Se usó la API de Cloud Translation para traducir esta página.

Usa secuencias de comandos de transferencia implementadas como funciones de Cloud Run

Compatible con:

SecOps de Google SIEM .

Google Security Operations proporcionó un conjunto de secuencias de comandos de transferencia, escritas en Python, para implementarse como funciones de Cloud Run. Estas secuencias de comandos te para transferir datos de las siguientes fuentes de registros, enumeradas por nombre y tipo de registro.

Armis Google Security Operations Integration
Aruba Central (ARUBA_CENTRAL)
Azure Event Hub (configurable log type)
Box (BOX)
Citrix Cloud audit logs (CITRIX_MONITOR)
Citrix session metadata (CITRIX_SESSION_METADATA)
Cloud Storage (configurable log type)
Duo Admin (DUO_ADMIN)
MISP (MISP_IOC)
OneLogin (ONELOGIN_SSO)
OneLogin user context (ONELOGIN_USER_CONTEXT)
Proofpoint (configurable log type)
Pub/Sub (configurable log type)
Slack audit logs (SLACK_AUDIT)
STIX/TAXII threat intelligence (STIX)
Tenable.io (TENABLE_IO)
Trend Micro Cloud App Security (configurable log type)
Trend Micro Vision One audit logs (TREND_MICRO_VISION_AUDIT)

Estas secuencias de comandos se encuentran en el repositorio de GitHub de Google Security Operations.

Limitación conocida: cuando estas secuencias de comandos se usan en una zona sin estado entorno como Cloud Run Functions, es posible que no envíen todos los registros a Google Security Operations porque carece de la funcionalidad de punto de control. Google Security Operations ha probado las secuencias de comandos con el estándar Python 3.9 entorno de ejecución.

Antes de comenzar

Lee los siguientes recursos que proporcionan contexto y antecedentes que te permiten usar las secuencias de comandos de transferencia de Google Security Operations de manera eficaz.

Implementa funciones de Cloud Run para para implementar funciones de Cloud Run desde tu máquina local.
Crea secretos y accede a ellos se explica cómo usar Secret Manager. La necesitarás para almacenar y acceder al archivo JSON de la cuenta de servicio de Google Security Operations.
Instala Google Cloud CLI. La usarás para implementar la función de Cloud Run.
Documentación de Google Cloud Pub/Sub, si planeas transferir datos de Pub/Sub.

Reúne los archivos para un solo tipo de registro

Cada subdirectorio de Google Security Operations GitHub contiene archivos que transferir datos para un solo tipo de registro de Google Security Operations. La secuencia de comandos se conecta a un de origen único y envía registros sin procesar a Google Security Operations mediante el Transferencia de datos. Recomendamos que implementes cada tipo de registro como un Cloud Run. Accede a las secuencias de comandos en el GitHub de Google Security Operations en un repositorio de confianza. Cada subdirectorio en GitHub contiene los siguientes archivos específicos al tipo de registro que transfiere.

main.py es la secuencia de comandos de transferencia específica del tipo de registro. Se conecta al dispositivo de origen y transfiere datos a Google Security Operations.
.env.yml almacena la configuración que requiere la secuencia de comandos de Python y es específicas de la implementación. Modificas este archivo para establecer según los parámetros requeridos por la secuencia de comandos de transferencia.
README.md proporciona información sobre los parámetros de configuración.
Requirements.txt define las dependencias que requiere la transferencia. secuencia de comandos. Además, la carpeta common contiene funciones de utilidad que todas de las secuencias de comandos de transferencia.

Realiza los siguientes pasos para organizar los archivos que transfieren datos tipo de registro:

Crea un directorio de implementación para almacenar los archivos de la función de Cloud Run. Contiene todos los archivos necesarios para la implementación.
Copia todos los archivos del subdirectorio de GitHub del tipo de registro seleccionado, por ejemplo, OneLogin User Context, a este directorio de implementación.
Copia la carpeta common y todo su contenido en el directorio de implementación.

