Integrar o Sysdig Secure ao Google SecOps

Este documento explica como integrar o Sysdig Secure ao Google Security Operations (Google SecOps).

Versão da integração: 1.0

Parâmetros de integração

A integração do Sysdig Secure exige os seguintes parâmetros:

Parâmetro Descrição
API Root

Obrigatório.

A raiz da API da instância do Sysdig Secure.

Para mais informações sobre valores raiz da API, consulte API Sysdig.

API Token

Obrigatório.

O token da API do Sysdig Secure.

Para mais informações sobre como gerar tokens, consulte Recuperar o token da API Sysdig.
Verify SSL

Obrigatório.

Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Sysdig Secure.

Essa opção é selecionada por padrão.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

Ping

Use a ação Ping para testar a conectividade com o Sysdig Secure.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully connected to the Sysdig Secure server with the provided connection parameters! A ação foi concluída.
Failed to connect to the Sysdig Secure server! Error is ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Conectores

Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).

Sysdig Secure: conector de eventos

Use o Conector de eventos do Sysdig Secure para extrair eventos do Sysdig Secure.

Para trabalhar com a lista dinâmica, use o parâmetro ruleName.

Entradas do conector

O Sysdig Secure - Events Connector exige os seguintes parâmetros:

Parâmetro Descrição
Product Field Name

Obrigatório.

O nome do campo em que o nome do produto é armazenado.

O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão.

O valor padrão é Product Name.
Event Field Name

Obrigatório.

O nome do campo que determina o nome do evento (subtipo).

O valor padrão é content_ruleName.
Environment Field Name

Opcional.

O nome do campo em que o nome do ambiente é armazenado.

Se o campo "environment" estiver ausente, o conector usará o valor padrão.
Environment Regex Pattern

Opcional.

Um padrão de expressão regular a ser executado no valor encontrado no campo Environment Field Name. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular.

Use o valor padrão .* para extrair o valor Environment Field Name bruto necessário.

Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Script Timeout (Seconds)

Obrigatório.

O limite de tempo limite, em segundos, para o processo do Python que executa o script atual.

O valor padrão é 180.
API Root

Obrigatório.

A raiz da API da instância do Sysdig Secure.

Para mais informações sobre valores raiz da API, consulte API Sysdig.

API Token

Obrigatório.

O token da API do Sysdig Secure.

Para mais informações sobre como gerar tokens, consulte Recuperar o token da API Sysdig.
Lowest Severity To Fetch

Opcional.

A menor gravidade dos alertas a serem recuperados.

Se você não configurar esse parâmetro, o conector vai ingerir alertas com todos os níveis de gravidade.

Os valores possíveis são os seguintes:

  • Informational
  • Low
  • Medium
  • High
Custom Filter Query

Opcional.

Uma consulta para filtrar, definir escopo ou agrupar eventos durante a ingestão.

Esse parâmetro tem prioridade sobre o Lowest Severity To Fetch e os valores definidos na lista dinâmica. Para mais informações sobre como filtrar eventos, consulte Filtrar eventos seguros.

O exemplo de entrada é o seguinte: host.hostName = "instance-1".
Max Hours Backwards

Obrigatório.

O número de horas antes do momento atual para recuperar eventos.

Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector.

O valor padrão é 1.
Max Events To Fetch

Obrigatório.

O número máximo de eventos a serem processados em cada iteração do conector.

O valor máximo é 200.

O valor padrão é 100.
Disable Overflow

Opcional.

Se selecionado, o conector ignora o mecanismo de estouro do Google SecOps.

Não selecionada por padrão.
Use dynamic list as a blocklist

Opcional.

Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio.

Não selecionada por padrão.
Verify SSL

Opcional.

Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Sysdig Secure.

Não selecionada por padrão.
Proxy Server Address

Opcional.

O endereço de um servidor proxy a ser usado.
Proxy Username

Opcional.

O nome de usuário do proxy para autenticação.
Proxy Password

Opcional.

A senha do proxy para autenticação.

Regras do conector

O Sysdig Secure - Events Connector é compatível com proxies.

Eventos do conector

Confira um exemplo do evento Sysdig Secure - Events Connector:

{
   "id": "ID",
   "reference": "0194cd55-6752-823e-990c-380977fa3ce8",
   "cursor": "PTE4MjBjYTI0NjdjZDFjYzkwMzdlZDA0NGVkNjYyNzFh",
   "timestamp": "2025-02-03T19:41:53.874140361Z",
   "customerId": 2002953,
   "originator": "policy",
   "category": "runtime",
   "source": "syscall",
   "rawEventOriginator": "linuxAgent",
   "rawEventCategory": "runtime",
   "sourceDetails": {
       "sourceType": "workload",
       "sourceSubType": "host"
   },
   "engine": "falco",
   "name": "Sysdig Runtime Threat Detection",
   "description": "This policy contains rules which Sysdig considers High Confidence of a security incident. They are tightly coupled to common attacker TTP's. They have been designed to minimize false positives but may still result in some depending on your environment.",
   "severity": 3,
   "agentId": 118055020,
   "machineId": "MACHINE_ID",
   "content": {
       "policyId": 10339481,
       "ruleName": "Find Google Cloud Credentials",
       "internalRuleName": "Find Google Cloud Credentials",
       "ruleType": 6,
       "ruleSubType": 0,
       "ruleTags": [
           "host",
           "container",
           "MITRE",
           "MITRE_TA0006_credential_access",
           "MITRE_TA0007_discovery",
           "MITRE_T1552_unsecured_credentials",
           "MITRE_T1552.004_unsecured_credentials_private_keys",
           "MITRE_T1119_automated_collection",
           "MITRE_T1555_credentials_from_password_stores",
           "MITRE_TA0009_collection",
           "process",
           "gcp",
           "MITRE_T1552.003_unsecured_credentials_bash_history"
       ],
       "output": "OUTPUT",
       "fields": {
           "container.id": "host",
           "container.image.repository": "<NA>",
           "container.image.tag": "<NA>",
           "container.name": "host",
           "evt.args": "ARGS_VALUE",
           "evt.res": "SUCCESS",
           "evt.type": "execve",
           "group.gid": "1010",
           "group.name": "example",
           "proc.aname[2]": "sshd",
           "proc.aname[3]": "sshd",
           "proc.aname[4]": "sshd",
           "proc.cmdline": "grep private_key example_credentials.json",
           "proc.cwd": "/home/example/",
           "proc.exepath": "/usr/bin/grep",
           "proc.hash.sha256": "9a9c5a0c3b5d1d78952252f7bcf4a992ab9ea1081c84861381380a835106b817",
           "proc.name": "grep",
           "proc.pcmdline": "bash",
           "proc.pid": "402495",
           "proc.pid.ts": "1738611713873608827",
           "proc.pname": "bash",
           "proc.ppid": "385443",
           "proc.ppid.ts": "1738599569497780082",
           "proc.sid": "385443",
           "user.loginname": "example",
           "user.loginuid": "1009",
           "user.name": "example",
           "user.uid": "1009"
       },
       "falsePositive": false,
       "matchedOnDefault": false,
       "templateId": 1331,
       "policyType": "falco",
       "AlertId": 1357687,
       "origin": "Sysdig"
   },
   "labels": {
       "agent.tag.role": "datafeeder",
       "cloudProvider.account.id": "ACCOUNT_ID",
       "cloudProvider.name": "gcp",
       "cloudProvider.region": "europe-west3",
       "gcp.compute.availabilityZone": "europe-west3-c",
       "gcp.compute.image": "projects/debian-cloud/global/images/debian-example",
       "gcp.compute.instanceId": "INSTANCE_ID",
       "gcp.compute.instanceName": "example-instance",
       "gcp.compute.machineType": "e2-standard-2",
       "gcp.location": "europe-west3",
       "gcp.projectId": "PROJECT_ID",
       "gcp.projectName": "example-project",
       "host.hostName": "example-instance",
       "host.id": "HOST_ID",
       "orchestrator.type": "none",
       "process.name": "grep private_key example_credentials.json"
   }
}

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.