Configurare e gestire le pipeline di elaborazione dati

Supportato in:

La funzionalità Elaborazione dei dati ti offre un controllo solido e pre-parsing sull'importazione dati di Google Security Operations. Puoi filtrare gli eventi, trasformare i campi o oscurare i valori sensibili per ottimizzare la compatibilità dei dati, ridurre i costi e proteggere le informazioni sensibili in Google SecOps.

Questo documento ti guida nell'intero flusso di lavoro di importazione ed elaborazione dei dati utilizzando la console Bindplane. Pertanto, puoi imparare a:

  • Configura la connessione a un'istanza di destinazione Google SecOps.
  • Crea una nuova pipeline Google SecOps.
  • Configura l'elaborazione dei dati, inclusi stream e processori.
  • Implementa la pipeline per avviare l'importazione e l'elaborazione dei dati.
  • Monitora i flussi e i processori della pipeline nella console Google SecOps.

Puoi configurare l'elaborazione dei dati per i flussi di dati on-premise e cloud utilizzando la console di gestione Bindplane o direttamente le API Google SecOps Data Pipeline pubbliche.

Il trattamento dei dati è costituito dai seguenti elementi:

  • Stream: uno o più stream inseriscono i dati nella pipeline di elaborazione dati. Ogni stream è configurato per un tipo specifico.
  • Nodo del processore: l'elaborazione dei dati ha un nodo del processore che contiene uno o più processori. Ogni processore specifica un'azione da eseguire sui dati (ad esempio, filtrare, trasformare e oscurare) mentre scorrono nella pipeline.
  • Destinazione: l'istanza di destinazione Google SecOps è la posizione in cui vengono inviati i dati elaborati.

Casi d'uso

Esempi di casi d'uso:

  • Rimuovi le coppie chiave-valore vuote dai log non elaborati.
  • Oscura i dati sensibili.
  • Aggiungi etichette di importazione dai contenuti dei log non elaborati.
  • Negli ambienti multi-istanza, applica etichette di importazione ai dati di log di importazione diretta per identificare l'istanza del flusso di origine (ad esempioGoogle Cloud Workspace).
  • Filtra i dati di Palo Alto Cortex in base ai valori dei campi.
  • Ridurre i dati di SentinelOne per categoria.
  • Estrai le informazioni sull'host dai feed e dai log di inserimento diretto e mappale al campo ingestion_source per Cloud Monitoring.

Prerequisiti

Se intendi utilizzare la console Bindplane per gestire l'elaborazione dei dati di Google SecOps, segui questi passaggi:

  1. Nella console Google Security Operations, concedi all'installatore i ruoli amministratore predefiniti richiesti. Per maggiori dettagli, vedi Assegnare il ruolo Amministratore IAM progetto in un progetto dedicato.

  2. Nella sezione Assegna ruoli, seleziona i seguenti ruoli Identity and Access Management predefiniti:

    • Chronicle API Admin (roles/chronicle.admin)

  3. Installa la console Bindplane Server. Per SaaS o on-premise, vedi Installare la console Bindplane Server.

  4. Nella console Bindplane, collega un'istanza di destinazione Google SecOps al tuo progetto Bindplane. Per maggiori dettagli, vedi Connettersi a un'istanza Google SecOps.

Gestire i ritardi di riconoscimento dei dati SecOps a basso volume

Gli utenti dell'API Ingestion che configurano il proprio agente possono riscontrare un potenziale aumento del tempo di riconoscimento per le pipeline SecOps a basso volume nella pipeline di elaborazione dei dati.

Le medie della latenza possono aumentare da 700 ms fino a 2 secondi. Aumenta i periodi di timeout e la memoria in base alle necessità. Il tempo di riconoscimento diminuisce quando il throughput dei dati supera i 4 MB.

Connettiti a un'istanza Google SecOps

Prima di iniziare, verifica di disporre delle autorizzazioni di amministratore del progetto Bindplane per accedere alla pagina Integrazioni progetto.

L'istanza Google SecOps funge da destinazione per l'output dei dati.

Per connetterti a un'istanza Google SecOps utilizzando la console Bindplane:

  1. Nella console Bindplane, vai alla pagina Gestisci il tuo progetto.
  2. Vai alla scheda Integrazioni e fai clic su Connetti a Google SecOps per aprire la finestra Modifica integrazione.

