Datenaufnahmescripts verwenden, die als Cloud Run-Funktionen bereitgestellt werden
Google Security Operations hat eine Reihe von Python-Aufnahmescripts bereitgestellt, die als Cloud Run-Funktionen bereitgestellt werden sollen. Mit diesen Scripts können Sie Daten aus den folgenden Protokollquellen aufnehmen, die nach Name und Protokolltyp aufgelistet sind.
- Armis Google SecOps Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Activity (
DUO_ACTIVITY) - Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Diese Scripts befinden sich im GitHub-Repository von Google SecOps.
Bekannte Einschränkung:Wenn diese Scripts in einer zustandslosen Umgebung wie Cloud Run-Funktionen verwendet werden, werden möglicherweise nicht alle Protokolle an Google SecOps gesendet, da keine Checkpoint-Funktion vorhanden ist. Google SecOps hat die Scripts mit der Python 3.9-Laufzeit getestet.
Hinweise
In den folgenden Ressourcen finden Sie Kontext und Hintergrundinformationen, mit denen Sie die Google SecOps-Aufnahmescripts effektiv nutzen können.
- Cloud Run-Funktionen bereitstellen: Informationen zum Bereitstellen von Cloud Run-Funktionen von Ihrem lokalen Computer aus
- Secrets erstellen und aufrufen Sie benötigen diese, um die JSON-Datei des Google SecOps-Dienstkontos zu speichern und darauf zuzugreifen.
- Installieren Sie die Google Cloud CLI. Sie verwenden ihn, um die Cloud Run-Funktion bereitzustellen.
- Google Cloud Pub/Sub-Dokumentation, wenn Sie Daten aus Pub/Sub aufnehmen möchten.
Dateien für einen einzelnen Logtyp zusammenstellen
Jedes Unterverzeichnis in Google SecOps GitHub enthält Dateien, die Daten für einen einzelnen Google SecOps-Logtyp aufnehmen. Das Script stellt eine Verbindung zu einem einzelnen Quellgerät her und sendet dann Rohprotokolle über die Ingestion API an Google SecOps. Wir empfehlen, jeden Logtyp als separate Cloud Run-Funktion bereitzustellen. Sie können auf die Scripts im GitHub-Repository von Google SecOps zugreifen. Jedes Unterverzeichnis in GitHub enthält die folgenden Dateien, die dem aufgenommenen Protokolltyp entsprechen.
main.pyist das für den Protokolltyp spezifische Aufnahmeskript. Es stellt eine Verbindung zum Quellgerät her und nimmt Daten in Google SecOps auf..env.ymlspeichert die vom Python-Script benötigte Konfiguration und ist spezifisch für die Bereitstellung. In dieser Datei legen Sie die Konfigurationsparameter fest, die vom Datenaufnahme-Script benötigt werden.README.mdenthält Informationen zu Konfigurationsparametern.Requirements.txtdefiniert die Abhängigkeiten, die für das Datenaufnahme-Script erforderlich sind. Außerdem enthält der OrdnercommonDienstprogrammfunktionen, von denen alle Datenaufnahmescripts abhängen.
Führen Sie die folgenden Schritte aus, um die Dateien zusammenzustellen, in die Daten für einen einzelnen Protokolltyp aufgenommen werden:
- Erstellen Sie ein Bereitstellungsverzeichnis, um die Dateien für die Cloud Run-Funktion zu speichern. Diese enthält alle für die Bereitstellung erforderlichen Dateien.
- Kopieren Sie alle Dateien aus dem GitHub-Unterverzeichnis des ausgewählten Protokolltyps, z. B. „OneLogin User Context“, in dieses Bereitstellungsverzeichnis.
- Kopieren Sie den Ordner
commonund den gesamten Inhalt in das Bereitstellungsverzeichnis. Der Inhalt des Verzeichnisses sieht in etwa so aus:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Scripts konfigurieren
- Starten Sie eine Cloud Shell-Sitzung.
- Stellen Sie eine SSH-Verbindung zu einer Google Cloud Linux-VM her. Weitere Informationen finden Sie unter Mit Google-Tools eine Verbindung zu Linux-VMs herstellen.
Laden Sie die Datenaufnahmescripts hoch, indem Sie auf Mehr > Hochladen oder Herunterladen klicken, um Dateien oder Ordner in Cloud Shell oder von dort aus zu verschieben.
