Utiliser des scripts d'ingestion déployés en tant que fonctions Cloud Run
Google Security Operations a fourni un ensemble de scripts d'ingestion écrits en Python, destinés à être déployés en tant que fonctions Cloud Run. Ces scripts vous permettent d'ingérer des données à partir des sources de journaux suivantes, listées par nom et type de journal.
- Armis Google SecOps Integration
- Aruba Central (
ARUBA_CENTRAL) - Azure Event Hub (configurable log type)
- Box (
BOX) - Citrix Cloud audit logs (
CITRIX_MONITOR) - Citrix session metadata (
CITRIX_SESSION_METADATA) - Cloud Storage (configurable log type)
- Duo Activity (
DUO_ACTIVITY) - Duo Admin (
DUO_ADMIN) - MISP (
MISP_IOC) - OneLogin (
ONELOGIN_SSO) - OneLogin user context (
ONELOGIN_USER_CONTEXT) - Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (
SLACK_AUDIT) - STIX/TAXII threat intelligence (
STIX) - Tenable.io (
TENABLE_IO) - Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (
TREND_MICRO_VISION_AUDIT)
Ces scripts se trouvent dans le dépôt GitHub Google SecOps.
Limitation connue : lorsque ces scripts sont utilisés dans un environnement sans état tel que Cloud Run Functions, il est possible qu'ils n'envoient pas tous les journaux à Google SecOps, car ils ne disposent pas de la fonctionnalité de point de contrôle. Google SecOps a testé les scripts avec l'environnement d'exécution Python 3.9.
Avant de commencer
Consultez les ressources suivantes qui fournissent des informations contextuelles et générales vous permettant d'utiliser efficacement les scripts d'ingestion Google SecOps.
- Pour savoir comment déployer des fonctions Cloud Run à partir de votre ordinateur local, consultez Déployer des fonctions Cloud Run.
- La page Créer des secrets et y accéder explique comment utiliser Secret Manager. Vous en aurez besoin pour stocker le fichier JSON du compte de service Google SecOps et y accéder.
- Installez la Google Cloud CLI. Vous l'utiliserez pour déployer la fonction Cloud Run.
- Google Cloud Documentation Pub/Sub si vous prévoyez d'ingérer des données depuis Pub/Sub.
Assembler les fichiers pour un seul type de journal
Chaque sous-répertoire de Google SecOps GitHub contient des fichiers qui ingèrent des données pour un seul type de journal Google SecOps. Le script se connecte à un seul appareil source, puis envoie les journaux bruts à Google SecOps à l'aide de l'API Ingestion. Nous vous recommandons de déployer chaque type de journal en tant que fonction Cloud Run distincte. Accédez aux scripts dans le dépôt GitHub Google SecOps. Chaque sous-répertoire de GitHub contient les fichiers suivants, spécifiques au type de journaux qu'il ingère.
main.pyest le script d'ingestion spécifique au type de journal. Il se connecte à l'appareil source et ingère les données dans Google SecOps..env.ymlstocke la configuration requise par le script Python et est spécifique au déploiement. Vous modifiez ce fichier pour définir les paramètres de configuration requis par le script d'ingestion.README.mdfournit des informations sur les paramètres de configuration.Requirements.txtdéfinit les dépendances requises par le script d'ingestion. De plus, le dossiercommoncontient des fonctions utilitaires dont dépendent tous les scripts d'ingestion.
Pour assembler les fichiers qui ingèrent des données pour un seul type de journal :
- Créez un répertoire de déploiement pour stocker les fichiers de la fonction Cloud Run. Il contiendra tous les fichiers nécessaires au déploiement.
- Copiez tous les fichiers du sous-répertoire GitHub du type de journal sélectionné (par exemple, "OneLogin User Context") dans ce répertoire de déploiement.
- Copiez le dossier
commonet tout son contenu dans le répertoire de déploiement. Le contenu du répertoire ressemble à ce qui suit :
one_login_user ├─common │ ├─__init__.py │ ├─auth.py │ ├─env_constants.py │ ├─ingest.py │ ├─status.py │ └─utils.py ├─env.yml ├─main.py └─requirements.txt
Configurer les scripts
- Lancez une session Cloud Shell.
- Connectez-vous à une VM Linux à l'aide de SSH. Google Cloud Consultez Se connecter à des VM Linux à l'aide des outils Google.
