Menggunakan skrip penyerapan yang di-deploy sebagai fungsi Cloud Run
Google Security Operations telah menyediakan serangkaian skrip penyerapan, yang ditulis dalam Python, yang dimaksudkan untuk di-deploy sebagai fungsi Cloud Run. Dengan skrip ini, Anda dapat menyerap data dari sumber log berikut, yang dicantumkan menurut nama dan jenis log.
- Armis Google SecOps Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Activity (
DUO_ACTIVITY) - Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Skrip ini berada di repositori GitHub Google SecOps.
Batasan yang diketahui: Jika digunakan di lingkungan tanpa status seperti fungsi Cloud Run, skrip ini mungkin tidak mengirim semua log ke Google SecOps karena tidak memiliki fungsi titik pemeriksaan. Google SecOps telah menguji skrip dengan runtime Python 3.9.
Sebelum memulai
Baca referensi berikut yang memberikan konteks dan informasi latar belakang yang memungkinkan Anda menggunakan skrip penyerapan Google SecOps secara efektif.
- Men-deploy fungsi Cloud Run untuk mengetahui informasi tentang cara men-deploy fungsi Cloud Run dari komputer lokal Anda.
- Membuat dan mengakses secret menjelaskan cara menggunakan Secret Manager. Anda akan memerlukan ini untuk menyimpan dan mengakses file JSON akun layanan Google SecOps.
- Menginstal Google Cloud CLI. Anda akan menggunakannya untuk men-deploy fungsi Cloud Run.
- DokumentasiGoogle Cloud Pub/Sub jika Anda berencana untuk menyerap data dari Pub/Sub.
Kumpulkan file untuk satu jenis log
Setiap subdirektori di Google SecOps GitHub berisi file yang menyerap data untuk satu jenis log Google SecOps. Skrip ini terhubung ke perangkat sumber tunggal, lalu mengirim log mentah ke Google SecOps menggunakan Ingestion API. Sebaiknya deploy setiap jenis log sebagai fungsi Cloud Run terpisah. Akses skrip di repositori GitHub Google SecOps. Setiap subdirektori di GitHub berisi file berikut yang khusus untuk jenis log yang di-ingest.
main.pyadalah skrip penyerapan yang khusus untuk jenis log. Layanan ini terhubung ke perangkat sumber dan menyerap data ke Google SecOps..env.ymlmenyimpan konfigurasi yang diperlukan oleh skrip Python dan khusus untuk deployment. Anda memodifikasi file ini untuk menetapkan parameter konfigurasi yang diperlukan oleh skrip penyerapan.README.mdmemberikan informasi tentang parameter konfigurasi.Requirements.txtmenentukan dependensi yang diperlukan oleh skrip penyerapan. Selain itu, foldercommonberisi fungsi utilitas yang menjadi dasar semua skrip penyerapan.
Lakukan langkah-langkah berikut untuk mengumpulkan file yang menyerap data untuk satu jenis log:
- Buat direktori deployment untuk menyimpan file fungsi Cloud Run. Ini akan berisi semua file yang diperlukan untuk deployment.
- Salin semua file dari subdirektori GitHub jenis log yang dipilih, misalnya, Konteks Pengguna OneLogin, ke direktori deployment ini.
- Salin folder
commondan semua isinya ke direktori deployment. Isi direktori akan terlihat mirip dengan berikut:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Mengonfigurasi skrip
- Luncurkan sesi Cloud Shell.
- Hubungkan dengan SSH ke Google Cloud VM Linux. Lihat Menghubungkan ke VM Linux menggunakan alat Google.
Upload skrip penyerapan dengan mengklik Lainnya > Upload atau Download untuk memindahkan file atau folder Anda ke atau dari Cloud Shell.
File dan folder hanya dapat diupload ke dan didownload dari direktori beranda Anda. Untuk mengetahui opsi lainnya dalam mentransfer file antara Cloud Shell dan workstation lokal Anda, lihat [Mengupload dan mendownload file dan folder dari Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.
