Aufnahmeskripts verwenden, die als Cloud Run Functions bereitgestellt werden

Unterstützt in:

Google Security Operations bietet eine Reihe von in Python geschriebenen Aufnahmeskripts, die als Cloud Run-Funktionen bereitgestellt werden sollen. Mit diesen Skripten können Sie Daten aus den folgenden Logquellen aufnehmen, die nach Name und Logtyp aufgeführt sind.

  • Armis Google SecOps Integration
  • Aruba Central (ARUBA_CENTRAL)
  • Azure Event Hub (configurable log type)
  • Box (BOX)
  • Citrix Cloud audit logs (CITRIX_MONITOR)
  • Citrix session metadata (CITRIX_SESSION_METADATA)
  • Cloud Storage (configurable log type)
  • Duo Activity (DUO_ACTIVITY)
  • Duo Admin (DUO_ADMIN)
  • MISP (MISP_IOC)
  • OneLogin (ONELOGIN_SSO)
  • OneLogin user context (ONELOGIN_USER_CONTEXT)
  • Proofpoint (configurable log type)
  • Pub/Sub (configurable log type)
  • Slack audit logs (SLACK_AUDIT)
  • STIX/TAXII threat intelligence (STIX)
  • Tenable.io (TENABLE_IO)
  • Trend Micro Cloud App Security (configurable log type)
  • Trend Micro Vision One audit logs (TREND_MICRO_VISION_AUDIT)

Diese Skripts befinden sich im GitHub-Repository von Google SecOps.

Bekannte Einschränkung:Wenn diese Skripts in einer zustandslosen Umgebung wie Cloud Run Functions verwendet werden, werden möglicherweise nicht alle Logs an Google SecOps gesendet, da sie keine Checkpoint-Funktion haben. Google SecOps hat die Skripts mit der Python 3.9-Laufzeitumgebung getestet.

Hinweise

Lesen Sie die folgenden Ressourcen, die Kontext- und Hintergrundinformationen enthalten, damit Sie die Google SecOps-Aufnahmeskripts effektiv nutzen können.

Dateien für einen einzelnen Logtyp zusammenstellen

Jedes Unterverzeichnis in Google SecOps GitHub enthält Dateien, mit denen Daten für einen einzelnen Google SecOps-Logtyp aufgenommen werden. Das Skript stellt eine Verbindung zu einem einzelnen Quellgerät her und sendet dann Rohprotokolle über die Ingestion API an Google SecOps. Wir empfehlen, jeden Logtyp als separate Cloud Run-Funktion bereitzustellen. Greifen Sie auf die Scripts im Google SecOps GitHub-Repository zu. Jedes Unterverzeichnis in GitHub enthält die folgenden Dateien, die für den jeweiligen Logtyp spezifisch sind.

  • main.py ist das Aufnahmeskript für den jeweiligen Logtyp. Es stellt eine Verbindung zum Quellgerät her und nimmt Daten in Google SecOps auf.
  • In .env.yml wird die für das Python-Skript erforderliche Konfiguration gespeichert. Sie ist spezifisch für die Bereitstellung. Sie ändern diese Datei, um Konfigurationsparameter festzulegen, die für das Aufnahmeskript erforderlich sind.
  • README.md enthält Informationen zu Konfigurationsparametern.
  • Requirements.txt definiert die Abhängigkeiten, die für das Aufnahmeskript erforderlich sind. Außerdem enthält der Ordner common Dienstprogrammfunktionen, von denen alle Erfassungsskripts abhängen.

Führen Sie die folgenden Schritte aus, um die Dateien zusammenzustellen, mit denen Daten für einen einzelnen Logtyp aufgenommen werden:

  1. Erstellen Sie ein Bereitstellungsverzeichnis zum Speichern der Dateien für die Cloud Run-Funktion. Sie enthält alle für die Bereitstellung erforderlichen Dateien.
  2. Kopieren Sie alle Dateien aus dem GitHub-Unterverzeichnis des ausgewählten Logtyps, z. B. „OneLogin User Context“, in dieses Bereitstellungsverzeichnis.
  3. Kopieren Sie den Ordner common und alle Inhalte in das Deployment-Verzeichnis.