Dateien und Ordner können nur in Ihr Basisverzeichnis hoch- und heruntergeladen werden. Weitere Optionen zum Übertragen von Dateien zwischen Cloud Shell und Ihrer lokalen Workstation finden Sie unter [Dateien und Ordner von Cloud Shell hoch- und herunterladen](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders).
Bearbeiten Sie die Datei
.env.ymlfür die Funktion und füllen Sie die erforderlichen Umgebungsvariablen aus. In der folgenden Tabelle sind Laufzeitumgebungsvariablen aufgeführt, die für alle Datenaufnahmescripts gemeinsam sind.Variablenname Beschreibung Erforderlich Standard Secret CHRONICLE_CUSTOMER_IDChronicle (Google SecOps)-Kundennummer. Ja Keine Nein CHRONICLE_REGIONChronicle-Region (Google SecOps) Ja us
Weitere gültige Werte:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2undsouthamerica-east1.Nein CHRONICLE_SERVICE_ACCOUNTInhalt der JSON-Datei des Chronicle-Dienstkontos (Google SecOps). Ja Keine Ja CHRONICLE_NAMESPACEDer Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. Nein Keine Nein Für jedes Script sind spezifische Umgebungsvariablen erforderlich. Unter Konfigurationsparameter nach Protokolltyp finden Sie Details zu den für jeden Protokolltyp erforderlichen Umgebungsvariablen.
Umgebungsvariablen, die als Secret = Yes gekennzeichnet sind, müssen im Secret Manager als Secrets konfiguriert werden. Informationen zu den Kosten der Nutzung von Secret Manager finden Sie unter Secret Manager-Preise.
Eine detaillierte Anleitung finden Sie unter Secrets erstellen und darauf zugreifen.
Verwenden Sie nach dem Erstellen der Secrets in Secret Manager den Namen der Secret-Ressource als Wert für Umgebungsvariablen. Beispiel: projects/{project_id}/secrets/{secret_id}/versions/{version_id}, wobei {project_id}, {secret_id} und {version_id} für Ihre Umgebung spezifisch sind.
Planer oder Trigger einrichten
Alle Scripts mit Ausnahme von Pub/Sub werden so implementiert, dass die Daten in regelmäßigen Abständen von einem Quellgerät erfasst werden. Sie müssen einen Trigger mit Cloud Scheduler einrichten, um Daten im Zeitverlauf abzurufen. Das Datenaufnahme-Script für Pub/Sub überwacht das Pub/Sub-Abo kontinuierlich. Weitere Informationen finden Sie unter Dienste nach Zeitplan ausführen und Mit Pub/Sub eine Cloud Run-Funktion auslösen.
Cloud Run-Funktion bereitstellen
- Starten Sie eine Cloud Shell-Sitzung.
- Stellen Sie eine SSH-Verbindung zu einer Google Cloud Linux-VM her. Weitere Informationen finden Sie unter Mit Google-Tools eine Verbindung zu Linux-VMs herstellen.
- Wechseln Sie zu dem Verzeichnis, in das Sie die Datenaufnahmescripts kopiert haben.
Führen Sie den folgenden Befehl aus, um die Cloud Run-Funktion bereitzustellen.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlErsetzen Sie
<FUNCTION_NAME>durch den Namen, den Sie für die Cloud Run-Funktion definieren.Ersetzen Sie
<SERVICE_ACCOUNT_EMAIL>durch die E-Mail-Adresse des Dienstkontos, das Ihre Cloud Run-Funktion verwenden soll.Wenn Sie nicht zum Verzeichnis mit den Dateien wechseln, müssen Sie den Speicherort der Bereitstellungsscripts mit der Option
--sourceangeben.Das Dienstkonto, in dem Ihre Cloud Run-Funktion ausgeführt wird, muss die Rollen Cloud Functions-Aufrufer (
roles/cloudfunctions.invoker) und Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) haben.
Laufzeitprotokolle ansehen
Die Aufnahmescripts geben Laufzeitmeldungen in stdout aus. Cloud Run-Funktionen bieten einen Mechanismus zum Ansehen von Protokollmeldungen.
Konfigurationsparameter nach Protokolltyp
Armis-Integration in Google SecOps
Dieses Script erfasst die Daten mithilfe von API-Aufrufen von der Armis-Plattform für verschiedene Arten von Ereignissen wie Benachrichtigungen, Aktivitäten, Geräte und Sicherheitslücken. Die erfassten Daten werden in Google SecOps aufgenommen und von den entsprechenden Parsern analysiert.