Edit file
.env.ymluntuk fungsi dan isi variabel lingkungan yang diperlukan. Tabel berikut mencantumkan variabel lingkungan runtime yang umum untuk semua skrip penyerapan.Nama variabel Deskripsi Wajib Default Rahasia CHRONICLE_CUSTOMER_IDID pelanggan Chronicle (Google SecOps). Ya Tidak ada Tidak CHRONICLE_REGIONRegion Chronicle (Google SecOps). Ya us
Nilai valid lainnya:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2, dansouthamerica-east1.Tidak CHRONICLE_SERVICE_ACCOUNTKonten file JSON akun layanan Chronicle (Google SecOps). Ya Tidak ada Ya CHRONICLE_NAMESPACENamespace yang diberi label pada log Chronicle (Google SecOps). Untuk informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. Tidak Tidak ada Tidak Setiap skrip memerlukan variabel lingkungan khusus untuk skrip tersebut. Lihat Parameter konfigurasi menurut jenis log untuk mengetahui detail tentang variabel lingkungan yang diperlukan oleh setiap jenis log.
Variabel lingkungan yang ditandai sebagai Secret = Yes harus dikonfigurasi sebagai secret di
Secret Manager. Lihat harga Secret Manager untuk mengetahui informasi tentang biaya penggunaan Secret Manager.
Lihat Membuat dan mengakses secret untuk petunjuk mendetail.
Setelah secret dibuat di Secret Manager, gunakan nama resource secret
sebagai nilai untuk variabel lingkungan. Misalnya:
projects/{project_id}/secrets/{secret_id}/versions/{version_id}, dengan
{project_id}, {secret_id}, dan {version_id} khusus untuk
lingkungan Anda.
Menyiapkan penjadwal atau pemicu
Semua skrip, kecuali Pub/Sub, diterapkan untuk mengumpulkan data pada interval berkala dari perangkat sumber. Anda harus menyiapkan pemicu menggunakan Cloud Scheduler untuk mengambil data dari waktu ke waktu. Skrip penyerapan untuk Pub/Sub terus memantau langganan Pub/Sub. Untuk mengetahui informasi selengkapnya, lihat Menjalankan layanan sesuai jadwal dan Menggunakan Pub/Sub untuk memicu fungsi Cloud Run.
Men-deploy Cloud Run Function
- Luncurkan sesi Cloud Shell.
- Hubungkan melalui SSH ke VM Linux Google Cloud . Lihat Menghubungkan ke VM Linux menggunakan alat Google.
- Ubah ke direktori tempat Anda menyalin skrip penyerapan.
Jalankan perintah berikut untuk men-deploy fungsi Cloud Run.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlGanti
<FUNCTION_NAME>dengan nama yang Anda tentukan untuk fungsi Cloud Run.Ganti
<SERVICE_ACCOUNT_EMAIL>dengan alamat email akun layanan yang ingin digunakan oleh fungsi Cloud Run Anda.Jika Anda tidak mengubah direktori ke lokasi file, pastikan untuk menggunakan opsi
--sourceguna menentukan lokasi skrip deployment.Akun layanan yang menjalankan fungsi Cloud Run Anda harus memiliki peran Cloud Functions Invoker (
roles/cloudfunctions.invoker) dan Secret Manager Secret Accessor (roles/secretmanager.secretAccessor).
Melihat log runtime
Skrip penyerapan mencetak pesan runtime ke stdout. Cloud Run functions menyediakan mekanisme untuk melihat pesan log.
Parameter konfigurasi menurut jenis log
Integrasi Armis Google SecOps
Skrip ini mengumpulkan data menggunakan panggilan API dari platform Armis untuk berbagai jenis peristiwa seperti pemberitahuan, aktivitas, perangkat, dan kerentanan. Data yang dikumpulkan dimasukkan ke Google SecOps dan diuraikan oleh parser yang sesuai.
Alur skrip
Berikut adalah alur skrip:
Verifikasi variabel lingkungan.
Deploy skrip ke fungsi Cloud Run.
Kumpulkan data menggunakan skrip penyerapan.
