTTPS_PROXYURL do servidor proxy. Não - Não CHRONICLE_DATA_TYPETipo de dados do Chronicle (Google SecOps) para enviar dados para o Google SecOps. Sim - Não Configure o diretório.
Crie um novo diretório para a implementação das funções do Cloud Run e adicione-lhe um diretório
commone o conteúdo do script de carregamento (armis).Defina as variáveis de ambiente de tempo de execução necessárias.
Defina as variáveis de ambiente necessárias no ficheiro
.env.yml.Use segredos.
As variáveis de ambiente marcadas como secretas têm de ser configuradas como secrets no Secret Manager. Para mais informações sobre como criar segredos, consulte o artigo Crie um segredo.
Depois de criar os segredos no Secret Manager, use o nome do recurso do segredo como o valor das variáveis de ambiente. Por exemplo:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Configure o espaço de nomes.
Defina a variável de ambiente
CHRONICLE_NAMESPACEpara configurar o espaço de nomes. Os registos do Chronicle (Google SecOps) são carregados para o espaço de nomes.Implemente as funções do Cloud Run.
Execute o seguinte comando a partir do diretório criado anteriormente para implementar a função na nuvem.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlEspecificações predefinidas das funções do Cloud Run.
Variável Predefinição Descrição Memória 256 MB Nenhum Nenhum Tempo limite excedido 60 segundos Nenhum Nenhum Região us-central1 Nenhum Nenhum Instâncias mínimas 0 Nenhum Nenhum Máximo de instâncias 100 Nenhum Nenhum Para mais informações sobre como configurar estas variáveis, consulte o artigo Configure as funções do Cloud Run.
Obter dados do histórico.
Para obter dados do histórico e continuar a recolher dados em tempo real:
- Configure a variável de ambiente
POLL_INTERVALem minutos para a qual os dados do histórico têm de ser obtidos. - Acione a função através de um agendador ou manualmente executando o comando na CLI gcloud após configurar as funções do Cloud Run.
- Configure a variável de ambiente
Aruba Central
Este script obtém registos de auditoria da plataforma Aruba Central e carrega-os para o Google SecOps com o tipo de registo ARUBA_CENTRAL. Para informações sobre como usar a biblioteca, consulte o SDK Python pycentral.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml.
| Variável | Descrição | Predefinição | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Chronicle (Google SecOps), consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 10 | Não |
ARUBA_CLIENT_ID |
ID de cliente do gateway de API do Aruba Central. | Nenhum | Não |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Segredo do cliente do gateway da API do Aruba Central. | Nenhum | Sim |
ARUBA_USERNAME |
Nome de utilizador da plataforma Aruba Central. | Nenhum | Não |
ARUBA_PASSWORD_SECRET_PATH |
Palavra-passe da plataforma Aruba Central. | Nenhum | Sim |
ARUBA_BASE_URL |
URL de base do gateway da API Aruba Central. | Nenhum | Não |
ARUBA_CUSTOMER_ID |
ID de cliente da plataforma Aruba Central. | Nenhum | Não |
Azure Event Hub
Ao contrário de outros scripts de carregamento, este script usa funções do Azure para obter eventos do Azure Event Hub. Uma função do Azure é acionada sempre que um novo evento é adicionado a um contentor, e cada evento é carregado gradualmente no Google SecOps.
Passos para implementar funções do Azure:
- Transfira o ficheiro do conetor de dados denominado
Azure_eventhub_API_function_app.jsondo repositório. - Inicie sessão no portal do Microsoft Azure.
- Navegue para Microsoft Sentinel > Selecione o seu espaço de trabalho na lista >
Selecione Data Connector na secção de configuração e faça o seguinte:
- Defina a seguinte flag como verdadeira no URL:
feature.BringYourOwnConnector=true. Por exemplo: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Encontre o botão importar na página e importe o ficheiro do conetor de dados transferido no passo 1.
- Defina a seguinte flag como verdadeira no URL:
- Clique no botão Implementar no Azure para implementar a sua função e siga os passos mencionados na mesma página.
- Selecione a Subscrição, o Grupo de recursos e a Localização preferenciais e indique os valores necessários.
- Clique em Rever + criar.
- Clique em Criar para implementar.