Scriptablauf
So sieht der Ablauf des Scripts aus:
Prüfen Sie die Umgebungsvariablen.
Stellen Sie das Script in Cloud Run-Funktionen bereit.
Daten mit dem Datenaufnahme-Script erfassen
Erfassen Sie die Daten in Google SecOps.
Erfasste Daten werden mithilfe entsprechender Parser in Google SecOps analysiert.
Daten mit einem Script erfassen und in Google SecOps aufnehmen
Prüfen Sie die Umgebungsvariablen.
Variable Beschreibung Erforderlich Default Secret CHRONICLE_CUSTOMER_IDChronicle (Google SecOps)-Kundennummer. Ja - Nein CHRONICLE_REGIONChronicle-Region (Google SecOps) Ja USA Ja CHRONICLE_SERVICE_ACCOUNTInhalt der JSON-Datei des Chronicle-Dienstkontos (Google SecOps). Ja - Ja CHRONICLE_NAMESPACEDer Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Nein - Nein POLL_INTERVALIntervall, in dem die Funktion ausgeführt wird, um zusätzliche Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. Ja 10 Nein ARMIS_SERVER_URLServer-URL der Armis-Plattform. Ja - Nein ARMIS_API_SECRET_KEYFür die Authentifizierung ist ein Secret-Schlüssel erforderlich. Ja - Ja HTTPS_PROXYProxyserver-URL. Nein - Nein CHRONICLE_DATA_TYPEDatentyp „Chronicle“ (Google SecOps) zum Pushen von Daten in Google SecOps. Ja - Nein Richten Sie das Verzeichnis ein.
Erstellen Sie ein neues Verzeichnis für die Bereitstellung der Cloud Run-Funktionen und fügen Sie ihm das Verzeichnis
commonund den Inhalt des Datenaufnahmescripts (armis) hinzu.Legen Sie die erforderlichen Laufzeit-Umgebungsvariablen fest.
Definieren Sie die erforderlichen Umgebungsvariablen in der Datei
.env.yml.Verwenden Sie Secrets.
Als geheim gekennzeichnete Umgebungsvariablen müssen im Secret Manager als Secrets konfiguriert werden. Weitere Informationen zum Erstellen von Secrets finden Sie unter Secret erstellen.
Verwenden Sie nach dem Erstellen der Secrets in Secret Manager den Ressourcennamen des Secrets als Wert für Umgebungsvariablen. Beispiel:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Konfigurieren Sie den Namespace.
Legen Sie die Umgebungsvariable
CHRONICLE_NAMESPACEfest, um den Namensraum zu konfigurieren. Die Chronicle-Logs (Google SecOps) werden in den Namespace aufgenommen.Cloud Run-Funktionen bereitstellen
Führen Sie den folgenden Befehl im zuvor erstellten Verzeichnis aus, um die Cloud-Funktion bereitzustellen.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlStandardspezifikationen für Cloud Run-Funktionen
Variable Default Beschreibung Speicher 256 MB Keine Keine Zeitüberschreitung 60 Sekunden Keine Keine Region us-central1 Keine Keine Mindestanzahl von Instanzen 0 Keine Keine Maximale Anzahl von Instanzen 100 Keine Keine Weitere Informationen zum Konfigurieren dieser Variablen finden Sie unter Cloud Run-Funktionen konfigurieren.
Rufen Sie Verlaufsdaten ab.
So rufen Sie Verlaufsdaten ab und erfassen weiterhin Echtzeitdaten:
- Konfigurieren Sie die Umgebungsvariable
POLL_INTERVALin Minuten, für die die Verlaufsdaten abgerufen werden müssen. - Sie können die Funktion mit einem Scheduler oder manuell auslösen, indem Sie den Befehl in der Google Cloud CLI ausführen, nachdem Sie die Cloud Run-Funktionen konfiguriert haben.