  3. Inserisci i dettagli dell'istanza di destinazione Google SecOps.
    Questa istanza importa i dati elaborati (output dell'elaborazione dei dati) nel seguente modo:

    Campo Descrizione
    Regione Regione dell'istanza Google SecOps.
    Per trovare l'istanza nella console, vai a Sicurezza > Rilevamenti e controlli > Google Security Operations > Dettagli istanza.Google Cloud
    ID cliente ID cliente della tua istanza Google SecOps.

    Nella console Google SecOps, vai a Impostazioni SIEM > Profilo > Dettagli organizzazione.
    Google Cloud Numero progetto Google Cloud Numero di progetto della tua istanza Google SecOps.

    Per trovare il numero di progetto nella console Google SecOps, vai a Impostazioni SIEM > Profilo > Dettagli organizzazione.
    Credenziali Le credenziali del service account sono il valore JSON necessario per l'autenticazione e l'accesso alle API Google SecOps Data Pipeline. Ottieni questo valore JSON dal file delle credenziali dell'account di servizio Google.

    Il service account deve trovarsi nello stesso progetto Google Cloud dell'istanza Google SecOps e richiede i privilegi del ruolo Amministratore API Chronicle (roles/chronicle.admin).

    Per informazioni su come creare un service account e scaricare il file JSON, vedi Creare ed eliminare le chiavi del service account.

  4. Fai clic su Connetti. Se i dettagli della connessione sono corretti e la connessione a Google SecOps va a buon fine, puoi aspettarti quanto segue:

    • Si apre una connessione all'istanza Google SecOps.
    • La prima volta che ti connetti, SecOps Pipelines viene visualizzato nella console Bindplane.
    • La console Bindplane mostra tutti i dati elaborati che hai configurato in precedenza per questa istanza utilizzando l'API. Il sistema converte alcuni processori configurati utilizzando l'API in processori Bindplane e mostra gli altri nel formato OTTL (OpenTelemetry Transformation Language) non elaborato. Puoi utilizzare la console Bindplane per modificare le pipeline e i processori configurati in precedenza utilizzando l'API.

  5. Dopo aver creato correttamente una connessione a un'istanza Google SecOps, puoi creare una pipeline SecOps e configurare l'elaborazione dei dati utilizzando la console Bindplane.

Configurare l'elaborazione dei dati utilizzando la console Bindplane

Utilizzando la console Bindplane, puoi gestire i dati elaborati di Google SecOps, inclusa la configurazione delle pipeline tramite l'API.

Prima di iniziare

Prima di iniziare, ti consigliamo di leggere questi importanti suggerimenti:

  • I flussi basati sul push che chiamano l'API Backstory sono ritirati e non supportano più l'elaborazione dei dati. Esegui la migrazione delle integrazioni per utilizzare l'API Chronicle Ingestion.
  • Per installare la console Bindplane per la prima volta o per connettere un'istanza di destinazione Google SecOps al tuo progetto Bindplane, consulta Prerequisiti.
  • In alternativa all'utilizzo della console Bindplane, puoi chiamare direttamente le API Google SecOps per configurare e gestire l'elaborazione dei dati. Per maggiori dettagli, vedi Utilizzare le API Google SecOps Data Pipeline.
  • I dati importati da forwarder e Bindplane vengono taggati con un collectorID distinto dai flussi di importazione diretta. Per supportare la visibilità completa dei log, devi selezionare tutti i metodi di importazione quando esegui query sulle origini dati o fare riferimento esplicito al collectorID pertinente quando interagisci con l'API.

Per eseguire il provisioning e il deployment di una nuova pipeline di elaborazione dei log in Google SecOps, in genere utilizzando la console Bindplane:

  1. Crea una nuova pipeline SecOps.
  2. Configura l'elaborazione dei dati.
    1. Configura gli stream.
    2. Configurare i processori.
  3. Implementa una pipeline di elaborazione dei dati.

Crea una nuova pipeline Google SecOps

Una pipeline Google SecOps è un contenitore in cui configurare un contenitore di elaborazione dei dati. Per creare un nuovo container della pipeline Google SecOps:

  1. Nella console Bindplane, fai clic sulla scheda SecOps Pipelines per aprire la pagina SecOps Pipelines.
  2. Fai clic su Crea pipeline SecOps.
  3. Nella finestra Crea nuova pipeline SecOps, imposta Tipo di pipeline SecOps su Google SecOps (impostazione predefinita).