Box
Este script obtém detalhes sobre eventos que ocorrem no Box e carrega-os para o Google SecOps com o tipo de registo BOX. Os dados fornecem estatísticas sobre as operações CRUD em objetos no ambiente do Box. Para informações sobre eventos do Box, consulte a API Box Events.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml. Para mais informações sobre o ID de cliente, o segredo do cliente e o ID do assunto do Box, consulte o artigo Concessão de credenciais de cliente
.
| Nome da variável | Descrição | Valor predefinido | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 5 | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
BOX_CLIENT_ID |
ID de cliente da plataforma Box, disponível na consola do programador do Box. | Nenhum | Não |
BOX_CLIENT_SECRET |
Caminho para o segredo no Secret Manager que armazena o segredo do cliente da plataforma Box usado para autenticação. | Nenhum | Sim |
BOX_SUBJECT_ID |
ID de utilizador ou ID de empresa do Box. | Nenhum | Não |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
Registos de auditoria da Citrix Cloud
Este script recolhe registos de auditoria do Citrix Cloud e carrega-os para o Google SecOps com o tipo de registo CITRIX_MONITOR. Estes registos ajudam a identificar as atividades realizadas no ambiente do Citrix Cloud, fornecendo informações sobre o que foi alterado, quem fez a alteração, quando foi feita, etc. Para mais
informações, consulte a API Citrix Cloud SystemLog.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml. Para obter informações sobre os IDs de cliente e os segredos do cliente da Citrix, consulte o artigo Introdução
às APIs
da Citrix.
| Nome da variável | Descrição | Valor predefinido | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
CITRIX_CLIENT_ID |
ID de cliente da API Citrix. | Nenhum | Não |
CITRIX_CLIENT_SECRET |
Caminho para o segredo no Secret Manager que armazena o segredo do cliente da API Citrix usado para autenticação. | Nenhum | Sim |
CITRIX_CUSTOMER_ID |
CustomerID da Citrix. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência ao qual são recolhidos dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 30 | Não |
URL_DOMAIN |
Citrix Cloud Endpoint. | Nenhum | Não |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Chronicle (Google SecOps), consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
Metadados da sessão do Citrix
Este script recolhe metadados de sessões do Citrix de ambientes Citrix e carrega-os para o Google SecOps com o tipo de registo CITRIX_MONITOR. Os dados incluem
detalhes de início de sessão do utilizador, duração da sessão, hora de criação da sessão, hora de fim da sessão
e outros metadados relacionados com a sessão. Para mais informações, consulte a
API Citrix Monitor Service.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml. Para obter informações sobre os IDs de cliente e os segredos do cliente da Citrix, consulte o artigo Introdução
às APIs
da Citrix.
| Nome da variável | Descrição | Valor predefinido | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
URL_DOMAIN |
Domínio do URL da Citrix. | Nenhum | Não |
CITRIX_CLIENT_ID |
ID de cliente do Citrix. | Nenhum | Não |
CITRIX_CLIENT_SECRET |
Caminho para o segredo no Secret Manager que armazena o segredo do cliente Citrix usado para autenticação. | Nenhum | Sim |
CITRIX_CUSTOMER_ID |
ID de cliente da Citrix. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 30 | Não |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
Cloud Storage
Este script obtém registos do sistema do Cloud Storage e carrega-os para o Google SecOps com um valor configurável para o tipo de registo. Para mais detalhes, consulte a Google Cloud biblioteca cliente Python.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml. Google Cloud
tem registos relevantes para a segurança a partir dos quais alguns tipos de registos não são exportáveis diretamente
para o Google SecOps. Para mais informações, consulte as estatísticas dos registos de segurança.
| Variável | Descrição | Predefinição | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 60 | Não |
GCS_BUCKET_NAME |
Nome do contentor do Cloud Storage a partir do qual obter os dados. | Nenhum | Não |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Caminho para o segredo no Secret Manager que armazena o Google Cloud ficheiro JSON da conta de serviço. | Nenhum | Sim |
CHRONICLE_DATA_TYPE |
Tipo de registo para enviar dados para a instância do Chronicle (Google SecOps). | Nenhum | Não |
Atividade do Duo
Este script obtém os registos de atividade do Duo a partir da administração do Duo e carrega-os para o Google SecOps com o tipo de registo DUO_ACTIVITY. Para mais informações, consulte a API Duo Admin.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml.
