Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Onfido

Compatible avec :

Google SecOps SIEM

Cet analyseur extrait les champs des journaux au format SYSLOG et JSON d'Onfido, et les mappe à l'UDM. Il analyse le champ de message à l'aide de grok, gère les charges utiles JSON si elles sont présentes et mappe des types d'événements produit spécifiques à des types d'événements UDM. Cela inclut la définition du type d'événement sur USER_LOGIN pour les connexions réussies et sur USER_UNCATEGORIZED pour les autres événements. Il remplit également les champs UDM pour les informations utilisateur, l'adresse IP source et les détails des résultats de sécurité.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Instance Google SecOps.
Accès privilégié au tableau de bord Onfido.

Configurer des flux

Pour configurer un flux, procédez comme suit :

Accédez à Paramètres SIEM > Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux Onfido).
Sélectionnez Webhook comme type de source.
Sélectionnez Onfido comme Type de journal.
Cliquez sur Suivant.
Facultatif : Spécifiez les valeurs des paramètres d'entrée suivants :
- Délimiteur de fractionnement : délimiteur utilisé pour séparer les lignes de journaux, tel que \n.
Cliquez sur Suivant.
Vérifiez la configuration du flux sur l'écran Finaliser, puis cliquez sur Envoyer.
Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.
Copiez et stockez la clé secrète. Vous ne pourrez plus afficher cette clé secrète. Si nécessaire, vous pouvez générer une nouvelle clé secrète, mais l'ancienne deviendra obsolète.
Dans l'onglet Détails, copiez l'URL du point de terminaison du flux à partir du champ Informations sur le point de terminaison. Vous devez spécifier cette URL de point de terminaison dans votre application cliente.
Cliquez sur OK.

Créer une clé API pour le flux de webhook

Accédez à la consoleGoogle Cloud > Identifiants.

Accéder à "Identifiants"
Cliquez sur Créer des identifiants, puis sélectionnez Clé API.
Restreignez l'accès à la clé API à l'API Google Security Operations.

Spécifier l'URL du point de terminaison

Dans votre application cliente, spécifiez l'URL du point de terminaison HTTPS fournie dans le flux de webhook.
Activez l'authentification en spécifiant la clé API et la clé secrète dans l'en-tête personnalisé au format suivant :
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Recommandation : Spécifiez la clé API en tant qu'en-tête au lieu de la spécifier dans l'URL.
Si votre client de webhook n'accepte pas les en-têtes personnalisés, vous pouvez spécifier la clé API et la clé secrète à l'aide de paramètres de requête au format suivant :
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Remplacez les éléments suivants :
- ENDPOINT_URL : URL du point de terminaison du flux.
- API_KEY : clé API pour s'authentifier auprès de Google SecOps.
- SECRET : clé secrète que vous avez générée pour authentifier le flux.

Configurer le webhook Onfido

Connectez-vous au tableau de bord Onfido.
Accédez à Paramètres > Webhooks.
Cliquez sur Add Webhook (Ajouter un Webhook).
Spécifiez les valeurs des paramètres d'entrée suivants :
- URL du webhook : saisissez le <ENDPOINT_URL> du point de terminaison de l'API Google SecOps.
Remarque : Ajoutez <API_KEY> et <SECRET> à l'URL du point de terminaison <ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET>.
- Événements : sélectionnez les événements qui doivent déclencher le webhook (par exemple, sélectionnez check.completed ou report.completed).
Cliquez sur Enregistrer pour créer le webhook.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`category`	`security_result.category_details`	La valeur du champ `category` du journal brut est attribuée à `security_result.category_details`.
`check_id`	`metadata.product_log_id`	La valeur du champ `check_id` extraite du champ `json_data` du journal brut est attribuée à `metadata.product_log_id`. Si `prod_evt_type` est défini sur "Successful login" (Connexion réussie), la valeur "AUTHTYPE_UNSPECIFIED" est attribuée.
	`metadata.event_timestamp`	L'horodatage de l'entrée de journal brute est converti en secondes epoch et attribué à `metadata.event_timestamp`.
	`metadata.event_type`	Si `prod_evt_type` est "Successful login" (Connexion réussie), la valeur `USER_LOGIN` est attribuée. Sinon, la valeur `USER_UNCATEGORIZED` est attribuée.
	`metadata.product_name`	Le code du parseur définit la valeur sur "ONFIDO".
`prod_evt_type`	`metadata.product_event_type`	La valeur du champ `prod_evt_type` du journal brut est attribuée à `metadata.product_event_type`.
	`metadata.vendor_name`	Le code du parseur définit la valeur sur "ONFIDO".
	`metadata.product_version`	Le code du parseur définit la valeur sur "ONFIDO".
`security_result.action`	`security_result.action`	Si `prod_evt_type` est "Successful login" (Connexion réussie), la valeur `ALLOW` est attribuée.
`src_ip`	`principal.ip`	La valeur du champ `src_ip` du journal brut est attribuée à `principal.ip`.
`user_email`	`target.user.email_addresses`	La valeur du champ `user_email` du journal brut est attribuée à `target.user.email_addresses`.
`user_name`	`target.user.user_display_name`	La valeur du champ `user_name` du journal brut est attribuée à `target.user.user_display_name`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.