- Konfigurieren Sie die Umgebungsvariable
Aruba Central
Dieses Script ruft Audit-Logs von der Aruba Central-Plattform ab und nimmt sie mit dem ARUBA_CENTRAL-Logtyp in Google SecOps auf. Informationen zur Verwendung der Bibliothek finden Sie im pycentral Python SDK.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variable | Beschreibung | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Namespaces von Chronicle (Google SecOps) finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Job-Intervall übereinstimmen. | 10 | Nein |
ARUBA_CLIENT_ID |
Client-ID des Aruba Central API-Gateways. | Keine | Nein |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Client-Secret des Aruba Central API-Gateways. | Keine | Ja |
ARUBA_USERNAME |
Nutzername der Aruba Central-Plattform. | Keine | Nein |
ARUBA_PASSWORD_SECRET_PATH |
Passwort für die Aruba Central-Plattform. | Keine | Ja |
ARUBA_BASE_URL |
Basis-URL des Aruba Central API-Gateways. | Keine | Nein |
ARUBA_CUSTOMER_ID |
Kundennummer der Aruba Central-Plattform. | Keine | Nein |
Azure Event Hub
Im Gegensatz zu anderen Datenaufnahmescripts werden in diesem Script Azure-Funktionen verwendet, um Ereignisse aus Azure Event Hub abzurufen. Eine Azure-Funktion wird jedes Mal ausgelöst, wenn ein neues Ereignis in einen Bucket aufgenommen wird. Jedes Ereignis wird nach und nach in Google SecOps aufgenommen.
Schritte zum Bereitstellen von Azure-Funktionen:
- Laden Sie die Datei „
Azure_eventhub_API_function_app.json“ aus dem Repository herunter. - Melden Sie sich im Microsoft Azure-Portal an.
- Rufen Sie Microsoft Sentinel > Ihren Arbeitsbereich in der Liste aus > Daten-Connector auswählen im Konfigurationsabschnitt auf und führen Sie die folgenden Schritte aus:
- Legen Sie in der URL das folgende Flag auf „wahr“ fest:
feature.BringYourOwnConnector=true. Beispiel: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Klicken Sie auf der Seite auf die Schaltfläche Importieren und importieren Sie die in Schritt 1 heruntergeladene Daten-Connector-Datei.
- Legen Sie in der URL das folgende Flag auf „wahr“ fest:
- Klicken Sie auf die Schaltfläche In Azure bereitstellen, um Ihre Funktion bereitzustellen, und folgen Sie der Anleitung auf derselben Seite.
- Wählen Sie das gewünschte Abo, die Ressourcengruppe und den Speicherort aus und geben Sie die erforderlichen Werte an.
- Klicken Sie auf Überprüfen + Erstellen.
- Klicken Sie auf Erstellen, um die Bereitstellung vorzunehmen.
Box
Dieses Script ruft Details zu Ereignissen in Box ab und nimmt sie mit dem Protokolltyp BOX in Google SecOps auf. Die Daten liefern Einblicke in CRUD-Vorgänge für Objekte in der Box-Umgebung. Informationen zu Box-Ereignissen finden Sie in der Box Events API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Weitere Informationen zur Box-Client-ID, zum Client-Secret und zur Subject-ID finden Sie unter Client-Anmeldedaten gewähren.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Job-Intervall übereinstimmen. | 5 | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
BOX_CLIENT_ID |
Client-ID der Box-Plattform, verfügbar in der Box Developer Console. | Keine | Nein |
BOX_CLIENT_SECRET |
Pfad zum Secret in Secret Manager, in dem das Client-Secret der Box-Plattform gespeichert ist, das für die Authentifizierung verwendet wird. | Keine | Ja |
BOX_SUBJECT_ID |
Box-Nutzer-ID oder Unternehmens-ID | Keine | Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
Citrix Cloud-Audit-Logs
Dieses Script erfasst Citrix Cloud-Audit-Logs und nimmt sie mit dem Logtyp CITRIX_MONITOR in Google SecOps auf. Diese Logs helfen dabei, Aktivitäten in der Citrix Cloud-Umgebung zu identifizieren, indem sie Informationen dazu liefern, was geändert wurde, wer sie geändert hat, wann sie geändert wurde usw. Weitere Informationen finden Sie in der Citrix Cloud SystemLog API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Informationen zu Citrix-Client-IDs und Clientschlüsseln finden Sie unter Einstieg in Citrix APIs.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
CITRIX_CLIENT_ID |
Citrix API-Client-ID. | Keine | Nein |
CITRIX_CLIENT_SECRET |