  4. Der Inhalt des Verzeichnisses sieht in etwa so aus:

    one_login_user
├─common
│  ├─__init__.py
│  ├─auth.py
│  ├─env_constants.py
│  ├─ingest.py
│  ├─status.py
│  └─utils.py
├─env.yml
├─main.py
└─requirements.txt

Skripts konfigurieren

  1. Starten Sie eine Cloud Shell-Sitzung.
  2. Stellen Sie über SSH eine Verbindung zu einer Google Cloud Linux-VM her. Weitere Informationen finden Sie unter Mit Google-Tools eine Verbindung zu Linux-VMs herstellen.

  3. Laden Sie die Ingestionsskripts hoch, indem Sie auf  Mehr > Hochladen oder Herunterladen klicken, um Ihre Dateien oder Ordner in Cloud Shell zu verschieben oder aus Cloud Shell zu verschieben.

    Dateien und Ordner können nur in Ihr Basisverzeichnis hoch- und heruntergeladen werden. Weitere Optionen zum Übertragen von Dateien zwischen Cloud Shell und Ihrer lokalen Workstation finden Sie unter [Dateien und Ordner in Cloud Shell hoch- und herunterladen](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.

  4. Bearbeiten Sie die Datei .env.yml für die Funktion und füllen Sie die erforderlichen Umgebungsvariablen aus. In der folgenden Tabelle sind Laufzeitumgebungsvariablen aufgeführt, die für alle Aufnahmeskripts gelten.

    Variablenname Beschreibung Erforderlich Standard Secret
    CHRONICLE_CUSTOMER_ID Kunden-ID für Chronicle (Google SecOps). Ja Keine Nein
    CHRONICLE_REGION Chronicle-Region (Google SecOps). Ja us
    Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.    		 Nein
    CHRONICLE_SERVICE_ACCOUNT Inhalt der JSON-Datei des Chronicle-Dienstkontos (Google SecOps). Ja Keine Ja
    CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Nein Keine Nein

  5. Für jedes Skript sind spezifische Umgebungsvariablen erforderlich. Weitere Informationen zu den Umgebungsvariablen, die für die einzelnen Logtypen erforderlich sind, finden Sie unter Konfigurationsparameter nach Logtyp.

Umgebungsvariablen, die mit Secret = Yes gekennzeichnet sind, müssen als Secrets im Secret Manager konfiguriert werden. Informationen zu den Kosten für die Verwendung von Secret Manager finden Sie unter Secret Manager-Preise.

Eine detaillierte Anleitung finden Sie unter Secrets erstellen und darauf zugreifen.

Nachdem die Secrets in Secret Manager erstellt wurden, verwenden Sie den Secret-Ressourcennamen als Wert für Umgebungsvariablen. Beispiel: projects/{project_id}/secrets/{secret_id}/versions/{version_id}, wobei {project_id}, {secret_id} und {version_id} für Ihre Umgebung spezifisch sind.

Planer oder Trigger einrichten

Alle Skripts mit Ausnahme von Pub/Sub sind so implementiert, dass die Daten in regelmäßigen Abständen von einem Quellgerät erfasst werden. Sie müssen einen Trigger mit Cloud Scheduler einrichten, um Daten im Zeitverlauf abzurufen. Das Aufnahmeskript für Pub/Sub überwacht das Pub/Sub-Abo kontinuierlich. Weitere Informationen finden Sie unter Dienste nach Zeitplan ausführen und Pub/Sub zum Auslösen einer Cloud Run-Funktion verwenden.

Cloud Run-Funktion bereitstellen

  1. Starten Sie eine Cloud Shell-Sitzung.
  2. Stellen Sie über SSH eine Verbindung zu einer Google Cloud Linux-VM her. Weitere Informationen finden Sie unter Mit Google-Tools eine Verbindung zu Linux-VMs herstellen.
  3. Wechseln Sie in das Verzeichnis, in das Sie die Aufnahmeskripts kopiert haben.

  4. Führen Sie den folgenden Befehl aus, um die Cloud Run-Funktion bereitzustellen.

    gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml

    Ersetzen Sie <FUNCTION_NAME> durch den Namen, den Sie für die Cloud Run-Funktion definieren.

    Ersetzen Sie <SERVICE_ACCOUNT_EMAIL> durch die E-Mail-Adresse des Dienstkontos, das Ihre Cloud Run-Funktion verwenden soll.

