Utilizzare gli script di importazione di cui è stato eseguito il deployment come Cloud Run Functions
Google Security Operations ha fornito un insieme di script di importazione, scritti in Python, che devono essere implementati come funzioni Cloud Run. Questi script ti consentono di importare i dati dalle seguenti origini log, elencate per nome e tipo di log.
- Armis Google SecOps Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Activity (
DUO_ACTIVITY) - Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Questi script si trovano nel repository GitHub di Google SecOps.
Limitazione nota:quando questi script vengono utilizzati in un ambiente senza stato come le funzioni Cloud Run, potrebbero non inviare tutti i log a Google SecOps perché non dispongono della funzionalità di checkpoint. Google SecOps ha testato gli script con il runtime Python 3.9.
Prima di iniziare
Leggi le seguenti risorse che forniscono contesto e informazioni di base che ti consentono di utilizzare in modo efficace gli script di importazione di Google SecOps.
- Deployment di Cloud Run Functions per informazioni su come eseguire il deployment di Cloud Run Functions dalla tua macchina locale.
- Creazione e accesso ai secret spiega come utilizzare Secret Manager. Ti servirà per archiviare e accedere al file JSON dell'account di servizio Google SecOps.
- Installa Google Cloud CLI. Lo utilizzerai per eseguire il deployment della funzione Cloud Run.
- Google Cloud Documentazione di Pub/Sub se prevedi di importare dati da Pub/Sub.
Assemblare i file per un singolo tipo di log
Ogni sottodirectory in Google SecOps GitHub contiene file che inseriscono i dati per un singolo tipo di log di Google SecOps. Lo script si connette a un singolo dispositivo di origine e poi invia i log non elaborati a Google SecOps utilizzando l'API Ingestion. Ti consigliamo di eseguire il deployment di ogni tipo di log come funzione Cloud Run separata. Accedi agli script nel repository GitHub di Google SecOps. Ogni sottodirectory in GitHub contiene i seguenti file specifici per il tipo di log che acquisisce.
main.pyè lo script di importazione specifico per il tipo di log. Si connette al dispositivo di origine e inserisce i dati in Google SecOps..env.ymlmemorizza la configurazione richiesta dallo script Python ed è specifico per il deployment. Modifica questo file per impostare i parametri di configurazione richiesti dallo script di importazione.README.mdfornisce informazioni sui parametri di configurazione.Requirements.txtdefinisce le dipendenze richieste dallo script di importazione. Inoltre, la cartellacommoncontiene funzioni di utilità da cui dipendono tutti gli script di importazione.
Per assemblare i file che importano i dati per un singolo tipo di log, segui questi passaggi:
- Crea una directory di deployment per archiviare i file della funzione Cloud Run. che conterrà tutti i file necessari per il deployment.
- Copia tutti i file dalla sottodirectory GitHub del tipo di log selezionato, ad esempio OneLogin User Context, in questa directory di deployment.
- Copia la cartella
commone tutti i suoi contenuti nella directory di deployment. I contenuti della directory saranno simili ai seguenti:
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Configurare gli script
- Avvia una sessione di Cloud Shell.
- Connettiti tramite SSH a una VM Linux Google Cloud . Consulta Connettiti alle VM Linux utilizzando gli strumenti Google.
Carica gli script di importazione facendo clic su Altro > Carica o Scarica per spostare i file o le cartelle da o verso Cloud Shell.
I file e le cartelle possono essere caricati e scaricati solo dalla tua home directory. Per altre opzioni di trasferimento dei file tra Cloud Shell e la tua workstation locale, consulta [Caricare e scaricare file e cartelle da Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.
Modifica il file
.env.ymlper la funzione e compila le variabili di ambiente richieste. La tabella seguente elenca le variabili dell'ambiente di runtime comuni a tutti gli script di importazione.Nome variabile Descrizione Obbligatorio Predefinito Secret CHRONICLE_CUSTOMER_IDID cliente Chronicle (Google SecOps). Sì Nessuno No CHRONICLE_REGIONRegione Chronicle (Google SecOps). Sì us
Altri valori validi:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2esouthamerica-east1.No CHRONICLE_SERVICE_ACCOUNTContenuto del file JSON dell'account di servizio Chronicle (Google SecOps). Sì Nessuno Sì CHRONICLE_NAMESPACELo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Google SecOps, vedi Utilizzare gli spazi dei nomi degli asset. No Nessuno No Ogni script richiede variabili di ambiente specifiche. Consulta Parametri di configurazione per tipo di log per informazioni dettagliate sulle variabili di ambiente richieste da ciascun tipo di log.