Pfad zum Secret in Secret Manager, in dem das für die Authentifizierung verwendete Client-Secret der Citrix API gespeichert ist. | Keine | Ja |
CITRIX_CUSTOMER_ID |
Citrix-Kundennummer. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem zusätzliche Protokolldaten erfasst werden (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. | 30 | Nein |
URL_DOMAIN |
Citrix Cloud-Endpunkt | Keine | Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Namespaces von Chronicle (Google SecOps) finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
Citrix-Sitzungsmetadaten
Dieses Script erfasst Citrix-Sitzungsmetadaten aus Citrix-Umgebungen und nimmt sie mit dem CITRIX_MONITOR-Protokolltyp in Google SecOps auf. Die Daten umfassen Anmeldedetails des Nutzers, Sitzungsdauer, Erstellungszeit der Sitzung, Sitzungsendzeit und andere sitzungsbezogene Metadaten. Weitere Informationen finden Sie in der Citrix Monitor Service API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Informationen zu Citrix-Client-IDs und Clientschlüsseln finden Sie unter Einstieg in Citrix APIs.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
URL_DOMAIN |
Citrix-URL-Domain. | Keine | Nein |
CITRIX_CLIENT_ID |
Citrix-Client-ID. | Keine | Nein |
CITRIX_CLIENT_SECRET |
Pfad zum Secret in Secret Manager, in dem das für die Authentifizierung verwendete Citrix-Client-Secret gespeichert ist. | Keine | Ja |
CITRIX_CUSTOMER_ID |
Citrix-Kundennummer. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Job-Intervall übereinstimmen. | 30 | Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
Cloud Storage
Dieses Script ruft Systemprotokolle aus Cloud Storage ab und nimmt sie mit einem konfigurierbaren Wert für den Protokolltyp in Google SecOps auf. Weitere Informationen finden Sie in der Google Cloud -Python-Clientbibliothek.
Legen Sie die folgenden Umgebungsvariablen in der Datei .env.yml fest. Google Cloudenthält sicherheitsrelevante Protokolle, aus denen einige Protokolltypen nicht direkt in Google SecOps exportiert werden können. Weitere Informationen finden Sie unter Sicherheitsprotokolle analysieren.
| Variable | Beschreibung | Standard | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. | 60 | Nein |
GCS_BUCKET_NAME |
Name des Cloud Storage-Bucket, aus dem die Daten abgerufen werden sollen. | Keine | Nein |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Google Cloud Dienstkontos gespeichert ist. | Keine | Ja |
CHRONICLE_DATA_TYPE |
Logtyp, um Daten in die Chronicle-Instanz (Google SecOps) zu pushen. | Keine | Nein |
Duo-Aktivitäten
Dieses Script ruft Duo-Aktivitätsprotokolle aus Duo Admin ab und nimmt sie mit dem Logtyp DUO_ACTIVITY in Google SecOps auf. Weitere Informationen finden Sie in der Duo Admin API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1,
asia-southeast1, australia-southeast1, europe,
europe-west2, europe-west3, europe-west6,
europe-west12, me-central1, me-central2,
me-west1 und northamerica-northeast2. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
BACKSTORY_API_V1_URL |
Der URL-Pfad der Duo Security API. Weitere Informationen zum Herunterladen der JSON-Datei mit dem DUO Admin API-Integrationsschlüssel finden Sie in der DUO Admin-Dokumentation. | Keine | Ja |
DUO_SECRET_KEY |
Der DUO-Secret-Schlüssel, der zum Abrufen von Protokollen aus der DUO API erforderlich ist. In der Duo Admin-Dokumentation finden Sie eine Anleitung zum Herunterladen der JSON-Datei, die den Integrationsschlüssel, den geheimen Schlüssel und den Hostnamen der Duo Admin API enthält. |
Keine | Ja |
DUO_INTEGRATION_KEY |
Der DUO-Integrationsschlüssel, der zum Abrufen von Protokollen aus der DUO API erforderlich ist. In der Duo Admin-Dokumentation finden Sie eine Anleitung zum Herunterladen der JSON-Datei, die den Integrationsschlüssel, den geheimen Schlüssel und den Hostnamen der Duo Admin API enthält. |
Keine | Ja |
LOG_FETCH_DURATION |
Die Dauer, für die die Protokolle abgerufen werden. | 1 | Nein |
CHECKPOINT_FILE_PATH |
Der Pfad zur Datei, in der der Zeitstempel des letzten aufgenommenen Protokolls gespeichert ist. | checkpoint.json |
Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
Duo Admin
Das Script ruft Ereignisse von Duo Admin ab, die sich auf CRUD-Vorgänge (Create, Read, Update, Delete) beziehen, die auf verschiedenen Objekten wie Nutzerkonten und Sicherheit ausgeführt werden. Die Ereignisse werden mit dem Protokolltyp DUO_ADMIN in Google SecOps aufgenommen. Weitere Informationen finden Sie in der Duo Admin API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Job-Intervall übereinstimmen. | Keine | Nein |
DUO_API_DETAILS |
Pfad zum Secret im Secret Manager, in dem die JSON-Datei des Duo-Kontos gespeichert ist. Dieser enthält den Integrationsschlüssel, den geheimen Schlüssel und den Hostnamen der Duo Admin API. Beispiel:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Eine Anleitung zum Herunterladen der JSON-Datei finden Sie in der Duo Admin-Dokumentation. |
Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
MISP
Dieses Script ruft Informationen zu Bedrohungsbeziehungen von MISP ab, einer Open-Source-Plattform für Threat Intelligence und ‑Teilen, und nimmt sie mit dem MISP_IOC-Log-Typ in Google SecOps auf. Weitere Informationen finden Sie in der MISP Events API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variable | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Job-Intervall übereinstimmen. | 5 | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
ORG_NAME |
Name der Organisation zum Filtern von Ereignissen. | Keine | Nein |
API_KEY |
Pfad zum Secret in Secret Manager, in dem der API-Schlüssel für die verwendete Authentifizierung gespeichert ist. | Keine | Ja |
TARGET_SERVER |
Die IP-Adresse der von Ihnen erstellten MISP-Instanz. | Keine | Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
OneLogin-Ereignisse
Dieses Script ruft Ereignisse aus einer OneLogin-Umgebung ab und nimmt sie mit dem Protokolltyp ONELOGIN_SSO in Google SecOps auf. Diese Ereignisse liefern Informationen wie Vorgänge an Nutzerkonten. Weitere Informationen finden Sie in der OneLogin Events API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Informationen zu OneLogin-Client-IDs und Client-Secrets finden Sie unter API-Anmeldedaten verwenden.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Job-Intervall übereinstimmen. | 5 | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
CLIENT_ID |
Client-ID der OneLogin-Plattform. | Keine | Nein |
CLIENT_SECRET |
Pfad zum Secret in Secret Manager, in dem das Client-Secret der OneLogin-Plattform gespeichert ist, das für die Authentifizierung verwendet wird. | Keine | Ja |
TOKEN_ENDPOINT |
Die URL, unter der ein Zugriffstoken angefordert wird. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
OneLogin-Nutzerkontext
Dieses Script ruft Daten zu Nutzerkonten aus einer OneLogin-Umgebung ab und nimmt sie mit dem ONELOGIN_USER_CONTEXT-Logtyp in Google SecOps auf.
Weitere Informationen finden Sie in der OneLogin User API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Informationen zu OneLogin-Client-IDs und Client-Secrets finden Sie unter API-Anmeldedaten verwenden.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Job-Intervall übereinstimmen. | 30 | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
CLIENT_ID |
Client-ID der OneLogin-Plattform. | Keine | Nein |
CLIENT_SECRET |
Pfad zum Secret in Secret Manager, in dem das Client-Secret der OneLogin-Plattform gespeichert ist, das für die Authentifizierung verwendet wird. | Keine | Ja |
TOKEN_ENDPOINT |
Die URL, unter der ein Zugriffstoken angefordert wird. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Nein |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
Proofpoint
Dieses Script ruft Daten zu Nutzern ab, die innerhalb eines bestimmten Zeitraums von einer bestimmten Organisation angegriffen wurden, und nimmt diese Daten in Google SecOps auf. Informationen zur verwendeten API finden Sie in der People API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Weitere Informationen zum Abrufen des Proofpoint-Dienstprinzipals und des Proofpoint-Geheimnisses finden Sie in der Konfigurationsanleitung zum Bereitstellen von Proofpoint-TAP-Anmeldedaten für Arctic Wolf.