Menyerap data yang dikumpulkan ke dalam Google SecOps.
Mengurai data yang dikumpulkan melalui parser yang sesuai di Google SecOps.
Menggunakan skrip untuk mengumpulkan dan menyerap data ke Google SecOps
Verifikasi variabel lingkungan.
Variabel Deskripsi Wajib Default Secret CHRONICLE_CUSTOMER_IDID pelanggan Chronicle (Google SecOps). Ya - Tidak CHRONICLE_REGIONRegion Chronicle (Google SecOps). Ya US Ya CHRONICLE_SERVICE_ACCOUNTKonten file JSON akun layanan Chronicle (Google SecOps). Ya - Ya CHRONICLE_NAMESPACENamespace yang diberi label pada log Chronicle (Google SecOps). Tidak - Tidak POLL_INTERVALInterval frekuensi saat fungsi dijalankan untuk mendapatkan tambahan Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. Ya 10 Tidak ARMIS_SERVER_URLURL server platform Armis. Ya - Tidak ARMIS_API_SECRET_KEYKunci rahasia diperlukan untuk mengautentikasi. Ya - Ya HTTPS_PROXYURL server proxy. Tidak - Tidak CHRONICLE_DATA_TYPEJenis data Chronicle (Google SecOps) untuk mengirimkan data ke Google SecOps. Ya - Tidak Siapkan direktori.
Buat direktori baru untuk deployment fungsi Cloud Run dan tambahkan direktori
commondan konten skrip penyerapan (armis).Tetapkan variabel lingkungan runtime yang diperlukan.
Tentukan variabel lingkungan yang diperlukan dalam file
.env.yml.Gunakan secret.
Variabel lingkungan yang ditandai sebagai secret harus dikonfigurasi sebagai secret di Secret Manager. Untuk mengetahui informasi selengkapnya tentang cara membuat secret, lihat Membuat secret.
Setelah membuat secret di Secret Manager, gunakan nama resource secret sebagai nilai untuk variabel lingkungan. Contoh:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Konfigurasi namespace.
Tetapkan variabel lingkungan
CHRONICLE_NAMESPACEuntuk mengonfigurasi namespace. Log Chronicle (Google SecOps) dimasukkan ke dalam namespace.Deploy fungsi Cloud Run.
Jalankan perintah berikut dari dalam direktori yang dibuat sebelumnya untuk men-deploy cloud function.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSpesifikasi default Cloud Run functions.
Variabel Default Deskripsi Memori 256 MB Tidak ada Tidak ada Waktu habis 60 detik Tidak ada Tidak ada Wilayah us-central1 Tidak ada Tidak ada Instance Minimum 0 Tidak ada Tidak ada Instance Maksimum 100 Tidak ada Tidak ada Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi variabel ini, lihat Mengonfigurasi fungsi Cloud Run.
Ambil data historis.
Untuk mengambil data historis dan terus mengumpulkan data real-time:
- Konfigurasi variabel lingkungan
POLL_INTERVALdalam menit untuk data historis yang perlu diambil. - Picu fungsi menggunakan penjadwal atau secara manual dengan menjalankan perintah di Google Cloud CLI setelah mengonfigurasi fungsi Cloud Run.
- Konfigurasi variabel lingkungan
Aruba Central
Skrip ini mengambil log audit dari platform Aruba Central dan memprosesnya ke Google SecOps dengan jenis log ARUBA_CENTRAL. Untuk mengetahui informasi tentang
cara menggunakan library, lihat pycentral Python
SDK.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Variabel | Deskripsi | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan CHronicle (Google SecOps). | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk informasi tentang namespace Chronicle (Google SecOps), lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 10 | Tidak |
ARUBA_CLIENT_ID |
ID klien gateway Aruba Central API. | Tidak ada | Tidak |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Rahasia klien gateway API Aruba Central. | Tidak ada | Ya |
ARUBA_USERNAME |
Nama pengguna platform Aruba Central. | Tidak ada | Tidak |
ARUBA_PASSWORD_SECRET_PATH |
Sandi platform Aruba Central. | Tidak ada | Ya |
ARUBA_BASE_URL |
URL dasar gateway API Aruba Central. | Tidak ada | Tidak |
ARUBA_CUSTOMER_ID |
ID Pelanggan platform Aruba Central. | Tidak ada | Tidak |
Azure Event Hub
Tidak seperti skrip penyerapan lainnya, skrip ini menggunakan fungsi Azure untuk mengambil peristiwa dari Azure Event Hub. Fungsi Azure memicu dirinya sendiri setiap kali peristiwa baru ditambahkan ke bucket, dan setiap peristiwa secara bertahap di-ingest ke Google SecOps.