Importez les scripts d'ingestion en cliquant sur Plus > Importer ou Télécharger pour déplacer vos fichiers ou dossiers vers ou depuis Cloud Shell.
Vous ne pouvez importer et télécharger des fichiers et des dossiers qu'à partir de votre répertoire d'accueil. Pour découvrir d'autres options de transfert de fichiers entre Cloud Shell et votre poste de travail local, consultez [Importer et télécharger des fichiers et des dossiers depuis Cloud Shell](/shell/docs/uploading-and-downloading-files#upload_and_download_files_and_folders.
Modifiez le fichier
.env.ymlde la fonction et renseignez les variables d'environnement requises. Le tableau suivant liste les variables d'environnement d'exécution communes à tous les scripts d'ingestion.Nom de la variable Description Obligatoire Par défaut Secret CHRONICLE_CUSTOMER_IDID client Chronicle (Google SecOps). Oui Aucun Non CHRONICLE_REGIONRégion Chronicle (Google SecOps). Oui us
Autres valeurs valides :asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2etsouthamerica-east1.Non CHRONICLE_SERVICE_ACCOUNTContenu du fichier JSON du compte de service Chronicle (Google SecOps). Oui Aucun Oui CHRONICLE_NAMESPACEEspace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des composants. Non Aucun Non Chaque script nécessite des variables d'environnement spécifiques. Pour en savoir plus sur les variables d'environnement requises par chaque type de journal, consultez Paramètres de configuration par type de journal.
Les variables d'environnement marquées comme Secret = Yes doivent être configurées en tant que secrets dans Secret Manager. Pour en savoir plus sur le coût d'utilisation de Secret Manager, consultez les tarifs de Secret Manager.
Pour obtenir des instructions détaillées, consultez Créer des secrets et y accéder.
Une fois les secrets créés dans Secret Manager, utilisez le nom de ressource secret comme valeur pour les variables d'environnement. Par exemple : projects/{project_id}/secrets/{secret_id}/versions/{version_id}, où {project_id}, {secret_id} et {version_id} sont spécifiques à votre environnement.
Configurer un programmateur ou un déclencheur
Tous les scripts, à l'exception de Pub/Sub, sont implémentés pour collecter les données à intervalles réguliers à partir d'un appareil source. Vous devez configurer un déclencheur à l'aide de Cloud Scheduler pour extraire les données au fil du temps. Le script d'ingestion pour Pub/Sub surveille en permanence l'abonnement Pub/Sub. Pour en savoir plus, consultez Exécuter des services selon une programmation et Utiliser Pub/Sub pour déclencher une fonction Cloud Run.
Déployer la fonction Cloud Run
- Lancez une session Cloud Shell.
- Connectez-vous via SSH à une VM Linux Google Cloud . Consultez Se connecter à des VM Linux à l'aide des outils Google.
- Accédez au répertoire dans lequel vous avez copié les scripts d'ingestion.
Exécutez la commande suivante pour déployer la fonction Cloud Run.
gcloud functions deploy <FUNCTION NAME> --service-account <SERVICE_ACCOUNT_EMAIL> --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlRemplacez
<FUNCTION_NAME>par le nom que vous définissez pour la fonction Cloud Run.Remplacez
<SERVICE_ACCOUNT_EMAIL>par l'adresse e-mail du compte de service que vous souhaitez que votre fonction Cloud Run utilise.Si vous ne changez pas de répertoire pour accéder à l'emplacement des fichiers, veillez à utiliser l'option
--sourcepour spécifier l'emplacement des scripts de déploiement.Le compte de service exécutant votre fonction Cloud Run doit disposer des rôles Demandeur Cloud Functions (
roles/cloudfunctions.invoker) et Accesseur de secrets Secret Manager (roles/secretmanager.secretAccessor).
Afficher les journaux d'exécution
Les scripts d'ingestion impriment les messages d'exécution dans stdout. Cloud Run Functions fournit un mécanisme permettant d'afficher les messages de journaux.
Paramètres de configuration par type de journal
Intégration Armis Google SecOps
Ce script collecte les données à l'aide d'appels d'API depuis la plate-forme Armis pour différents types d'événements tels que les alertes, les activités, les appareils et les failles. Les données collectées sont ingérées dans Google SecOps et analysées par les analyseurs correspondants.
Flux de script
Voici le flux du script :
Vérifiez les variables d'environnement.
Déployez le script dans Cloud Run Functions.
Collectez des données à l'aide du script d'ingestion.