| Variable | Beschreibung | Standard | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. | 360 | Nein |
CHRONICLE_DATA_TYPE |
Logtyp, um Daten in die Chronicle-Instanz (Google SecOps) zu pushen. | Keine | Nein |
PROOFPOINT_SERVER_URL |
Basis-URL des Proofpoint-Server-API-Gateways. | Keine | Nein |
PROOFPOINT_SERVICE_PRINCIPLE |
Nutzername der Proofpoint-Plattform. Dies ist in der Regel der Dienstprinzipal. | Keine | Nein |
PROOFPOINT_SECRET |
Pfad zum Secret Manager mit der Version, in der das Passwort der Proofpoint-Plattform gespeichert ist. | Keine | Ja |
PROOFPOINT_RETRIEVAL_RANGE |
Gibt an, für wie viele Tage die Daten abgerufen werden sollen. Zulässige Werte sind 14, 30 und 90. | Keine | Nein |
Pub/Sub
Dieses Script sammelt Nachrichten aus Pub/Sub-Abos und nimmt die Daten in Google SecOps auf. Es überwacht kontinuierlich das Abo-Gateway und nimmt neue Nachrichten auf, sobald sie eintreffen. Weitere Informationen finden Sie in folgenden Dokumenten:
Für dieses Datenaufnahme-Script müssen Sie sowohl in der Datei .env.yml als auch im Cloud Scheduler-Job Variablen festlegen.
Definieren Sie in der Datei
.env.ymldie folgenden Umgebungsvariablen.Variablenname Beschreibung Standardwert Secret CHRONICLE_CUSTOMER_IDDie Kunden-ID der Chronicle-Instanz (Google SecOps). Keine Nein CHRONICLE_REGIONInstanzregion von Chronicle (Google SecOps) us
Weitere gültige Werte:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2undsouthamerica-east1.Nein CHRONICLE_SERVICE_ACCOUNTPfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. Keine Ja CHRONICLE_NAMESPACEDer Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. Keine Nein Legen Sie die folgenden Variablen im Cloud Scheduler-Feld Message body (Nachrichtentext) als JSON-formatierten String fest. Weitere Informationen zum Feld Nachrichtentext finden Sie unter Cloud Scheduler erstellen.
Variablenname Beschreibung Standardwert Secret PROJECT_IDPub/Sub-Projekt-ID. Informationen zur Projekt-ID finden Sie unter Projekte erstellen und verwalten. Keine Nein SUBSCRIPTION_IDPub/Sub-Abo-ID. Keine Nein CHRONICLE_DATA_TYPEAufnahmelabel für den Logtyp, der beim Pushen von Daten an Chronicle (Google SecOps) angegeben wurde. Eine Liste der unterstützten Logtypen finden Sie unter Unterstützte Standardparser. Keine Nein Hier ist ein Beispiel für einen JSON-formatierten String für das Feld Message body (Nachrichtentext).
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Audit-Logs für Slack
Dieses Script ruft Audit-Logs von einer Slack Enterprise Grid-Organisation ab und nimmt sie mit dem Logtyp SLACK_AUDIT in Google SecOps auf. Weitere Informationen finden Sie unter Slack Audit Logs API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variablenname | Beschreibung | Standardwert | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Job-Intervall übereinstimmen. | 5 | Nein |
SLACK_ADMIN_TOKEN |
Pfad zum Secret in Secret Manager, in dem das Slack-Authentifizierungstoken gespeichert ist. |
Keins |
Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
STIX/TAXII
Dieses Script ruft Indikatoren vom STIX/TAXII-Server ab und nimmt sie in Google SecOps auf. Weitere Informationen finden Sie in der STIX/TAXII API-Dokumentation.
Definieren Sie die folgenden Umgebungsvariablen in der Datei .env.yml.
| Variablenname | Beschreibung | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
POLL_INTERVAL |
Häufigkeitsintervall (in Minuten), in dem die Funktion ausgeführt wird. Diese Dauer muss mit der des Cloud Scheduler-Jobs übereinstimmen. | 60 | Nein |
TAXII_VERSION |
Die zu verwendende STIX-/TAXII-Version. Mögliche Optionen sind 1.1, 2.0 und 2.1. | Keine | Nein |
TAXII_DISCOVERY_URL |
Discovery-URL des TAXII-Servers. | Keine | Nein |
TAXII_COLLECTION_NAMES |
Sammlungen (CSV), aus denen die Daten abgerufen werden sollen. Lassen Sie das Feld leer, um Daten aus allen Sammlungen abzurufen. | Keine | Nein |
TAXII_USERNAME |
Für die Authentifizierung erforderlicher Nutzername, falls zutreffend. | Keine | Nein |
TAXII_PASSWORD_SECRET_PATH |
Passwort, falls für die Authentifizierung erforderlich. | Keine | Ja |
Tenable.io
Dieses Script ruft Asset- und Sicherheitslückendaten von der Tenable.io-Plattform ab und nimmt sie mit dem TENABLE_IO-Logtyp in Google SecOps auf. Informationen zur verwendeten Bibliothek finden Sie im pyTenable Python SDK.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen. Weitere Informationen zu Asset- und Sicherheitslückendaten finden Sie in der Tenable.io API: Assets exportieren und Sicherheitslücken exportieren.