Le variabili di ambiente contrassegnate come Secret = Yes devono essere configurate come secret in
Secret Manager. Per informazioni sui costi di utilizzo di Secret Manager, consulta la pagina Prezzi di Secret Manager.
Per istruzioni dettagliate, consulta Creazione e accesso ai secret.
Dopo aver creato i secret in Secret Manager, utilizza il nome della risorsa secret come valore per le variabili di ambiente. Ad esempio:
projects/{project_id}/secrets/{secret_id}/versions/{version_id}, dove
{project_id}, {secret_id} e {version_id} sono specifici per il tuo
ambiente.
Configurare uno scheduler o un trigger
Tutti gli script, ad eccezione di Pub/Sub, vengono implementati per raccogliere i dati a intervalli periodici da un dispositivo sorgente. Devi configurare un trigger utilizzando Cloud Scheduler per recuperare i dati nel tempo. Lo script di importazione per Pub/Sub monitora continuamente la sottoscrizione Pub/Sub. Per saperne di più, vedi Esecuzione di servizi in base a una pianificazione e Utilizzo di Pub/Sub per attivare una funzione Cloud Run.
Esegui il deployment della funzione Cloud Run
- Avvia una sessione di Cloud Shell.
- Connettiti tramite SSH a una VM Linux Google Cloud . Consulta Connettiti alle VM Linux usando gli strumenti Google.
- Passa alla directory in cui hai copiato gli script di importazione.
Esegui questo comando per eseguire il deployment della funzione Cloud Run.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSostituisci
<FUNCTION_NAME>con il nome che definisci per la funzione Cloud Run.Sostituisci
<SERVICE_ACCOUNT_EMAIL>con l'indirizzo email del service account che vuoi che la tua funzione Cloud Run utilizzi.Se non cambi directory nella posizione dei file, assicurati di utilizzare l'opzione
--sourceper specificare la posizione degli script di deployment.L'account di servizio che esegue la funzione Cloud Run deve disporre dei ruoli Cloud Functions Invoker (
roles/cloudfunctions.invoker) e Secret Manager Secret Accessor (roles/secretmanager.secretAccessor).
Visualizza log di runtime
Gli script di importazione stampano i messaggi di runtime su stdout. Cloud Run Functions fornisce un meccanismo per visualizzare i messaggi di log.
Parametri di configurazione per tipo di log
Integrazione di Armis Google SecOps
Questo script raccoglie i dati utilizzando chiamate API dalla piattaforma Armis per diversi tipi di eventi come avvisi, attività, dispositivi e vulnerabilità. I dati raccolti vengono inseriti in Google SecOps e analizzati dai parser corrispondenti.
Flusso dello script
Di seguito è riportato il flusso dello script:
Verifica le variabili di ambiente.
Esegui il deployment dello script in Cloud Run Functions.
Raccogli i dati utilizzando lo script di importazione.
Importa i dati raccolti in Google SecOps.
Analizza i dati raccolti tramite i parser corrispondenti in Google SecOps.
Utilizzare uno script per raccogliere e importare i dati in Google SecOps
Verifica le variabili di ambiente.
Variabile Descrizione Obbligatorio Predefinito Secret CHRONICLE_CUSTOMER_IDID cliente Chronicle (Google SecOps). Sì - No CHRONICLE_REGIONRegione Chronicle (Google SecOps). Sì US Sì CHRONICLE_SERVICE_ACCOUNTContenuto del file JSON dell'account di servizio Chronicle (Google SecOps). Sì - Sì CHRONICLE_NAMESPACELo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). No - No POLL_INTERVALIntervallo di frequenza con cui la funzione viene eseguita per ottenere ulteriori Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. Sì 10 No ARMIS_SERVER_URLURL del server della piattaforma Armis. Sì - No ARMIS_API_SECRET_KEYChiave segreta richiesta per l'autenticazione. Sì - Sì HTTPS_PROXYURL del server proxy. No - No CHRONICLE_DATA_TYPETipo di dati Chronicle (Google SecOps) per il push dei dati in Google SecOps. Sì - No Configura la directory.