Langkah-langkah untuk men-deploy Azure Functions:
- Download file konektor data bernama
Azure_eventhub_API_function_app.jsondari repositori. - Login ke portal Microsoft Azure Anda.
- Buka Sentinel Microsoft > Pilih ruang kerja Anda dari daftar >
Pilih Data Connector di bagian konfigurasi, lalu lakukan hal berikut:
- Tetapkan tanda berikut sebagai benar di URL:
feature.BringYourOwnConnector=true. Misalnya: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Temukan tombol impor di halaman dan impor file konektor data yang didownload pada langkah 1.
- Tetapkan tanda berikut sebagai benar di URL:
- Klik tombol Deploy to Azure untuk men-deploy fungsi Anda, dan ikuti langkah-langkah yang disebutkan di halaman yang sama.
- Pilih Subscription, Resource group, dan Location yang diinginkan dan berikan nilai yang diperlukan.
- Klik Tinjau + Buat.
- Klik Buat untuk men-deploy.
Box
Skrip ini mendapatkan detail tentang peristiwa yang terjadi dalam Box dan memasukkannya ke Google SecOps dengan jenis log BOX. Data ini memberikan insight tentang operasi CRUD pada objek di lingkungan Box. Untuk mengetahui informasi tentang peristiwa Box, lihat Box Events API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk mengetahui informasi selengkapnya tentang ID Klien, Rahasia Klien, dan ID Subjek Box, lihat Pemberian Kredensial Klien
.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 5 | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan CHronicle (Google SecOps). | Tidak ada | Ya |
BOX_CLIENT_ID |
Client ID platform Box, tersedia di konsol developer Box. | Tidak ada | Tidak |
BOX_CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan rahasia klien platform Box yang digunakan untuk autentikasi. | Tidak ada | Ya |
BOX_SUBJECT_ID |
ID Pengguna Box atau ID Perusahaan. | Tidak ada | Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
Log audit Citrix Cloud
Skrip ini mengumpulkan log audit Citrix Cloud dan memprosesnya ke Google SecOps dengan jenis log CITRIX_MONITOR. Log ini membantu mengidentifikasi
aktivitas yang dilakukan di lingkungan Citrix Cloud dengan memberikan informasi
tentang apa yang berubah, siapa yang mengubahnya, kapan perubahan itu dilakukan, dan sebagainya. Untuk mengetahui informasi selengkapnya, lihat Citrix Cloud SystemLog API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk
informasi tentang ID Klien dan Rahasia Klien Citrix, lihat Mulai menggunakan
API Citrix.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke rahasia di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
CITRIX_CLIENT_ID |
Client ID Citrix API. | Tidak ada | Tidak |
CITRIX_CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan Rahasia Klien API Citrix yang digunakan untuk autentikasi. | Tidak ada | Ya |
CITRIX_CUSTOMER_ID |
CustomerID Citrix. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi pengumpulan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 30 | Tidak |
URL_DOMAIN |
Endpoint Citrix Cloud. | Tidak ada | Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk informasi tentang namespace Chronicle (Google SecOps), lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
Metadata sesi Citrix
Skrip ini mengumpulkan metadata sesi Citrix dari lingkungan Citrix dan memasukkannya ke Google SecOps dengan jenis log CITRIX_MONITOR. Data ini mencakup
detail login pengguna, durasi sesi, waktu pembuatan sesi, waktu berakhirnya sesi,
dan metadata lain yang terkait dengan sesi. Untuk mengetahui informasi selengkapnya, lihat
Citrix Monitor Service API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk
informasi tentang ID Klien dan Rahasia Klien Citrix, lihat Mulai menggunakan
API Citrix.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
URL_DOMAIN |
Domain URL Citrix. | Tidak ada | Tidak |
CITRIX_CLIENT_ID |
ID Klien Citrix. | Tidak ada | Tidak |
CITRIX_CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan Rahasia Klien Citrix yang digunakan untuk autentikasi. | Tidak ada | Ya |
CITRIX_CUSTOMER_ID |
ID pelanggan Citrix. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 30 | Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
Cloud Storage
Skrip ini mengambil log sistem dari Cloud Storage dan menyerapnya ke Google SecOps dengan nilai yang dapat dikonfigurasi untuk jenis log. Untuk mengetahui detailnya, lihat Google Cloud library klien Python.
