Menyiapkan dan mengelola pipeline pemrosesan data

Didukung di:

Fitur Pemrosesan Data memberi Anda kontrol pra-parsing yang andal atas penyerapan data Google Security Operations. Anda dapat memfilter peristiwa, mengubah kolom, atau menyamarkan nilai sensitif untuk mengoptimalkan kompatibilitas data, mengurangi biaya, dan melindungi informasi sensitif dalam Google SecOps.

Dokumen ini memandu Anda menyelesaikan alur kerja penyerapan dan pemrosesan data lengkap menggunakan konsol BindPlane. Dengan demikian, Anda dapat mempelajari cara:

  • Konfigurasi koneksi ke instance tujuan Google SecOps.
  • Buat pipeline Google SecOps baru.
  • Siapkan pemrosesan data, termasuk aliran dan pemroses.
  • Luncurkan pipeline untuk memulai penyerapan dan pemrosesan data.
  • Pantau aliran dan pemroses pipeline di konsol Google SecOps.

Anda dapat mengonfigurasi pemrosesan data untuk aliran data lokal dan cloud, menggunakan konsol pengelolaan Bindplane atau langsung menggunakan Google SecOps Data Pipeline API publik.

Pemrosesan data terdiri dari elemen berikut:

  • Aliran: Satu atau beberapa aliran memasukkan data ke dalam pipeline pemrosesan data. Setiap aliran dikonfigurasi untuk jenis aliran tertentu.
  • Node prosesor: Pemrosesan data memiliki satu Node prosesor yang berisi satu atau beberapa prosesor. Setiap pemroses menentukan tindakan yang akan dilakukan pada data (misalnya, memfilter, mengubah, dan menyamarkan) saat data mengalir melalui pipeline.
  • Tujuan: Instance tujuan Google SecOps adalah tempat data yang diproses dikirim.

Kasus penggunaan

Contoh kasus penggunaan mencakup:

  • Menghapus key-value pair kosong dari log mentah.
  • Menyamarkan data sensitif.
  • Menambahkan label penyerapan dari konten log mentah.
  • Di lingkungan multi-instance, terapkan label penyerapan ke data log penyerapan langsung untuk mengidentifikasi instance aliran sumber (sepertiGoogle Cloud Workspace).
  • Memfilter data Palo Alto Cortex menurut nilai kolom.
  • Mengurangi data SentinelOne menurut kategori.
  • Ekstrak informasi host dari feed dan log penyerapan langsung, lalu petakan ke kolom ingestion_source untuk Cloud Monitoring.

Prasyarat

Jika Anda ingin menggunakan konsol Bindplane untuk mengelola pemrosesan data Google SecOps, lakukan langkah-langkah berikut:

  1. Di konsol Google Security Operations, berikan peran administrator bawaan yang diperlukan kepada penginstal. Untuk mengetahui detailnya, lihat Menetapkan peran Project IAM Admin dalam project khusus.

  2. Di bagian Tetapkan Peran, pilih peran Identity and Access Management bawaan berikut:

    • Admin Chronicle API (roles/chronicle.admin)

  3. Instal konsol Bindplane Server. Untuk SaaS atau lokal, lihat Menginstal konsol Bindplane Server.

  4. Di konsol Bindplane, hubungkan instance tujuan Google SecOps ke project Bindplane Anda. Untuk mengetahui detailnya, lihat Menghubungkan ke instance Google SecOps.

Mengelola penundaan konfirmasi data SecOps bervolume rendah

Pengguna Ingestion API yang mengonfigurasi agen mereka sendiri dapat mengalami potensi peningkatan waktu konfirmasi untuk pipeline SecOps bervolume rendah di pipeline pemrosesan data.

Rata-rata latensi dapat meningkat dari 700 md hingga 2 detik. Tingkatkan periode waktu tunggu dan memori sesuai kebutuhan. Waktu konfirmasi akan menurun saat throughput data melebihi 4 MB.