Crea una nuova directory per il deployment delle funzioni Cloud Run e aggiungi una directory
commone i contenuti dello script di importazione (armis).Imposta le variabili di ambiente di runtime richieste.
Definisci le variabili di ambiente richieste nel file
.env.yml.Utilizza i secret.
Le variabili di ambiente contrassegnate come secret devono essere configurate come secret in Secret Manager. Per saperne di più su come creare i secret, consulta Creare un secret.
Dopo aver creato i secret in Secret Manager, utilizza il nome della risorsa del secret come valore per le variabili di ambiente. Ad esempio:
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Configura lo spazio dei nomi.
Imposta la variabile di ambiente
CHRONICLE_NAMESPACEper configurare lo spazio dei nomi. I log di Chronicle (Google SecOps) vengono inseriti nello spazio dei nomi.Esegui il deployment di Cloud Run Functions.
Esegui il comando seguente dall'interno della directory creata in precedenza per eseguire il deployment della funzione cloud.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSpecifiche predefinite di Cloud Run Functions.
Variabile Predefinito Descrizione Memoria 256 MB Nessuno Nessuno Timedout 60 secondi Nessuno Nessuno Regione us-central1 Nessuno Nessuno Numero minimo di istanze 0 Nessuno Nessuno Numero massimo di istanze 100 Nessuno Nessuno Per ulteriori informazioni su come configurare queste variabili, consulta Configurare Cloud Run Functions.
Recuperare i dati storici.
Per recuperare i dati storici e continuare a raccogliere dati in tempo reale:
- Configura la variabile di ambiente
POLL_INTERVALin minuti per i quali devono essere recuperati i dati storici. - Attiva la funzione utilizzando uno scheduler o manualmente eseguendo il comando in Google Cloud CLI dopo aver configurato le funzioni Cloud Run.
- Configura la variabile di ambiente
Aruba Central
Questo script recupera gli audit log dalla piattaforma Aruba Central e li importa
in Google SecOps con il tipo di log ARUBA_CENTRAL. Per informazioni su come utilizzare la libreria, consulta l'SDK Python pycentral.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Chronicle (Google SecOps), vedi Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 10 | No |
ARUBA_CLIENT_ID |
ID client del gateway API Aruba Central. | Nessuno | No |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Client secret del gateway API Aruba Central. | Nessuno | Sì |
ARUBA_USERNAME |
Nome utente della piattaforma Aruba Central. | Nessuno | No |
ARUBA_PASSWORD_SECRET_PATH |
Password della piattaforma Aruba Central. | Nessuno | Sì |
ARUBA_BASE_URL |
URL di base del gateway API Aruba Central. | Nessuno | No |
ARUBA_CUSTOMER_ID |
ID cliente della piattaforma Aruba Central. | Nessuno | No |
Hub eventi di Azure
A differenza di altri script di importazione, questo script utilizza le funzioni di Azure per recuperare gli eventi da Azure Event Hub. Una funzione Azure si attiva ogni volta che un nuovo evento viene aggiunto a un bucket e ogni evento viene inserito gradualmente in Google SecOps.
Passaggi per il deployment delle funzioni Azure:
- Scarica dal repository il file del connettore dati denominato
Azure_eventhub_API_function_app.json. - Accedi al portale di Microsoft Azure.
- Vai a Microsoft Sentinel > Seleziona il tuo spazio di lavoro dall'elenco >
Seleziona Data Connector (Connettore dati) nella sezione di configurazione e procedi nel seguente modo:
- Imposta il seguente flag su true nell'URL:
feature.BringYourOwnConnector=true. Ad esempio: https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Individua il pulsante Importa nella pagina e importa il file del connettore dati scaricato nel passaggio 1.
- Imposta il seguente flag su true nell'URL:
- Fai clic sul pulsante Esegui il deployment su Azure per eseguire il deployment della funzione e segui i passaggi indicati nella stessa pagina.
- Seleziona Abbonamento, Gruppo di risorse e Località che preferisci e fornisci i valori richiesti.
- Fai clic su Rivedi e crea.
- Fai clic su Crea per eseguire il deployment.
