Recopila registros de Onfido

Compatible con:

Este analizador extrae campos de los registros SYSLOG y con formato JSON de Onfido, y los asigna a la UDM. Analiza el campo de mensaje con grok, controla las cargas útiles de JSON si están presentes y asigna tipos de eventos de productos específicos a tipos de eventos de la AUA. Esto incluye establecer el tipo de evento en USER_LOGIN para los accesos correctos y USER_UNCATEGORIZED para otros eventos. También completa los campos de la AUA para la información del usuario, la IP de origen y los detalles de los resultados de seguridad.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso con privilegios al panel de Onfido

Cómo configurar feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura los feeds desde Configuración de SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la página siguiente, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de Onfido.
  5. Selecciona Webhook como el Tipo de origen.
  6. Selecciona Onfido como el Tipo de registro.
  7. Haz clic en Siguiente.
  8. Opcional: Especifica valores para los siguientes parámetros de entrada:
    • Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
  9. Haz clic en Siguiente.
  10. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
  11. Haz clic en Generate Secret Key para generar una clave secreta que autentique este feed.
  12. Copia y almacena la clave secreta. No podrás volver a ver esta clave secreta. Si es necesario, puedes volver a generar una clave secreta nueva, pero esta acción hace que la clave secreta anterior quede obsoleta.
  13. En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Debes especificar esta URL de extremo en tu aplicación cliente.
  14. Haz clic en Listo.

Cómo configurar feeds desde el Content Hub

Especifica valores para los siguientes campos:

  • Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.

Opciones avanzadas

  • Nombre del feed: Es un valor prepropagado que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.

  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

  • Haz clic en Generate Secret Key para generar una clave secreta que autentique este feed.

  • Copia y almacena la clave secreta. No podrás volver a ver esta clave secreta. Si es necesario, puedes volver a generar una clave secreta nueva, pero esta acción hace que la clave secreta anterior quede obsoleta.

  • En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Debes especificar esta URL de extremo en tu aplicación cliente.

Crea una clave de API para el feed de webhook

  1. Ve a Google Cloud console > Credentials.

    Ir a Credenciales

  2. Haz clic en Crear credenciales y selecciona Clave de API.

  3. Restringe el acceso de la clave de API a la API de Google Security Operations.

Especifica la URL del extremo

  1. En tu aplicación cliente, especifica la URL del extremo HTTPS que se proporciona en el feed de webhook.

  2. Habilita la autenticación especificando la clave de API y la clave secreta como parte del encabezado personalizado en el siguiente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recomendación: Especifica la clave de API como un encabezado en lugar de hacerlo en la URL.

  3. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta con parámetros de consulta en el siguiente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Reemplaza lo siguiente:

    • ENDPOINT_URL: Es la URL del extremo del feed.
    • API_KEY: Es la clave de API para autenticar en Google SecOps.
    • SECRET: Es la clave secreta que generaste para autenticar el feed.

Configura el webhook de Onfido

  1. Accede al panel de Onfido.
  2. Ve a Configuración > Webhooks.
  3. Haz clic en Agregar webhook.

  4. Especifica valores para los siguientes parámetros de entrada:

    • URL de webhook: Ingresa el <ENDPOINT_URL> del extremo de API de SecOps de Google.
    • Eventos: Selecciona los eventos que deben activar el webhook (por ejemplo, selecciona check.completed o report.completed).

  5. Haz clic en Guardar para crear el webhook.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
category security_result.category_details El valor del campo category del registro sin procesar se asigna a security_result.category_details.
check_id metadata.product_log_id El valor del campo check_id extraído del campo json_data en el registro sin procesar se asigna a metadata.product_log_id. Si prod_evt_type es "Successful login", se asigna el valor "AUTHTYPE_UNSPECIFIED".
metadata.event_timestamp La marca de tiempo de la entrada de registro sin procesar se convierte en segundos de época y se asigna a metadata.event_timestamp.
metadata.event_type Si prod_evt_type es "Acceso correcto", se asigna el valor USER_LOGIN. De lo contrario, se asigna USER_UNCATEGORIZED.
metadata.product_name El código del analizador establece el valor en "ONFIDO".
prod_evt_type metadata.product_event_type El valor del campo prod_evt_type del registro sin procesar se asigna a metadata.product_event_type.
metadata.vendor_name El código del analizador establece el valor en "ONFIDO".
metadata.product_version El código del analizador establece el valor en "ONFIDO".
security_result.action security_result.action Si prod_evt_type es "Acceso correcto", se asigna el valor ALLOW.
src_ip principal.ip El valor del campo src_ip del registro sin procesar se asigna a principal.ip.
user_email target.user.email_addresses El valor del campo user_email del registro sin procesar se asigna a target.user.email_addresses.
user_name target.user.user_display_name El valor del campo user_name del registro sin procesar se asigna a target.user.user_display_name.

Cambios

2023-03-10

  • Es un analizador creado recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.