Mengumpulkan log Onfido

Didukung di:

Parser ini mengekstrak kolom dari log berformat JSON dan SYSLOG Onfido, yang memetakan kolom tersebut ke UDM. Fungsi ini mengurai kolom pesan menggunakan grok, menangani payload JSON jika ada, dan memetakan jenis peristiwa produk tertentu ke jenis peristiwa UDM. Hal ini mencakup penetapan jenis peristiwa ke USER_LOGIN untuk login yang berhasil dan USER_UNCATEGORIZED untuk peristiwa lainnya. Tindakan ini juga mengisi kolom UDM untuk informasi pengguna, IP sumber, dan detail hasil keamanan.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps.
  • Akses dengan hak istimewa ke Dasbor Onfido.

Menyiapkan feed

Ada dua titik entri yang berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed
  • Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasikan satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed; misalnya, Log Onfido.
  5. Pilih Webhook sebagai Jenis sumber.
  6. Pilih Onfido sebagai Jenis log.
  7. Klik Berikutnya.
  8. Opsional: Tentukan nilai untuk parameter input berikut:
    • Pemisah pemisahan: pembatas yang digunakan untuk memisahkan baris log, seperti \n.
  9. Klik Berikutnya.
  10. Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.
  11. Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
  12. Salin dan simpan kunci rahasia. Anda tidak dapat melihat kunci rahasia ini lagi. Jika perlu, Anda dapat membuat ulang kunci rahasia baru, tetapi tindakan ini akan membuat kunci rahasia sebelumnya tidak berlaku lagi.
  13. Dari tab Detail, salin URL endpoint feed dari kolom Endpoint Information. Anda perlu menentukan URL endpoint ini di aplikasi klien.
  14. Klik Selesai.

Menyiapkan feed dari Content Hub

Tentukan nilai untuk kolom berikut:

  • Pemisah pemisahan: pembatas yang digunakan untuk memisahkan baris log, seperti \n.

Opsi lanjutan

  • Nama Feed: Nilai yang diisi otomatis yang mengidentifikasi feed.
  • Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
  • Namespace Aset: Namespace yang terkait dengan feed.

  • Label Proses Transfer: Label yang diterapkan ke semua peristiwa dari feed ini.

  • Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.

  • Salin dan simpan kunci rahasia. Anda tidak dapat melihat kunci rahasia ini lagi. Jika perlu, Anda dapat membuat ulang kunci rahasia baru, tetapi tindakan ini akan membuat kunci rahasia sebelumnya tidak berlaku lagi.

  • Dari tab Detail, salin URL endpoint feed dari kolom Endpoint Information. Anda perlu menentukan URL endpoint ini di aplikasi klien.

Membuat kunci API untuk feed webhook

  1. Buka konsolGoogle Cloud > Kredensial.

    Buka Kredensial

  2. Klik Create credentials, lalu pilih API key.

  3. Batasi akses kunci API ke Google Security Operations API.

Menentukan URL endpoint

  1. Di aplikasi klien, tentukan URL endpoint HTTPS yang disediakan di feed webhook.

  2. Aktifkan autentikasi dengan menentukan kunci API dan kunci secret sebagai bagian dari header kustom dalam format berikut:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Rekomendasi: Tentukan kunci API sebagai header, bukan menentukannya di URL.

  3. Jika klien webhook Anda tidak mendukung header kustom, Anda dapat menentukan kunci API dan kunci rahasia menggunakan parameter kueri dalam format berikut:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Ganti kode berikut:

    • ENDPOINT_URL: URL endpoint feed.
    • API_KEY: kunci API untuk mengautentikasi ke Google SecOps.
    • SECRET: kunci rahasia yang Anda buat untuk mengautentikasi feed.

Mengonfigurasi webhook Onfido

  1. Login ke Dasbor Onfido.
  2. Buka Setelan > Webhook.
  3. Klik Tambahkan Webhook.

  4. Tentukan nilai untuk parameter input berikut:

    • URL webhook: masukkan <ENDPOINT_URL> endpoint Google SecOps API.
    • Peristiwa: pilih peristiwa yang akan memicu webhook (misalnya, pilih check.completed atau report.completed).

  5. Klik Simpan untuk membuat webhook.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
category security_result.category_details Nilai kolom category dari log mentah ditetapkan ke security_result.category_details.
check_id metadata.product_log_id Nilai kolom check_id yang diekstrak dari kolom json_data dalam log mentah ditetapkan ke metadata.product_log_id. Jika prod_evt_type adalah "Login berhasil", nilai "AUTHTYPE_UNSPECIFIED" akan ditetapkan.
metadata.event_timestamp Stempel waktu dari entri log mentah dikonversi menjadi detik epoch dan ditetapkan ke metadata.event_timestamp.
metadata.event_type Jika prod_evt_type adalah "Login berhasil", nilai USER_LOGIN akan ditetapkan. Jika tidak, USER_UNCATEGORIZED akan ditetapkan.
metadata.product_name Kode parser menetapkan nilai ke "ONFIDO".
prod_evt_type metadata.product_event_type Nilai kolom prod_evt_type dari log mentah ditetapkan ke metadata.product_event_type.
metadata.vendor_name Kode parser menetapkan nilai ke "ONFIDO".
metadata.product_version Kode parser menetapkan nilai ke "ONFIDO".
security_result.action security_result.action Jika prod_evt_type adalah "Login berhasil", nilai ALLOW akan ditetapkan.
src_ip principal.ip Nilai kolom src_ip dari log mentah ditetapkan ke principal.ip.
user_email target.user.email_addresses Nilai kolom user_email dari log mentah ditetapkan ke target.user.email_addresses.
user_name target.user.user_display_name Nilai kolom user_name dari log mentah ditetapkan ke target.user.user_display_name.

Perubahan

2023-03-10

  • Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.