Box
Questo script recupera i dettagli degli eventi che si verificano in Box e li importa
in Google SecOps con il tipo di log BOX. I dati forniscono approfondimenti sulle operazioni CRUD sugli oggetti nell'ambiente Box. Per informazioni sugli eventi Box, consulta l'API Box Events.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per ulteriori
informazioni su ID client, client secret e ID soggetto di Box, vedi Concessione
credenziali
client
.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
BOX_CLIENT_ID |
ID client della piattaforma Box, disponibile nella console per sviluppatori Box. | Nessuno | No |
BOX_CLIENT_SECRET |
Percorso del secret in Secret Manager che archivia il client secret della piattaforma Box utilizzato per l'autenticazione. | Nessuno | Sì |
BOX_SUBJECT_ID |
ID utente Box o ID azienda. | Nessuno | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi Google SecOps, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
Audit log di Citrix Cloud
Questo script raccoglie gli audit log di Citrix Cloud e li importa in
Google SecOps con il tipo di log CITRIX_MONITOR. Questi log aiutano a identificare le attività eseguite nell'ambiente Citrix Cloud fornendo informazioni su cosa è cambiato, chi lo ha modificato, quando è stato modificato e così via. Per ulteriori
informazioni, consulta l'API Citrix Cloud SystemLog.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per
informazioni su ID client e client secret Citrix, consulta Come iniziare
a utilizzare
le API Citrix.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
CITRIX_CLIENT_ID |
ID client API Citrix. | Nessuno | No |
CITRIX_CLIENT_SECRET |
Percorso del secret in Secret Manager che archivia il client secret dell'API Citrix utilizzato per l'autenticazione. | Nessuno | Sì |
CITRIX_CUSTOMER_ID |
ID cliente Citrix. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui vengono raccolti dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 30 | No |
URL_DOMAIN |
Endpoint Citrix Cloud. | Nessuno | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Chronicle (Google SecOps), vedi Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
Metadati della sessione Citrix
Questo script raccoglie i metadati della sessione Citrix dagli ambienti Citrix e li importa in Google SecOps con il tipo di log CITRIX_MONITOR. I dati includono
i dettagli di accesso dell'utente, la durata della sessione, l'ora di creazione della sessione, l'ora di fine della sessione
e altri metadati correlati alla sessione. Per ulteriori informazioni, consulta l'API Citrix Monitor Service.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per
informazioni su ID client e client secret Citrix, consulta Come iniziare
a utilizzare
le API Citrix.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
URL_DOMAIN |
Dominio dell'URL di Citrix. | Nessuno | No |
CITRIX_CLIENT_ID |
ID client Citrix. | Nessuno | No |
CITRIX_CLIENT_SECRET |
Percorso del secret in Secret Manager che archivia il client secret Citrix utilizzato per l'autenticazione. | Nessuno | Sì |
CITRIX_CUSTOMER_ID |
ID cliente Citrix. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 30 | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Google SecOps, consulta Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
Cloud Storage
Questo script recupera i log di sistema da Cloud Storage e li importa in Google SecOps con un valore configurabile per il tipo di log. Per maggiori dettagli, consulta la libreria client Python.Google Cloud
Definisci le seguenti variabili di ambiente nel file .env.yml. Google Cloud
contiene log pertinenti alla sicurezza da cui alcuni tipi di log non sono esportabili direttamente
in Google SecOps. Per maggiori informazioni, consulta Analisi dei log di sicurezza.
| Variabile | Descrizione | Predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Il percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Google SecOps, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 60 | No |
GCS_BUCKET_NAME |
Nome del bucket Cloud Storage da cui recuperare i dati. | Nessuno | No |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Google Cloud . | Nessuno | Sì |
CHRONICLE_DATA_TYPE |
Tipo di log per il push dei dati nell'istanza di Chronicle (Google SecOps). | Nessuno | No |
Attività di Duo
Questo script recupera i log attività di Duo da Duo Admin e li importa in
Google SecOps con il tipo di log DUO_ACTIVITY. Per maggiori informazioni, consulta l'API Duo Admin.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1,
asia-southeast1, australia-southeast1, europe,
europe-west2, europe-west3, europe-west6,
europe-west12, me-central1, me-central2,
me-west1 e northamerica-northeast2. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
BACKSTORY_API_V1_URL |
Il percorso URL dell'API Duo Security. Per ulteriori informazioni sul download del file JSON contenente la chiave di integrazione dell'API Duo Admin, consulta la documentazione di Duo Admin. | Nessuno | Sì |
DUO_SECRET_KEY |
La chiave segreta DUO necessaria per recuperare i log dall'API DUO. Consulta la documentazione di Duo Admin per istruzioni sul download del file JSON contenente la chiave di integrazione dell'API Duo Admin, la chiave segreta dell'API Duo Admin e l'hostname dell'API Duo Admin. |
Nessuno | Sì |
DUO_INTEGRATION_KEY |
La chiave di integrazione DUO necessaria per recuperare i log dall'API DUO. Consulta la
documentazione di Duo Admin per istruzioni sul download del file JSON
contenente la chiave di integrazione dell'API Duo Admin, la chiave segreta dell'API Duo Admin
e l'hostname dell'API Duo Admin. |
Nessuno | Sì |
LOG_FETCH_DURATION |
La durata per cui vengono recuperati i log. | 1 | No |
CHECKPOINT_FILE_PATH |
Il percorso del file in cui è archiviato il timestamp del checkpoint dell'ultimo log inserito. | checkpoint.json |
No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Google SecOps, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
Amministratore Duo
Lo script recupera gli eventi da Duo Admin relativi alle operazioni CRUD eseguite su
vari oggetti come account utente e sicurezza. Gli eventi vengono importati in
Google SecOps con il tipo di log DUO_ADMIN. Per maggiori informazioni, consulta l'API Duo Admin.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | Nessuno | No |
DUO_API_DETAILS |
Percorso del secret in Secret Manager che archivia il file JSON dell'account Duo. Contiene la chiave di integrazione dell'API Duo Admin, la chiave segreta dell'API Duo Admin e il nome host dell'API Duo Admin. Ad esempio:
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Consulta la documentazione di Duo Admin per istruzioni sul download del file JSON. |
Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Google SecOps, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
MISP
Questo script recupera le informazioni sulle relazioni tra minacce da MISP, una piattaforma open source di condivisione e intelligence sulle minacce, e le importa in Google SecOps con il tipo di log MISP_IOC. Per maggiori informazioni, consulta l'API
MISP Events.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
ORG_NAME |
Nome dell'organizzazione per filtrare gli eventi. | Nessuno | No |
API_KEY |
Percorso del secret in Secret Manager che archivia la chiave API per l'autenticazione utilizzata. | Nessuno | Sì |
TARGET_SERVER |
L'indirizzo IP dell'istanza MISP che hai creato. | Nessuno | No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi Google SecOps, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
Eventi OneLogin
Questo script recupera gli eventi da un ambiente OneLogin e li importa in
Google SecOps con il tipo di log ONELOGIN_SSO. Questi eventi forniscono
informazioni come le operazioni sugli account utente. Per ulteriori informazioni, consulta l'API OneLogin Events.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per
informazioni su ID client e client secret di OneLogin, consulta Utilizzo delle
credenziali API.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
CLIENT_ID |
ID client della piattaforma OneLogin. | Nessuno | No |
CLIENT_SECRET |
Percorso del secret in Secret Manager che archivia il client secret della piattaforma OneLogin utilizzato per l'autenticazione. | Nessuno | Sì |
TOKEN_ENDPOINT |
L'URL per richiedere un token di accesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Google SecOps, consulta Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
Contesto utente OneLogin
Questo script recupera i dati relativi agli account utente da un ambiente OneLogin e
li importa in Google SecOps con il tipo di log ONELOGIN_USER_CONTEXT.
Per saperne di più, consulta l' API OneLogin User.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per
informazioni su ID client e client secret di OneLogin, consulta Utilizzo delle
credenziali API.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 30 | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
CLIENT_ID |
ID client della piattaforma OneLogin. | Nessuno | No |
CLIENT_SECRET |
Percorso del secret in Secret Manager che archivia il client secret della piattaforma OneLogin utilizzato per l'autenticazione. | Nessuno | Sì |
TOKEN_ENDPOINT |
L'URL per richiedere un token di accesso. | https://api.us.onelogin.com/auth/oauth2/v2/token |
No |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Google SecOps, consulta Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
Proofpoint
Questo script recupera i dati sugli utenti presi di mira da attacchi provenienti da una determinata organizzazione in un determinato periodo di tempo e li importa in Google SecOps. Per informazioni sull'API utilizzata, consulta l'API People.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per informazioni dettagliate su come ottenere il service principal Proofpoint e il secret Proofpoint, consulta la Guida alla configurazione di Arctic Wolf per fornire le credenziali Proofpoint TAP.
| Variabile | Descrizione | Predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Il percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Google SecOps, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 360 | No |
CHRONICLE_DATA_TYPE |
Tipo di log per il push dei dati nell'istanza di Chronicle (Google SecOps). | Nessuno | No |
PROOFPOINT_SERVER_URL |
URL di base del gateway API del server Proofpoint. | Nessuno | No |
PROOFPOINT_SERVICE_PRINCIPLE |
Nome utente della piattaforma Proofpoint. In genere si tratta del service principal. | Nessuno | No |
PROOFPOINT_SECRET |
Percorso di Secret Manager con la versione in cui è memorizzata la password della piattaforma Proofpoint. | Nessuno | Sì |
PROOFPOINT_RETRIEVAL_RANGE |
Numero che indica da quanti giorni devono essere recuperati i dati. I valori accettati sono 14, 30 e 90. | Nessuno | No |
Pub/Sub
Questo script raccoglie i messaggi dalle sottoscrizioni Pub/Sub e inserisce i dati in Google SecOps. Monitora continuamente il gateway di sottoscrizione e acquisisce i messaggi più recenti quando vengono visualizzati. Per saperne di più, consulta i seguenti documenti:
Questo script di importazione richiede l'impostazione di variabili sia nel file .env.yml
sia nel job Cloud Scheduler.
Definisci le seguenti variabili di ambiente nel file
.env.yml.Nome variabile Descrizione Valore predefinito Secret CHRONICLE_CUSTOMER_IDID cliente dell'istanza Chronicle (Google SecOps). Nessuno No CHRONICLE_REGIONRegione dell'istanza Chronicle (Google SecOps). us
Altri valori validi:asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2esouthamerica-east1.No CHRONICLE_SERVICE_ACCOUNTPercorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). Nessuno Sì CHRONICLE_NAMESPACELo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi Google SecOps, vedi Utilizzare gli spazi dei nomi degli asset. Nessuno No Imposta le seguenti variabili nel campo Corpo del messaggio di Cloud Scheduler come stringa formattata in JSON. Per saperne di più sul campo Corpo del messaggio, consulta la sezione Creazione di Cloud Scheduler.
Nome variabile Descrizione Valore predefinito Secret PROJECT_IDID progetto Pub/Sub. Per informazioni sull'ID progetto, consulta la pagina Creare e gestire progetti. Nessuno No SUBSCRIPTION_IDID sottoscrizione Pub/Sub. Nessuno No CHRONICLE_DATA_TYPEEtichetta di importazione per il tipo di log fornito durante il push dei dati in Chronicle (Google SecOps). Consulta l'articolo Parser predefiniti supportati per un elenco dei tipi di log supportati. Nessuno No Ecco un esempio di stringa formattata in JSON per il campo Corpo del messaggio.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Audit log di Slack
Questo script recupera i log di controllo da un'organizzazione Slack Enterprise Grid e
li inserisce in Google SecOps con il tipo di log SLACK_AUDIT. Per ulteriori
informazioni, consulta l'API Slack Audit Logs.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Valore predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve essere uguale all'intervallo del job Cloud Scheduler. | 5 | No |
SLACK_ADMIN_TOKEN |
Percorso del secret in Secret Manager che archivia il token di autenticazione Slack. |
Nessuno |
Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Google SecOps, consulta Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
STIX/TAXII
Questo script estrae gli indicatori dal server STIX/TAXII e li inserisce in
Google SecOps. Per saperne di più, consulta la documentazione dell'API STIX/TAXII.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Nome variabile | Descrizione | Predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Il percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
POLL_INTERVAL |
Intervallo di frequenza (in minuti) con cui viene eseguita la funzione. Questa durata deve corrispondere a quella del job Cloud Scheduler. | 60 | No |
TAXII_VERSION |
La versione di STIX/TAXII da utilizzare. Le opzioni possibili sono 1.1, 2.0, 2.1 | Nessuno | No |
TAXII_DISCOVERY_URL |
URL di rilevamento del server TAXII. | Nessuno | No |
TAXII_COLLECTION_NAMES |
Raccolte (CSV) da cui recuperare i dati. Lascia vuoto per recuperare i dati da tutte le raccolte. | Nessuno | No |
TAXII_USERNAME |
Nome utente richiesto per l'autenticazione, se presente. | Nessuno | No |
TAXII_PASSWORD_SECRET_PATH |
Password richiesta per l'autenticazione, se presente. | Nessuno | Sì |
Tenable.io
Questo script recupera i dati di asset e vulnerabilità dalla piattaforma Tenable.io
e li inserisce in Google SecOps con il tipo di log TENABLE_IO. Per informazioni sulla libreria utilizzata, consulta l'SDK Python pyTenable.
Definisci le seguenti variabili di ambiente nel file .env.yml. Per maggiori dettagli
sui dati di asset e vulnerabilità, consulta l'API Tenable.io: Esportare
asset
e Esportare
vulnerabilità.
| Variabile | Descrizione | Predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Il percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Google SecOps, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 360 | No |
TENABLE_ACCESS_KEY |
La chiave di accesso utilizzata per l'autenticazione. | Nessuno | No |
TENABLE_SECRET_KEY_PATH |
Percorso di Google Secret Manager con la versione in cui è archiviata la password per Tenable Server. | Nessuno | Sì |
TENABLE_DATA_TYPE |
Tipo di dati da importare in Google SecOps. Valori possibili: ASSETS, VULNERABILITIES. | ASSET, VULNERABILITÀ | No |
TENABLE_VULNERABILITY |
Lo stato delle vulnerabilità che vuoi includere nell'esportazione. Valori possibili: `OPEN`, `REOPENED` e `FIXED`. | APERTO, RIAPERTO | No |
Trend Micro Cloud App Security
Questo script recupera i log di sicurezza dalla piattaforma Trend Micro e li importa
in Google SecOps. Per informazioni sull'API utilizzata, consulta l'API
dei log
di sicurezza.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Predefinito | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID cliente dell'istanza Chronicle (Google SecOps). | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Il percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Google SecOps, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 10 | No |
CHRONICLE_DATA_TYPE |
Tipo di log per il push dei dati nell'istanza di Chronicle (Google SecOps). | Nessuno | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Percorso di Google Secret Manager con la versione in cui è memorizzato il token di autenticazione per Trend Micro Server. | Nessuno | Sì |
TREND_MICRO_SERVICE_URL |
URL del servizio Cloud App Security. | Nessuno | No |
TREND_MICRO_SERVICE |
Il nome del servizio protetto di cui recuperare i log. Supporta valori separati da virgole. Valori possibili: exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. | exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat | No |
TREND_MICRO_EVENT |
Il tipo di evento di sicurezza di cui recuperare i log. Supporta valori separati da virgole. Valori possibili: securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | No |
Trend Micro Vision One
Questo script recupera gli audit log di Trend Micro Vision One e li inserisce
in Google SecOps con il tipo di log TREND_MICRO_VISION_AUDIT. Per
informazioni sull'API utilizzata, consulta l'API
audit log.
Definisci le seguenti variabili di ambiente nel file .env.yml.
| Variabile | Descrizione | Predefinito | Secret |
|---|---|---|---|
TREND_MICRO_VISION_AUDIT |
ID cliente dell'istanza Google SecOps. | Nessuno | No |
CHRONICLE_REGION |
Regione dell'istanza Chronicle (Google SecOps). | usAltri valori validi: asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 e southamerica-east1. |
No |
CHRONICLE_SERVICE_ACCOUNT |
Il percorso del secret in Secret Manager che archivia il file JSON dell'account di servizio Chronicle (Google SecOps). | Nessuno | Sì |
CHRONICLE_NAMESPACE |
Lo spazio dei nomi con cui vengono etichettati i log di Chronicle (Google SecOps). Per informazioni sugli spazi dei nomi di Google SecOps, vedi Utilizzare gli spazi dei nomi degli asset. | Nessuno | No |
POLL_INTERVAL |
Intervallo di frequenza con cui la funzione viene eseguita per ottenere dati di log aggiuntivi (in minuti). Questa durata deve corrispondere all'intervallo del job Cloud Scheduler. | 10 | No |
TREND_MICRO_AUTHENTICATION_TOKEN |
Percorso di Google Secret Manager con la versione in cui è memorizzato il token di autenticazione per Trend Micro Server. | Nessuno | Sì |
TREND_MICRO_DOMAIN |
La regione di Trend Micro Vision One in cui si trova l'endpoint di servizio. | Nessuno | No |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.