Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Onfido

Compatível com:

Google secops SIEM

Este analisador extrai campos de registos formatados em JSON e SYSLOG do Onfido, mapeando-os para o UDM. Analisa o campo de mensagem através do grok, processa payloads JSON, se presentes, e mapeia tipos de eventos de produtos específicos para tipos de eventos do UDM. Isto inclui definir o tipo de evento como USER_LOGIN para inícios de sessão bem-sucedidos e USER_UNCATEGORIZED para outros eventos. Também preenche os campos da UDM com informações do utilizador, o IP de origem e detalhes dos resultados de segurança.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

Instância do Google SecOps.
Acesso privilegiado ao painel de controlo do Onfido.

Configure feeds

Para configurar um feed, siga estes passos:

Aceda a Definições do SIEM > Feeds.
Clique em Adicionar novo feed.
Na página seguinte, clique em Configurar um único feed.
No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos do Onfido.
Selecione Webhook como o Tipo de origem.
Selecione Onfido como o Tipo de registo.
Clicar em Seguinte.
Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registo, como \n.
Clicar em Seguinte.
Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.
Clique em Gerar chave secreta para gerar uma chave secreta para autenticar este feed.
Copie e armazene a chave secreta. Não pode ver esta chave secreta novamente. Se necessário, pode regenerar uma nova chave secreta, mas esta ação torna a chave secreta anterior obsoleta.
No separador Detalhes, copie o URL do ponto final do feed do campo Informações do ponto final. Tem de especificar este URL do ponto final na sua aplicação cliente.
Clique em Concluído.

Crie uma chave da API para o feed de webhook

Aceda à Google Cloud consola > Credenciais.

Aceder a Credenciais
Clique em Criar credenciais e, de seguida, selecione Chave de API.
Restrinja o acesso da chave de API à API Google Security Operations.

Especifique o URL do ponto final

Na aplicação cliente, especifique o URL do ponto final HTTPS fornecido no feed do webhook.
Ative a autenticação especificando a chave da API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Recomendação: especifique a chave da API como um cabeçalho em vez de a especificar no URL.
Se o seu cliente de webhook não suportar cabeçalhos personalizados, pode especificar a chave da API e a chave secreta através de parâmetros de consulta no seguinte formato:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Substitua o seguinte:
- ENDPOINT_URL: o URL do ponto final do feed.
- API_KEY: a chave da API para autenticar no Google SecOps.
- SECRET: a chave secreta que gerou para autenticar o feed.

Configure o webhook do Onfido

Inicie sessão no painel de controlo do Onfido.
Aceda a Definições > Webhooks.
Clique em Adicionar webhook.
Especifique valores para os seguintes parâmetros de entrada:
- URL do webhook: introduza o <ENDPOINT_URL> do ponto final da API Google SecOps.
Nota: anexe <API_KEY> e <SECRET> ao URL do ponto final <ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET>.
- Eventos: selecione os eventos que devem acionar o webhook (por exemplo, selecione check.completed ou report.completed).
Clique em Guardar para criar o webhook.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`category`	`security_result.category_details`	O valor do campo `category` do registo não processado é atribuído a `security_result.category_details`.
`check_id`	`metadata.product_log_id`	O valor do campo `check_id` extraído do campo `json_data` no registo não processado é atribuído a `metadata.product_log_id`. Se `prod_evt_type` for "Início de sessão bem-sucedido", é atribuído o valor "AUTHTYPE_UNSPECIFIED".
	`metadata.event_timestamp`	A data/hora da entrada do registo não processado é convertida em segundos desde o início da época Unix e atribuída a `metadata.event_timestamp`.
	`metadata.event_type`	Se `prod_evt_type` for "Início de sessão bem-sucedido", é atribuído o valor `USER_LOGIN`. Caso contrário, é atribuído `USER_UNCATEGORIZED`.
	`metadata.product_name`	O código do analisador define o valor como "ONFIDO".
`prod_evt_type`	`metadata.product_event_type`	O valor do campo `prod_evt_type` do registo não processado é atribuído a `metadata.product_event_type`.
	`metadata.vendor_name`	O código do analisador define o valor como "ONFIDO".
	`metadata.product_version`	O código do analisador define o valor como "ONFIDO".
`security_result.action`	`security_result.action`	Se `prod_evt_type` for "Início de sessão bem-sucedido", é atribuído o valor `ALLOW`.
`src_ip`	`principal.ip`	O valor do campo `src_ip` do registo não processado é atribuído a `principal.ip`.
`user_email`	`target.user.email_addresses`	O valor do campo `user_email` do registo não processado é atribuído a `target.user.email_addresses`.
`user_name`	`target.user.user_display_name`	O valor do campo `user_name` do registo não processado é atribuído a `target.user.user_display_name`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.