    Wenn Sie das Verzeichnis nicht zum Speicherort der Dateien ändern, müssen Sie mit der Option --source den Speicherort der Bereitstellungsskripts angeben.

    Das Dienstkonto, mit dem Ihre Cloud Run-Funktion ausgeführt wird, muss die Rollen Cloud Functions Invoker (roles/cloudfunctions.invoker) und Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) haben.

Laufzeitlogs ansehen

Die Aufnahmeskripts geben Laufzeitmeldungen in stdout aus. Cloud Run Functions bietet einen Mechanismus zum Aufrufen von Log-Nachrichten.

Konfigurationsparameter nach Logtyp

Armis Google SecOps-Integration

Mit diesem Skript werden die Daten über API-Aufrufe von der Armis-Plattform für verschiedene Ereignistypen wie Benachrichtigungen, Aktivitäten, Geräte und Sicherheitslücken erfasst. Die erhobenen Daten werden in Google SecOps aufgenommen und von den entsprechenden Parsern analysiert.

Scriptablauf

Das Skript läuft so ab:

  1. Umgebungsvariablen prüfen

  2. Stellen Sie das Script in Cloud Run Functions bereit.

  3. Daten mit dem Ingest-Script erfassen

  4. Erfasste Daten in Google SecOps aufnehmen

  5. Erfasste Daten mit entsprechenden Parsern in Google SecOps parsen.

Daten mit einem Script erfassen und in Google SecOps aufnehmen

  1. Umgebungsvariablen prüfen

    Variable Beschreibung Erforderlich Default Secret
    CHRONICLE_CUSTOMER_ID Kunden-ID für Chronicle (Google SecOps). Ja - Nein
    CHRONICLE_REGION Chronicle-Region (Google SecOps). Ja USA Ja
    CHRONICLE_SERVICE_ACCOUNT Inhalt der JSON-Datei des Chronicle-Dienstkontos (Google SecOps). Ja - Ja
    CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Nein - Nein
    POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. Ja 10 Nein
    ARMIS_SERVER_URL Server-URL der Armis-Plattform. Ja - Nein
    ARMIS_API_SECRET_KEY Für die Authentifizierung ist ein Secret-Schlüssel erforderlich. Ja - Ja
    HTTPS_PROXY Proxyserver-URL. Nein - Nein
    CHRONICLE_DATA_TYPE Chronicle-Datentyp (Google SecOps), um Daten in Google SecOps zu übertragen. Ja - Nein

  2. Richten Sie das Verzeichnis ein.

    Erstellen Sie ein neues Verzeichnis für die Bereitstellung der Cloud Run-Funktionen und fügen Sie ihm ein common-Verzeichnis und den Inhalt des Erfassungsskripts (armis) hinzu.

  3. Legen Sie die erforderlichen Umgebungsvariablen für die Laufzeit fest.

    Definieren Sie die erforderlichen Umgebungsvariablen in der Datei .env.yml.

  4. Verwenden Sie Secrets.

    Umgebungsvariablen, die als „secret“ gekennzeichnet sind, müssen als Secrets im Secret Manager konfiguriert werden. Weitere Informationen zum Erstellen von Secrets finden Sie unter Secret erstellen.

    Nachdem Sie die Secrets in Secret Manager erstellt haben, verwenden Sie den Ressourcennamen des Secrets als Wert für Umgebungsvariablen. Beispiel:

    CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}

  5. Konfigurieren Sie den Namespace.

    Legen Sie die Umgebungsvariable CHRONICLE_NAMESPACE fest, um den Namespace zu konfigurieren. Die Chronicle-Logs (Google SecOps) werden in den Namespace aufgenommen.

  6. Cloud Run-Funktionen bereitstellen

    Führen Sie den folgenden Befehl im zuvor erstellten Verzeichnis aus, um die Cloud-Funktion bereitzustellen. gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml

  7. Standardspezifikationen für Cloud Run Functions

    Variable Default Beschreibung
    Arbeitsspeicher 256 MB Keine Keine
    Zeitüberschreitung 60 Sekunden Keine Keine
    Region us-central1 Keine Keine
    Mindestanzahl von Instanzen 0 Keine Keine
    Maximale Anzahl von Instanzen 100 Keine Keine

    Weitere Informationen zum Konfigurieren dieser Variablen finden Sie unter Cloud Run Functions konfigurieren.