| Nome da variável | Descrição | Valor predefinido | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1,
asia-southeast1, australia-southeast1, europe,
europe-west2, europe-west3, europe-west6,
europe-west12, me-central1, me-central2,
me-west1 e northamerica-northeast2. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
BACKSTORY_API_V1_URL |
O caminho de URL da API Duo Security. Para mais informações sobre a transferência do ficheiro JSON que contém a chave de integração da API Duo Admin, consulte a documentação do Duo Admin. | Nenhum | Sim |
DUO_SECRET_KEY |
A chave secreta do DUO necessária para obter registos da API DUO. Consulte a documentação de administração do Duo para obter instruções sobre como transferir o ficheiro JSON que contém a chave de integração da API Duo Admin, a chave secreta da API Duo Admin e o nome do anfitrião da API Duo Admin. |
Nenhum | Sim |
DUO_INTEGRATION_KEY |
A chave de integração do DUO necessária para obter registos da API DUO. Consulte a
documentação do Duo Admin para obter instruções sobre como transferir o ficheiro JSON
que contém a chave de integração da API Duo Admin, a chave secreta da API Duo Admin
e o nome do anfitrião da API Duo Admin. |
Nenhum | Sim |
LOG_FETCH_DURATION |
A duração durante a qual os registos são obtidos. | 1 | Não |
CHECKPOINT_FILE_PATH |
O caminho do ficheiro onde a data/hora do ponto de verificação do último registo carregado é armazenada. | checkpoint.json |
Não |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
Administrador do Duo
O script recebe eventos do Duo Admin relacionados com operações CRUD realizadas em vários objetos, como a conta de utilizador e a segurança. Os eventos são carregados para o Google SecOps com o tipo de registo DUO_ADMIN. Para mais informações, consulte a API Duo Admin.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml.
| Nome da variável | Descrição | Valor predefinido | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | Nenhum | Não |
DUO_API_DETAILS |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta do Duo. Este ficheiro contém a chave de integração da API Duo Admin, a chave secreta da API Duo Admin e o nome do anfitrião da API Duo Admin. Por exemplo:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Consulte a documentação de administração do Duo para obter instruções sobre como transferir o ficheiro JSON. |
Nenhum | Sim |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
MISP
Este script obtém informações de relações de ameaças do MISP, uma plataforma de partilha e inteligência de ameaças de código aberto, e carrega-as para o Google SecOps com o tipo de registo MISP_IOC. Para mais informações, consulte a API MISP Events.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml.
| Variável | Descrição | Valor predefinido | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 5 | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
ORG_NAME |
Nome da organização para filtrar eventos. | Nenhum | Não |
API_KEY |
Caminho para o segredo no Secret Manager que armazena a chave da API para a autenticação usada. | Nenhum | Sim |
TARGET_SERVER |
O endereço IP da instância do MISP que criou. | Nenhum | Não |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
Eventos do OneLogin
Este script obtém eventos de um ambiente do OneLogin e carrega-os para o Google SecOps com o tipo de registo ONELOGIN_SSO. Estes eventos fornecem informações, como operações em contas de utilizador. Para mais informações, consulte a API
OneLogin Events
.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml. Para ver informações sobre os IDs de cliente e os segredos do cliente do OneLogin, consulte o artigo Trabalhar com credenciais
da API.
| Nome da variável | Descrição | Valor predefinido | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 5 | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
CLIENT_ID |
ID de cliente da plataforma OneLogin. | Nenhum | Não |
CLIENT_SECRET |
Caminho para o segredo no Secret Manager que armazena o segredo do cliente da plataforma OneLogin usado para autenticação. | Nenhum | Sim |
TOKEN_ENDPOINT |
O URL para pedir um token de acesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Não |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
Contexto do utilizador do OneLogin
Este script obtém dados relacionados com contas de utilizador de um ambiente OneLogin e
carrega-os para o Google SecOps com o tipo de registo ONELOGIN_USER_CONTEXT.
Para mais informações, consulte a API OneLogin User
.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml. Para ver informações sobre os IDs de cliente e os segredos do cliente do OneLogin, consulte o artigo Trabalhar com credenciais
da API.
| Nome da variável | Descrição | Valor predefinido | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 30 | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
CLIENT_ID |
ID de cliente da plataforma OneLogin. | Nenhum | Não |
CLIENT_SECRET |
Caminho para o segredo no Secret Manager que armazena o segredo do cliente da plataforma OneLogin usado para autenticação. | Nenhum | Sim |
TOKEN_ENDPOINT |
O URL para pedir um token de acesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Não |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
Proofpoint
Este script obtém dados sobre utilizadores segmentados por ataques de uma determinada organização num determinado período e carrega esses dados para o Google SecOps. Para informações sobre a API usada, consulte a API People.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml. Para ver detalhes sobre como obter o principal de serviço da Proofpoint e o segredo da Proofpoint, consulte o guia de configuração para fornecer credenciais da Proofpoint TAP à Arctic Wolf.