Menghubungkan ke instance Google SecOps

Sebelum memulai, pastikan Anda memiliki izin administrator project Bindplane untuk mengakses halaman Integrasi Project.

Instance Google SecOps berfungsi sebagai tujuan untuk output data Anda.

Untuk terhubung ke instance Google SecOps menggunakan konsol Bindplane, lakukan langkah-langkah berikut:

  1. Di konsol Bindplane, buka halaman Manage your project.
  2. Buka kartu Integrations, lalu klik Connect to Google SecOps untuk membuka jendela Edit Integration.

  3. Masukkan detail untuk instance tujuan Google SecOps.
    Instance ini menyerap data yang diproses (output dari pemrosesan data Anda), sebagai berikut:

    Kolom Deskripsi
    Region Region instance Google SecOps Anda.
    Untuk menemukan instance di konsolGoogle Cloud , buka Security > Detections and Controls > Google Security Operations > Instance details.
    Customer ID ID pelanggan instance Google SecOps Anda.

    Di konsol Google SecOps, buka SIEM Settings > Profile > Organization Details.
    Google Cloud project number Google Cloud Nomor Project instance Google SecOps Anda.

    Untuk menemukan nomor project di konsol Google SecOps, buka SIEM Settings > Profile > Organization Details.
    Kredensial Kredensial Akun Layanan adalah nilai JSON yang diperlukan untuk mengautentikasi dan mengakses Google SecOps Data Pipeline API. Dapatkan nilai JSON ini dari file kredensial Akun Layanan Google.

    Akun Layanan harus berada di project Google Cloud yang sama dengan instance Google SecOps Anda dan memerlukan hak istimewa peran Admin Chronicle API (roles/chronicle.admin).

    Untuk mengetahui informasi tentang cara membuat Akun Layanan dan mendownload file JSON, lihat Membuat dan menghapus kunci Akun Layanan.

  4. Klik Hubungkan. Jika detail koneksi Anda sudah benar dan Anda berhasil terhubung ke Google SecOps, Anda dapat mengharapkan hal berikut:

    • Koneksi ke instance Google SecOps akan terbuka.
    • Saat pertama kali Anda terhubung, SecOps Pipelines akan muncul di konsol Bindplane.
    • Konsol Bindplane menampilkan data yang diproses yang sebelumnya Anda siapkan untuk instance ini menggunakan API. Sistem mengonversi beberapa pemroses yang Anda konfigurasi menggunakan API menjadi pemroses Bindplane, dan menampilkan pemroses lainnya dalam format Bahasa Transformasi OpenTelemetry (OTTL) mentah. Anda dapat menggunakan konsol Bindplane untuk mengedit pipeline dan pemroses yang sebelumnya disiapkan menggunakan API.

  5. Setelah berhasil membuat koneksi ke instance Google SecOps, Anda dapat membuat pipeline SecOps dan menyiapkan pemrosesan data menggunakan konsol Bindplane.

Menyiapkan pemrosesan data menggunakan konsol Bindplane

Dengan menggunakan konsol Bindplane, Anda dapat mengelola data yang diproses Google SecOps, termasuk penyiapan pipeline menggunakan API.

Sebelum memulai

Sebelum memulai, sebaiknya baca rekomendasi penting berikut:

  • Streaming berbasis push yang memanggil Backstory API tidak digunakan lagi dan tidak lagi mendukung pemrosesan data. Migrasikan integrasi Anda untuk menggunakan Chronicle Ingestion API.
  • Untuk menginstal konsol Bindplane untuk pertama kalinya atau menghubungkan instance tujuan Google SecOps ke project Bindplane, lihat Prasyarat.
  • Sebagai alternatif untuk menggunakan konsol Bindplane, Anda dapat memanggil API Google SecOps secara langsung untuk menyiapkan dan mengelola pemrosesan data. Untuk mengetahui detailnya, lihat Menggunakan Google SecOps Data Pipeline API.
  • Data yang di-ingest dari forwarder dan Bindplane diberi tag collectorID yang berbeda dari aliran penyerapan langsung. Untuk mendukung visibilitas log penuh, Anda harus memilih semua metode penyerapan saat membuat kueri sumber data atau secara eksplisit mereferensikan collectorID yang relevan saat berinteraksi dengan API.

