Recopilar registros de Onfido

Disponible en:

Este analizador extrae campos de los registros con formato SYSLOG y JSON de Onfido y los asigna al UDM. Analiza el campo de mensaje con grok, gestiona las cargas útiles JSON si están presentes y asigna tipos de eventos de producto específicos a tipos de eventos de UDM. Esto incluye definir el tipo de evento como USER_LOGIN para los inicios de sesión correctos y USER_UNCATEGORIZED para otros eventos. También rellena los campos de UDM con información del usuario, la IP de origen y los detalles de los resultados de seguridad.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso privilegiado al panel de control de Onfido.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de Onfido).
  5. Selecciona Webhook como Tipo de fuente.
  6. Seleccione Onfido como Tipo de registro.
  7. Haz clic en Siguiente.
  8. Opcional: Especifica los valores de los siguientes parámetros de entrada:
    • Delimitador de división: el delimitador que se usa para separar las líneas de registro, como \n.
  9. Haz clic en Siguiente.
  10. Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.
  11. Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
  12. Copia y guarda la clave secreta. No podrás volver a ver esta clave secreta. Si es necesario, puedes volver a generar una clave secreta, pero esta acción hará que la clave secreta anterior quede obsoleta.
  13. En la pestaña Detalles, copia la URL del endpoint del feed del campo Información del endpoint. Debes especificar esta URL de endpoint en tu aplicación cliente.
  14. Haz clic en Listo.

Crear una clave de API para la feed de webhook

  1. Ve a la consolaGoogle Cloud > Credenciales.

    Ir a Credenciales

  2. Haz clic en Crear credenciales y, a continuación, selecciona Clave de API.

  3. Restringe el acceso de la clave de API a la API Google Security Operations.

Especificar la URL del endpoint

  1. En tu aplicación cliente, especifica la URL del endpoint HTTPS proporcionada en el feed de webhook.

  2. Para habilitar la autenticación, especifica la clave de API y la clave secreta como parte del encabezado personalizado con el siguiente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recomendación: Especifica la clave de API como encabezado en lugar de hacerlo en la URL.

  3. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta mediante parámetros de consulta con el siguiente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Haz los cambios siguientes:

    • ENDPOINT_URL: URL del endpoint del feed.
    • API_KEY: la clave de API para autenticarte en Google SecOps.
    • SECRET: la clave secreta que has generado para autenticar el feed.

Configurar el webhook de Onfido

  1. Inicia sesión en el panel de Onfido.
  2. Ve a Ajustes > Webhooks.
  3. Haz clic en Añadir webhook.

  4. Especifique los valores de los siguientes parámetros de entrada:

    • URL del webhook: introduce el <ENDPOINT_URL> del endpoint de la API Google SecOps.
    • Eventos: seleccione los eventos que deben activar el webhook (por ejemplo, check.completed o report.completed).

  5. Haz clic en Guardar para crear el webhook.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
category security_result.category_details El valor del campo category del registro sin procesar se asigna a security_result.category_details.
check_id metadata.product_log_id El valor del campo check_id extraído del campo json_data del registro sin procesar se asigna a metadata.product_log_id. Si prod_evt_type es "Inicio de sesión correcto", se asigna el valor "AUTHTYPE_UNSPECIFIED".
metadata.event_timestamp La marca de tiempo de la entrada de registro sin procesar se convierte en segundos de época y se asigna a metadata.event_timestamp.
metadata.event_type Si prod_evt_type es "Inicio de sesión correcto", se asigna el valor USER_LOGIN. De lo contrario, se asigna USER_UNCATEGORIZED.
metadata.product_name El código del analizador asigna el valor "ONFIDO".
prod_evt_type metadata.product_event_type El valor del campo prod_evt_type del registro sin procesar se asigna a metadata.product_event_type.
metadata.vendor_name El código del analizador asigna el valor "ONFIDO".
metadata.product_version El código del analizador asigna el valor "ONFIDO".
security_result.action security_result.action Si prod_evt_type es "Inicio de sesión correcto", se asigna el valor ALLOW.
src_ip principal.ip El valor del campo src_ip del registro sin procesar se asigna a principal.ip.
user_email target.user.email_addresses El valor del campo user_email del registro sin procesar se asigna a target.user.email_addresses.
user_name target.user.user_display_name El valor del campo user_name del registro sin procesar se asigna a target.user.user_display_name.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.