El contenido del directorio se verá similar al siguiente:

one_login_user
├─common
│  ├─__init__.py
│  ├─auth.py
│  ├─env_constants.py
│  ├─ingest.py
│  ├─status.py
│  └─utils.py
├─env.yml
├─main.py
└─requirements.txt

Configura las secuencias de comandos

Iniciar una sesión de Cloud Shell
Conéctate con SSH a una VM de Linux de Google Cloud. Consulta Conéctate a VMs de Linux con Herramientas de Google.
Sube las secuencias de comandos de transferencia haciendo clic en Más > Subir o Descargar para mover tus archivos o carpetas desde o hacia Cloud Shell.

Solo puedes subir y descargar archivos y carpetas desde el directorio principal. Para obtener más opciones para transferir archivos entre Cloud Shell y tu estación de trabajo local, consulta [Sube y descarga archivos y carpetas desde Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.

Edita el archivo .env.yml de la función y propaga los datos necesarios variables de entorno. En la siguiente tabla, se enumeran los entornos de ejecución variables comunes a todas las secuencias de comandos de transferencia.

Nombre de la variable	Descripción	Obligatorio	Predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de Google Security Operations.	Sí	Ninguno	No
`CHRONICLE_REGION`	región de Google Security Operations.	Sí	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Contenido del archivo JSON de la cuenta de servicio de Operaciones de seguridad de Google	Sí	Ninguno	Sí
`CHRONICLE_NAMESPACE`	Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations; consulta Trabaja con espacios de nombres de recursos.	No	Ninguno	No

Cada secuencia de comandos requiere variables de entorno específicas para ella. Consulta Parámetros de configuración por registro tipo para obtener detalles sobre las variables de entorno que requiere cada tipo de registro.

Las variables de entorno marcadas como Secret = Yes se deben configurar como secretos en Secret Manager. Consulta Secret Manager precios para obtener información sobre el costo de uso Secret Manager.

Consulta Cómo crear secretos y acceder a ellos para obtener instrucciones detalladas.

Después de crear los secretos en Secret Manager, usa el nombre del recurso secreto como el valor de las variables de entorno. Por ejemplo: projects/{project_id}/secrets/{secret_id}/versions/{version_id}, donde {project_id}, {secret_id} y {version_id} son específicos de tu en un entorno de nube.

Configura un programador o activador

Todas las secuencias de comandos, excepto Pub/Sub, se implementan para recopilar datos en intervalos periódicos desde un dispositivo de origen. Debes configurar un activador con Cloud Scheduler para recuperar datos a lo largo del tiempo. La secuencia de comandos de transferencia de Pub/Sub supervisa de forma continua la suscripción a Pub/Sub. Para obtener más información, consulta Ejecuta servicios de manera programada y Usa Pub/Sub para activar una función de Cloud Run.

Implementa la función de Cloud Run

Iniciar una sesión de Cloud Shell
Conéctate a través de SSH a una VM de Google Cloud Linux. Consulta Conéctate a VMs de Linux con herramientas de Google.
Cambia al directorio en el que copiaste las secuencias de comandos de transferencia.
Ejecuta el siguiente comando para implementar la función de Cloud Run.

gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml

Reemplaza <FUNCTION_NAME> por el nombre que definas para el elemento. Cloud Run.

Reemplaza <SERVICE_ACCOUNT_EMAIL> por la dirección de correo electrónico del servicio. de servicio que quieres que use tu función de Cloud Run. de servicio que quieres que use tu función de Cloud Run.

Si no cambias el directorio a la ubicación de los archivos, realiza asegúrate de usar la opción --source para especificar la ubicación del secuencias de comandos de implementación.

La cuenta de servicio que ejecuta tu función de Cloud Run debe tener la Invocador de Cloud Functions (roles/cloudfunctions.invoker) y administrador de acceso a secretos de Secret Manager (roles/secretmanager.secretAccessor) roles de seguridad.

Ver registros del entorno de ejecución

Las secuencias de comandos de transferencia imprimen mensajes del entorno de ejecución en stdout. Las funciones de Cloud Run proporcionan un mecanismo para ver los mensajes de registro. Para obtener más información, consulta el curso Funciones de información sobre cómo ver el entorno de ejecución registros.

Parámetros de configuración por tipo de registro

Integración de Armis en Google Security Operations

Esta secuencia de comandos recopila los datos usando llamadas a la API de la plataforma Armis para diferentes tipos de eventos como alertas, actividades, dispositivos y vulnerabilidades. Los datos recopilados se transfieren a Google Security Operations y los analizan los analizadores correspondientes.