Ingérez les données collectées dans Google SecOps.
Analysez les données collectées à l'aide des analyseurs correspondants dans Google SecOps.
Utiliser un script pour collecter et ingérer des données dans Google SecOps
Vérifiez les variables d'environnement.
Variable Description Obligatoire Par défaut Secret CHRONICLE_CUSTOMER_IDID client Chronicle (Google SecOps). Oui - Non CHRONICLE_REGIONRégion Chronicle (Google SecOps). Oui États-Unis Oui CHRONICLE_SERVICE_ACCOUNTContenu du fichier JSON du compte de service Chronicle (Google SecOps). Oui - Oui CHRONICLE_NAMESPACEEspace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Non - Non POLL_INTERVALIntervalle de fréquence auquel la fonction s'exécute pour obtenir des Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. Oui 10 Non ARMIS_SERVER_URLURL du serveur de la plate-forme Armis. Oui - Non ARMIS_API_SECRET_KEYClé secrète requise pour l'authentification. Oui - Oui HTTPS_PROXYURL du serveur proxy. Non - Non CHRONICLE_DATA_TYPEType de données Chronicle (Google SecOps) permettant d'envoyer des données dans Google SecOps. Oui - Non Configurez le répertoire.
Créez un répertoire pour le déploiement des fonctions Cloud Run et ajoutez-y un répertoire
commonainsi que le contenu du script d'ingestion (armis).Définissez les variables d'environnement d'exécution requises.
Définissez les variables d'environnement requises dans le fichier
.env.yml.Utilisez des secrets.
Les variables d'environnement marquées comme secrètes doivent être configurées comme telles dans Secret Manager. Pour savoir comment créer des secrets, consultez Créer un secret.
Après avoir créé les secrets dans Secret Manager, utilisez le nom de ressource du secret comme valeur pour les variables d'environnement. Exemple :
CHRONICLE_SERVICE_ACCOUNT: projects/{project_id}/secrets/{secret_id}/versions/{version_id}Configurez l'espace de noms.
Définissez la variable d'environnement
CHRONICLE_NAMESPACEpour configurer l'espace de noms. Les journaux Chronicle (Google SecOps) sont ingérés dans l'espace de noms.Déployez les fonctions Cloud Run.
Exécutez la commande suivante à partir du répertoire créé précédemment pour déployer la fonction Cloud.
gcloud functions deploy <FUNCTION NAME> --gen2 --entry-point main --trigger-http --runtime python39 --env-vars-file .env.ymlSpécifications par défaut de Cloud Run Functions.
Variable Par défaut Description Mémoire 256 MB Aucun Aucun Délai dépassé 60 secondes Aucun Aucun Région us-central1 Aucun Aucun Nombre minimal d'instances 0 Aucun Aucun Nombre maximal d'instances 100 Aucun Aucun Pour en savoir plus sur la configuration de ces variables, consultez Configurer des fonctions Cloud Run.
Récupérer les données historiques.
Pour récupérer les données historiques et continuer à collecter les données en temps réel :
- Configurez la variable d'environnement
POLL_INTERVALen minutes pour lesquelles les données historiques doivent être récupérées. - Déclenchez la fonction à l'aide d'un planificateur ou manuellement en exécutant la commande dans Google Cloud CLI après avoir configuré Cloud Run Functions.
- Configurez la variable d'environnement
Aruba Central
Ce script récupère les journaux d'audit de la plate-forme Aruba Central et les ingère dans Google SecOps avec le type de journal ARUBA_CENTRAL. Pour savoir comment utiliser la bibliothèque, consultez le SDK Python pycentral.
Définissez les variables d'environnement suivantes dans le fichier .env.yml.
| Variable | Description | Par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Chronicle (Google SecOps), consultez Utiliser les espaces de noms des composants. | Aucun | Non |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | 10 | Non |
ARUBA_CLIENT_ID |
ID client de la passerelle API Aruba Central. | Aucun | Non |
ARUBA_CLIENT_SECRET_SECRET_PATH |
Code secret du client de la passerelle API Aruba Central. | Aucun | Oui |
ARUBA_USERNAME |
Nom d'utilisateur de la plate-forme Aruba Central. | Aucun | Non |
ARUBA_PASSWORD_SECRET_PATH |
Mot de passe de la plate-forme Aruba Central. | Aucun | Oui |
ARUBA_BASE_URL |
URL de base de la passerelle API Aruba Central. | Aucun | Non |
ARUBA_CUSTOMER_ID |
Numéro client de la plate-forme Aruba Central. | Aucun | Non |
Azure Event Hub
Contrairement aux autres scripts d'ingestion, celui-ci utilise des fonctions Azure pour extraire les événements d'Azure Event Hub. Une fonction Azure se déclenche chaque fois qu'un nouvel événement est ajouté à un bucket, et chaque événement est ingéré progressivement dans Google SecOps.