| Variable | Beschreibung | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. | 360 | Nein |
TENABLE_ACCESS_KEY |
Der für die Authentifizierung verwendete Zugriffsschlüssel. | Keine | Nein |
TENABLE_SECRET_KEY_PATH |
Pfad zum Google Secret Manager mit der Version, in der das Passwort für den Tenable-Server gespeichert ist. | Keine | Ja |
TENABLE_DATA_TYPE |
Datentyp, der in Google SecOps aufgenommen werden soll. Mögliche Werte: ASSETS, VULNERABILITIES. | ASSETS, VULNERABILITIES | Nein |
TENABLE_VULNERABILITY |
Der Status der Sicherheitslücken, die im Export enthalten sein sollen. Mögliche Werte: „OPEN“, „REOPENED“ und „FIXED“. | GEÖFFNET, WIEDER GEÖFFNET | Nein |
Trend Micro Cloud App Security
Dieses Script ruft Sicherheitsprotokolle von der Trend Micro-Plattform ab und nimmt sie in Google SecOps auf. Informationen zur verwendeten API finden Sie in der API für Sicherheitsprotokolle.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variable | Beschreibung | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Die Kunden-ID der Chronicle-Instanz (Google SecOps). | Keine | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. | 10 | Nein |
CHRONICLE_DATA_TYPE |
Logtyp, um Daten in die Chronicle-Instanz (Google SecOps) zu pushen. | Keine | Nein |
TREND_MICRO_AUTHENTICATION_TOKEN |
Pfad zum Google Secret Manager mit der Version, in der das Authentifizierungstoken für den Trend Micro-Server gespeichert ist. | Keine | Ja |
TREND_MICRO_SERVICE_URL |
Dienst-URL des Cloud App Security-Dienstes. | Keine | Nein |
TREND_MICRO_SERVICE |
Der Name des geschützten Dienstes, dessen Protokolle abgerufen werden sollen. Unterstützt kommagetrennte Werte. Mögliche Werte: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. | exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat | Nein |
TREND_MICRO_EVENT |
Der Typ des Sicherheitsereignisses, dessen Protokolle abgerufen werden sollen. Unterstützt kommagetrennte Werte. Mögliche Werte: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | Nein |
Trend Micro Vision One
Dieses Script ruft die Audit-Logs von Trend Micro Vision One ab und nimmt sie mit dem Protokolltyp TREND_MICRO_VISION_AUDIT in Google SecOps auf. Informationen zur verwendeten API finden Sie in der Audit Logs API.
Definieren Sie in der Datei .env.yml die folgenden Umgebungsvariablen.
| Variable | Beschreibung | Default | Secret |
|---|---|---|---|
TREND_MICRO_VISION_AUDIT |
Die Kundennummer der Google SecOps-Instanz. | Keine | Nein |
CHRONICLE_REGION |
Instanzregion von Chronicle (Google SecOps) | usWeitere gültige Werte: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 und southamerica-east1. |
Nein |
CHRONICLE_SERVICE_ACCOUNT |
Pfad zum Secret in Secret Manager, in dem die JSON-Datei des Chronicle-Dienstkontos (Google SecOps) gespeichert ist. | Keine | Ja |
CHRONICLE_NAMESPACE |
Der Namespace, mit dem die Chronicle-Logs (Google SecOps) gekennzeichnet sind. Informationen zu Google SecOps-Namespaces finden Sie unter Asset-Namespaces verwenden. | Keine | Nein |
POLL_INTERVAL |
Häufigkeitsintervall, in dem die Funktion ausgeführt wird, um zusätzliche Protokolldaten abzurufen (in Minuten). Diese Dauer muss mit dem Cloud Scheduler-Jobintervall übereinstimmen. | 10 | Nein |
TREND_MICRO_AUTHENTICATION_TOKEN |
Pfad zum Google Secret Manager mit der Version, in der das Authentifizierungstoken für den Trend Micro-Server gespeichert ist. | Keine | Ja |
TREND_MICRO_DOMAIN |
Trend Micro Vision One-Region, in der sich der Dienstendpunkt befindet. | Keine | Nein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten