Usa secuencias de comandos de transferencia implementadas como Cloud Run Functions
Google Security Operations proporcionó un conjunto de secuencias de comandos de transferencia, escritas en Python, que se diseñaron para implementarse como funciones de Cloud Run. Estos secuencias de comandos te permiten transferir datos desde las siguientes fuentes de registros, que se enumeran por nombre y tipo de registro.
- Armis Google SecOps Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Activity (
DUO_ACTIVITY) - Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Estas secuencias de comandos se encuentran en el repositorio de GitHub de Google SecOps.
Limitación conocida: Cuando estos secuencias de comandos se usan en un entorno sin estado, como Cloud Run Functions, es posible que no envíen todos los registros a Google SecOps porque carecen de funcionalidad de punto de control. Google SecOps probó las secuencias de comandos con el entorno de ejecución de Python 3.9.
Antes de comenzar
Lee los siguientes recursos que proporcionan información contextual y de antecedentes para que puedas usar los secuencias de comandos de transferencia de datos de Google SecOps de manera eficaz.
- Consulta Implementa Cloud Run Functions para obtener información sobre cómo implementar Cloud Run Functions desde tu máquina local.
- En Crea y accede a secretos, se explica cómo usar Secret Manager. La necesitarás para almacenar el archivo JSON de la cuenta de servicio de Google SecOps y acceder a él.
- Instala Google Cloud CLI. Lo usarás para implementar la Cloud Run Function.
- Google Cloud Documentación de Pub/Sub si planeas transferir datos desde Pub/Sub
Cómo ensamblar los archivos para un solo tipo de registro
Cada subdirectorio de GitHub de Google SecOps contiene archivos que incorporan datos para un solo tipo de registro de Google SecOps. La secuencia de comandos se conecta a un solo dispositivo fuente y, luego, envía registros sin procesar a Google SecOps a través de la API de Ingestion. Te recomendamos que implementes cada tipo de registro como una función de Cloud Run independiente. Accede a las secuencias de comandos en el repositorio de GitHub de Google SecOps. Cada subdirectorio en GitHub contiene los siguientes archivos específicos del tipo de registro que admite.
main.pyes la secuencia de comandos de transferencia específica del tipo de registro. Se conecta al dispositivo fuente y transfiere datos a Google SecOps..env.ymlalmacena la configuración que requiere la secuencia de comandos de Python y es específico de la implementación. Modifica este archivo para establecer los parámetros de configuración que requiere la secuencia de comandos de transferencia.README.mdproporciona información sobre los parámetros de configuración.Requirements.txtdefine las dependencias que requiere la secuencia de comandos de transferencia. Además, la carpetacommoncontiene funciones de utilidad de las que dependen todos los secuencias de comandos de transferencia.
Sigue estos pasos para ensamblar los archivos que transfieren datos para un solo tipo de registro:
- Crea un directorio de implementación para almacenar los archivos de la función de Cloud Run. Contendrá todos los archivos necesarios para la implementación.
- Copia todos los archivos del subdirectorio de GitHub del tipo de registro seleccionado (por ejemplo, Contexto del usuario de OneLogin) en este directorio de implementación.
- Copia la carpeta
commony todo su contenido en el directorio de implementación. El contenido del directorio se verá similar al siguiente:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Configura las secuencias de comandos
- Inicia una sesión de Cloud Shell.
- Conéctate con SSH a una VM de Google Cloud Linux. Consulta Conéctate a VMs de Linux con herramientas de Google.
Para subir los secuencias de comandos de transferencia, haz clic en Más > Subir o Descargar para mover tus archivos o carpetas hacia o desde Cloud Shell.
Los archivos y las carpetas solo se pueden subir y descargar desde el directorio principal. Para obtener más opciones para transferir archivos entre Cloud Shell y tu estación de trabajo local, consulta [Cómo subir y descargar archivos y carpetas desde Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.
Edita el archivo
.env.ymlpara la función y propaga las variables de entorno necesarias. En la siguiente tabla, se enumeran las variables de entorno de ejecución que son comunes a todos los secuencias de comandos de transferencia.Nombre de la variable Descripción Obligatorio Predeterminado Secreto CHRONICLE_CUSTOMER_IDEs el ID de cliente de Chronicle (Google SecOps). Sí Ninguno No CHRONICLE_REGIONEs la región de Chronicle (Google SecOps). Sí us
Otros valores válidos:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2ysouthamerica-east1.No CHRONICLE_SERVICE_ACCOUNTContenido del archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). Sí Ninguno Sí CHRONICLE_NAMESPACEEs el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Trabaja con espacios de nombres de activos. No Ninguno No Cada secuencia de comandos requiere variables de entorno específicas. Consulta Parámetros de configuración por tipo de registro para obtener detalles sobre las variables de entorno que requiere cada tipo de registro.
Las variables de entorno marcadas como Secret = Yes se deben configurar como secretos en Secret Manager. Consulta los precios de Secret Manager para obtener información sobre el costo de usar Secret Manager.
Consulta Crea y accede a secretos para obtener instrucciones detalladas.
Después de crear los secretos en Secret Manager, usa el nombre del recurso secreto como el valor de las variables de entorno. Por ejemplo, projects/{project_id}/secrets/{secret_id}/versions/{version_id}, donde {project_id}, {secret_id} y {version_id} son específicos de tu entorno.
Configura un programador o un activador
Todas las secuencias de comandos, excepto Pub/Sub, se implementan para recopilar los datos en intervalos periódicos desde un dispositivo fuente. Debes configurar un activador con Cloud Scheduler para recuperar datos con el tiempo. La secuencia de comandos de transferencia de Pub/Sub supervisa continuamente la suscripción a Pub/Sub. Para obtener más información, consulta Cómo ejecutar servicios de forma programada y Cómo usar Pub/Sub para activar una función de Cloud Run.
Implementa la Cloud Run function
- Inicia una sesión de Cloud Shell.
- Conéctate a una VM de Linux Google Cloud a través de SSH. Consulta Conéctate a VM de Linux con herramientas de Google.
- Cambia al directorio en el que copiaste las secuencias de comandos de transferencia.
Ejecuta el siguiente comando para implementar la función de Cloud Run.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlReemplaza
<FUNCTION_NAME>por el nombre que definas para la función de Cloud Run.Reemplaza
<SERVICE_ACCOUNT_EMAIL>por la dirección de correo electrónico de la cuenta de servicio que deseas que use tu función de Cloud Run.Si no cambias el directorio a la ubicación de los archivos, asegúrate de usar la opción
--sourcepara especificar la ubicación de las secuencias de comandos de implementación.La cuenta de servicio que ejecuta tu función de Cloud Run debe tener los roles de Invocador de Cloud Functions (
roles/cloudfunctions.invoker) y Secret Manager Secret Accessor (roles/secretmanager.secretAccessor).
Cómo ver los registros del entorno de ejecución
Las secuencias de comandos de transferencia imprimen mensajes de tiempo de ejecución en stdout. Cloud Run Functions proporciona un mecanismo para ver los mensajes de registro.
Parámetros de configuración por tipo de registro
Integración de Armis Google SecOps
Esta secuencia de comandos recopila los datos con llamadas a la API de la plataforma de Armis para diferentes tipos de eventos, como alertas, actividades, dispositivos y vulnerabilidades. Los datos recopilados se transfieren a Google SecOps y se analizan con los analizadores correspondientes.
Flujo de la secuencia de comandos
A continuación, se muestra el flujo de la secuencia de comandos:
Verifica las variables de entorno.
Implementa el script en Cloud Run Functions.
Recopila datos con la secuencia de comandos de transferencia.
Transfiere los datos recopilados a Google SecOps.
Analiza los datos recopilados a través de los analizadores correspondientes en Google SecOps.
Usar una secuencia de comandos para recopilar e transferir datos a Google SecOps
Verifica las variables de entorno.
Variable Descripción Obligatorio Valor predeterminado Secreto CHRONICLE_CUSTOMER_IDEs el ID de cliente de Chronicle (Google SecOps). Sí - No CHRONICLE_REGIONEs la región de Chronicle (Google SecOps). Sí EE.UU. Sí CHRONICLE_SERVICE_ACCOUNTContenido del archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). Sí - Sí CHRONICLE_NAMESPACEEs el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). No - No POLL_INTERVALIntervalo de frecuencia en el que se ejecuta la función para obtener información Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. Sí 10 No ARMIS_SERVER_URLEs la URL del servidor de la plataforma de Armis. Sí - No ARMIS_API_SECRET_KEYEs la clave secreta necesaria para la autenticación. Sí - Sí HTTPS_PROXYEs la URL del servidor proxy. No - No CHRONICLE_DATA_TYPETipo de datos de Chronicle (Google SecOps) para enviar datos a Google SecOps. Sí - No Configura el directorio.
Crea un directorio nuevo para la implementación de Cloud Run Functions y agrégale un directorio
commony el contenido de la secuencia de comandos de transferencia (armis).Configura las variables de entorno de ejecución requeridas.
Define las variables de entorno necesarias en el archivo
.env.yml.Usa Secrets.
Las variables de entorno marcadas como secretas se deben configurar como secretos en Secret Manager. Para obtener más información sobre cómo crear secretos, consulta Crea un secreto.
Después de crear los secretos en Secret Manager, usa el nombre del recurso del secreto como el valor de las variables de entorno. Por ejemplo:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Configura el espacio de nombres.
Establece la variable de entorno
CHRONICLE_NAMESPACEpara configurar el espacio de nombres. Los registros de Chronicle (Google SecOps) se transfieren al espacio de nombres.Implementa las Cloud Run Functions.
Ejecuta el siguiente comando desde el directorio creado anteriormente para implementar la Cloud Function:
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlEspecificaciones predeterminadas de Cloud Run Functions
Variable Valor predeterminado Descripción Memoria 256 MB Ninguno Ninguno Timedout 60 segundos Ninguno Ninguno Región us-central1 Ninguno Ninguno Cantidad mínima de instancias 0 Ninguno Ninguno Cantidad máxima de instancias 100 Ninguno Ninguno Para obtener más información sobre cómo configurar estas variables, consulta Configura Cloud Run Functions.
Recupera datos históricos.
Para recuperar datos históricos y seguir recopilando datos en tiempo real, haz lo siguiente:
- Configura la variable de entorno
POLL_INTERVALen minutos para los que se deben recuperar los datos históricos. - Activa la función con un programador o de forma manual ejecutando el comando en Google Cloud CLI después de configurar las funciones de Cloud Run.
- Configura la variable de entorno
Aruba Central
Esta secuencia de comandos recupera los registros de auditoría de la plataforma de Aruba Central y los transfiere a Google SecOps con el tipo de registro ARUBA_CENTRAL. Para obtener información sobre cómo se puede usar la biblioteca, consulta el SDK de Python de pycentral.
Define las siguientes variables de entorno en el archivo .env.yml.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Chronicle (Google SecOps), consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 10 | No |
ARUBA_CLIENT_ID |
Es el ID de cliente de la puerta de enlace de la API de Aruba Central. | Ninguno | No |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Es el secreto del cliente de la puerta de enlace de la API de Aruba Central. | Ninguno | Sí |
ARUBA_USERNAME |
Nombre de usuario de la plataforma de Aruba Central. | Ninguno | No |
ARUBA_PASSWORD_SECRET_PATH |
Contraseña de la plataforma de Aruba Central. | Ninguno | Sí |
ARUBA_BASE_URL |
Es la URL base de la puerta de enlace de la API de Aruba Central. | Ninguno | No |
ARUBA_CUSTOMER_ID |
Es el ID de cliente de la plataforma de Aruba Central. | Ninguno | No |
Azure Event Hub
A diferencia de otros scripts de transferencia, este usa funciones de Azure para recuperar eventos de Azure Event Hub. Una función de Azure se activa cada vez que se agrega un evento nuevo a un bucket, y cada evento se incorpora gradualmente a Google SecOps.
Pasos para implementar Azure Functions:
- Descarga el archivo del conector de datos llamado
Azure_eventhub_API_function_app.jsondel repositorio. - Accede al portal de Microsoft Azure.
- Navega a Microsoft Sentinel > Selecciona tu espacio de trabajo en la lista > Selecciona Conector de datos en la sección de configuración y haz lo siguiente:
- Establece la siguiente marca como verdadera en la URL:
feature.BringYourOwnConnector=true. Por ejemplo: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Busca el botón importar en la página y, luego, importa el archivo del conector de datos que descargaste en el paso 1.
- Establece la siguiente marca como verdadera en la URL:
- Haz clic en el botón Implementar en Azure para implementar tu función y sigue los pasos que se mencionan en la misma página.
- Selecciona la Suscripción, el Grupo de recursos y la Ubicación que prefieras, y proporciona los valores requeridos.
- Haz clic en Revisar y crear.
- Haz clic en Crear para realizar la implementación.
Box
Esta secuencia de comandos obtiene detalles sobre los eventos que ocurren en Box y los incorpora a Google SecOps con el tipo de registro BOX. Los datos proporcionan estadísticas sobre las operaciones de CRUD en objetos del entorno de Box. Para obtener información sobre los eventos de Box, consulta la API de eventos de Box.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener más información sobre el ID de cliente, el secreto de cliente y el ID de asunto de Box, consulta Client Credentials Grant.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
BOX_CLIENT_ID |
Es el ID de cliente de la plataforma de Box, disponible en la consola para desarrolladores de Box. | Ninguno | No |
BOX_CLIENT_SECRET |
Ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la plataforma de Box que se usa para la autenticación. | Ninguno | Sí |
BOX_SUBJECT_ID |
ID de usuario o ID de la empresa de Box | Ninguno | No |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Trabaja con espacios de nombres de activos. | Ninguno | No |
Registros de auditoría de Citrix Cloud
Esta secuencia de comandos recopila los registros de auditoría de Citrix Cloud y los transfiere a Google SecOps con el tipo de registro CITRIX_MONITOR. Estos registros ayudan a identificar las actividades realizadas en el entorno de Citrix Cloud, ya que proporcionan información sobre qué cambió, quién lo cambió, cuándo se cambió, etcétera. Para obtener más información, consulta la API de Citrix Cloud SystemLog.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener información sobre los IDs y los secretos de cliente de Citrix, consulta Cómo comenzar a usar las APIs de Citrix.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
CITRIX_CLIENT_ID |
ID de cliente de la API de Citrix. | Ninguno | No |
CITRIX_CLIENT_SECRET |
Es la ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la API de Citrix que se usa para la autenticación. | Ninguno | Sí |
CITRIX_CUSTOMER_ID |
Es el ID de cliente de Citrix. | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia en el que se recopilan datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 30 | No |
URL_DOMAIN |
Es el extremo de Citrix Cloud. | Ninguno | No |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Chronicle (Google SecOps), consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
Metadatos de la sesión de Citrix
Esta secuencia de comandos recopila metadatos de sesiones de Citrix de entornos de Citrix y los transfiere a Google SecOps con el tipo de registro CITRIX_MONITOR. Los datos incluyen login details del usuario, duración de la sesión, hora de creación de la sesión, hora de finalización de la sesión y otros metadatos relacionados con la sesión. Para obtener más información, consulta la API de Citrix Monitor Service.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener información sobre los IDs y los secretos de cliente de Citrix, consulta Cómo comenzar a usar las APIs de Citrix.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
URL_DOMAIN |
Es el dominio de la URL de Citrix. | Ninguno | No |
CITRIX_CLIENT_ID |
ID de cliente de Citrix. | Ninguno | No |
CITRIX_CLIENT_SECRET |
Ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de Citrix que se usa para la autenticación. | Ninguno | Sí |
CITRIX_CUSTOMER_ID |
ID de cliente de Citrix. | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 30 | No |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Trabaja con espacios de nombres de activos. | Ninguno | No |
Cloud Storage
Esta secuencia de comandos recupera los registros del sistema de Cloud Storage y los transfiere a Google SecOps con un valor configurable para el tipo de registro. Para obtener más información, consulta la biblioteca cliente de Python deGoogle Cloud .
Define las siguientes variables de entorno en el archivo .env.yml. Google Cloudtiene registros relevantes para la seguridad de los que algunos tipos de registros no se pueden exportar directamente a Google SecOps. Para obtener más información, consulta Análisis de registros de seguridad.
| Variable | Descripción | Predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 60 | No |
GCS_BUCKET_NAME |
Nombre del bucket de Cloud Storage desde el que se recuperarán los datos. | Ninguno | No |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio Google Cloud . | Ninguno | Sí |
CHRONICLE_DATA_TYPE |
Es el tipo de registro para enviar datos a la instancia de Chronicle (Google SecOps). | Ninguno | No |
Actividad en Duo
Esta secuencia de comandos recupera los registros de actividad de Duo del administrador de Duo y los transfiere a Google SecOps con el tipo de registro DUO_ACTIVITY. Para obtener más información, consulta la API de Duo Admin.
Define las siguientes variables de entorno en el archivo .env.yml.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1,
asia-southeast1, australia-southeast1, europe,
europe-west2, europe-west3, europe-west6,
europe-west12, me-central1, me-central2,
me-west1 y northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
BACKSTORY_API_V1_URL |
Es la ruta de URL de la API de Duo Security. Para obtener más información sobre cómo descargar el archivo JSON que contiene la clave de integración de la API de Duo Admin, consulta la documentación de Duo Admin. | Ninguno | Sí |
DUO_SECRET_KEY |
Es la clave secreta de DUO que se requiere para recuperar registros de la API de DUO. Consulta la documentación del administrador de Duo para obtener instrucciones sobre cómo descargar el archivo JSON que contiene la clave de integración de la API de Duo Admin, la clave secreta de la API de Duo Admin y el nombre de host de la API de Duo Admin. |
Ninguno | Sí |
DUO_INTEGRATION_KEY |
Es la clave de integración de DUO necesaria para recuperar registros de la API de DUO. Consulta la documentación del administrador de Duo para obtener instrucciones sobre cómo descargar el archivo JSON que contiene la clave de integración de la API del administrador de Duo, la clave secreta de la API del administrador de Duo y el nombre de host de la API del administrador de Duo. |
Ninguno | Sí |
LOG_FETCH_DURATION |
Es la duración durante la que se recuperan los registros. | 1 | No |
CHECKPOINT_FILE_PATH |
Es la ruta del archivo en el que se almacena la marca de tiempo del punto de control del último registro transferido. | checkpoint.json |
No |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Trabaja con espacios de nombres de activos. | Ninguno | No |
Administrador de Duo
La secuencia de comandos obtiene eventos del administrador de Duo relacionados con las operaciones CRUD realizadas en varios objetos, como la cuenta de usuario y la seguridad. Los eventos se transfieren a Google SecOps con el tipo de registro DUO_ADMIN. Para obtener más información, consulta la API de Duo Admin.
Define las siguientes variables de entorno en el archivo .env.yml.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | Ninguno | No |
DUO_API_DETAILS |
Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de Duo. Contiene la clave de integración de la API de Duo Admin, la clave secreta de la API de Duo Admin y el nombre de host de la API de Duo Admin. Por ejemplo:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Consulta la documentación del administrador de Duo para obtener instrucciones sobre cómo descargar el archivo JSON. |
Ninguno | Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Trabaja con espacios de nombres de activos. | Ninguno | No |
MISP
Este script recupera información sobre relaciones de amenazas de MISP, una plataforma de código abierto para compartir y obtener inteligencia sobre amenazas, y la transfiere a Google SecOps con el tipo de registro MISP_IOC. Para obtener más información, consulta la API de eventos de MISP.
Define las siguientes variables de entorno en el archivo .env.yml.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
ORG_NAME |
Es el nombre de la organización para filtrar eventos. | Ninguno | No |
API_KEY |
Ruta de acceso al secreto en Secret Manager que almacena la clave de API para la autenticación utilizada. | Ninguno | Sí |
TARGET_SERVER |
Es la dirección IP de la instancia de MISP que creaste. | Ninguno | No |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Trabaja con espacios de nombres de activos. | Ninguno | No |
Eventos de OneLogin
Esta secuencia de comandos obtiene eventos de un entorno de OneLogin y los transfiere a Google SecOps con el tipo de registro ONELOGIN_SSO. Estos eventos proporcionan información, como las operaciones en las cuentas de usuario. Para obtener más información, consulta la API de eventos de OneLogin.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener información sobre los IDs de cliente y los secretos de cliente de OneLogin, consulta Cómo trabajar con credenciales de API.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
CLIENT_ID |
Es el ID de cliente de la plataforma de OneLogin. | Ninguno | No |
CLIENT_SECRET |
Ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la plataforma de OneLogin que se usa para la autenticación. | Ninguno | Sí |
TOKEN_ENDPOINT |
Es la URL para solicitar un token de acceso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Trabaja con espacios de nombres de activos. | Ninguno | No |
Contexto del usuario de OneLogin
Este lenguaje de secuencias de comandos obtiene datos relacionados con las cuentas de usuario de un entorno de OneLogin y los transfiere a Google SecOps con el tipo de registro ONELOGIN_USER_CONTEXT.
Para obtener más información, consulta la API de usuarios de OneLogin.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener información sobre los IDs de cliente y los secretos de cliente de OneLogin, consulta Cómo trabajar con credenciales de API.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID de cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 30 | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
CLIENT_ID |
Es el ID de cliente de la plataforma de OneLogin. | Ninguno | No |
CLIENT_SECRET |
Ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la plataforma de OneLogin que se usa para la autenticación. | Ninguno | Sí |
TOKEN_ENDPOINT |
Es la URL para solicitar un token de acceso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Trabaja con espacios de nombres de activos. | Ninguno | No |
Proofpoint
Esta secuencia de comandos recupera datos sobre los usuarios que son objetivo de ataques de una organización en particular dentro de un período determinado y los transfiere a Google SecOps. Para obtener información sobre la API que se usa, consulta la API de People.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener detalles sobre cómo obtener la entidad de servicio de Proofpoint y el secreto de Proofpoint, consulta la guía de configuración para proporcionar credenciales de TAP de Proofpoint a Arctic Wolf.
| Variable | Descripción | Predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 360 | No |
CHRONICLE_DATA_TYPE |
Es el tipo de registro para enviar datos a la instancia de Chronicle (Google SecOps). | Ninguno | No |
PROOFPOINT_SERVER_URL |
Es la URL base de la puerta de enlace de la API del servidor de Proofpoint. | Ninguno | No |
PROOFPOINT_SERVICE_PRINCIPLE |
Nombre de usuario de la plataforma de Proofpoint. Por lo general, es la entidad de servicio. | Ninguno | No |
PROOFPOINT_SECRET |
Ruta de acceso de Secret Manager con la versión en la que se almacena la contraseña de la plataforma de Proofpoint. | Ninguno | Sí |
PROOFPOINT_RETRIEVAL_RANGE |
Número que indica desde cuántos días se deben recuperar los datos. Los valores aceptados son 14, 30 y 90. | Ninguno | No |
Pub/Sub
Esta secuencia de comandos recopila mensajes de suscripciones a Pub/Sub y los transfiere a Google SecOps. Supervisa continuamente la puerta de enlace de suscripciones y procesa los mensajes más recientes cuando aparecen. Para obtener más información, consulta los siguientes documentos:
Esta secuencia de comandos de transferencia requiere que configures variables en el archivo .env.yml y en el trabajo de Cloud Scheduler.
Define las siguientes variables de entorno en el archivo
.env.yml.Nombre de la variable Descripción Valor predeterminado Secreto CHRONICLE_CUSTOMER_IDEs el ID del cliente de la instancia de Chronicle (Google SecOps). Ninguno No CHRONICLE_REGIONRegión de la instancia de Chronicle (Google SecOps). us
Otros valores válidos:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2ysouthamerica-east1.No CHRONICLE_SERVICE_ACCOUNTRuta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). Ninguno Sí CHRONICLE_NAMESPACEEs el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Trabaja con espacios de nombres de activos. Ninguno No Establece las siguientes variables en el campo Cuerpo del mensaje de Cloud Scheduler como una cadena con formato JSON. Consulta cómo crear Cloud Scheduler para obtener más información sobre el campo Cuerpo del mensaje.
Nombre de la variable Descripción Valor predeterminado Secreto PROJECT_IDID del proyecto de Pub/Sub. Consulta Crea y administra proyectos para obtener información sobre el ID del proyecto. Ninguno No SUBSCRIPTION_IDEs el ID de la suscripción a Pub/Sub. Ninguno No CHRONICLE_DATA_TYPEEs la etiqueta de transferencia para el tipo de registro que se proporciona cuando se envían datos a Chronicle (Google SecOps). Consulta Analizadores predeterminados admitidos para obtener una lista de los tipos de registros admitidos. Ninguno No Este es un ejemplo de una cadena con formato JSON para el campo Cuerpo del mensaje.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Registros de auditoría de Slack
Esta secuencia de comandos obtiene registros de auditoría de una organización de Slack Enterprise Grid y los transfiere a Google SecOps con el tipo de registro SLACK_AUDIT. Para obtener más información, consulta la API de registros de auditoría de Slack.
Define las siguientes variables de entorno en el archivo .env.yml.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID de cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 5 | No |
SLACK_ADMIN_TOKEN |
Es la ruta de acceso al secreto en Secret Manager que almacena el token de autenticación de Slack. |
Ninguno |
Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Trabaja con espacios de nombres de activos. | Ninguno | No |
STIX/TAXII
Esta secuencia de comandos extrae indicadores del servidor STIX/TAXII y los transfiere a Google SecOps. Para obtener más información, consulta la documentación de la API de STIX/TAXII.
Define las siguientes variables de entorno en el archivo .env.yml.
| Nombre de la variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
POLL_INTERVAL |
Intervalo de frecuencia (en minutos) con el que se ejecuta la función. Esta duración debe ser la misma que la del trabajo de Cloud Scheduler. | 60 | No |
TAXII_VERSION |
Es la versión de STIX/TAXII que se usará. Las opciones posibles son 1.1, 2.0 y 2.1. | Ninguno | No |
TAXII_DISCOVERY_URL |
Es la URL de Discovery del servidor de TAXII. | Ninguno | No |
TAXII_COLLECTION_NAMES |
Colecciones (CSV) desde las que se recuperarán los datos. Déjalo vacío para recuperar datos de todas las colecciones. | Ninguno | No |
TAXII_USERNAME |
Nombre de usuario requerido para la autenticación, si corresponde. | Ninguno | No |
TAXII_PASSWORD_SECRET_PATH |
Contraseña requerida para la autenticación, si corresponde. | Ninguno | Sí |
Tenable.io
Esta secuencia de comandos recupera datos de recursos y vulnerabilidades de la plataforma de Tenable.io y los transfiere a Google SecOps con el tipo de registro TENABLE_IO. Para obtener información sobre la biblioteca utilizada, consulta el SDK de pyTenable para Python.