Étapes à suivre pour déployer des fonctions Azure :
- Téléchargez le fichier du connecteur de données nommé
Azure_eventhub_API_function_app.jsondepuis le dépôt. - Connectez-vous au portail Microsoft Azure.
- Accédez à Microsoft Sentinel > Sélectionnez votre espace de travail dans la liste > Sélectionnez Connecteur de données dans la section de configuration, puis procédez comme suit :
- Définissez l'indicateur suivant sur "true" (vrai) dans l'URL :
feature.BringYourOwnConnector=true. Par exemple : https://portal.azure.com/?feature.BringYourOwnConnector=true&... 1. Recherchez le bouton Importer sur la page et importez le fichier du connecteur de données téléchargé à l'étape 1.
- Définissez l'indicateur suivant sur "true" (vrai) dans l'URL :
- Cliquez sur le bouton Deploy to Azure (Déployer sur Azure) pour déployer votre fonction, puis suivez les étapes mentionnées sur la même page.
- Sélectionnez l'abonnement, le groupe de ressources et l'emplacement de votre choix, puis indiquez les valeurs requises.
- Cliquez sur Examiner et créer.
- Cliquez sur Créer pour déployer.
Box
Ce script obtient des informations sur les événements qui se produisent dans Box et les ingère dans Google SecOps avec le type de journal BOX. Les données fournissent des informations sur les opérations CRUD sur les objets dans l'environnement Box. Pour en savoir plus sur les événements Box, consultez l'API Box Events.
Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour en savoir plus sur l'ID client, le code secret du client et l'ID du sujet Box, consultez Client Credentials Grant.
| Nom de la variable | Description | Valeur par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | 5 | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
BOX_CLIENT_ID |
ID client de la plate-forme Box, disponible dans la console pour les développeurs Box. | Aucun | Non |
BOX_CLIENT_SECRET |
Chemin d'accès au secret dans Secret Manager qui stocke le code secret du client de la plate-forme Box utilisé pour l'authentification. | Aucun | Oui |
BOX_SUBJECT_ID |
ID utilisateur ou ID Enterprise Box. | Aucun | Non |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des composants. | Aucun | Non |
Journaux d'audit Citrix Cloud
Ce script collecte les journaux d'audit Citrix Cloud et les ingère dans Google SecOps avec le type de journal CITRIX_MONITOR. Ces journaux permettent d'identifier les activités effectuées dans l'environnement Citrix Cloud en fournissant des informations sur les modifications apportées, les personnes qui les ont apportées, la date à laquelle elles ont été apportées, etc. Pour en savoir plus, consultez l'API Citrix Cloud SystemLog.
Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour en savoir plus sur les ID et les codes secrets de client Citrix, consultez Premiers pas avec les API Citrix.
| Nom de la variable | Description | Valeur par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
CITRIX_CLIENT_ID |
ID client de l'API Citrix. | Aucun | Non |
CITRIX_CLIENT_SECRET |
Chemin d'accès au secret dans Secret Manager qui stocke le secret client de l'API Citrix utilisé pour l'authentification. | Aucun | Oui |
CITRIX_CUSTOMER_ID |
ID client Citrix. | Aucun | Non |
POLL_INTERVAL |
Intervalle de fréquence auquel des données de journaux supplémentaires sont collectées (en minutes). Cette durée doit être identique à l'intervalle du job Cloud Scheduler. | 30 | Non |
URL_DOMAIN |
Citrix Cloud Endpoint. | Aucun | Non |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Chronicle (Google SecOps), consultez Utiliser les espaces de noms des composants. | Aucun | Non |
Métadonnées de session Citrix
Ce script collecte les métadonnées de session Citrix à partir des environnements Citrix et les ingère dans Google SecOps avec le type de journal CITRIX_MONITOR. Les données incluent les identifiants des utilisateurs, la durée des sessions, l'heure de création et de fin des sessions, ainsi que d'autres métadonnées liées aux sessions. Pour en savoir plus, consultez l'API Citrix Monitor Service.
Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour en savoir plus sur les ID et les codes secrets de client Citrix, consultez Premiers pas avec les API Citrix.
| Nom de la variable | Description | Valeur par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
URL_DOMAIN |
Domaine d'URL Citrix. | Aucun | Non |
CITRIX_CLIENT_ID |
ID client Citrix. | Aucun | Non |
CITRIX_CLIENT_SECRET |
Chemin d'accès au secret dans Secret Manager qui stocke le code secret du client Citrix utilisé pour l'authentification. | Aucun | Oui |
CITRIX_CUSTOMER_ID |
ID client Citrix. | Aucun | Non |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | 30 | Non |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des composants. | Aucun | Non |
Cloud Storage
Ce script récupère les journaux système depuis Cloud Storage et les ingère dans Google SecOps avec une valeur configurable pour le type de journal. Pour en savoir plus, consultez la bibliothèque cliente PythonGoogle Cloud .
Définissez les variables d'environnement suivantes dans le fichier .env.yml. Google Cloud
contient des journaux importants pour la sécurité, dont certains types ne peuvent pas être exportés directement vers Google SecOps. Pour en savoir plus, consultez Analytics sur les journaux de sécurité.
| Variable | Description | Par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des ressources. | Aucun | Non |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | 60 | Non |
GCS_BUCKET_NAME |
Nom du bucket Cloud Storage à partir duquel extraire les données. | Aucun | Non |
GCP_SERVICE_ACCOUNT_SECRET_PATH |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Google Cloud . | Aucun | Oui |
CHRONICLE_DATA_TYPE |
Type de journal pour transférer les données dans l'instance Chronicle (Google SecOps). | Aucun | Non |
Activité Duo
Ce script récupère les journaux d'activité Duo depuis la console d'administration Duo et les ingère dans Google SecOps avec le type de journal DUO_ACTIVITY. Pour en savoir plus, consultez l'API Duo Admin.
Définissez les variables d'environnement suivantes dans le fichier .env.yml.
| Nom de la variable | Description | Valeur par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1,
asia-southeast1, australia-southeast1, europe,
europe-west2, europe-west3, europe-west6,
europe-west12, me-central1, me-central2,
me-west1 et northamerica-northeast2. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
BACKSTORY_API_V1_URL |
Chemin d'URL de l'API Duo Security. Pour en savoir plus sur le téléchargement du fichier JSON contenant la clé d'intégration de l'API Duo Admin, consultez la documentation Duo Admin. | Aucun | Oui |
DUO_SECRET_KEY |
Clé secrète DUO requise pour extraire les journaux de l'API DUO. Consultez la documentation Duo Admin pour savoir comment télécharger le fichier JSON contenant la clé d'intégration de l'API Duo Admin, la clé secrète de l'API Duo Admin et le nom d'hôte de l'API Duo Admin. |
Aucun | Oui |
DUO_INTEGRATION_KEY |
Clé d'intégration DUO requise pour extraire les journaux de l'API DUO. Consultez la documentation Duo Admin pour savoir comment télécharger le fichier JSON contenant la clé d'intégration de l'API Duo Admin, la clé secrète de l'API Duo Admin et le nom d'hôte de l'API Duo Admin. |
Aucun | Oui |
LOG_FETCH_DURATION |
Durée pendant laquelle les journaux sont récupérés. | 1 | Non |
CHECKPOINT_FILE_PATH |
Chemin d'accès au fichier dans lequel est stocké le code temporel du point de contrôle du dernier journal ingéré. | checkpoint.json |
Non |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des composants. | Aucun | Non |
Administrateur Duo
Le script récupère les événements de l'administrateur Duo liés aux opérations CRUD effectuées sur différents objets tels que les comptes utilisateur et la sécurité. Les événements sont ingérés dans Google SecOps avec le type de journal DUO_ADMIN. Pour en savoir plus, consultez l'API Duo Admin.
Définissez les variables d'environnement suivantes dans le fichier .env.yml.
| Nom de la variable | Description | Valeur par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | Aucun | Non |
DUO_API_DETAILS |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte Duo. Il contient la clé d'intégration de l'API Duo Admin, la clé secrète de l'API Duo Admin et le nom d'hôte de l'API Duo Admin. Par exemple :
{
"ikey": "abcd123",
"skey": "def345",
"api_host": "abc-123"
}
Consultez la documentation Duo Admin pour savoir comment télécharger le fichier JSON. |
Aucun | Oui |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des composants. | Aucun | Non |
MISP
Ce script récupère les informations sur les relations de menace depuis MISP, une plate-forme Open Source de partage et d'informations sur les menaces, et les ingère dans Google SecOps avec le type de journal MISP_IOC. Pour en savoir plus, consultez l'API Événements MISP.