Tentukan variabel lingkungan berikut dalam file .env.yml. Google Cloud
memiliki log yang relevan dengan keamanan yang beberapa jenis lognya tidak dapat diekspor langsung
ke Google SecOps. Untuk mengetahui informasi selengkapnya, lihat Analisis log keamanan.
| Variabel | Deskripsi | Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk mengetahui informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 60 | Tidak |
GCS_BUCKET_NAME |
Nama bucket Cloud Storage tempat data akan diambil. | Tidak ada | Tidak |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Jalur ke secret di Secret Manager yang menyimpan file JSON Akun Layanan Google Cloud . | Tidak ada | Ya |
CHRONICLE_DATA_TYPE |
Jenis log untuk mengirimkan data ke instance Chronicle (Google SecOps). | Tidak ada | Tidak |
Aktivitas Duo
Skrip ini mengambil log Aktivitas Duo dari Admin Duo dan memasukkannya ke
Google SecOps dengan jenis log DUO_ACTIVITY. Untuk mengetahui informasi selengkapnya, lihat
Duo Admin API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1,
asia-southeast1, australia-southeast1, europe,
europe-west2, europe-west3, europe-west6,
europe-west12, me-central1, me-central2,
me-west1, dan northamerica-northeast2. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
BACKSTORY_API_V1_URL |
Jalur URL Duo Security API. Untuk mengetahui informasi selengkapnya tentang cara mendownload file JSON yang berisi kunci integrasi DUO Admin API, lihat dokumentasi Duo Admin. | Tidak ada | Ya |
DUO_SECRET_KEY |
Kunci rahasia DUO yang diperlukan untuk mengambil log dari DUO API. Lihat dokumentasi Admin Duo untuk mengetahui petunjuk tentang cara mendownload file JSON yang berisi kunci integrasi Duo Admin API, kunci rahasia Duo Admin API, dan nama host Duo Admin API. |
Tidak ada | Ya |
DUO_INTEGRATION_KEY |
Kunci integrasi DUO yang diperlukan untuk mengambil log dari DUO API. Lihat
dokumentasi Admin Duo untuk mengetahui petunjuk tentang cara mendownload file JSON
yang berisi kunci integrasi Duo Admin API, kunci rahasia Duo Admin API,
dan nama host Duo Admin API. |
Tidak ada | Ya |
LOG_FETCH_DURATION |
Durasi pengambilan log. | 1 | Tidak |
CHECKPOINT_FILE_PATH |
Jalur file tempat stempel waktu titik pemeriksaan log yang terakhir diproses disimpan. | checkpoint.json |
Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
Admin Duo
Skrip ini mendapatkan peristiwa dari Admin Duo yang terkait dengan operasi CRUD yang dilakukan pada
berbagai objek seperti akun pengguna dan keamanan. Peristiwa tersebut dimasukkan ke
Google SecOps dengan jenis log DUO_ADMIN. Untuk mengetahui informasi selengkapnya, lihat
Duo Admin API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | Tidak ada | Tidak |
DUO_API_DETAILS |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun Duo. Ini berisi kunci integrasi Duo Admin API, kunci rahasia Duo Admin API, dan nama host Duo Admin API. Misalnya:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Lihat dokumentasi Admin Duo untuk mengetahui petunjuk tentang cara mendownload file JSON. |
Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
MISP
Skrip ini mengambil informasi hubungan ancaman dari MISP, platform berbagi dan analisis ancaman open source, lalu memasukkannya ke Google SecOps dengan jenis log MISP_IOC. Untuk mengetahui informasi selengkapnya, lihat MISP Events API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 5 | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
ORG_NAME |
Nama organisasi untuk memfilter peristiwa. | Tidak ada | Tidak |
API_KEY |
Jalur ke secret di Secret Manager yang menyimpan kunci API untuk autentikasi yang digunakan. | Tidak ada | Ya |
