Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Onfido

Supportato in:

Google secops SIEM

Questo parser estrae i campi dai log in formato SYSLOG e JSON di Onfido, mappandoli a UDM. Analizza il campo del messaggio utilizzando grok, gestisce i payload JSON, se presenti, e mappa tipi di eventi prodotto specifici a tipi di eventi UDM. Ciò include l'impostazione del tipo di evento su USER_LOGIN per gli accessi riusciti e su USER_UNCATEGORIZED per gli altri eventi. Inoltre, compila i campi UDM per le informazioni utente, l'IP di origine e i dettagli dei risultati di sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Istanza Google SecOps.
Accesso privilegiato alla dashboard Onfido.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

Impostazioni SIEM > Feed
Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log Onfido.
Seleziona Webhook come Tipo di origine.
Seleziona Onfido come Tipo di log.
Fai clic su Avanti.
(Facoltativo) Specifica i valori per i seguenti parametri di input:
- Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
Fai clic su Avanti.
Controlla la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
Copia e memorizza la chiave segreta. Non puoi visualizzare di nuovo questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL dell'endpoint nell'applicazione client.
Fai clic su Fine.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.

Opzioni avanzate

Nome feed:un valore precompilato che identifica il feed.
Tipo di origine:metodo utilizzato per raccogliere i log in Google SecOps.
Spazio dei nomi dell'asset:lo spazio dei nomi associato al feed.
Etichette di importazione:etichette applicate a tutti gli eventi di questo feed.
Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
Copia e memorizza la chiave segreta. Non puoi visualizzare di nuovo questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL dell'endpoint nell'applicazione client.

Crea una chiave API per il feed webhook

Vai alla console Google Cloud > Credenziali.

Vai a credenziali
Fai clic su Crea credenziali e poi seleziona Chiave API.
Limita l'accesso della chiave API all'API Google Security Operations.

Specifica l'URL dell'endpoint

Nella tua applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.
Attiva l'autenticazione specificando la chiave API e la chiave segreta come parte dell'intestazione personalizzata nel seguente formato:
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
Consiglio: specifica la chiave API come intestazione anziché nell'URL.
Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Sostituisci quanto segue:
- ENDPOINT_URL: l'URL dell'endpoint del feed.
- API_KEY: la chiave API per l'autenticazione a Google SecOps.
- SECRET: la chiave segreta che hai generato per autenticare il feed.

Configura il webhook Onfido

Accedi alla dashboard di Onfido.
Vai a Impostazioni > Webhook.
Fai clic su Aggiungi webhook.
Specifica i valori per i seguenti parametri di input:
- URL webhook: inserisci <ENDPOINT_URL> dell'endpoint API Google SecOps.
Nota: aggiungi <API_KEY> e <SECRET> all'URL dell'endpoint <ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET>.
- Eventi:seleziona gli eventi che devono attivare il webhook (ad esempio, seleziona check.completed o report.completed).
Fai clic su Salva per creare il webhook.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`category`	`security_result.category_details`	Il valore del campo `category` del log non elaborato viene assegnato a `security_result.category_details`.
`check_id`	`metadata.product_log_id`	Il valore del campo `check_id` estratto dal campo `json_data` nel log non elaborato viene assegnato a `metadata.product_log_id`. Se `prod_evt_type` è "Accesso riuscito", viene assegnato il valore "AUTHTYPE_UNSPECIFIED".
	`metadata.event_timestamp`	Il timestamp della voce di log non elaborata viene convertito in secondi a partire dal tempo Unix e assegnato a `metadata.event_timestamp`.
	`metadata.event_type`	Se `prod_evt_type` è "Accesso riuscito", viene assegnato il valore `USER_LOGIN`. In caso contrario, viene assegnato `USER_UNCATEGORIZED`.
	`metadata.product_name`	Il codice del parser imposta il valore su "ONFIDO".
`prod_evt_type`	`metadata.product_event_type`	Il valore del campo `prod_evt_type` del log non elaborato viene assegnato a `metadata.product_event_type`.
	`metadata.vendor_name`	Il codice del parser imposta il valore su "ONFIDO".
	`metadata.product_version`	Il codice del parser imposta il valore su "ONFIDO".
`security_result.action`	`security_result.action`	Se `prod_evt_type` è "Accesso riuscito", viene assegnato il valore `ALLOW`.
`src_ip`	`principal.ip`	Il valore del campo `src_ip` del log non elaborato viene assegnato a `principal.ip`.
`user_email`	`target.user.email_addresses`	Il valore del campo `user_email` del log non elaborato viene assegnato a `target.user.email_addresses`.
`user_name`	`target.user.user_display_name`	Il valore del campo `user_name` del log non elaborato viene assegnato a `target.user.user_display_name`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.