Mengintegrasikan Sysdig Secure dengan Google SecOps
Dokumen ini menjelaskan cara mengintegrasikan Sysdig Secure dengan Google Security Operations (Google SecOps).
Versi integrasi: 1.0
Parameter integrasi
Integrasi Sysdig Secure memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
API Root |
Wajib. Root API instance Sysdig Secure. Untuk mengetahui informasi selengkapnya tentang nilai root API, lihat Sysdig API. |
API Token |
Wajib. Token Sysdig Secure API. Untuk mengetahui informasi selengkapnya tentang cara membuat token, lihat Mengambil Token API Sysdig. |
Verify SSL |
Wajib. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Sysdig Secure. Dipilih secara default. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke Sysdig Secure.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Ping dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully connected to the Sysdig Secure server with the
provided connection parameters! |
Tindakan berhasil. |
Failed to connect to the Sysdig Secure server! Error is ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Konektor
Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Sysdig Secure - Events Connector
Gunakan Sysdig Secure - Events Connector untuk menarik peristiwa dari Sysdig Secure.
Untuk menggunakan daftar dinamis, gunakan parameter ruleName.
Input konektor
Sysdig Secure - Events Connector memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Product Field Name |
Wajib. Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
Event Field Name |
Wajib. Nama kolom yang menentukan nama peristiwa (subjenis). Nilai defaultnya adalah
|
Environment Field Name |
Opsional. Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. |
Environment Regex Pattern |
Opsional. Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Script Timeout (Seconds) |
Wajib. Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah |
API Root |
Wajib. Root API instance Sysdig Secure. Untuk mengetahui informasi selengkapnya tentang nilai root API, lihat Sysdig API. |
API Token |
Wajib. Token Sysdig Secure API. Untuk mengetahui informasi selengkapnya tentang cara membuat token, lihat Mengambil Token API Sysdig. |
Lowest Severity To Fetch |
Opsional. Tingkat keparahan terendah dari pemberitahuan yang akan diambil. Jika Anda tidak mengonfigurasi parameter ini, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan. Kemungkinan nilainya adalah sebagai berikut:
|
Custom Filter Query |
Opsional. Kueri untuk memfilter, mencakup, atau mengelompokkan peristiwa selama penyerapan. Parameter ini memiliki prioritas lebih tinggi daripada parameter Contoh
inputnya adalah sebagai berikut: |
Max Hours Backwards |
Wajib. Jumlah jam sebelum saat ini untuk mengambil peristiwa. Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir. Nilai defaultnya adalah |
Max Events To Fetch |
Wajib. Jumlah maksimum peristiwa yang akan diproses di setiap iterasi konektor. Nilai maksimum adalah Nilai
defaultnya adalah |
Disable Overflow |
Opsional. Jika dipilih, konektor akan mengabaikan mekanisme peluapan Google SecOps. Tidak dipilih secara default. |
Use dynamic list as a blocklist |
Opsional. Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. Tidak dipilih secara default. |
Verify SSL |
Opsional. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Sysdig Secure. Tidak dipilih secara default. |
Proxy Server Address |
Opsional. Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional. Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional. Sandi proxy untuk mengautentikasi. |
Aturan konektor
Sysdig Secure - Events Connector mendukung proxy.
Peristiwa konektor
Contoh peristiwa Sysdig Secure - Events Connector adalah sebagai berikut:
{
"id": "ID",
"reference": "0194cd55-6752-823e-990c-380977fa3ce8",
"cursor": "PTE4MjBjYTI0NjdjZDFjYzkwMzdlZDA0NGVkNjYyNzFh",
"timestamp": "2025-02-03T19:41:53.874140361Z",
"customerId": 2002953,
"originator": "policy",
"category": "runtime",
"source": "syscall",
"rawEventOriginator": "linuxAgent",
"rawEventCategory": "runtime",
"sourceDetails": {
"sourceType": "workload",
"sourceSubType": "host"
},
"engine": "falco",
"name": "Sysdig Runtime Threat Detection",
"description": "This policy contains rules which Sysdig considers High Confidence of a security incident. They are tightly coupled to common attacker TTP's. They have been designed to minimize false positives but may still result in some depending on your environment.",
"severity": 3,
"agentId": 118055020,
"machineId": "MACHINE_ID",
"content": {
"policyId": 10339481,
"ruleName": "Find Google Cloud Credentials",
"internalRuleName": "Find Google Cloud Credentials",
"ruleType": 6,
"ruleSubType": 0,
"ruleTags": [
"host",
"container",
"MITRE",
"MITRE_TA0006_credential_access",
"MITRE_TA0007_discovery",
"MITRE_T1552_unsecured_credentials",
"MITRE_T1552.004_unsecured_credentials_private_keys",
"MITRE_T1119_automated_collection",
"MITRE_T1555_credentials_from_password_stores",
"MITRE_TA0009_collection",
"process",
"gcp",
"MITRE_T1552.003_unsecured_credentials_bash_history"
],
"output": "OUTPUT",
"fields": {
"container.id": "host",
"container.image.repository": "<NA>",
"container.image.tag": "<NA>",
"container.name": "host",
"evt.args": "ARGS_VALUE",
"evt.res": "SUCCESS",
"evt.type": "execve",
"group.gid": "1010",
"group.name": "example",
"proc.aname[2]": "sshd",
"proc.aname[3]": "sshd",
"proc.aname[4]": "sshd",
"proc.cmdline": "grep private_key example_credentials.json",
"proc.cwd": "/home/example/",
"proc.exepath": "/usr/bin/grep",
"proc.hash.sha256": "9a9c5a0c3b5d1d78952252f7bcf4a992ab9ea1081c84861381380a835106b817",
"proc.name": "grep",
"proc.pcmdline": "bash",
"proc.pid": "402495",
"proc.pid.ts": "1738611713873608827",
"proc.pname": "bash",
"proc.ppid": "385443",
"proc.ppid.ts": "1738599569497780082",
"proc.sid": "385443",
"user.loginname": "example",
"user.loginuid": "1009",
"user.name": "example",
"user.uid": "1009"
},
"falsePositive": false,
"matchedOnDefault": false,
"templateId": 1331,
"policyType": "falco",
"AlertId": 1357687,
"origin": "Sysdig"
},
"labels": {
"agent.tag.role": "datafeeder",
"cloudProvider.account.id": "ACCOUNT_ID",
"cloudProvider.name": "gcp",
"cloudProvider.region": "europe-west3",
"gcp.compute.availabilityZone": "europe-west3-c",
"gcp.compute.image": "projects/debian-cloud/global/images/debian-example",
"gcp.compute.instanceId": "INSTANCE_ID",
"gcp.compute.instanceName": "example-instance",
"gcp.compute.machineType": "e2-standard-2",
"gcp.location": "europe-west3",
"gcp.projectId": "PROJECT_ID",
"gcp.projectName": "example-project",
"host.hostName": "example-instance",
"host.id": "HOST_ID",
"orchestrator.type": "none",
"process.name": "grep private_key example_credentials.json"
}
}
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.