  4. Inserisci un nome della pipeline SecOps e una descrizione.

  5. Fai clic su Crea. Puoi visualizzare il nuovo container della pipeline nella pagina Pipeline SecOps.

  6. Configura il contenitore di elaborazione dei dati, i flussi e i processori all'interno di questo contenitore.

Configura un contenitore di trattamento dati

Un contenitore di elaborazione dei dati specifica i flussi di dati da importare e i processori (ad esempio, filtro, trasformazione o oscuramento) per manipolare i dati mentre vengono trasferiti all'istanza Destinazione di Google SecOps.

Una scheda di configurazione della pipeline è una visualizzazione della pipeline di elaborazione dei dati in cui puoi configurare i flussi di dati e il nodo del processore:

  • Uno stream inserisce i dati in base alle specifiche configurate e li inserisce nel container. Un container di elaborazione dei dati può avere uno o più stream, ognuno configurato per un flusso diverso.
  • Il nodo del processore è costituito da processori che manipolano i dati mentre vengono inviati all'istanza Destinazione di Google SecOps.

Per configurare un container di trattamento dati:

  1. Crea una nuova pipeline SecOps.
  2. Nella console Bindplane, fai clic sulla scheda SecOps Pipelines per aprire la pagina SecOps Pipelines.
  3. Seleziona la pipeline SecOps in cui vuoi configurare il nuovo contenitore di trattamento dei dati.

  4. Nella scheda di configurazione Pipeline:

    1. Aggiungi uno stream.
    2. Configura il nodo di elaborazione. Per aggiungere un processore utilizzando la console Bindplane, consulta Configurare i processori per maggiori dettagli.

  5. Una volta completate queste configurazioni, consulta Implementare il trattamento dei dati per iniziare a trattare i dati.

Aggiungere uno stream

Per aggiungere uno stream:

  1. Nella scheda di configurazione Pipeline, fai clic su Aggiungi Aggiungi stream per aprire la finestra Crea stream.

  2. Nella finestra Crea stream SecOps, inserisci i dettagli per questi campi:

    Campo Descrizione
    Tipo di log Seleziona il tipo di log dei dati da importare. Ad esempio, CrowdStrike Falcon (CS_EDR).
    Nota: un'icona di avviso avviso indica che il tipo di log è già configurato in un altro stream (in questa pipeline o in un'altra pipeline nell'istanza Google SecOps).

    Per utilizzare un tipo di log non disponibile, devi prima eliminarlo dall'altra configurazione dello stream.

    Per istruzioni su come trovare la configurazione dello stream in cui è configurato il tipo di log, vedi Filtrare le configurazioni della pipeline SecOps.
    Metodo di importazione Seleziona il metodo di importazione da utilizzare per importare i dati per il tipo di log selezionato. Questi metodi di importazione sono stati definiti in precedenza per l'istanza Google SecOps.

    Devi selezionare una delle seguenti opzioni:

    • Tutti i metodi di importazione: include tutti i metodi di importazione per il tipo di log selezionato. Se selezioni questa opzione, non potrai aggiungere stream successivi che utilizzano metodi di importazione specifici per lo stesso tipo di log. Eccezione: puoi selezionare altri metodi di importazione specifici non configurati per questo tipo di log in altri stream.
    • Metodo di importazione specifico, ad esempio Cloud Native Ingestion, Feed, Ingestion API o Workspace.
    Feed Se selezioni Feed come metodo di importazione, viene visualizzato un campo successivo con un elenco di nomi dei feed disponibili (preconfigurati nell'istanza di Google SecOps) per il tipo di log selezionato. Per completare la configurazione, devi selezionare il feed pertinente. Per visualizzare e gestire i feed disponibili, vai a Impostazioni SIEM > Tabella dei feed.

  3. Fai clic su Aggiungi stream per salvare il nuovo stream.Il nuovo stream di dati viene visualizzato immediatamente nella scheda di configurazione Pipeline. Lo stream è collegato automaticamente al nodo processore e alla destinazione Google SecOps.

Filtra le configurazioni della pipeline SecOps

La barra di ricerca nella pagina Pipeline SecOps consente di filtrare e individuare le pipeline SecOps (contenitori di elaborazione dei dati) in base a più elementi di configurazione. Puoi filtrare le pipeline cercando criteri specifici, come tipo di log, metodo di importazione o nome del feed.