Define las siguientes variables de entorno en el archivo .env.yml. Para obtener detalles sobre los datos de activos y vulnerabilidades, consulta la API de Tenable.io: Exportar activos y Exportar vulnerabilidades.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 360 | No |
TENABLE_ACCESS_KEY |
Es la clave de acceso que se usa para la autenticación. | Ninguno | No |
TENABLE_SECRET_KEY_PATH |
Ruta de acceso de Google Secret Manager con la versión en la que se almacena la contraseña del servidor de Tenable. | Ninguno | Sí |
TENABLE_DATA_TYPE |
Es el tipo de datos que se transferirán a Google SecOps. Valores posibles: ASSETS, VULNERABILITIES. | RECURSOS Y VULNERABILIDADES | No |
TENABLE_VULNERABILITY |
Es el estado de las vulnerabilidades que deseas incluir en la exportación. Los valores posibles son `OPEN`, `REOPENED` y `FIXED`. | ABIERTA, REABIERTA | No |
Trend Micro Cloud App Security
Esta secuencia de comandos recupera los registros de seguridad de la plataforma de Trend Micro y los transfiere a Google SecOps. Para obtener información sobre la API que se usa, consulta la API de registros de seguridad.
Define las siguientes variables de entorno en el archivo .env.yml.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Es el ID del cliente de la instancia de Chronicle (Google SecOps). | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 10 | No |
CHRONICLE_DATA_TYPE |
Es el tipo de registro para enviar datos a la instancia de Chronicle (Google SecOps). | Ninguno | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Ruta de acceso de Google Secret Manager con la versión en la que se almacena el token de autenticación para el servidor de Trend Micro. | Ninguno | Sí |
TREND_MICRO_SERVICE_URL |
Es la URL del servicio de Cloud App Security. | Ninguno | No |
TREND_MICRO_SERVICE |
Es el nombre del servicio protegido cuyos registros se recuperarán. Admite valores separados por comas. Valores posibles: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. | exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat | No |
TREND_MICRO_EVENT |
Es el tipo de evento de seguridad cuyos registros se recuperarán. Admite valores separados por comas. Valores posibles: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | No |
Trend Micro Vision One
Esta secuencia de comandos recupera los registros de auditoría de Trend Micro Vision One y los transfiere a Google SecOps con el tipo de registro TREND_MICRO_VISION_AUDIT. Para obtener información sobre la API utilizada, consulta la API de registros de auditoría.
Define las siguientes variables de entorno en el archivo .env.yml.
| Variable | Descripción | Valor predeterminado | Secreto |
|---|---|---|---|
TREND_MICRO_VISION_AUDIT |
Es el ID de cliente de la instancia de Google SecOps. | Ninguno | No |
CHRONICLE_REGION |
Región de la instancia de Chronicle (Google SecOps). | usOtros valores válidos: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 y southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Chronicle (Google SecOps). | Ninguno | Sí |
CHRONICLE_NAMESPACE |
Es el espacio de nombres con el que se etiquetan los registros de Chronicle (Google SecOps). Para obtener información sobre los espacios de nombres de Google SecOps, consulta Cómo trabajar con espacios de nombres de activos. | Ninguno | No |
POLL_INTERVAL |
Intervalo de frecuencia con el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo del trabajo de Cloud Scheduler. | 10 | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Ruta de acceso de Google Secret Manager con la versión en la que se almacena el token de autenticación para el servidor de Trend Micro. | Ninguno | Sí |
TREND_MICRO_DOMAIN |
Región de Trend Micro Vision One en la que se encuentra el extremo del servicio. | Ninguno | No |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.