Ikuti langkah-langkah berikut untuk menyediakan dan men-deploy pipeline pemrosesan log baru di Google SecOps, biasanya menggunakan konsol Bindplane:

  1. Buat pipeline SecOps baru.
  2. Konfigurasi pemrosesan data.
    1. Konfigurasi aliran.
    2. Mengonfigurasi pemroses.
  3. Luncurkan pipeline pemrosesan data.

Membuat pipeline Google SecOps baru

Pipeline Google SecOps adalah penampung bagi Anda untuk mengonfigurasi satu penampung pemrosesan data. Untuk membuat container pipeline Google SecOps baru, lakukan hal berikut:

  1. Di Bindplane console, klik tab SecOps Pipelines untuk membuka halaman SecOps Pipelines.
  2. Klik Create SecOps Pipeline.
  3. Di jendela Create new SecOps Pipeline, tetapkan SecOps Pipeline type ke Google SecOps (default).

  4. Masukkan Nama Pipeline SecOps dan Deskripsi.

  5. Klik Buat. Anda dapat melihat penampung pipeline baru di halaman SecOps Pipelines.

  6. Konfigurasi aliran dan pemroses penampung pemrosesan data dalam penampung ini.

Mengonfigurasi penampung pemrosesan data

Penampung pemrosesan data menentukan aliran data yang akan diserap dan pemroses (misalnya, filter, transformasi, atau redaksi) untuk memanipulasi data saat mengalir ke instance Tujuan Google SecOps.

Kartu konfigurasi pipeline adalah visualisasi pipeline pemrosesan data tempat Anda dapat mengonfigurasi streaming data dan node pemroses:

  • Stream menyerap data sesuai dengan spesifikasi yang dikonfigurasi, dan memasukkannya ke dalam penampung. Container pemrosesan data dapat memiliki satu atau beberapa aliran, yang masing-masing dikonfigurasi untuk aliran yang berbeda.
  • Node pemroses terdiri dari pemroses yang memanipulasi data saat mengalir ke instance Tujuan Google SecOps.

Untuk mengonfigurasi penampung pemrosesan data, lakukan hal berikut:

  1. Buat pipeline SecOps baru.
  2. Di Bindplane console, klik tab SecOps Pipelines untuk membuka halaman SecOps Pipelines.
  3. Pilih pipeline SecOps tempat Anda ingin mengonfigurasi penampung pemrosesan data baru.

  4. Di kartu konfigurasi Pipeline:

    1. Tambahkan aliran data.
    2. Konfigurasi node pemroses. Untuk menambahkan pemroses menggunakan konsol Bindplane, lihat Mengonfigurasi pemroses untuk mengetahui detailnya.

  5. Setelah konfigurasi ini selesai, lihat Meluncurkan pemrosesan data untuk mulai memproses data.

Menambahkan aliran data

Untuk menambahkan aliran, lakukan langkah-langkah berikut:

  1. Di kartu konfigurasi Pipeline, klik tambahkan Tambahkan Aliran untuk membuka jendela Buat Aliran.

  2. Di jendela Create SecOps Stream, masukkan detail untuk kolom berikut:

    Kolom Deskripsi
    Jenis log Pilih jenis log data yang akan di-ingest. Contoh, CrowdStrike Falcon (CS_EDR).
    Catatan: Ikon peringatan peringatan menunjukkan bahwa jenis log sudah dikonfigurasi di aliran lain (baik di pipeline ini maupun pipeline lain di instance Google SecOps Anda).

    Untuk menggunakan jenis log yang tidak tersedia, Anda harus menghapusnya terlebih dahulu dari konfigurasi streaming lainnya.

    Untuk mengetahui petunjuk tentang cara menemukan konfigurasi stream tempat jenis log dikonfigurasi, lihat Memfilter konfigurasi Pipeline SecOps.
    Metode penyerapan Pilih metode penyerapan yang akan digunakan untuk menyerap data untuk jenis log yang dipilih. Metode penyerapan ini sebelumnya ditentukan untuk instance Google SecOps Anda.

    Anda harus memilih salah satu opsi berikut:

    • Semua Metode Penyerapan: Mencakup semua metode penyerapan untuk jenis log yang dipilih. Jika Anda memilih opsi ini, Anda tidak dapat menambahkan aliran berikutnya yang menggunakan metode penyerapan tertentu untuk jenis log yang sama. Pengecualian: Anda dapat memilih metode penyerapan spesifik lain yang tidak dikonfigurasi untuk jenis log ini di aliran lain.
    • Metode penyerapan spesifik, seperti Cloud Native Ingestion, Feed, Ingestion API, atau Workspace.
    Feed Jika Anda memilih Feed sebagai metode penyerapan, kolom berikutnya akan muncul dengan daftar nama feed yang tersedia (telah dikonfigurasi sebelumnya di instance Google SecOps Anda) untuk jenis log yang dipilih. Anda harus memilih feed yang relevan untuk menyelesaikan konfigurasi. Untuk melihat dan mengelola feed yang tersedia, buka Setelan SIEM > Tabel feed.

  3. Klik Tambahkan Streaming untuk menyimpan streaming baru.Streaming data baru akan langsung muncul di kartu konfigurasi Pipeline. Aliran otomatis terhubung ke node pemroses dan Tujuan Google SecOps.

Memfilter konfigurasi Pipeline SecOps

Kotak penelusuran di halaman SecOps Pipelines memungkinkan Anda memfilter dan menemukan pipeline SecOps (penampung pemrosesan data) berdasarkan beberapa elemen konfigurasi. Anda dapat memfilter pipeline dengan menelusuri kriteria tertentu, seperti jenis log, metode penyerapan, atau nama feed.

Gunakan sintaksis berikut untuk memfilter:

  • logtype:value
  • ingestionmethod:value
  • feed:value

Misalnya, untuk mengidentifikasi konfigurasi streaming yang berisi jenis log tertentu, di kotak penelusuran, masukkan logtype:, lalu pilih jenis log dari daftar yang dihasilkan.

Mengonfigurasi pemroses

Container pemrosesan data memiliki satu node pemroses, yang berisi satu atau beberapa pemroses. Setiap pemroses memanipulasi data aliran secara berurutan:

  1. Prosesor pertama memproses data streaming mentah.
  2. Output yang dihasilkan dari pemroses pertama akan langsung menjadi input untuk pemroses berikutnya dalam urutan.
  3. Urutan ini berlanjut untuk semua prosesor berikutnya, dalam urutan persis seperti yang muncul di panel Prosesor, dengan output dari satu prosesor menjadi input prosesor berikutnya.

Tabel berikut mencantumkan prosesor:

Jenis prosesor Kemampuan
Filter Filter menurut ketentuan
Filter Memfilter menurut status HTTP
Filter Memfilter menurut nama metrik
Filter Filter menurut ekspresi reguler
Filter Filter menurut tingkat keparahan
Penyuntingan Menyamarkan data sensitif
Transformasi Tambahkan kolom
Transformasi Coalesce
Transformasi Concat
Transformasi Menyalin kolom
Transformasi Menghapus kolom
Transformasi Marshal
Transformasi Pindahkan kolom
Transformasi Mengurai CSV
Transformasi Mengurai JSON
Transformasi Mengurai nilai kunci
Transformasi Mengurai kolom tingkat keparahan
Transformasi Mengurai stempel waktu
Transformasi Mengurai dengan regex
Transformasi Mengurai XML
Transformasi Mengganti nama kolom
Transformasi Stempel waktu penulisan ulang
Transformasi Bagi
Transformasi Transformasi
  1. Konfigurasi node pemroses dengan menambahkan, menghapus, atau mengubah urutan satu atau beberapa pemroses.

Menambahkan pemroses

Untuk menambahkan pemroses, ikuti langkah-langkah berikut:

  1. Di kartu konfigurasi Pipeline, klik node Processor untuk membuka jendela Edit Processors. Jendela Edit Pemroses dibagi menjadi beberapa panel berikut, yang diatur berdasarkan alur data:

    • Input (atau data sumber): Data log streaming masuk terbaru (sebelum diproses)
    • Konfigurasi (atau daftar pemroses): Pemroses dan konfigurasinya
    • Output (atau hasil): Data log hasil keluar terbaru (setelah diproses)

    Jika pipeline telah di-roll out sebelumnya, sistem akan menampilkan data log masuk terbaru (sebelum pemrosesan) dan data log keluar terbaru (setelah pemrosesan) di panel.

  2. Klik Tambahkan Pemroses untuk menampilkan daftar pemroses. Untuk memudahkan Anda, daftar prosesor dikelompokkan menurut jenis prosesor. Untuk mengatur daftar dan menambahkan paket Anda sendiri, pilih satu atau beberapa pemroses, lalu klik Tambahkan paket Pemroses baru.

  3. Dalam daftar prosesor, pilih Prosesor yang akan ditambahkan.

  4. Konfigurasi pemroses sesuai kebutuhan.

  5. Klik Simpan untuk menyimpan konfigurasi pemroses di node Processor.

Sistem akan segera menguji konfigurasi baru dengan memproses sampel baru data aliran masuk (dari panel Input) dan menampilkan data keluar yang dihasilkan di panel Output.

Meluncurkan pipeline pemrosesan data

Setelah konfigurasi stream dan pemroses selesai, Anda harus meluncurkan pipeline untuk mulai memproses data, sebagai berikut:

  1. Klik Mulai peluncuran. Tindakan ini akan segera mengaktifkan pemrosesan data dan memungkinkan infrastruktur aman Google mulai memproses data sesuai dengan konfigurasi Anda.

  2. Jika peluncuran berhasil, nomor versi penampung pemrosesan data akan bertambah dan ditampilkan di samping nama penampung.

Melihat detail pemrosesan data di konsol Google SecOps

Bagian berikut menjelaskan cara melihat detail pemrosesan data dari konsol Google SecOps:

Melihat semua konfigurasi pemrosesan data

  1. Di konsol Google SecOps, buka Setelan SIEM > Pemrosesan Data tempat Anda dapat melihat semua pipeline yang dikonfigurasi.
  2. Di kotak penelusuran Incoming Data Pipelines, telusuri pipeline yang Anda buat. Anda dapat menelusuri berdasarkan elemen, seperti nama pipeline atau komponen. Hasil penelusuran menampilkan pemroses pipeline dan ringkasan konfigurasinya.
  3. Dari ringkasan pipeline, Anda dapat melakukan salah satu tindakan berikut:
    • Tinjau konfigurasi prosesor.
    • Salin detail konfigurasi.
    • Klik Open in Bindplane untuk mengakses dan mengelola pipeline langsung dalam konsol Bindplane.

Melihat feed yang dikonfigurasi

Untuk melihat feed yang dikonfigurasi di sistem Anda, lakukan hal berikut:

  1. Di konsol Google SecOps, buka SIEM Settings > Feeds. Halaman Feed menampilkan semua feed yang Anda konfigurasi di sistem Anda.
  2. Arahkan kursor ke setiap baris untuk menampilkan menu ⋮ Lainnya, tempat Anda dapat melihat detail feed, mengedit, menonaktifkan, atau menghapus feed.
  3. Klik Lihat Detail untuk melihat jendela detail.
  4. Klik Open in Bindplane untuk membuka konfigurasi streaming untuk feed tersebut di konsol Bindplane.

Melihat detail pemrosesan data (jenis log yang tersedia)

Untuk melihat detail pemrosesan data di halaman Jenis Log yang Tersedia, tempat Anda dapat melihat semua jenis log yang tersedia, lakukan hal berikut:

  1. Di konsol Google SecOps, buka SIEM Settings > Available Log Types. Halaman utama menampilkan semua jenis log Anda.
  2. Arahkan kursor ke setiap baris feed untuk menampilkan menu more_vert Lainnya. Menu ini memungkinkan Anda melihat, mengedit, menonaktifkan, atau menghapus detail feed.
  3. Klik Lihat Pemrosesan Data untuk melihat konfigurasi feed.
  4. Klik Open in Bindplane untuk membuka konfigurasi pemroses untuk pemroses tersebut di konsol Bindplane.

Menggunakan metode pipeline data Google SecOps

Metode pipeline data Google SecOps menyediakan alat yang komprehensif untuk mengelola data yang diproses. Metode pipeline data ini mencakup pembuatan, pembaruan, penghapusan, dan pencantuman pipeline, serta pengaitan feed dan jenis log dengan pipeline.

Kasus penggunaan

Bagian ini berisi contoh kasus penggunaan umum yang terkait dengan metode pipeline data.

Untuk menggunakan contoh di bagian ini, lakukan hal berikut:

  • Ganti parameter khusus pelanggan (misalnya, URL dan ID feed) dengan parameter yang sesuai dengan lingkungan Anda sendiri.
  • Masukkan autentikasi Anda sendiri. Di bagian ini, token pembawa disamarkan dengan ******.

Mencantumkan semua pipeline dalam instance Google SecOps tertentu

Perintah berikut mencantumkan semua pipeline yang ada di instance Google SecOps tertentu:

curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Authorization: Bearer ******'

Membuat pipeline dasar dengan satu pemroses

Untuk membuat pipeline dasar dengan prosesor Transformasi dan mengaitkan tiga sumber dengannya, lakukan hal berikut:

  1. Jalankan perintah berikut:

    curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "displayName": "Example Pipeline",
    "description": "My description",
    "processors": [
        {
            "transformProcessor": {
                "statements": [
                    "set(attributes[\"myKey1\"], \"myVal1\")",
                    "set(attributes[\"myKey2\"], \"myVal2\")"
                ]
            }
        }
    ]
}'

  2. Dari respons, salin nilai kolom displayName.

  3. Jalankan perintah berikut untuk mengaitkan tiga aliran (jenis log, jenis log dengan ID pengumpul, dan feed) dengan pipeline. Gunakan nilai kolom displayName sebagai nilai {pipelineName}.

    curl --location 'https://abc.def.googleapis.com/v123/{pipelineName}:associateStreams' \
    --header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "streams": [
        {
            "logType": "MICROSOFT_SENTINEL"
        },
        {
            "logType": "A10_LOAD_BALANCER",
            "collectorId": "dddddddd-dddd-dddd-dddd-dddddddddddd"
        },
        {
            "feed": "1a1a1a1a-1a1a-1a1a-1a1a-1a1a1a1a1a1a"
        }
    ]
}'

Membuat pipeline dengan tiga pemroses

Pipeline menggunakan pemroses berikut:

  • Transform: Mentransformasi dan mengurai isi log sebagai JSON.
  • Filter: Memfilter log yang cocok dengan kondisi berdasarkan isi yang diuraikan.
  • Penyuntingan: Menyunting data yang cocok dengan nilai sensitif preset Bindplane.

Untuk membuat pipeline dan mengaitkan tiga sumber dengannya, lakukan hal berikut:

  1. Jalankan perintah berikut:

    curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data-raw '{
    "displayName": "My Pipeline 2",
    "description": "My description 2",
    "processors": [
        {
            "transformProcessor": {
                "statements": [
                    "merge_maps(\n  body,\n  ParseJSON(\n    body\n  ),\n  \"upsert\"\n) where IsMap(body) and true\n",
                    "set(\n  body,\n  ParseJSON(\n    body\n  )\n) where not IsMap(body) and true\n"
                ],
                "errorMode": "IGNORE"
            }
        },
        {
            "filterProcessor": {
                "logConditions": [
                    "true and severity_number != 0 and severity_number < 9"
                ]
            }
        },
        {
            "redactProcessor": {
                "blockedValues": [
                    "\\b[A-Z]{2}\\d{2}(?: ?[A-Z0-9]){11,31}(?:\\s[A-Z0-9])*\\b",
                    "\\b([0-9A-Fa-f]{2}[:-]){5}[0-9A-Fa-f]{2}\\b",
                    "\\b(?:(?:(?:\\d{4}[- ]?){3}\\d{4}|\\d{15,16}))\\b",
                    "\\b(?:(?:19|20)?\\d{2}[-/])?(?:0?[1-9]|1[0-2])[-/](?:0?[1-9]|[12]\\d|3[01])(?:[-/](?:19|20)?\\d{2})?\\b",
                    "\\b[a-zA-Z0-9._/\\+\\-—|]+@[A-Za-z0-9\\-—|]+\\.[a-zA-Z|]{2,6}\\b",
                    "\\b(?:(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\\.){3}(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\\b",
                    "\\b(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}\\b",
                    "\\b((\\+|\\b)[1l][\\-\\. ])?\\(?\\b[\\dOlZSB]{3,5}([\\-\\. ]|\\) ?)[\\dOlZSB]{3}[\\-\\. ][\\dOlZSB]{4}\\b",
                    "\\+[1-9]\\d{0,2}(?:[-.\\s]?\\(?\\d+\\)?(?:[-.\\s]?\\d+)*)\\b",
                    "\\b\\d{3}[- ]\\d{2}[- ]\\d{4}\\b",
                    "\\b[A-Z][A-Za-z\\s\\.]+,\\s{0,1}[A-Z]{2}\\b",
                    "\\b\\d+\\s[A-z]+\\s[A-z]+(\\s[A-z]+)?\\s*\\d*\\b",
                    "\\b\\d{5}(?:[-\\s]\\d{4})?\\b",
                    "\\b[0-9a-fA-F]{8}-[0-9a-fA-F]{4}-[1-5][0-9a-fA-F]{3}-[89abAB][0-9a-fA-F]{3}-[0-9a-fA-F]{12}\\b"
                ],
                "allowAllKeys": true,
                "allowedKeys": [
                    "__bindplane_id__"
                ],
                "ignoredKeys": [
                    "__bindplane_id__"
                ],
                "redactAllTypes": true
            }
        }
    ]
}'

  2. Dari respons, salin nilai kolom displayName.

  3. Jalankan perintah berikut untuk mengaitkan tiga aliran (jenis log, jenis log dengan ID pengumpul, dan feed) dengan pipeline. Gunakan nilai kolom displayName sebagai nilai {pipelineName}. 

    curl --location 'https://abc.def.googleapis.com/v123/{pipelineName}:associateStreams' \
    --header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "streams": [
        {
            "logType": "MICROSOFT_SENTINEL"
        },
        {
            "logType": "A10_LOAD_BALANCER",
            "collectorId": "dddddddd-dddd-dddd-dddd-dddddddddddd"
        },
        {
            "feed": "1a1a1a1a-1a1a-1a1a-1a1a-1a1a1a1a1a1a"
        }
    ]
}'

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.