Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Onfido

Compatível com:

Google SecOps SIEM

Esse analisador extrai campos de registros formatados em SYSLOG e JSON do Onfido, mapeando-os para a UDM. Ele analisa o campo de mensagem usando grok, processa payloads JSON, se presentes, e mapeia tipos de eventos de produtos específicos para tipos de eventos da UDM. Isso inclui definir o tipo de evento como USER_LOGIN para logins bem-sucedidos e USER_UNCATEGORIZED para outros eventos. Ele também preenche os campos da UDM com informações do usuário, IP de origem e detalhes do resultado de segurança.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

Instância do Google SecOps.
Acesso privilegiado ao painel do Onfido.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

Configurações do SIEM > Feeds
Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do Onfido.
Selecione Webhook como o Tipo de origem.
Selecione Onfido como o Tipo de registro.
Clique em Próxima.
Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.
Clique em Próxima.
Revise a configuração do feed na tela Finalizar e clique em Enviar.
Clique em Gerar chave secreta para autenticar o feed.
Copie e armazene a chave secreta. Não é possível ver essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas isso torna a anterior obsoleta.
Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
Clique em Concluído.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.

Opções avançadas

Nome do feed:um valor pré-preenchido que identifica o feed.
Tipo de origem:método usado para coletar registros no Google SecOps.
Namespace do recurso:namespace associado ao feed.
Rótulos de ingestão:rótulos aplicados a todos os eventos deste feed.
Clique em Gerar chave secreta para autenticar o feed.
Copie e armazene a chave secreta. Não é possível ver essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas isso torna a anterior obsoleta.
Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.

Criar uma chave de API para o feed de webhook

Acesse console doGoogle Cloud > Credenciais.

Ir para Credenciais
Clique em Criar credenciais e, em seguida, selecione Chave de API.
Restrinja o acesso da chave de API à API Google Security Operations.

Especifique o URL do endpoint

No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed do webhook.
Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Recomendação: especifique a chave de API como um cabeçalho em vez de no URL.
Se o cliente de webhook não aceitar cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Substitua:
- ENDPOINT_URL: o URL do endpoint do feed.
- API_KEY: a chave de API para autenticar no Google SecOps.
- SECRET: a chave secreta gerada para autenticar o feed.

Configurar o webhook do Onfido

Faça login no painel do Onfido.
Acesse Configurações > Webhooks.
Clique em Adicionar webhook.
Especifique valores para os seguintes parâmetros de entrada:
- URL do webhook: insira o <ENDPOINT_URL> do endpoint de API Google SecOps.
Observação: anexe <API_KEY> e <SECRET> ao URL do endpoint <ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET>.
- Eventos:selecione os eventos que devem acionar o webhook. Por exemplo, selecione check.completed ou report.completed.
Clique em Salvar para criar o webhook.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`category`	`security_result.category_details`	O valor do campo `category` do registro bruto é atribuído a `security_result.category_details`.
`check_id`	`metadata.product_log_id`	O valor do campo `check_id` extraído do campo `json_data` no registro bruto é atribuído a `metadata.product_log_id`. Se `prod_evt_type` for "Login bem-sucedido", o valor "AUTHTYPE_UNSPECIFIED" será atribuído.
	`metadata.event_timestamp`	O carimbo de data/hora da entrada de registro bruta é convertido em segundos de época e atribuído a `metadata.event_timestamp`.
	`metadata.event_type`	Se `prod_evt_type` for "Login bem-sucedido", o valor `USER_LOGIN` será atribuído. Caso contrário, `USER_UNCATEGORIZED` será atribuído.
	`metadata.product_name`	O código do analisador define o valor como "ONFIDO".
`prod_evt_type`	`metadata.product_event_type`	O valor do campo `prod_evt_type` do registro bruto é atribuído a `metadata.product_event_type`.
	`metadata.vendor_name`	O código do analisador define o valor como "ONFIDO".
	`metadata.product_version`	O código do analisador define o valor como "ONFIDO".
`security_result.action`	`security_result.action`	Se `prod_evt_type` for "Login bem-sucedido", o valor `ALLOW` será atribuído.
`src_ip`	`principal.ip`	O valor do campo `src_ip` do registro bruto é atribuído a `principal.ip`.
`user_email`	`target.user.email_addresses`	O valor do campo `user_email` do registro bruto é atribuído a `target.user.email_addresses`.
`user_name`	`target.user.user_display_name`	O valor do campo `user_name` do registro bruto é atribuído a `target.user.user_display_name`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.