Utilizza la seguente sintassi per filtrare:

  • logtype:value
  • ingestionmethod:value
  • feed:value

Ad esempio, per identificare le configurazioni di stream che contengono un tipo di log specifico, nella barra di ricerca inserisci logtype: e seleziona il tipo di log dall'elenco dei risultati.

Configurare i processori

Un contenitore di elaborazione dei dati ha un nodo di elaborazione, che contiene uno o più processori. Ogni processore manipola i dati dello stream in sequenza:

  1. Il primo processore elabora i dati di flusso non elaborati.
  2. L'output risultante dal primo processore diventa immediatamente l'input per il processore successivo nella sequenza.
  3. Questa sequenza continua per tutti i processori successivi, nell'ordine esatto in cui vengono visualizzati nel riquadro Processori, con l'output di uno che diventa l'input del successivo.

La tabella seguente elenca i processori:

Tipo di processore Capacità
Filtro Filtra per condizione
Filtro Filtra per stato HTTP
Filtro Filtra per nome metrica
Filtro Filtra per espressione regolare
Filtro Filtra per gravità
Oscuramento Oscurare i dati sensibili
Trasformazione Aggiungi campi
Trasformazione Coalesce
Trasformazione Concat
Trasformazione Copia campo
Trasformazione Elimina campi
Trasformazione Marshal
Trasformazione Sposta campo
Trasformazione Analizza CSV
Trasformazione Analizza JSON
Trasformazione Analizza valore chiave
Trasformazione Analizza i campi di gravità
Trasformazione Analizza timestamp
Trasformazione Analizza con regex
Trasformazione Analizza XML
Trasformazione Rinominare i campi
Trasformazione Timestamp di riscrittura
Trasformazione Suddividi
Trasformazione Trasformazione
  1. Configura il nodo del processore aggiungendo, rimuovendo o modificando la sequenza di uno o più processori.

Aggiungere un processore

Per aggiungere un responsabile del trattamento:

  1. Nella scheda di configurazione Pipeline, fai clic sul nodo Processore per aprire la finestra Modifica processori. La finestra Modifica responsabili del trattamento è suddivisa nei seguenti riquadri, disposti in base al flusso di dati:

    • Input (o dati di origine): i dati di log del flusso in entrata recenti (prima dell'elaborazione)
    • Configurazione (o elenco dei processori): processori e relative configurazioni
    • Output (o risultati): dati di log dei risultati in uscita recenti (dopo l'elaborazione)

    Se la pipeline è stata implementata in precedenza, il sistema mostra i dati di log in entrata recenti (prima dell'elaborazione) e i dati di log in uscita recenti (dopo l'elaborazione) nei riquadri.

  2. Fai clic su Aggiungi processore per visualizzare l'elenco dei processori. Per comodità, l'elenco dei processori è raggruppato per tipo. Per organizzare l'elenco e aggiungere i tuoi bundle, seleziona uno o più processori e fai clic su Aggiungi nuovi bundle di processori.

  3. Nell'elenco dei processori, seleziona un processore da aggiungere.

  4. Configura il processore in base alle esigenze.

  5. Fai clic su Salva per salvare la configurazione del processore nel nodo Processore.

Il sistema testa immediatamente la nuova configurazione elaborando un nuovo campione dei dati di flusso in entrata (dal riquadro Input) e visualizza i dati in uscita risultanti nel riquadro Output.

Implementa la pipeline di elaborazione dei dati

Una volta completate le configurazioni del flusso e del processore, devi implementare la pipeline per iniziare a elaborare i dati, nel seguente modo:

  1. Fai clic su Avvia implementazione. In questo modo, l'elaborazione dei dati viene attivata immediatamente e l'infrastruttura sicura di Google inizia a elaborare i dati in base alla configurazione.

  2. Se l'implementazione va a buon fine, il numero di versione del contenitore per il trattamento dei dati viene incrementato e visualizzato accanto al nome del contenitore.