TARGET_SERVER |
Alamat IP instance MISP yang Anda buat. | Tidak ada | Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
Peristiwa OneLogin
Skrip ini mendapatkan peristiwa dari lingkungan OneLogin dan memprosesnya ke Google SecOps dengan jenis log ONELOGIN_SSO. Peristiwa ini memberikan
informasi seperti operasi pada akun pengguna. Untuk mengetahui informasi selengkapnya, lihat
OneLogin Events
API
.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk
informasi tentang Client ID dan Client Secret OneLogin, lihat Bekerja dengan Kredensial
API.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 5 | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
CLIENT_ID |
ID klien platform OneLogin. | Tidak ada | Tidak |
CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan rahasia klien platform OneLogin yang digunakan untuk autentikasi. | Tidak ada | Ya |
TOKEN_ENDPOINT |
URL untuk meminta Token Akses. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
Konteks pengguna OneLogin
Skrip ini mendapatkan data terkait akun pengguna dari lingkungan OneLogin dan
memasukkannya ke Google SecOps dengan jenis log ONELOGIN_USER_CONTEXT.
Untuk mengetahui informasi selengkapnya, lihat OneLogin User API
.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk
informasi tentang Client ID dan Client Secret OneLogin, lihat Bekerja dengan Kredensial
API.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance CHronicle (Google SecOps). | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 30 | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
CLIENT_ID |
ID klien platform OneLogin. | Tidak ada | Tidak |
CLIENT_SECRET |
Jalur ke secret di Secret Manager yang menyimpan rahasia klien platform OneLogin yang digunakan untuk autentikasi. | Tidak ada | Ya |
TOKEN_ENDPOINT |
URL untuk meminta Token Akses. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Tidak |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
Proofpoint
Skrip ini mengambil data tentang pengguna yang menjadi target serangan dari organisasi tertentu dalam jangka waktu tertentu dan memasukkan data tersebut ke Google SecOps. Untuk mengetahui informasi tentang API yang digunakan, lihat People API.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk mengetahui detail tentang cara mendapatkan prinsipal layanan Proofpoint dan rahasia Proofpoint, lihat Panduan konfigurasi untuk memberikan kredensial TAP Proofpoint ke Arctic Wolf.
| Variabel | Deskripsi | Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk mengetahui informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 360 | Tidak |
CHRONICLE_DATA_TYPE |
Jenis log untuk mengirimkan data ke instance Chronicle (Google SecOps). | Tidak ada | Tidak |
PROOFPOINT_SERVER_URL |
URL dasar gateway API Proofpoint Server. | Tidak ada | Tidak |
PROOFPOINT_SERVICE_PRINCIPLE |
Nama pengguna platform Proofpoint. Ini biasanya adalah principal layanan. | Tidak ada | Tidak |
PROOFPOINT_SECRET |
Jalur Secret Manager dengan versi, tempat sandi platform Proofpoint disimpan. | Tidak ada | Ya |
PROOFPOINT_RETRIEVAL_RANGE |
Jumlah yang menunjukkan berapa hari data harus diambil. Nilai yang diterima adalah 14, 30, dan 90. | Tidak ada | Tidak |
Pub/Sub
Skrip ini mengumpulkan pesan dari langganan Pub/Sub dan menyerap data ke Google SecOps. Aplikasi ini terus memantau gateway langganan dan menyerap pesan baru saat muncul. Untuk informasi selengkapnya, baca dokumen berikut:
Skrip penyerapan ini mengharuskan Anda menetapkan variabel di file .env.yml
dan tugas Cloud Scheduler.