Flujo de la secuencia de comandos

A continuación, se muestra el flujo de la secuencia de comandos:

Verifica las variables de entorno.
Implementa la secuencia de comandos en las funciones de Cloud Run.
Recopilar datos con la secuencia de comandos de transferencia
Transfiere los datos recopilados a Google Security Operations.
Analizar los datos recopilados a través de los analizadores correspondientes en Google Security Operations.

Usa una secuencia de comandos para recopilar y transferir datos a Google Security Operations

Verifica las variables de entorno.

Variable	Descripción	Obligatorio	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de Google Security Operations.	Sí	-	No
`CHRONICLE_REGION`	región de Google Security Operations.	Sí	EE.UU.	Sí
`CHRONICLE_SERVICE_ACCOUNT`	Contenido del archivo JSON de la cuenta de servicio de Google Security Operations.	Sí	-	Sí
`CHRONICLE_NAMESPACE`	El espacio de nombres con el que están etiquetados los registros de Google Security Operations.	No	-	No
`POLL_INTERVAL`	Intervalo de frecuencia en el que se ejecuta la función para obtener	Intervalo de frecuencia en el que se ejecuta la función para obtener de registro (en minutos). Esta duración debe ser la misma que el intervalo de trabajos de Cloud Scheduler.	Sí	10	No
`ARMIS_SERVER_URL`	URL del servidor de la plataforma Armis.	Sí	-	No
`ARMIS_API_SECRET_KEY`	Se requiere una clave secreta para la autenticación.	Sí	-	Sí
`HTTPS_PROXY`	URL del servidor proxy.	No	-	No
`CHRONICLE_DATA_TYPE`	Tipo de datos de Google Security Operations para enviar datos a Google Security Operations.	Sí	-	No

Configura el directorio.

Crea un directorio nuevo para la implementación de funciones de Cloud Run y agrégale un directorio common y el contenido de la secuencia de comandos de transferencia (armis).
Configura las variables de entorno de ejecución requeridas.

Define las variables de entorno necesarias en el archivo .env.yml.
Usa Secrets.

Las variables de entorno marcadas como secretas se deben configurar como secretos en Secret Manager. Si quieres obtener más información para crear secretos, consulta Crea un secreto.

Después de crear los secretos en Secret Manager, usa el nombre del recurso del secreto como el valor de las variables de entorno. Por ejemplo:

CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}
Configura el espacio de nombres.

Establece la variable de entorno CHRONICLE_NAMESPACE para configurar el espacio de nombres. Los registros de Google Security Operations se transfieren al espacio de nombres.
Implementar las funciones de Cloud Run

Ejecuta el siguiente comando desde el directorio creado anteriormente para implementar la función de Cloud. gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.yml

Especificaciones predeterminadas de las funciones de Cloud Run

Variable	Valor predeterminado	Descripción
Memoria	256 MB	Ninguno	Ninguno
Tiempo de espera agotado	60 segundos	Ninguno	Ninguno
Región	us-central1	Ninguno	Ninguno
Cantidad mínima de instancias	0	Ninguno	Ninguno
Cantidad máxima de instancias	100	Ninguno	Ninguno

Para obtener más información sobre cómo configurar estas variables, consulta Cómo configurar funciones de Cloud Run.

Recupera datos históricos.

Para recuperar datos históricos y seguir recopilando datos en tiempo real, haz lo siguiente:
1. Configura la variable de entorno POLL_INTERVAL en minutos para recuperar los datos históricos.
2. Activa la función con un programador o de forma manual ejecutando el comando en Google Cloud CLI después de configurar las funciones de Cloud Run.

Aruba Central

Esta secuencia de comandos recupera registros de auditoría de la plataforma central de Aruba y los transfiere en Google Security Operations con el tipo de registro ARUBA_CENTRAL. Para obtener información sobre cómo puede usarse la biblioteca, consulta la documentación de pycentral de Python SDK.

Define las siguientes variables de entorno en el archivo .env.yml.

Variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el Archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`CHRONICLE_NAMESPACE`	Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations; consulta Trabaja con espacios de nombres de recursos.	Ninguno	No
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler.	10	No
`ARUBA_CLIENT_ID`	ID de cliente de la puerta de enlace de la API de Aruba Central.	Ninguno	No
`ARUBA_CLIENT_SECRET_SECRET_PATH`	Secreto del cliente de la puerta de enlace de la API de Aruba Central.	Ninguno	Sí
`ARUBA_USERNAME`	Nombre de usuario de la plataforma Aruba Central.	Ninguno	No
`ARUBA_PASSWORD_SECRET_PATH`	Contraseña de la plataforma de Aruba Central.	Ninguno	Sí
`ARUBA_BASE_URL`	URL base de la puerta de enlace de la API de Aruba Central.	Ninguno	No
`ARUBA_CUSTOMER_ID`	ID de cliente de la plataforma Aruba Central.	Ninguno	No

Azure Event Hub

A diferencia de otras secuencias de comandos de transferencia, esta usa funciones de Azure para recuperar eventos de Azure Event Hub. Una función de Azure se activa automáticamente cada vez que se produce un evento nuevo. se agregan a un bucket, y cada evento se transfiere Google Security Operations.

Pasos para implementar funciones de Azure:

Descarga el archivo del conector de datos llamado Azure_eventhub_API_function_app.json del repositorio.
Accede al portal de Microsoft Azure.
Navega a Microsoft Sentinel > Selecciona tu lugar de trabajo de la lista > Selecciona Data Connector en la sección de configuración y haz lo siguiente:
- Configura la siguiente marca como verdadera en la URL: feature.BringYourOwnConnector=true Por ejemplo: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Busca el botón import en la página y, luego, importa los datos. el archivo del conector descargado en el paso 1.
Haz clic en el botón Implementar en Azure para implementar tu función y sigue las pasos mencionados en la misma página.
Selecciona la Suscripción, el Grupo de recursos y la Ubicación que prefieras. y proporciona los valores requeridos.
Haz clic en Revisar y crear.
Haz clic en Crear para implementarlo.

Box

Esta secuencia de comandos obtiene detalles sobre los eventos que ocurren en Box y los transfiere. en Google Security Operations con el tipo de registro BOX. Los datos proporcionan estadísticas sobre las operaciones de CRUD en objetos del entorno de Box. Para obtener información sobre los eventos de Box, consulta la API de eventos de Box.

Define las siguientes variables de entorno en el archivo .env.yml. Para ver más información sobre el ID de cliente de Box, el secreto de cliente y el ID de sujeto, consulta Client Credenciales Otorgar de Google Cloud.

Nombre de la variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler.	5	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el Archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`BOX_CLIENT_ID`	ID de cliente de la plataforma Box, disponible en la consola del desarrollador de Box.	Ninguno	No
`BOX_CLIENT_SECRET`	Ruta de acceso al secreto en Secret Manager que almacena el cliente Secret de la plataforma Box que se usa para la autenticación.	Ninguno	Sí
`BOX_SUBJECT_ID`	ID de usuario o ID de empresa de la casilla.	Ninguno	No
`CHRONICLE_NAMESPACE`	El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations; consulta Trabaja con espacios de nombres de recursos.	Ninguno	No

Registros de auditoría de Citrix Cloud

Esta secuencia de comandos recopila registros de auditoría de Citrix Cloud y los transfiere Google Security Operations con el tipo de registro CITRIX_MONITOR Estos registros ayudan a identificar actividades realizadas en el entorno de Citrix Cloud brindando información sobre lo que cambió, quién lo hizo, cuándo, etc. Para ver más consulta la documentación de Citrix Cloud SystemLog API

Define las siguientes variables de entorno en el archivo .env.yml. Para sobre los IDs de cliente y los secretos del cliente de Citrix, consulta Primeros pasos con Citrix APIs.

Nombre de la variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el Archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`CITRIX_CLIENT_ID`	ID de cliente de la API de Citrix.	Ninguno	No
`CITRIX_CLIENT_SECRET`	Ruta de acceso al secreto en Secret Manager que almacena la API de Citrix El secreto del cliente que se usa para la autenticación.	Ninguno	Sí
`CITRIX_CUSTOMER_ID`	ID de cliente de Citrix.	Ninguno	No
`POLL_INTERVAL`	Intervalo de frecuencia en el que se recopilan datos de registro adicionales (en minutos). Esta duración debe ser la misma que la del trabajo de Cloud Scheduler durante un intervalo de tiempo determinado.	30	No
`URL_DOMAIN`	Cloud Endpoints de Citrix.	Ninguno	No
`CHRONICLE_NAMESPACE`	Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Cómo trabajar con espacios de nombres de activos.	Ninguno	No

Metadatos de la sesión de Citrix

Esta secuencia de comandos recopila metadatos de la sesión de Citrix de los entornos de Citrix y los transfiere a Google Security Operations con el tipo de registro CITRIX_MONITOR. Los datos incluyen login details del usuario, duración de la sesión, hora de creación de la sesión, hora de finalización de la sesión, y otros metadatos relacionados con la sesión. Para obtener más información, consulta la API de Citrix Monitor Service.

Define las siguientes variables de entorno en el archivo .env.yml. Para sobre los IDs de cliente y los secretos del cliente de Citrix, consulta Primeros pasos con Citrix APIs.

Nombre de la variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el Archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`URL_DOMAIN`	Dominio de URL de Citrix	Ninguno	No
`CITRIX_CLIENT_ID`	ID de cliente de Citrix	Ninguno	No
`CITRIX_CLIENT_SECRET`	Es la ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de Citrix que se usa para la autenticación.	Ninguno	Sí
`CITRIX_CUSTOMER_ID`	ID de cliente de Citrix.	Ninguno	No
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler.	30	No
`CHRONICLE_NAMESPACE`	El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos.	Ninguno	No

Cloud Storage

Esta secuencia de comandos recupera los registros del sistema de Cloud Storage y los transfiere Google Security Operations con un valor configurable para el tipo de registro Para obtener más información, consulta el cliente de Google Cloud para Python biblioteca.

Define las siguientes variables de entorno en el archivo .env.yml. Google Cloud tiene registros relacionados con la seguridad desde los que algunos tipos de registro no se pueden exportar directamente a Google Security Operations. Para obtener más información, consulta Registros de seguridad Analytics.

Variable	Descripción	Predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`CHRONICLE_NAMESPACE`	El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos.	Ninguno	No
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo de trabajo de Cloud Scheduler.	60	No
`GCS_BUCKET_NAME`	Es el nombre del bucket de Cloud Storage desde el que se recuperarán los datos.	Ninguno	No
`GCP_SERVICE_ACCOUNT_SECRET_PATH`	Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Cloud.	Ninguno	Sí
`CHRONICLE_DATA_TYPE`	Tipo de registro para enviar datos a la instancia de Google Security Operations.	Ninguno	No

Administrador de Duo

La secuencia de comandos obtiene eventos de Duo Admin relacionados con las operaciones CRUD realizadas en varios objetos, como la cuenta de usuario y la seguridad. Los eventos se transfieren Google Security Operations con el tipo de registro DUO_ADMIN Para obtener más información, consulta la API de Duo Admin.

Define las siguientes variables de entorno en el archivo .env.yml.

Nombre de la variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el Archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler.	Ninguno	No
`DUO_API_DETAILS`	Ruta al secreto en Secret Manager que almacena la cuenta de Duo Archivo JSON. Contiene la clave de integración de la API de Duo Admin, Duo Admin la clave secreta de API y el nombre de host de la API de Duo Admin. Por ejemplo: `{ "ikey": "abcd123", "skey": "def345", "api_host": "abc-123" }` Consulta la documentación de Duo Admin para obtener instrucciones sobre cómo descargar el archivo JSON.	Ninguno	Sí
`CHRONICLE_NAMESPACE`	Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations; consulta Trabaja con espacios de nombres de recursos.	Ninguno	No

MISP

Esta secuencia de comandos recupera información sobre las relaciones de amenazas de MISP, una amenaza de código abierto de inteligencia artificial y uso compartido, y la transfiere a Google Security Operations con el tipo de registro MISP_IOC Para obtener más información, consulta la API de MISP Events.

Define las siguientes variables de entorno en el archivo .env.yml.

Variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler.	5	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el Archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`ORG_NAME`	Es el nombre de la organización para filtrar eventos.	Ninguno	No
`API_KEY`	Ruta de acceso al secreto en Secret Manager que almacena la clave de API para usa la autenticación.	Ninguno	Sí
`TARGET_SERVER`	La dirección IP de la instancia de MISP que creaste.	Ninguno	No
`CHRONICLE_NAMESPACE`	El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Cómo trabajar con espacios de nombres de activos.	Ninguno	No

Eventos de OneLogin

Esta secuencia de comandos obtiene eventos de un entorno de OneLogin y los transfiere a Google Security Operations con el tipo de registro ONELOGIN_SSO. Estos eventos proporcionan información, como operaciones en cuentas de usuario. Para obtener más información, consulta la Eventos de OneLogin API de Google Cloud.

Define las siguientes variables de entorno en el archivo .env.yml. Para sobre los IDs de cliente de OneLogin y los secretos del cliente, consulta Cómo trabajar con la API Credenciales.

Nombre de la variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler.	5	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el Archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`CLIENT_ID`	ID de cliente de la plataforma OneLogin.	Ninguno	No
`CLIENT_SECRET`	Es la ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la plataforma de OneLogin que se usa para la autenticación.	Ninguno	Sí
`TOKEN_ENDPOINT`	La URL para solicitar un token de acceso.	`https://api.us.onelogin.com/auth/oauth2/v2/token`	No
`CHRONICLE_NAMESPACE`	El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos.	Ninguno	No

Contexto del usuario de OneLogin

Esta secuencia de comandos obtiene datos relacionados con las cuentas de usuario de un entorno de OneLogin y la transfiere a Google Security Operations con el tipo de registro ONELOGIN_USER_CONTEXT. Para obtener más información, consulta la página Usuario de OneLogin API de Google Cloud.

Define las siguientes variables de entorno en el archivo .env.yml. Para sobre los IDs de cliente de OneLogin y los secretos del cliente, consulta Cómo trabajar con la API Credenciales.

Nombre de la variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler.	30	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el Archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`CLIENT_ID`	ID de cliente de la plataforma OneLogin.	Ninguno	No
`CLIENT_SECRET`	Es la ruta de acceso al secreto en Secret Manager que almacena el secreto del cliente de la plataforma de OneLogin que se usa para la autenticación.	Ninguno	Sí
`TOKEN_ENDPOINT`	La URL para solicitar un token de acceso.	`https://api.us.onelogin.com/auth/oauth2/v2/token`	No
`CHRONICLE_NAMESPACE`	El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos.	Ninguno	No

Proofpoint

Esta secuencia de comandos recupera datos de los usuarios a los que se dirigen los ataques de una organización en particular en un período determinado y los transfiere a Google Security Operations. Para obtener información sobre la API utilizada, consulta la API de People.

Define las siguientes variables de entorno en el archivo .env.yml. Para conocer los detalles sobre cómo obtener el principal del servicio de Proofpoint y el secreto de Proofpoint, consulta la Guía de configuración para proporcionar credenciales de TAP de punto de prueba a Arctic Wolf.

Variable	Descripción	Predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`CHRONICLE_NAMESPACE`	El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos.	Ninguno	No
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo de trabajo de Cloud Scheduler.	360	No
`CHRONICLE_DATA_TYPE`	Tipo de registro para enviar datos a la instancia de Google Security Operations.	Ninguno	No
`PROOFPOINT_SERVER_URL`	URL base de la puerta de enlace de API del servidor de Proofpoint.	Ninguno	No
`PROOFPOINT_SERVICE_PRINCIPLE`	Nombre de usuario de la plataforma Proofpoint. Por lo general, es el principal del servicio.	Ninguno	No
`PROOFPOINT_SECRET`	Ruta de acceso de Secret Manager con la versión, en la que se almacena la contraseña de la plataforma Proofpoint.	Ninguno	Sí
`PROOFPOINT_RETRIEVAL_RANGE`	Número que indica la cantidad de días en los que se deben recuperar los datos. Los valores aceptados son 14, 30 y 90.	Ninguno	No

Pub/Sub

Esta secuencia de comandos recopila mensajes de suscripciones a Pub/Sub y transfiere datos a Google Security Operations. Supervisa de manera continua la puerta de enlace de la suscripción y transfiere mensajes más recientes cuando aparecen. Para obtener más información, consulta los siguientes documentos:

Esta secuencia de comandos de transferencia requiere que establezcas variables en .env.yml y el trabajo de Cloud Scheduler.

Define las siguientes variables de entorno en el archivo .env.yml.

Nombre de la variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Es la ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`CHRONICLE_NAMESPACE`	El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations, consulta Trabaja con Espacios de nombres de elementos.	Ninguno	No

Configura las siguientes variables en el campo Cuerpo del mensaje de Cloud Scheduler como una cadena con formato JSON. Consulta Creación del Cloud Scheduler para obtener más información sobre el campo Cuerpo del mensaje.

Nombre de la variable	Descripción	Valor predeterminado	Secreto
`PROJECT_ID`	ID del proyecto de Pub/Sub. Consulta Cómo crear y administrar proyectos para obtener información sobre el ID del proyecto.	Ninguno	No
`SUBSCRIPTION_ID`	ID de suscripción de Pub/Sub.	Ninguno	No
`CHRONICLE_DATA_TYPE`	Etiqueta de transferencia para el tipo de registro proporcionado cuando se envían datos a Google Security Operations. Consulta Analizadores predeterminados admitidos para obtener una lista de los tipos de registros compatibles.	Ninguno	No

A continuación, se muestra un ejemplo de una cadena con formato JSON para el campo Cuerpo del mensaje.

{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}

Registros de auditoría de Slack

Esta secuencia de comandos obtiene registros de auditoría de una organización de Slack Enterprise Grid y las transfiere a Google Security Operations con el tipo de registro SLACK_AUDIT. Para ver más consulta Registros de auditoría de Slack API

Define las siguientes variables de entorno en el archivo .env.yml.

Nombre de la variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el Archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). La duración debe ser igual a la el intervalo de trabajo de Cloud Scheduler.	5	No
`SLACK_ADMIN_TOKEN`	Ruta de acceso al secreto en Secret Manager que almacena el espacio de nombres de Slack Token de autenticación.	Ninguno	Sí
`CHRONICLE_NAMESPACE`	El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos.	Ninguno	No

STIX/TAXII

Esta secuencia de comandos extrae indicadores del servidor STIX/TAXII y los transfiere a Google Security Operations. Para obtener más información, consulta la documentación de la API de STIX/TAXII. Define las siguientes variables de entorno en el archivo .env.yml.

Nombre de la variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`POLL_INTERVAL`	Es el intervalo de frecuencia (en minutos) en el que se ejecuta la función. Esta duración debe ser la misma que la del trabajo de Cloud Scheduler.	60	No
`TAXII_VERSION`	La versión de STIX/TAXII que se debe usar. Las opciones posibles son 1.1, 2.0, 2.1	Ninguno	No
`TAXII_DISCOVERY_URL`	URL de descubrimiento del servidor de TAXII.	Ninguno	No
`TAXII_COLLECTION_NAMES`	Colecciones (CSV) desde las que se recuperarán los datos. Deja el campo vacío para recuperar datos de todas las colecciones.	Ninguno	No
`TAXII_USERNAME`	El nombre de usuario es obligatorio para la autenticación, si corresponde.	Ninguno	No
`TAXII_PASSWORD_SECRET_PATH`	Se requiere una contraseña para la autenticación, si la hay.	Ninguno	Sí

Tenable.io

Esta secuencia de comandos recupera datos de recursos y vulnerabilidades de la plataforma Tenable.io y los transfiere a Google Security Operations con el tipo de registro TENABLE_IO. Para más detallada sobre la biblioteca usada, consulta la documentación de pyTenable Python SDK.

Define las siguientes variables de entorno en el archivo .env.yml. Más información sobre datos de recursos y vulnerabilidades, consulta la API de Tenable.io: Exportar recursos y Exportar vulnerabilidades.

Variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`CHRONICLE_NAMESPACE`	Es el espacio de nombres con el que se etiquetan los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos.	Ninguno	No
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo de trabajo de Cloud Scheduler.	360	No
`TENABLE_ACCESS_KEY`	La clave de acceso que se usa para la autenticación.	Ninguno	No
`TENABLE_SECRET_KEY_PATH`	Ruta de acceso de Google Secret Manager con la versión, en la que se almacena la contraseña de Tenable Server.	Ninguno	Sí
`TENABLE_DATA_TYPE`	Tipo de datos para transferir en Google Security Operations. Valores posibles: ACTIVOS, VULNERABILITIES.	RECURSOS Y VULNERABILIDADES	No
`TENABLE_VULNERABILITY`	El estado de las vulnerabilidades que quieres que incluya la exportación. Valores posibles: "OPEN", "REOPENED" y "FIXED".	ABIERTO, REABRIDO	No

Trend Micro Cloud App Security

Esta secuencia de comandos recupera los registros de seguridad de la plataforma Trend Micro y los transfiere en Google Security Operations. Para obtener información sobre la API utilizada, consulta la página registros API Define las siguientes variables de entorno en el archivo .env.yml.

Variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`CHRONICLE_NAMESPACE`	El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos.	Ninguno	No
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo de trabajo de Cloud Scheduler.	10	No
`CHRONICLE_DATA_TYPE`	Tipo de registro para enviar datos a la instancia de Google Security Operations.	Ninguno	No
`TREND_MICRO_AUTHENTICATION_TOKEN`	Ruta de acceso de Secret Manager de Google con la versión, en la que se almacena el token de autenticación para el servidor de Trend Micro.	Ninguno	Sí
`TREND_MICRO_SERVICE_URL`	URL del servicio del servicio de Cloud App Security.	Ninguno	No
`TREND_MICRO_SERVICE`	El nombre del servicio protegido cuyos registros se recuperarán. Admite valores separados por comas. Valores posibles: intercambio, sharepoint, onedrive, dropbox, box, googledrive, gmail, equipos, Exchangeserver, salesforce_sandbox, salesforce_production, team_chat.	Exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, equipos, Exchangeserver, salesforce_sandbox, salesforce_production, equipos_chat	No
`TREND_MICRO_EVENT`	El tipo de evento de seguridad, cuyos registros se recuperarán. Admite valores separados por comas. Valores posibles: securityrisk, virtualanalyzer, ransomware, dlp.	riesgo de seguridad, virtualanalyzer, ransomware, dlp	No

Trend Micro Vision One

Esta secuencia de comandos recupera los registros de auditoría de Trend Micro Vision One y los transfiere a Google Security Operations con el tipo de registro TREND_MICRO_VISION_AUDIT. Para información sobre la API utilizada, consulta los registros de auditoría API Define las siguientes variables de entorno en el archivo .env.yml.

Variable	Descripción	Valor predeterminado	Secreto
`CHRONICLE_CUSTOMER_ID`	ID de cliente de la instancia de Google Security Operations.	Ninguno	No
`CHRONICLE_REGION`	Región de la instancia de Google Security Operations.	`us` Otros valores válidos: `asia-northeast1`, `asia-south1`, `asia-southeast1`, `australia-southeast1`, `europe`, `europe-west2`, `europe-west3`, `europe-west6`, `europe-west12`, `me-central1`, `me-central2`, `me-west1` y `northamerica-northeast2`.	No
`CHRONICLE_SERVICE_ACCOUNT`	Ruta de acceso al secreto en Secret Manager que almacena el archivo JSON de la cuenta de servicio de Google Security Operations.	Ninguno	Sí
`CHRONICLE_NAMESPACE`	El espacio de nombres con el que están etiquetados los registros de Google Security Operations. Para obtener información sobre los espacios de nombres de Google Security Operations, consulta Trabaja con espacios de nombres de recursos.	Ninguno	No
`POLL_INTERVAL`	Es el intervalo de frecuencia en el que se ejecuta la función para obtener datos de registro adicionales (en minutos). Esta duración debe ser la misma que el intervalo de trabajo de Cloud Scheduler.	10	No
`TREND_MICRO_AUTHENTICATION_TOKEN`	Ruta de acceso de Secret Manager de Google con la versión, en la que se almacena el token de autenticación para el servidor de Trend Micro.	Ninguno	Sí
`TREND_MICRO_DOMAIN`	Región de Trend Micro Vision One donde se encuentra el extremo del servicio.	Ninguno	No