Visualizzare i dettagli del trattamento dei dati nella console Google SecOps

Le sezioni seguenti descrivono come visualizzare i dettagli del trattamento dei dati dalla console Google SecOps:

Visualizza tutte le configurazioni del trattamento dei dati

  1. Nella console Google SecOps, vai a Impostazioni SIEM > Trattamento dei dati, dove puoi visualizzare tutte le pipeline configurate.
  2. Nella barra di ricerca Pipeline di dati in entrata, cerca le pipeline che hai creato. Puoi eseguire la ricerca per elementi, ad esempio nome pipeline o componenti. I risultati di ricerca mostrano i processori della pipeline e un riepilogo della sua configurazione.
  3. Dal riepilogo della pipeline, puoi eseguire una delle seguenti azioni:
    • Rivedi le configurazioni del processore.
    • Copia i dettagli di configurazione.
    • Fai clic su Apri in Bindplane per accedere alla pipeline e gestirla direttamente nella console Bindplane.

Visualizza i feed configurati

Per visualizzare i feed configurati nel tuo sistema:

  1. Nella console Google SecOps, vai a Impostazioni SIEM > Feed. La pagina Feed mostra tutti i feed che hai configurato nel tuo sistema.
  2. Tieni il puntatore sopra ogni riga per visualizzare il menu ⋮ Altro, in cui puoi visualizzare i dettagli del feed, modificarlo, disattivarlo o eliminarlo.
  3. Fai clic su Visualizza dettagli per visualizzare la finestra dei dettagli.
  4. Fai clic su Apri in Bindplane per aprire la configurazione dello stream per quel feed nella console Bindplane.

Visualizzare i dettagli del trattamento dati (tipi di log disponibili)

Per visualizzare i dettagli del trattamento dati nella pagina Tipi di log disponibili, dove puoi visualizzare tutti i tipi di log disponibili, procedi nel seguente modo:

  1. Nella console Google SecOps, vai a Impostazioni SIEM > Tipi di log disponibili. La pagina principale mostra tutti i tipi di log.
  2. Tieni il puntatore sopra ogni riga del feed per visualizzare il menu more_vert Altro. Questo menu ti consente di visualizzare, modificare, disattivare o eliminare i dettagli del feed.
  3. Fai clic su Visualizza trattamento dei dati per visualizzare la configurazione del feed.
  4. Fai clic su Apri in Bindplane per aprire la configurazione del processore nella console Bindplane.

Utilizzare i metodi della pipeline di dati di Google SecOps

I metodi della pipeline di dati di Google SecOps forniscono strumenti completi per gestire i dati elaborati. Questi metodi della pipeline di dati includono la creazione, l'aggiornamento, l'eliminazione e l'elenco delle pipeline, nonché l'associazione di feed e tipi di log alle pipeline.

Casi d'uso

Questa sezione contiene esempi di casi d'uso tipici relativi ai metodi della pipeline di dati.

Per utilizzare gli esempi in questa sezione:

  • Sostituisci i parametri specifici del cliente (ad esempio URL e ID feed) con parametri adatti al tuo ambiente.
  • Inserisci la tua autenticazione. In questa sezione, i token di autenticazione vengono oscurati con ******.

Elenca tutte le pipeline in una specifica istanza Google SecOps

Il comando seguente elenca tutte le pipeline esistenti in una specifica istanza Google SecOps:

curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Authorization: Bearer ******'

Crea una pipeline di base con un processore

Per creare una pipeline di base con il processore di trasformazione e associarvi tre origini, procedi nel seguente modo:

  1. Esegui questo comando:

    curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "displayName": "Example Pipeline",
    "description": "My description",
    "processors": [
        {
            "transformProcessor": {
                "statements": [
                    "set(attributes[\"myKey1\"], \"myVal1\")",
                    "set(attributes[\"myKey2\"], \"myVal2\")"
                ]
            }
        }
    ]
}'

  2. Dalla risposta, copia il valore del campo displayName.

  3. Esegui il comando seguente per associare tre stream (tipo di log, tipo di log con ID collector e feed) alla pipeline. Utilizza il valore del campo displayName come valore {pipelineName}.

    curl --location 'https://abc.def.googleapis.com/v123/{pipelineName}:associateStreams' \
    --header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "streams": [
        {
            "logType": "MICROSOFT_SENTINEL"
        },
        {
            "logType": "A10_LOAD_BALANCER",
            "collectorId": "dddddddd-dddd-dddd-dddd-dddddddddddd"
        },
        {
            "feed": "1a1a1a1a-1a1a-1a1a-1a1a-1a1a1a1a1a1a"
        }
    ]
}'

Crea una pipeline con tre processori

La pipeline utilizza i seguenti processori:

  • Trasforma: trasforma e analizza il corpo del log come JSON.
  • Filtro: filtra i log che corrispondono a una condizione basata sul corpo analizzato.
  • Oscuramento: oscura i dati che corrispondono ai valori sensibili preimpostati di Bindplane.

Per creare una pipeline e associarvi tre origini:

  1. Esegui questo comando:

    curl --location 'https://abc.def.googleapis.com/v123/projects/projectabc-byop/locations/us/instances/aaaa1aa1-111a-11a1-1111-11111a1aa1aa/logProcessingPipelines' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data-raw '{
    "displayName": "My Pipeline 2",
    "description": "My description 2",
    "processors": [
        {
            "transformProcessor": {
                "statements": [
                    "merge_maps(\n  body,\n  ParseJSON(\n    body\n  ),\n  \"upsert\"\n) where IsMap(body) and true\n",
                    "set(\n  body,\n  ParseJSON(\n    body\n  )\n) where not IsMap(body) and true\n"
                ],
                "errorMode": "IGNORE"
            }
        },
        {
            "filterProcessor": {
                "logConditions": [
                    "true and severity_number != 0 and severity_number < 9"
                ]
            }
        },
        {
            "redactProcessor": {
                "blockedValues": [
                    "\\b[A-Z]{2}\\d{2}(?: ?[A-Z0-9]){11,31}(?:\\s[A-Z0-9])*\\b",
                    "\\b([0-9A-Fa-f]{2}[:-]){5}[0-9A-Fa-f]{2}\\b",
                    "\\b(?:(?:(?:\\d{4}[- ]?){3}\\d{4}|\\d{15,16}))\\b",
                    "\\b(?:(?:19|20)?\\d{2}[-/])?(?:0?[1-9]|1[0-2])[-/](?:0?[1-9]|[12]\\d|3[01])(?:[-/](?:19|20)?\\d{2})?\\b",
                    "\\b[a-zA-Z0-9._/\\+\\-—|]+@[A-Za-z0-9\\-—|]+\\.[a-zA-Z|]{2,6}\\b",
                    "\\b(?:(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\\.){3}(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\\b",
                    "\\b(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}\\b",
                    "\\b((\\+|\\b)[1l][\\-\\. ])?\\(?\\b[\\dOlZSB]{3,5}([\\-\\. ]|\\) ?)[\\dOlZSB]{3}[\\-\\. ][\\dOlZSB]{4}\\b",
                    "\\+[1-9]\\d{0,2}(?:[-.\\s]?\\(?\\d+\\)?(?:[-.\\s]?\\d+)*)\\b",
                    "\\b\\d{3}[- ]\\d{2}[- ]\\d{4}\\b",
                    "\\b[A-Z][A-Za-z\\s\\.]+,\\s{0,1}[A-Z]{2}\\b",
                    "\\b\\d+\\s[A-z]+\\s[A-z]+(\\s[A-z]+)?\\s*\\d*\\b",
                    "\\b\\d{5}(?:[-\\s]\\d{4})?\\b",
                    "\\b[0-9a-fA-F]{8}-[0-9a-fA-F]{4}-[1-5][0-9a-fA-F]{3}-[89abAB][0-9a-fA-F]{3}-[0-9a-fA-F]{12}\\b"
                ],
                "allowAllKeys": true,
                "allowedKeys": [
                    "__bindplane_id__"
                ],
                "ignoredKeys": [
                    "__bindplane_id__"
                ],
                "redactAllTypes": true
            }
        }
    ]
}'

  2. Dalla risposta, copia il valore del campo displayName.

  3. Esegui il comando seguente per associare tre stream (tipo di log, tipo di log con ID collector e feed) alla pipeline. Utilizza il valore del campo displayName come valore {pipelineName}. 

    curl --location 'https://abc.def.googleapis.com/v123/{pipelineName}:associateStreams' \
    --header 'Content-Type: application/json' \
--header 'Authorization: Bearer ******' \
--data '{
    "streams": [
        {
            "logType": "MICROSOFT_SENTINEL"
        },
        {
            "logType": "A10_LOAD_BALANCER",
            "collectorId": "dddddddd-dddd-dddd-dddd-dddddddddddd"
        },
        {
            "feed": "1a1a1a1a-1a1a-1a1a-1a1a-1a1a1a1a1a1a"
        }
    ]
}'

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.