Tentukan variabel lingkungan berikut dalam file
.env.yml.Nama variabel Deskripsi Nilai Default Rahasia CHRONICLE_CUSTOMER_IDID pelanggan instance Chronicle (Google SecOps). Tidak ada Tidak CHRONICLE_REGIONRegion instance Chronicle (Google SecOps). us
Nilai valid lainnya:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2, dansouthamerica-east1.Tidak CHRONICLE_SERVICE_ACCOUNTJalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). Tidak ada Ya CHRONICLE_NAMESPACENamespace yang diberi label pada log Chronicle (Google SecOps). Untuk informasi tentang namespace Google SecOps, lihat Bekerja dengan Namespace Aset. Tidak ada Tidak Tetapkan variabel berikut di kolom Isi pesan Cloud Scheduler sebagai string berformat JSON. Lihat membuat Cloud Scheduler untuk mengetahui informasi selengkapnya tentang kolom Isi pesan.
Nama variabel Deskripsi Nilai Default Rahasia PROJECT_IDID project Pub/Sub. Lihat membuat dan mengelola project untuk mengetahui informasi tentang ID project. Tidak ada Tidak SUBSCRIPTION_IDID Langganan Pub/Sub. Tidak ada Tidak CHRONICLE_DATA_TYPELabel penyerapan untuk jenis log yang diberikan saat mengirimkan data ke Chronicle (Google SecOps). Lihat Parser default yang didukung untuk mengetahui daftar jenis log yang didukung. Tidak ada Tidak Berikut adalah contoh string berformat JSON untuk kolom Isi pesan.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Log audit Slack
Skrip ini mendapatkan log audit dari organisasi Slack Enterprise Grid dan memasukkannya ke Google SecOps dengan jenis log SLACK_AUDIT. Untuk mengetahui informasi selengkapnya, lihat Slack Audit Logs API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Nama variabel | Deskripsi | Nilai Default | Rahasia |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 5 | Tidak |
SLACK_ADMIN_TOKEN |
Jalur ke secret di Secret Manager yang menyimpan token
Autentikasi Slack. |
Tidak ada |
Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
STIX/TAXII
Skrip ini menarik indikator dari server STIX/TAXII dan memasukkannya ke
Google SecOps. Untuk mengetahui informasi selengkapnya, lihat dokumentasi STIX/TAXII API.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Nama Variabel | Deskripsi | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
POLL_INTERVAL |
Interval frekuensi (dalam menit) saat fungsi dijalankan. Durasi ini harus sama dengan tugas Cloud Scheduler. | 60 | Tidak |
TAXII_VERSION |
Versi STIX/TAXII yang akan digunakan. Kemungkinan opsinya adalah 1.1, 2.0, 2.1 | Tidak ada | Tidak |
TAXII_DISCOVERY_URL |
URL penemuan server TAXII. | Tidak ada | Tidak |
TAXII_COLLECTION_NAMES |
Koleksi (CSV) tempat data akan diambil. Biarkan kosong untuk mengambil data dari semua koleksi. | Tidak ada | Tidak |
TAXII_USERNAME |
Nama pengguna yang diperlukan untuk autentikasi, jika ada. | Tidak ada | Tidak |
TAXII_PASSWORD_SECRET_PATH |
Sandi diperlukan untuk autentikasi, jika ada. | Tidak ada | Ya |
Tenable.io
Skrip ini mengambil data aset dan kerentanan dari platform Tenable.io dan memasukkannya ke Google SecOps dengan jenis log TENABLE_IO. Untuk
mengetahui informasi tentang library yang digunakan, lihat pyTenable Python
SDK.
Tentukan variabel lingkungan berikut dalam file .env.yml. Untuk mengetahui detail tentang data aset dan kerentanan, lihat Tenable.io API: Mengekspor aset dan Mengekspor kerentanan.
| Variabel | Deskripsi | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk mengetahui informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 360 | Tidak |
TENABLE_ACCESS_KEY |
Kunci akses yang digunakan untuk autentikasi. | Tidak ada | Tidak |
TENABLE_SECRET_KEY_PATH |
Jalur Google Secret Manager dengan versi, tempat sandi untuk Tenable Server disimpan. | Tidak ada | Ya |
TENABLE_DATA_TYPE |
Jenis data yang akan diserap di Google SecOps. Nilai yang Mungkin: ASSETS, VULNERABILITIES. | ASET, VULNERABILITAS | Tidak |
TENABLE_VULNERABILITY |
Status kerentanan yang ingin Anda sertakan dalam ekspor. Nilai yang mungkin: `OPEN`, `REOPENED`, dan `FIXED`. | BUKA, DIBUKA KEMBALI | Tidak |
Trend Micro Cloud App Security
Skrip ini mengambil log keamanan dari platform Trend Micro dan memasukkannya ke Google SecOps. Untuk mengetahui informasi tentang API yang digunakan, lihat API
log keamanan.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Variabel | Deskripsi | Default | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID pelanggan instance Chronicle (Google SecOps). | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk mengetahui informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 10 | Tidak |
CHRONICLE_DATA_TYPE |
Jenis log untuk mengirimkan data ke instance Chronicle (Google SecOps). | Tidak ada | Tidak |
TREND_MICRO_AUTHENTICATION_TOKEN |
Jalur Google Secret Manager dengan versi, tempat token autentikasi untuk Trend Micro Server disimpan. | Tidak ada | Ya |
TREND_MICRO_SERVICE_URL |
URL layanan Cloud App Security. | Tidak ada | Tidak |
TREND_MICRO_SERVICE |
Nama layanan yang dilindungi, yang lognya akan diambil. Mendukung nilai yang dipisahkan koma. Kemungkinan nilai: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. | exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat | Tidak |
TREND_MICRO_EVENT |
Jenis peristiwa keamanan yang lognya akan diambil. Mendukung nilai yang dipisahkan koma. Nilai yang mungkin: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | Tidak |
Trend Micro Vision One
Skrip ini mengambil log audit Trend Micro Vision One dan memprosesnya ke Google SecOps dengan jenis log TREND_MICRO_VISION_AUDIT. Untuk
informasi tentang API yang digunakan, lihat API log audit.
Tentukan variabel lingkungan berikut dalam file .env.yml.
| Variabel | Deskripsi | Default | Secret |
|---|---|---|---|
TREND_MICRO_VISION_AUDIT |
ID pelanggan instance Google SecOps. | Tidak ada | Tidak |
CHRONICLE_REGION |
Region instance Chronicle (Google SecOps). | usNilai valid lainnya: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2, dan southamerica-east1. |
Tidak |
CHRONICLE_SERVICE_ACCOUNT |
Jalur ke secret di Secret Manager yang menyimpan file JSON akun layanan Chronicle (Google SecOps). | Tidak ada | Ya |
CHRONICLE_NAMESPACE |
Namespace yang diberi label pada log Chronicle (Google SecOps). Untuk mengetahui informasi tentang namespace Google SecOps, lihat Bekerja dengan namespace aset. | Tidak ada | Tidak |
POLL_INTERVAL |
Interval frekuensi saat fungsi dijalankan untuk mendapatkan data log tambahan (dalam menit). Durasi ini harus sama dengan interval tugas Cloud Scheduler. | 10 | Tidak |
TREND_MICRO_AUTHENTICATION_TOKEN |
Jalur Google Secret Manager dengan versi, tempat token autentikasi untuk Trend Micro Server disimpan. | Tidak ada | Ya |
TREND_MICRO_DOMAIN |
Region Trend Micro Vision One tempat endpoint layanan berada. | Tidak ada | Tidak |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.