Définissez les variables d'environnement suivantes dans le fichier .env.yml.
| Variable | Description | Valeur par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | 5 | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
ORG_NAME |
Nom de l'organisation pour filtrer les événements. | Aucun | Non |
API_KEY |
Chemin d'accès au secret dans Secret Manager qui stocke la clé API pour l'authentification utilisée. | Aucun | Oui |
TARGET_SERVER |
Adresse IP de l'instance MISP que vous avez créée. | Aucun | Non |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des composants. | Aucun | Non |
Événements OneLogin
Ce script récupère les événements d'un environnement OneLogin et les ingère dans Google SecOps avec le type de journal ONELOGIN_SSO. Ces événements fournissent des informations telles que les opérations sur les comptes utilisateur. Pour en savoir plus, consultez l'API OneLogin Events.
Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour en savoir plus sur les ID client et les codes secrets de client OneLogin, consultez Working with API Credentials (Utiliser les identifiants API).
| Nom de la variable | Description | Valeur par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | 5 | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
CLIENT_ID |
ID client de la plate-forme OneLogin. | Aucun | Non |
CLIENT_SECRET |
Chemin d'accès au secret dans Secret Manager qui stocke le code secret du client de la plate-forme OneLogin utilisé pour l'authentification. | Aucun | Oui |
TOKEN_ENDPOINT |
URL permettant de demander un jeton d'accès. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Non |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des composants. | Aucun | Non |
Contexte utilisateur OneLogin
Ce script récupère les données liées aux comptes utilisateur d'un environnement OneLogin et les ingère dans Google SecOps avec le type de journal ONELOGIN_USER_CONTEXT.
Pour en savoir plus, consultez l' API utilisateur OneLogin.
Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour en savoir plus sur les ID client et les codes secrets de client OneLogin, consultez Working with API Credentials (Utiliser les identifiants API).
| Nom de la variable | Description | Valeur par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Numéro client de l'instance Chronicle (Google SecOps). | Aucun | Non |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | 30 | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
CLIENT_ID |
ID client de la plate-forme OneLogin. | Aucun | Non |
CLIENT_SECRET |
Chemin d'accès au secret dans Secret Manager qui stocke le code secret du client de la plate-forme OneLogin utilisé pour l'authentification. | Aucun | Oui |
TOKEN_ENDPOINT |
URL permettant de demander un jeton d'accès. | https://api.us.onelogin.com/auth/oauth2/v2/token |
Non |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des composants. | Aucun | Non |
Proofpoint
Ce script récupère les données sur les utilisateurs ciblés par des attaques provenant d'une organisation spécifique au cours d'une période donnée, puis ingère ces données dans Google SecOps. Pour en savoir plus sur l'API utilisée, consultez l'API People.
Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour savoir comment obtenir le principal de service et le code secret Proofpoint, consultez le guide de configuration "Fournir les identifiants Proofpoint TAP à Arctic Wolf".
| Variable | Description | Par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des ressources. | Aucun | Non |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | 360 | Non |
CHRONICLE_DATA_TYPE |
Type de journal pour transférer les données dans l'instance Chronicle (Google SecOps). | Aucun | Non |
PROOFPOINT_SERVER_URL |
URL de base de la passerelle de l'API Proofpoint Server. | Aucun | Non |
PROOFPOINT_SERVICE_PRINCIPLE |
Nom d'utilisateur de la plate-forme Proofpoint. Il s'agit généralement du principal du service. | Aucun | Non |
PROOFPOINT_SECRET |
Chemin d'accès à Secret Manager avec la version, où le mot de passe de la plate-forme Proofpoint est stocké. | Aucun | Oui |
PROOFPOINT_RETRIEVAL_RANGE |
Nombre indiquant le nombre de jours à partir duquel les données doivent être récupérées. Les valeurs acceptées sont 14, 30 et 90. | Aucun | Non |
Pub/Sub
Ce script collecte les messages des abonnements Pub/Sub et ingère les données dans Google SecOps. Il surveille en permanence la passerelle d'abonnement et ingère les nouveaux messages lorsqu'ils apparaissent. Pour en savoir plus, consultez les documents suivants :
Ce script d'ingestion nécessite que vous définissiez des variables dans le fichier .env.yml et dans la tâche Cloud Scheduler.
Définissez les variables d'environnement suivantes dans le fichier
.env.yml.Nom de la variable Description Valeur par défaut Secret CHRONICLE_CUSTOMER_IDID client de l'instance Chronicle (Google SecOps). Aucun Non CHRONICLE_REGIONRégion de l'instance Chronicle (Google SecOps). us
Autres valeurs valides :asia-northeast1,asia-south1,asia-southeast1,australia-southeast1,europe,europe-west2,europe-west3,europe-west6,europe-west9,europe-west12,me-central1,me-central2,me-west1,northamerica-northeast2etsouthamerica-east1.Non CHRONICLE_SERVICE_ACCOUNTChemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). Aucun Oui CHRONICLE_NAMESPACEEspace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des ressources. Aucun Non Définissez les variables suivantes dans le champ Corps du message de Cloud Scheduler sous forme de chaîne au format JSON. Pour en savoir plus sur le champ Corps du message, consultez la section Créer Cloud Scheduler.
Nom de la variable Description Valeur par défaut Secret PROJECT_IDID du projet Pub/Sub. Pour en savoir plus sur l'ID de projet, consultez Créer et gérer des projets. Aucun Non SUBSCRIPTION_IDID de l'abonnement Pub/Sub. Aucun Non CHRONICLE_DATA_TYPELibellé d'ingestion pour le type de journal fourni lors de l'envoi de données à Chronicle (Google SecOps). Pour obtenir la liste des types de journaux compatibles, consultez Analyseurs par défaut compatibles. Aucun Non Voici un exemple de chaîne au format JSON pour le champ Corps du message.
{ "PROJECT_ID":"projectid-0000","SUBSCRIPTION_ID":"subscription-id","CHRONICLE_DATA_TYPE":"SQUID_PROXY"}
Journaux d'audit Slack
Ce script récupère les journaux d'audit d'une organisation Slack Enterprise Grid et les ingère dans Google SecOps avec le type de journal SLACK_AUDIT. Pour en savoir plus, consultez l'API des journaux d'audit Slack.
Définissez les variables d'environnement suivantes dans le fichier .env.yml.
| Nom de la variable | Description | Valeur par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
Numéro client de l'instance Chronicle (Google SecOps). | Aucun | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journal supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | 5 | Non |
SLACK_ADMIN_TOKEN |
Chemin d'accès au secret dans Secret Manager qui stocke le jeton d'authentification Slack. |
Aucune |
Oui |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des composants. | Aucun | Non |
STIX/TAXII
Ce script extrait les indicateurs du serveur STIX/TAXII et les ingère dans Google SecOps. Pour en savoir plus, consultez la documentation de l'API STIX/TAXII.
Définissez les variables d'environnement suivantes dans le fichier .env.yml.
| Nom de la variable | Description | Par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
POLL_INTERVAL |
Intervalle de fréquence (en minutes) auquel la fonction s'exécute. Cette durée doit être identique à celle de la tâche Cloud Scheduler. | 60 | Non |
TAXII_VERSION |
Version STIX/TAXII à utiliser. Les options possibles sont 1.1, 2.0 et 2.1. | Aucun | Non |
TAXII_DISCOVERY_URL |
URL Discovery du serveur TAXII. | Aucun | Non |
TAXII_COLLECTION_NAMES |
Collections (CSV) à partir desquelles extraire les données. Laissez ce champ vide pour extraire les données de toutes les collections. | Aucun | Non |
TAXII_USERNAME |
Nom d'utilisateur requis pour l'authentification, le cas échéant. | Aucun | Non |
TAXII_PASSWORD_SECRET_PATH |
Mot de passe requis pour l'authentification, le cas échéant. | Aucun | Oui |
Tenable.io
Ce script récupère les données sur les composants et les failles de la plate-forme Tenable.io et les ingère dans Google SecOps avec le type de journal TENABLE_IO. Pour en savoir plus sur la bibliothèque utilisée, consultez le SDK Python pyTenable.
Définissez les variables d'environnement suivantes dans le fichier .env.yml. Pour en savoir plus sur les données concernant les composants et les failles, consultez les pages de l'API Tenable.io : Exporter des composants et Exporter des failles.
| Variable | Description | Par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des ressources. | Aucun | Non |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | 360 | Non |
TENABLE_ACCESS_KEY |
Clé d'accès utilisée pour l'authentification. | Aucun | Non |
TENABLE_SECRET_KEY_PATH |
Chemin d'accès à Google Secret Manager avec la version où est stocké le mot de passe pour Tenable Server. | Aucun | Oui |
TENABLE_DATA_TYPE |
Type de données à ingérer dans Google SecOps. Valeurs possibles : ASSETS, VULNERABILITIES. | COMPOSANTS, FAIBLESSE | Non |
TENABLE_VULNERABILITY |
État des failles que vous souhaitez inclure dans l'exportation. Valeurs possibles : "OPEN", "REOPENED" et "FIXED". | OUVERTE, ROUVERTE | Non |
Trend Micro Cloud App Security
Ce script récupère les journaux de sécurité de la plate-forme Trend Micro et les ingère dans Google SecOps. Pour en savoir plus sur l'API utilisée, consultez l'API des journaux de sécurité.
Définissez les variables d'environnement suivantes dans le fichier .env.yml.
| Variable | Description | Par défaut | Secret |
|---|---|---|---|
CHRONICLE_CUSTOMER_ID |
ID client de l'instance Chronicle (Google SecOps). | Aucun | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des ressources. | Aucun | Non |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | 10 | Non |
CHRONICLE_DATA_TYPE |
Type de journal pour transférer les données dans l'instance Chronicle (Google SecOps). | Aucun | Non |
TREND_MICRO_AUTHENTICATION_TOKEN |
Chemin d'accès à Google Secret Manager avec la version, où est stocké le jeton d'authentification pour Trend Micro Server. | Aucun | Oui |
TREND_MICRO_SERVICE_URL |
URL du service Cloud App Security. | Aucun | Non |
TREND_MICRO_SERVICE |
Nom du service protégé dont les journaux doivent être récupérés. Accepte les valeurs séparées par une virgule. Valeurs possibles : exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat. | exchange, sharepoint, onedrive, dropbox, box, googledrive, gmail, teams, exchangeserver, salesforce_sandbox, salesforce_production, teams_chat | Non |
TREND_MICRO_EVENT |
Type d'événement de sécurité dont les journaux doivent être récupérés. Accepte les valeurs séparées par une virgule. Valeurs possibles : securityrisk, virtualanalyzer, ransomware, dlp. | securityrisk, virtualanalyzer, ransomware, dlp | Non |
Trend Micro Vision One
Ce script récupère les journaux d'audit de Trend Micro Vision One et les ingère dans Google SecOps avec le type de journal TREND_MICRO_VISION_AUDIT. Pour en savoir plus sur l'API utilisée, consultez l'API des journaux d'audit.
Définissez les variables d'environnement suivantes dans le fichier .env.yml.
| Variable | Description | Par défaut | Secret |
|---|---|---|---|
TREND_MICRO_VISION_AUDIT |
Numéro client de l'instance Google SecOps. | Aucun | Non |
CHRONICLE_REGION |
Région de l'instance Chronicle (Google SecOps). | usAutres valeurs valides : asia-northeast1, asia-south1, asia-southeast1, australia-southeast1, europe, europe-west2, europe-west3, europe-west6, europe-west9, europe-west12, me-central1, me-central2, me-west1, northamerica-northeast2 et southamerica-east1. |
Non |
CHRONICLE_SERVICE_ACCOUNT |
Chemin d'accès au secret dans Secret Manager qui stocke le fichier JSON du compte de service Chronicle (Google SecOps). | Aucun | Oui |
CHRONICLE_NAMESPACE |
Espace de noms avec lequel les journaux Chronicle (Google SecOps) sont étiquetés. Pour en savoir plus sur les espaces de noms Google SecOps, consultez Utiliser les espaces de noms des ressources. | Aucun | Non |
POLL_INTERVAL |
Intervalle de fréquence auquel la fonction s'exécute pour obtenir des données de journaux supplémentaires (en minutes). Cette durée doit être identique à l'intervalle de la tâche Cloud Scheduler. | 10 | Non |
TREND_MICRO_AUTHENTICATION_TOKEN |
Chemin d'accès à Google Secret Manager avec la version, où est stocké le jeton d'authentification pour Trend Micro Server. | Aucun | Oui |
TREND_MICRO_DOMAIN |
Région Trend Micro Vision One où se trouve le point de terminaison du service. | Aucun | Non |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.