  8. Verlaufsdaten abrufen

    So rufen Sie Verlaufsdaten ab und erfassen weiterhin Echtzeitdaten:

    1. Konfigurieren Sie die Umgebungsvariable POLL_INTERVAL in Minuten für die abzurufenden Verlaufsdaten.
    2. Lösen Sie die Funktion mit einem Scheduler oder manuell aus, indem Sie den Befehl in der Google Cloud CLI ausführen, nachdem Sie Cloud Run Functions konfiguriert haben.

Aruba Central

Dieses Skript ruft Audit-Logs von der Aruba Central-Plattform ab und importiert sie mit dem Logtyp ARUBA_CENTRAL in Google SecOps. Informationen zur Verwendung der Bibliothek finden Sie im pycentral Python SDK.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml.

Variable Beschreibung Default Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Chronicle-Namespaces (Google SecOps) finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 10 Nein
ARUBA_CLIENT_ID Aruba Central API-Gateway-Client-ID. Keine Nein
ARUBA_CLIENT_SECRET_SECRET_PATH Client-Secret des Aruba Central API-Gateways. Keine Ja
ARUBA_USERNAME Nutzername der Aruba Central-Plattform. Keine Nein
ARUBA_PASSWORD_SECRET_PATH Passwort der Aruba Central-Plattform. Keine Ja
ARUBA_BASE_URL Basis-URL des Aruba Central API-Gateways. Keine Nein
ARUBA_CUSTOMER_ID Kundennummer der Aruba Central-Plattform. Keine Nein

Azure Event Hub

Im Gegensatz zu anderen Erfassungsskripts werden in diesem Skript Azure-Funktionen verwendet, um Ereignisse aus Azure Event Hub abzurufen. Eine Azure-Funktion wird immer dann ausgelöst, wenn einem Bucket ein neues Ereignis hinzugefügt wird. Jedes Ereignis wird nach und nach in Google SecOps aufgenommen.

So stellen Sie Azure-Funktionen bereit:

  1. Laden Sie die Datei des Datenconnectors mit dem Namen Azure_eventhub_API_function_app.json aus dem Repository herunter.
  2. Melden Sie sich im Microsoft Azure-Portal an.
  3. Rufen Sie Microsoft Sentinel auf, wählen Sie Ihren Arbeitsbereich aus der Liste aus und wählen Sie im Konfigurationsbereich
      Data Connector aus. Gehen Sie dann so vor:
    • Legen Sie das folgende Flag in der URL auf „true“ fest: feature.BringYourOwnConnector=true. Beispiel: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Suchen Sie auf der Seite nach der Schaltfläche Importieren und importieren Sie die in Schritt 1 heruntergeladene Datei für den Datenconnector.
  4. Klicken Sie auf die Schaltfläche In Azure bereitstellen, um Ihre Funktion bereitzustellen, und folgen Sie der Anleitung auf derselben Seite.
  5. Wählen Sie das gewünschte Abo, die Ressourcengruppe und den Standort aus und geben Sie die erforderlichen Werte an.
  6. Klicken Sie auf Überprüfen + Erstellen.
  7. Klicken Sie auf Erstellen, um die Bereitstellung zu starten.

Box

Dieses Skript ruft Details zu Ereignissen ab, die in Box stattfinden, und erfasst sie in Google SecOps mit dem Protokolltyp BOX. Die Daten liefern Einblicke in CRUD-Vorgänge für Objekte in der Box-Umgebung. Informationen zu Box-Ereignissen finden Sie in der Box Events API.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml. Weitere Informationen zur Box-Client-ID, zum Box-Clientschlüssel und zur Box-Subjekt-ID finden Sie unter Client Credentials Grant.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 5 Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
BOX_CLIENT_ID Client-ID der Box-Plattform, verfügbar in der Box Developer Console. Keine Nein
BOX_CLIENT_SECRET Pfad zum Secret in Secret Manager, in dem der Clientschlüssel der Box-Plattform gespeichert ist, der für die Authentifizierung verwendet wird. Keine Ja
BOX_SUBJECT_ID Box-Nutzer-ID oder Unternehmens-ID. Keine Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein

Citrix Cloud-Audit-Logs

Mit diesem Skript werden Citrix Cloud-Audit-Logs erfasst und mit dem Logtyp CITRIX_MONITOR in Google SecOps aufgenommen. Diese Logs helfen dabei, Aktivitäten in der Citrix Cloud-Umgebung zu identifizieren, indem sie Informationen darüber liefern, was geändert wurde, wer es geändert hat, wann es geändert wurde usw. Weitere Informationen finden Sie in der Citrix Cloud SystemLog API.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml. Weitere Informationen zu Citrix-Client-IDs und -Clientschlüsseln finden Sie unter Getting started with Citrix APIs.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
CITRIX_CLIENT_ID Citrix API-Client-ID. Keine Nein
CITRIX_CLIENT_SECRET Pfad zum Secret in Secret Manager, in dem das für die Authentifizierung verwendete Citrix API-Client-Secret gespeichert ist. Keine Ja
CITRIX_CUSTOMER_ID Citrix-Kundennummer. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem zusätzliche Logdaten erfasst werden (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 30 Nein
URL_DOMAIN Citrix Cloud Endpoint. Keine Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Chronicle-Namespaces (Google SecOps) finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein

Citrix-Sitzungsmetadaten

Dieses Skript erfasst Citrix-Sitzungsmetadaten aus Citrix-Umgebungen und nimmt sie mit dem Protokolltyp CITRIX_MONITOR in Google SecOps auf. Die Daten umfassen Nutzeranmeldedaten, Sitzungsdauer, Erstellungszeit der Sitzung, Endzeit der Sitzung und andere Metadaten zur Sitzung. Weitere Informationen finden Sie in der Citrix Monitor Service API.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml. Weitere Informationen zu Citrix-Client-IDs und -Clientschlüsseln finden Sie unter Getting started with Citrix APIs.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
URL_DOMAIN Citrix-URL-Domain. Keine Nein
CITRIX_CLIENT_ID Citrix-Client-ID. Keine Nein
CITRIX_CLIENT_SECRET Pfad zum Secret in Secret Manager, in dem der für die Authentifizierung verwendete Citrix-Clientschlüssel gespeichert ist. Keine Ja
CITRIX_CUSTOMER_ID Citrix-Kundennummer. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 30 Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein

Cloud Storage

Dieses Skript ruft Systemlogs aus Cloud Storage ab und nimmt sie mit einem konfigurierbaren Wert für den Logtyp in Google SecOps auf. Weitere Informationen finden Sie in der Google Cloud Python-Clientbibliothek.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml. Google Cloud enthält sicherheitsrelevante Logs, aus denen einige Logtypen nicht direkt in Google SecOps exportiert werden können. Weitere Informationen finden Sie unter Sicherheitslog-Analyse.

Variable Beschreibung Standard Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 60 Nein
GCS_BUCKET_NAME Name des Cloud Storage-Bucket, aus dem die Daten abgerufen werden sollen. Keine Nein
GCP_SERVICE_ACCOUNT_SECRET_PATH Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Dienstkontos Google Cloud gespeichert ist. Keine Ja
CHRONICLE_DATA_TYPE Logtyp, um Daten in die Chronicle-Instanz (Google SecOps) zu übertragen. Keine Nein

Duo-Aktivität

Dieses Script ruft Duo-Aktivitätslogs aus der Duo-Admin-Konsole ab und importiert sie mit dem Logtyp DUO_ACTIVITY in Google SecOps. Weitere Informationen finden Sie in der Duo Admin API.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west12, me-central1, me-central2, me-west1 und northamerica-northeast2.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
BACKSTORY_API_V1_URL Der URL-Pfad der Duo Security API. Weitere Informationen zum Herunterladen einer JSON-Datei mit dem Integrationsschlüssel für die DUO Admin API finden Sie in der Duo Admin-Dokumentation. Keine Ja
DUO_SECRET_KEY Der DUO-Secret-Schlüssel, der zum Abrufen von Logs aus der DUO API erforderlich ist. Eine Anleitung zum Herunterladen der JSON-Datei, die den Integrationsschlüssel, den geheimen Schlüssel und den Hostnamen der Duo Admin API enthält, finden Sie in der Duo Admin-Dokumentation.
 Keine Ja
DUO_INTEGRATION_KEY Der DUO-Integrationsschlüssel, der zum Abrufen von Logs aus der DUO API erforderlich ist. Eine Anleitung zum Herunterladen der JSON-Datei, die den Integrationsschlüssel, den geheimen Schlüssel und den Hostnamen der Duo Admin API enthält, finden Sie in der Duo Admin-Dokumentation.
 Keine Ja
LOG_FETCH_DURATION Der Zeitraum, für den die Logs abgerufen werden. 1 Nein
CHECKPOINT_FILE_PATH Der Pfad der Datei, in der der Prüfpunkt-Zeitstempel des zuletzt aufgenommenen Logs gespeichert ist. checkpoint.json Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein

Duo-Administrator

Das Skript ruft Ereignisse aus Duo Admin ab, die sich auf CRUD-Vorgänge beziehen, die für verschiedene Objekte wie Nutzerkonten und Sicherheit ausgeführt werden. Die Ereignisse werden mit dem Logtyp DUO_ADMIN in Google SecOps aufgenommen. Weitere Informationen finden Sie in der Duo Admin API.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. Keine Nein
DUO_API_DETAILS Pfad zum Secret im Secret Manager, in dem die JSON-Datei des Duo-Kontos gespeichert ist. Es enthält den Duo Admin API-Integrationsschlüssel, den Duo Admin API-Secret-Schlüssel und den Duo Admin API-Hostnamen. Beispiel:
{ "ikey": "abcd123", "skey": "def345", "api_host": "abc-123" }
Eine Anleitung zum Herunterladen der JSON-Datei finden Sie in der Duo-Administratorhilfe.
 Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein

MISP

Dieses Skript ruft Informationen zu Bedrohungsbeziehungen von MISP ab, einer Open-Source-Plattform für Threat Intelligence und Sharing, und nimmt sie mit dem Logtyp MISP_IOC in Google SecOps auf. Weitere Informationen finden Sie in der MISP Events API.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml.

Variable Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 5 Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
ORG_NAME Name der Organisation zum Filtern von Ereignissen. Keine Nein
API_KEY Pfad zum Secret im Secret Manager, in dem der API-Schlüssel für die verwendete Authentifizierung gespeichert ist. Keine Ja
TARGET_SERVER Die IP-Adresse der von Ihnen erstellten MISP-Instanz. Keine Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein

OneLogin-Ereignisse

Dieses Script ruft Ereignisse aus einer OneLogin-Umgebung ab und importiert sie mit dem Logtyp ONELOGIN_SSO in Google SecOps. Diese Ereignisse enthalten Informationen wie Vorgänge für Nutzerkonten. Weitere Informationen finden Sie in der OneLogin Events API.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml. Informationen zu OneLogin-Client-IDs und ‑Client-Secrets finden Sie unter Working with API Credentials.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 5 Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
CLIENT_ID Client-ID der OneLogin-Plattform. Keine Nein
CLIENT_SECRET Pfad zum Secret in Secret Manager, in dem der Clientschlüssel der OneLogin-Plattform gespeichert ist, der für die Authentifizierung verwendet wird. Keine Ja
TOKEN_ENDPOINT Die URL, über die ein Zugriffstoken angefordert wird. https://api.us.onelogin.com/auth/oauth2/v2/token Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein

OneLogin-Nutzerkontext

Mit diesem Skript werden Daten zu Nutzerkonten aus einer OneLogin-Umgebung abgerufen und mit dem Logtyp ONELOGIN_USER_CONTEXT in Google SecOps aufgenommen. Weitere Informationen finden Sie in der OneLogin User API.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml. Informationen zu OneLogin-Client-IDs und ‑Client-Secrets finden Sie unter Working with API Credentials.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Chronicle-Instanz (Google SecOps). Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 30 Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
CLIENT_ID Client-ID der OneLogin-Plattform. Keine Nein
CLIENT_SECRET Pfad zum Secret in Secret Manager, in dem der Clientschlüssel der OneLogin-Plattform gespeichert ist, der für die Authentifizierung verwendet wird. Keine Ja
TOKEN_ENDPOINT Die URL, über die ein Zugriffstoken angefordert wird. https://api.us.onelogin.com/auth/oauth2/v2/token Nein
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein

Proofpoint

Mit diesem Skript werden Daten zu Nutzern abgerufen, die in einem bestimmten Zeitraum von Angriffen einer bestimmten Organisation betroffen waren, und in Google SecOps aufgenommen. Informationen zur verwendeten API finden Sie in der People API.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml. Details zum Abrufen des Proofpoint-Dienstprinzipals und des Proofpoint-Secrets finden Sie im Konfigurationsleitfaden zum Bereitstellen von Proofpoint TAP-Anmeldedaten für Arctic Wolf.