| Variável | Descrição | Predefinição | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 360 | Não |
CHRONICLE_DATA_TYPE |
Tipo de registo para enviar dados para a instância do Chronicle (Google SecOps). | Nenhum | Não |
PROOFPOINT_SERVER_URL |
URL de base da gateway da API do servidor Proofpoint. | Nenhum | Não |
PROOFPOINT_SERVICE_PRINCIPLE |
Nome de utilizador da plataforma Proofpoint. Normalmente, este é o principal de serviço. | Nenhum | Não |
PROOFPOINT_SECRET |
Caminho do Secret Manager com a versão, onde a palavra-passe da plataforma Proofpoint está armazenada. | Nenhum | Sim |
PROOFPOINT_RETRIEVAL_RANGE |
Número que indica a partir de quantos dias os dados devem ser obtidos. Os valores aceites são 14, 30 e 90. | Nenhum | Não |
Pub/Sub
Este script recolhe mensagens de subscrições do Pub/Sub e carrega os dados para o Google SecOps. Monitoriza continuamente a entrada de mensagens de subscrição e carrega mensagens mais recentes quando aparecem. Para mais informações, consulte os seguintes documentos:
Este script de carregamento requer que defina variáveis no ficheiro e na tarefa do Cloud Scheduler..env.yml
Defina as seguintes variáveis de ambiente no ficheiro
.env.yml.Nome da variável Descrição Valor predefinido Secreto CHRONICLE_CUSTOMER_IDID do cliente da instância do Chronicle (Google SecOps). Nenhum Não CHRONICLE_REGIONRegião da instância do Chronicle (Google SecOps). us
Outros valores válidos:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2esouthamerica-east1.Não CHRONICLE_SERVICE_ACCOUNTCaminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). Nenhum Sim CHRONICLE_NAMESPACEO espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. Nenhum Não Defina as seguintes variáveis no campo Corpo da mensagem do Cloud Scheduler como uma string formatada em JSON. Consulte o artigo Criar o Cloud Scheduler para obter mais informações acerca do campo Corpo da mensagem.
Nome da variável Descrição Valor predefinido Secreto PROJECT_IDID do projeto do Pub/Sub. Consulte o artigo Criar e gerir projetos para ver informações sobre o ID do projeto. Nenhum Não SUBSCRIPTION_IDID da subscrição do Pub/Sub. Nenhum Não CHRONICLE_DATA_TYPEEtiqueta de carregamento para o tipo de registo fornecido durante o envio de dados para o Chronicle (Google SecOps). Consulte o artigo Analisadores predefinidos suportados para ver uma lista dos tipos de registos suportados. Nenhum Não Segue-se um exemplo de uma string formatada em JSON para o campo Corpo da mensagem.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Registos de auditoria do Slack
Este script obtém registos de auditoria de uma organização do Slack Enterprise Grid e
carrega-os para o Google SecOps com o tipo de registo SLACK_AUDIT. Para mais
informações, consulte a API Slack Audit Logs.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml.
| Nome da variável | Descrição | Valor predefinido | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID de cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 5 | Não |
SLACK_ADMIN_TOKEN |
Caminho para o segredo no Secret Manager que armazena o token de autenticação do Slack. |
Nenhum |
Sim |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
STIX/TAXII
Este script extrai indicadores do servidor STIX/TAXII e carrega-os para o Google SecOps. Para mais informações, consulte a documentação da API STIX/TAXII.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml.
| Nome da variável | Descrição | Predefinição | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
POLL_INTERVAL |
Intervalo de frequência (em minutos) com que a função é executada. Esta duração tem de ser igual à da tarefa do Cloud Scheduler. | 60 | Não |
TAXII_VERSION |
A versão STIX/TAXII a usar. As opções possíveis são 1.1, 2.0 e 2.1 | Nenhum | Não |
TAXII_DISCOVERY_URL |
URL de Discovery do servidor TAXII. | Nenhum | Não |
TAXII_COLLECTION_NAMES |
Coleções (CSV) a partir das quais obter os dados. Deixe vazio para obter dados de todas as coleções. | Nenhum | Não |
TAXII_USERNAME |
Nome de utilizador necessário para autenticação, se aplicável. | Nenhum | Não |
TAXII_PASSWORD_SECRET_PATH |
Palavra-passe necessária para a autenticação, se existir. | Nenhum | Sim |
Tenable.io
Este script obtém dados de recursos e vulnerabilidades da plataforma Tenable.io e carrega-os para o Google SecOps com o tipo de registo TENABLE_IO. Para ver informações sobre a biblioteca usada, consulte o SDK Python pyTenable.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml. Para ver detalhes
sobre os dados de recursos e vulnerabilidades, consulte a API Tenable.io: Exporte
recursos
e exporte
vulnerabilidades.
| Variável | Descrição | Predefinição | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 360 | Não |
TENABLE_ACCESS_KEY |
A chave de acesso usada para autenticação. | Nenhum | Não |
TENABLE_SECRET_KEY_PATH |
Caminho do Google Secret Manager com a versão, onde a palavra-passe do Tenable Server está armazenada. | Nenhum | Sim |
TENABLE_DATA_TYPE |
Tipo de dados a carregar no Google SecOps. Valores possíveis: ASSETS, VULNERABILITIES. | RECURSOS, VULNERABILIDADES | Não |
TENABLE_VULNERABILITY |
O estado das vulnerabilidades que quer que a exportação inclua. Valores possíveis: `OPEN`, `REOPENED` e `FIXED`. | ABERTO, REABERTO | Não |
Trend Micro Cloud App Security
Este script obtém registos de segurança da plataforma Trend Micro e carrega-os para o Google SecOps. Para informações sobre a API usada, consulte a API
security
logs.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml.
| Variável | Descrição | Predefinição | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID do cliente da instância do Chronicle (Google SecOps). | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 10 | Não |
CHRONICLE_DATA_TYPE |
Tipo de registo para enviar dados para a instância do Chronicle (Google SecOps). | Nenhum | Não |
TREND_MICRO_AUTHENTICATION_TOKEN |
Caminho do Google Secret Manager com a versão, onde o símbolo de autenticação do Trend Micro Server está armazenado. | Nenhum | Sim |
TREND_MICRO_SERVICE_URL |
URL do serviço do Cloud App Security. | Nenhum | Não |
TREND_MICRO_SERVICE |
O nome do serviço protegido cujos registos devem ser obtidos. Suporta valores separados por vírgulas. Valores possíveis: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. | exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat | Não |
TREND_MICRO_EVENT |
O tipo de evento de segurança cujos registos devem ser obtidos. Suporta valores separados por vírgulas. Valores possíveis: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | Não |
Trend Micro Vision One
Este script obtém os registos de auditoria do Trend Micro Vision One e carrega-os para o Google SecOps com o tipo de registo TREND_MICRO_VISION_AUDIT. Para ver informações sobre a API usada, consulte a API de registos de auditoria.
Defina as seguintes variáveis de ambiente no ficheiro .env.yml.
| Variável | Descrição | Predefinição | Secreto |
|---|---|---|---|
TREND_MICRO_VISION_AUDIT |
ID de cliente da instância do Google SecOps. | Nenhum | Não |
CHRONICLE_REGION |
Região da instância do Chronicle (Google SecOps). | usOutros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
Não |
CHRONICLE_SERVICE_ACCOUNT |
Caminho para o segredo no Secret Manager que armazena o ficheiro JSON da conta de serviço do Chronicle (Google SecOps). | Nenhum | Sim |
CHRONICLE_NAMESPACE |
O espaço de nomes com o qual os registos do Chronicle (Google SecOps) são etiquetados. Para obter informações sobre os espaços de nomes do Google SecOps, consulte o artigo Trabalhe com espaços de nomes de recursos. | Nenhum | Não |
POLL_INTERVAL |
Intervalo de frequência com que a função é executada para obter dados de registo adicionais (em minutos). Esta duração tem de ser igual ao intervalo da tarefa do Cloud Scheduler. | 10 | Não |
TREND_MICRO_AUTHENTICATION_TOKEN |
Caminho do Google Secret Manager com a versão, onde o símbolo de autenticação do Trend Micro Server está armazenado. | Nenhum | Sim |
TREND_MICRO_DOMAIN |
Região do Trend Micro Vision One onde o ponto final do serviço está localizado. | Nenhum | Não |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.