Dieser Parser extrahiert Felder aus Onfido-SYSLOG- und JSON-formatierten Logs und ordnet sie dem UDM zu. Das Feld „message“ wird mit „grok“ geparst, JSON-Nutzlasten werden verarbeitet (falls vorhanden) und bestimmte Produktereignistypen werden UDM-Ereignistypen zugeordnet. Dazu gehört, den Ereignistyp für erfolgreiche Log-ins auf USER_LOGIN und für andere Ereignisse auf USER_UNCATEGORIZED festzulegen. Außerdem werden UDM-Felder für Nutzerinformationen, Quell-IP und Details zum Sicherheitsergebnis ausgefüllt.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
Google SecOps-Instanz.
Privilegierter Zugriff auf das Onfido-Dashboard.
Feeds einrichten
So konfigurieren Sie einen Feed:
Rufen Sie die SIEM-Einstellungen>Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Onfido Logs (Onfido-Protokolle).
Wählen Sie Webhook als Quelltyp aus.
Wählen Sie Onfido als Logtyp aus.
Klicken Sie auf Weiter.
Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.
Klicken Sie auf Weiter.
Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.
Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
Klicken Sie auf Fertig.
API-Schlüssel für den Webhook-Feed erstellen
Rufen Sie die Google Cloud Console > Anmeldedaten auf.
Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
Schränken Sie den API-Schlüsselzugriff auf die Google Security Operations API ein.
Endpunkt-URL angeben
Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed bereitgestellt wird.
Aktivieren Sie die Authentifizierung, indem Sie den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angeben:
Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.
Wenn Ihr Webhook-Client keine benutzerdefinierten Headern unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mit Suchparametern im folgenden Format angeben:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Ersetzen Sie Folgendes:
ENDPOINT_URL: Die URL des Feed-Endpunkts.
API_KEY: Der API-Schlüssel für die Authentifizierung bei Google SecOps.
SECRET: Der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.
Onfido-Webhook konfigurieren
Melden Sie sich im Onfido-Dashboard an.
Rufen Sie die Einstellungen>Webhooks auf.
Klicken Sie auf Webhook hinzufügen.
Geben Sie Werte für die folgenden Eingabeparameter an:
Webhook-URL: Geben Sie die <ENDPOINT_URL> des Google SecOps API-Endpunkt ein.
Ereignisse:Wählen Sie die Ereignisse aus, die den Webhook auslösen sollen, z. B. check.completed oder report.completed.
Klicken Sie auf Speichern, um den Webhook zu erstellen.
UDM-Zuordnungstabelle
Logfeld
UDM-Zuordnung
Logik
category
security_result.category_details
Der Wert des Felds category aus dem Rohlog wird security_result.category_details zugewiesen.
check_id
metadata.product_log_id
Der Wert des Felds check_id, der aus dem Feld json_data im Rohlog extrahiert wurde, wird metadata.product_log_id zugewiesen. Wenn prod_evt_type „Erfolgreiche Anmeldung“ ist, wird der Wert „AUTHTYPE_UNSPECIFIED“ zugewiesen.
metadata.event_timestamp
Der Zeitstempel aus dem unbearbeiteten Logeintrag wird in Epochensekunden umgewandelt und metadata.event_timestamp zugewiesen.
metadata.event_type
Wenn prod_evt_type „Erfolgreiche Anmeldung“ ist, wird der Wert USER_LOGIN zugewiesen. Andernfalls wird USER_UNCATEGORIZED zugewiesen.
metadata.product_name
Im Parsercode wird der Wert auf „ONFIDO“ festgelegt.
prod_evt_type
metadata.product_event_type
Der Wert des Felds prod_evt_type aus dem Rohlog wird metadata.product_event_type zugewiesen.
metadata.vendor_name
Im Parsercode wird der Wert auf „ONFIDO“ festgelegt.
metadata.product_version
Im Parsercode wird der Wert auf „ONFIDO“ festgelegt.
security_result.action
security_result.action
Wenn prod_evt_type „Erfolgreiche Anmeldung“ ist, wird der Wert ALLOW zugewiesen.
src_ip
principal.ip
Der Wert des Felds src_ip aus dem Rohlog wird principal.ip zugewiesen.
user_email
target.user.email_addresses
Der Wert des Felds user_email aus dem Rohlog wird target.user.email_addresses zugewiesen.
user_name
target.user.user_display_name
Der Wert des Felds user_name aus dem Rohlog wird target.user.user_display_name zugewiesen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-02 (UTC)."],[],[],null,["# Collect Onfido logs\n===================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis parser extracts fields from Onfido SYSLOG and JSON formatted logs, mapping them to the UDM. It parses the message field using grok, handles JSON payloads if present, and maps specific product event types to UDM event types. This includes setting the event type to `USER_LOGIN` for successful logins and `USER_UNCATEGORIZED` for other events. It also populates UDM fields for user information, source IP, and security result details.\n\nBefore you begin\n----------------\n\nEnsure that you have the following prerequisites:\n\n- Google SecOps instance.\n- Privileged access to Onfido Dashboard.\n\nSet up feeds\n------------\n\nTo configure a feed, follow these steps:\n\n1. Go to **SIEM Settings** \\\u003e **Feeds**.\n2. Click **Add New Feed**.\n3. On the next page, click **Configure a single feed**.\n4. In the **Feed name** field, enter a name for the feed; for example, **Onfido Logs**.\n5. Select **Webhook** as the **Source type**.\n6. Select **Onfido** as the **Log type**.\n7. Click **Next**.\n8. Optional: Specify values for the following input parameters:\n - **Split delimiter** : the delimiter that is used to separate log lines, such as `\\n`.\n9. Click **Next**.\n10. Review the feed configuration in the **Finalize** screen, and then click **Submit**.\n11. Click **Generate Secret Key** to generate a secret key to authenticate this feed.\n12. Copy and store the secret key. You cannot view this secret key again. If needed, you can regenerate a new secret key, but this action makes the previous secret key obsolete.\n13. From the **Details** tab, copy the feed endpoint URL from the **Endpoint Information** field. You need to specify this endpoint URL in your client application.\n14. Click **Done**.\n\nCreate an API key for the webhook feed\n--------------------------------------\n\n1. Go to **Google Cloud console \\\u003e Credentials**.\n\n [Go to Credentials](https://console.cloud.google.com/apis/credentials)\n2. Click **Create credentials** , and then select **API key**.\n\n3. Restrict the API key access to the **Google Security Operations API**.\n\nSpecify the endpoint URL\n------------------------\n\n1. In your client application, specify the HTTPS endpoint URL provided in the webhook feed.\n2. Enable authentication by specifying the API key and secret key as part of the custom header in the following format:\n\n X-goog-api-key = \u003cvar class=\"readonly\" translate=\"no\"\u003eAPI_KEY\u003c/var\u003e\n X-Webhook-Access-Key = \u003cvar class=\"readonly\" translate=\"no\"\u003eSECRET\u003c/var\u003e\n\n **Recommendation**: Specify the API key as a header instead of specifying it in the URL.\n3. If your webhook client doesn't support custom headers, you can specify the API key and secret key using query parameters in the following format:\n\n \u003cvar translate=\"no\"\u003eENDPOINT_URL\u003c/var\u003e?key=\u003cvar translate=\"no\"\u003eAPI_KEY\u003c/var\u003e&secret=\u003cvar translate=\"no\"\u003eSECRET\u003c/var\u003e\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eENDPOINT_URL\u003c/var\u003e: the feed endpoint URL.\n - \u003cvar translate=\"no\"\u003eAPI_KEY\u003c/var\u003e: the API key to authenticate to Google SecOps.\n - \u003cvar translate=\"no\"\u003eSECRET\u003c/var\u003e: the secret key that you generated to authenticate the feed.\n\n### Configure the Onfido webhook\n\n1. Sign in to the Onfido Dashboard.\n2. Go to **Settings** \\\u003e **Webhooks**.\n3. Click **Add Webhook**.\n4. Specify values for the following input parameters:\n\n - **Webhook URL** : enter the `\u003cENDPOINT_URL\u003e` of the Google SecOps API endpoint.\n\n | **Note:** Append the `\u003cAPI_KEY\u003e` and `\u003cSECRET\u003e` to the endpoint URL `\u003cENDPOINT_URL\u003e?key=\u003cAPI_KEY\u003e&secret=\u003cSECRET\u003e`.\n - **Events:** select the events that should trigger the webhook (for example, select **check.completed** or **report.completed**).\n5. Click **Save** to create the webhook.\n\nUDM Mapping Table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