Variable Beschreibung Standard Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 360 Nein
CHRONICLE_DATA_TYPE Logtyp, um Daten in die Chronicle-Instanz (Google SecOps) zu übertragen. Keine Nein
PROOFPOINT_SERVER_URL Basis-URL des Proofpoint Server API-Gateways. Keine Nein
PROOFPOINT_SERVICE_PRINCIPLE Nutzername der Proofpoint-Plattform. Dies ist in der Regel der Dienstprinzipal. Keine Nein
PROOFPOINT_SECRET Pfad des Secret Manager mit der Version, in der das Passwort der Proofpoint-Plattform gespeichert ist. Keine Ja
PROOFPOINT_RETRIEVAL_RANGE Anzahl der Tage, ab denen die Daten abgerufen werden sollen. Zulässige Werte sind 14, 30 und 90. Keine Nein

Pub/Sub

Dieses Skript erfasst Nachrichten aus Pub/Sub-Abos und nimmt die Daten in Google SecOps auf. Es überwacht das Abo-Gateway kontinuierlich und nimmt neuere Nachrichten auf, sobald sie angezeigt werden. Weitere Informationen finden Sie in folgenden Dokumenten:

Für dieses Aufnahmeskript müssen Sie Variablen sowohl in der Datei .env.yml als auch im Cloud Scheduler-Job festlegen.

  • Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml.

    Variablenname Beschreibung Standardwert Secret
    CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
    CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
    Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.    		 Nein
    CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
    CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein

  • Legen Sie die folgenden Variablen im Feld Nachrichtentext von Cloud Scheduler als JSON-formatierte Zeichenfolge fest. Weitere Informationen zum Feld Nachrichtentext finden Sie unter Cloud Scheduler erstellen.

    Variablenname Beschreibung Standardwert Secret
    PROJECT_ID Pub/Sub-Projekt-ID. Informationen zur Projekt-ID finden Sie unter Projekte erstellen und verwalten. Keine Nein
    SUBSCRIPTION_ID Pub/Sub-Abo-ID. Keine Nein
    CHRONICLE_DATA_TYPE Aufnahmelabel für den Logtyp, der beim Übertragen von Daten an Chronicle (Google SecOps) angegeben wird. Eine Liste der unterstützten Logtypen finden Sie unter Unterstützte Standardparser. Keine Nein

    Hier sehen Sie ein Beispiel für einen JSON-formatierten String für das Feld Nachrichtentext.

    { "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}

Slack-Audit-Logs

Dieses Skript ruft Audit-Logs aus einer Slack Enterprise Grid-Organisation ab und importiert sie mit dem Logtyp SLACK_AUDIT in Google SecOps. Weitere Informationen finden Sie in der Slack Audit Logs API.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml.

Variablenname Beschreibung Standardwert Secret
CHRONICLE_CUSTOMER_ID Kundennummer der Chronicle-Instanz (Google SecOps). Keine Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 5 Nein
SLACK_ADMIN_TOKEN Pfad zum Secret in Secret Manager, in dem das Slack-Authentifizierungstoken gespeichert ist.
 Keins
 Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein

STIX/TAXII

Mit diesem Skript werden Indikatoren von einem STIX/TAXII-Server abgerufen und in Google SecOps aufgenommen. Weitere Informationen finden Sie in der STIX/TAXII API-Dokumentation. Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml.

Variablenname Beschreibung Default Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
POLL_INTERVAL Häufigkeitsintervall (in Minuten), in dem die Funktion ausgeführt wird. Diese Dauer muss mit der des Cloud Scheduler-Jobs übereinstimmen. 60 Nein
TAXII_VERSION Die zu verwendende STIX/TAXII-Version. Mögliche Optionen sind 1.1, 2.0 und 2.1. Keine Nein
TAXII_DISCOVERY_URL Discovery-URL des TAXII-Servers. Keine Nein
TAXII_COLLECTION_NAMES Sammlungen (CSV), aus denen die Daten abgerufen werden sollen. Lassen Sie das Feld leer, um Daten aus allen Sammlungen abzurufen. Keine Nein
TAXII_USERNAME Nutzername, der für die Authentifizierung erforderlich ist, falls vorhanden. Keine Nein
TAXII_PASSWORD_SECRET_PATH Das für die Authentifizierung erforderliche Passwort, falls vorhanden. Keine Ja

Tenable.io

Dieses Skript ruft Asset- und Sicherheitslückendaten von der Tenable.io-Plattform ab und importiert sie mit dem Logtyp TENABLE_IO in Google SecOps. Informationen zur verwendeten Bibliothek finden Sie im pyTenable Python SDK.

Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml. Weitere Informationen zu Asset- und Sicherheitslückendaten finden Sie in der Tenable.io API unter Assets exportieren und Sicherheitslücken exportieren.

Variable Beschreibung Default Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 360 Nein
TENABLE_ACCESS_KEY Der für die Authentifizierung verwendete Zugriffsschlüssel. Keine Nein
TENABLE_SECRET_KEY_PATH Pfad des Google Secret Manager mit der Version, in der das Passwort für Tenable Server gespeichert ist. Keine Ja
TENABLE_DATA_TYPE Der Typ der Daten, die in Google SecOps aufgenommen werden sollen. Mögliche Werte: ASSETS, VULNERABILITIES. ASSETS, SCHWACHSTELLEN Nein
TENABLE_VULNERABILITY Der Status der Sicherheitslücken, die im Export enthalten sein sollen. Mögliche Werte: `OPEN`, `REOPENED` und `FIXED`. OFFEN, WIEDER GEÖFFNET Nein

Trend Micro Cloud App Security

Mit diesem Skript werden Sicherheitslogs von der Trend Micro-Plattform abgerufen und in Google SecOps aufgenommen. Informationen zur verwendeten API finden Sie in der API für Sicherheitslogs. Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml.

Variable Beschreibung Default Secret
CHRONICLE_CUSTOMER_ID Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 10 Nein
CHRONICLE_DATA_TYPE Logtyp, um Daten in die Chronicle-Instanz (Google SecOps) zu übertragen. Keine Nein
TREND_MICRO_AUTHENTICATION_TOKEN Pfad des Google Secret Manager mit der Version, in der das Authentifizierungstoken für den Trend Micro-Server gespeichert ist. Keine Ja
TREND_MICRO_SERVICE_URL Dienst-URL des Cloud App Security-Dienstes. Keine Nein
TREND_MICRO_SERVICE Der Name des geschützten Dienstes, dessen Logs abgerufen werden sollen. Unterstützt durch Kommas getrennte Werte. Mögliche Werte: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat Nein
TREND_MICRO_EVENT Der Typ des Sicherheitsereignisses, dessen Logs abgerufen werden sollen. Unterstützt durch Kommas getrennte Werte. Mögliche Werte: securityrisk, virtualanalyzer, ransomware, dlp. securityrisk, virtualanalyzer, ransomware, dlp Nein

Trend Micro Vision One

Mit diesem Skript werden die Audit-Logs von Trend Micro Vision One abgerufen und mit dem Logtyp TREND_MICRO_VISION_AUDIT in Google SecOps aufgenommen. Informationen zur verwendeten API finden Sie in der Audit-Logs API. Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml.

Variable Beschreibung Default Secret
TREND_MICRO_VISION_AUDIT Kundennummer der Google SecOps-Instanz. Keine Nein
CHRONICLE_REGION Region der Chronicle-Instanz (Google SecOps). us
Weitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1.		 Nein
CHRONICLE_SERVICE_ACCOUNT Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja
CHRONICLE_NAMESPACE Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Mit Asset-Namespaces arbeiten. Keine Nein
POLL_INTERVAL Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Intervall des Cloud Scheduler-Jobs übereinstimmen. 10 Nein
TREND_MICRO_AUTHENTICATION_TOKEN Pfad des Google Secret Manager mit der Version, in der das Authentifizierungstoken für den Trend Micro-Server gespeichert ist. Keine Ja
TREND_MICRO_DOMAIN Trend Micro Vision One-Region, in der sich der Dienstendpunkt befindet. Keine Nein

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten