Recopila conjuntos de datos principales de Code42 Incydr
Se admite en los siguientes sistemas operativos:
Google SecOps
SIEM
En este documento, se explica cómo transferir los conjuntos de datos principales de Code42 Incydr (usuarios, auditoría, casos y, de forma opcional, eventos de archivos) a Google Security Operations con Google Cloud Storage.
Code42 Incydr es una solución de administración de riesgos internos que detecta, investiga y responde a la filtración de datos en todos los dispositivos supervisando la actividad de los archivos en tiempo real en todos los extremos, servicios en la nube y correos electrónicos.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Una instancia de Google SecOps
- Un proyecto de GCP con la API de Cloud Storage habilitada
- Permisos para crear y administrar buckets de GCS
- Permisos para administrar políticas de IAM en buckets de GCS
- Permisos para crear servicios de Cloud Run, temas de Pub/Sub y trabajos de Cloud Scheduler
- Acceso con privilegios a la API o a la consola de administración de Code42 Incydr con el rol de administrador de riesgo interno
Crea un bucket de Google Cloud Storage
- Ve a Google Cloud Console.
- Selecciona tu proyecto o crea uno nuevo.
- En el menú de navegación, ve a Cloud Storage > Buckets.
- Haz clic en Crear bucket.
Proporciona los siguientes detalles de configuración:
Configuración Valor Asigna un nombre a tu bucket Ingresa un nombre global único (por ejemplo, code42-incydr-logs).Tipo de ubicación Elige según tus necesidades (región, birregional, multirregional) Ubicación Selecciona la ubicación (por ejemplo, us-central1).Clase de almacenamiento Estándar (recomendado para los registros a los que se accede con frecuencia) Control de acceso Uniforme (recomendado) Herramientas de protección Opcional: Habilita el control de versiones de objetos o la política de retención Haz clic en Crear.
Recopila credenciales de la API de Code42 Incydr
Crea un cliente de API
- Accede a la consola web de Code42 Incydr.
- Ve a Administración > Integraciones > Clientes de API.
- Haz clic en Crear cliente de API nuevo.
- En el diálogo Create new API client, ingresa un nombre para el cliente (por ejemplo,
Google Security Operations Integration). - Copia y guarda los siguientes detalles en una ubicación segura:
- ID de cliente: Es el identificador del cliente de la API.
- Secret: Es la clave secreta del cliente de la API.
- Haz clic en Crear.
Determina la URL base de la API
La URL base de la API depende de la URL de la consola de Code42 Incydr. Verifica la URL de tu puerta de enlace de API en el portal para desarrolladores de Incydr o en la documentación del entorno de tu arrendatario.
Configuración predeterminada común:
URL de la consola URL base de la API https://console.us.code42.comhttps://api.us.code42.comhttps://console.us2.code42.comhttps://api.us2.code42.comhttps://console.ie.code42.comhttps://api.ie.code42.comhttps://console.gov.code42.comhttps://api.gov.code42.com
Verifica los permisos del cliente de la API
El cliente de la API debe tener los permisos adecuados para acceder a los extremos requeridos:
- En la consola de Code42 Incydr, ve a Administración > Integraciones > Clientes de API.
- Haz clic en el nombre del cliente de API que creaste.
Verifica que el cliente de la API tenga acceso a los siguientes permisos:
- Usuarios: Acceso de lectura a los datos del usuario
- Registro de auditoría: Acceso de lectura a los registros de auditoría
- Casos: Acceso de lectura a los datos de los casos
- File Events (opcional): Acceso de lectura a los datos de eventos de archivos
Prueba el acceso a la API
Prueba tus credenciales antes de continuar con la integración:
# Replace with your actual credentials CLIENT_ID="your-client-id" CLIENT_SECRET="your-client-secret" API_BASE="https://api.us.code42.com" # Get OAuth token TOKEN=$(curl -s -X POST "${API_BASE}/v1/oauth/token" \ -u "${CLIENT_ID}:${CLIENT_SECRET}" \ -H "Content-Type: application/x-www-form-urlencoded" \ -d "grant_type=client_credentials" | jq -r '.access_token') # Test API access curl -v -H "Authorization: Bearer ${TOKEN}" "${API_BASE}/v1/users?pageSize=1"
Crea una cuenta de servicio para la Cloud Run Function
La Cloud Run Function necesita una cuenta de servicio con permisos para escribir en el bucket de GCS y ser invocada por Pub/Sub.
Crear cuenta de servicio
- En GCP Console, ve a IAM y administración > Cuentas de servicio.
- Haz clic en Crear cuenta de servicio.
- Proporciona los siguientes detalles de configuración:
- Nombre de la cuenta de servicio: Ingresa
code42-incydr-collector-sa. - Descripción de la cuenta de servicio: Ingresa
Service account for Cloud Run function to collect Code42 Incydr logs.
- Nombre de la cuenta de servicio: Ingresa
- Haz clic en Crear y continuar.
- En la sección Otorga a esta cuenta de servicio acceso al proyecto, agrega los siguientes roles:
- Haz clic en Selecciona un rol.
- Busca y selecciona Administrador de objetos de almacenamiento.
- Haz clic en + Agregar otra función.
- Busca y selecciona Invocador de Cloud Run.
- Haz clic en + Agregar otra función.
- Busca y selecciona Cloud Functions Invoker.
- Haz clic en Continuar.
- Haz clic en Listo.
Estos roles son necesarios para las siguientes acciones:
- Administrador de objetos de almacenamiento: Escribe registros en el bucket de GCS y administra archivos de estado
- Invocador de Cloud Run: Permite que Pub/Sub invoque la función
- Cloud Functions Invoker: Permite la invocación de funciones
Otorga permisos de IAM en el bucket de GCS
Otorga permisos de escritura a la cuenta de servicio en el bucket de GCS:
- Ve a Cloud Storage > Buckets.
- Haz clic en el nombre de tu bucket (por ejemplo,
code42-incydr-logs). - Ve a la pestaña Permisos.
- Haz clic en Otorgar acceso.
- Proporciona los siguientes detalles de configuración:
- Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo,
code42-incydr-collector-sa@your-project.iam.gserviceaccount.com). - Asignar roles: Selecciona Administrador de objetos de Storage.
- Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo,
- Haz clic en Guardar.
Crear tema de Pub/Sub
Crea un tema de Pub/Sub en el que Cloud Scheduler publicará y al que se suscribirá la función de Cloud Run.
- En GCP Console, ve a Pub/Sub > Temas.
- Haz clic en Crear un tema.
- Proporciona los siguientes detalles de configuración:
- ID del tema: Ingresa
code42-incydr-trigger. - Deja el resto de la configuración con sus valores predeterminados.
- ID del tema: Ingresa
- Haz clic en Crear.
Crea una función de Cloud Run para recopilar registros
La función de Cloud Run se activa con los mensajes de Pub/Sub de Cloud Scheduler para recuperar registros de la API de Code42 Incydr y escribirlos en GCS.
- En GCP Console, ve a Cloud Run.
- Haz clic en Crear servicio.
- Selecciona Función (usa un editor intercalado para crear una función).
En la sección Configurar, proporciona los siguientes detalles de configuración:
Configuración Valor Nombre del servicio code42-incydr-collectorRegión Selecciona la región que coincida con tu bucket de GCS (por ejemplo, us-central1).Tiempo de ejecución Selecciona Python 3.12 o una versión posterior. En la sección Activador (opcional), haz lo siguiente:
- Haz clic en + Agregar activador.
- Selecciona Cloud Pub/Sub.
- En Selecciona un tema de Cloud Pub/Sub, elige el tema
code42-incydr-trigger. - Haz clic en Guardar.
En la sección Autenticación, haz lo siguiente:
- Selecciona Solicitar autenticación.
- Verifica Identity and Access Management (IAM).
Desplázate hacia abajo y expande Contenedores, redes y seguridad.
Ve a la pestaña Seguridad:
- Cuenta de servicio: Selecciona la cuenta de servicio
code42-incydr-collector-sa.
- Cuenta de servicio: Selecciona la cuenta de servicio
Ve a la pestaña Contenedores:
- Haz clic en Variables y secretos.
- Haz clic en + Agregar variable para cada variable de entorno:
Nombre de la variable Valor de ejemplo Descripción INCYDR_BASE_URLhttps://api.us.code42.comURL base de la API de tu arrendatario INCYDR_CLIENT_IDyour-client-idID de cliente de la API INCYDR_CLIENT_SECRETyour-client-secretSecreto del cliente de API GCS_BUCKETcode42-incydr-logsNombre del bucket de GCS GCS_PREFIXcode42/Prefijo para los archivos de registro PAGE_SIZE500Registros por página LOOKBACK_MINUTES60Período de visualización inicial STREAMSusers,audit,casesTransmisiones de datos separadas por comas FE_QUERY_JSON" Opcional: Consulta JSON de eventos de archivo FE_PAGE_SIZE1000Opcional: Tamaño de página de eventos de archivo En la pestaña Variables y Secrets, desplázate hacia abajo hasta Requests:
- Tiempo de espera de la solicitud: Ingresa
600segundos (10 minutos).
- Tiempo de espera de la solicitud: Ingresa
Ve a la pestaña Configuración en Contenedores:
- En la sección Recursos, haz lo siguiente:
- Memoria: Selecciona 1024 MiB o más.
- CPU: Selecciona 1.
- Haz clic en Listo.
- En la sección Recursos, haz lo siguiente:
Desplázate hasta Entorno de ejecución:
- Selecciona Predeterminado (recomendado).
En la sección Ajuste de escala de revisión, haz lo siguiente:
- Cantidad mínima de instancias: Ingresa
0. - Cantidad máxima de instancias: Ingresa
100(o ajusta según la carga esperada).
- Cantidad mínima de instancias: Ingresa
Haz clic en Crear.
Espera a que se cree el servicio (de 1 a 2 minutos).
Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.
Agregar el código de función
- Ingresa main en Punto de entrada de la función.
En el editor de código intercalado, crea dos archivos:
- Primer archivo: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timedelta, timezone import time # Initialize HTTP client http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() # Environment variables BASE = os.environ.get("INCYDR_BASE_URL", "").rstrip("/") CID = os.environ.get("INCYDR_CLIENT_ID", "") CSECRET = os.environ.get("INCYDR_CLIENT_SECRET", "") BUCKET = os.environ.get("GCS_BUCKET", "") PREFIX_BASE = os.environ.get("GCS_PREFIX", "code42/") PAGE_SIZE = int(os.environ.get("PAGE_SIZE", "500")) LOOKBACK_MINUTES = int(os.environ.get("LOOKBACK_MINUTES", "60")) STREAMS = [s.strip() for s in os.environ.get("STREAMS", "users").split(",") if s.strip()] FE_QUERY_JSON = os.environ.get("FE_QUERY_JSON", "").strip() FE_PAGE_SIZE = int(os.environ.get("FE_PAGE_SIZE", "1000")) def now_utc(): return datetime.now(timezone.utc) def iso_minus(minutes: int): return (now_utc() - timedelta(minutes=minutes)).strftime("%Y-%m-%dT%H:%M:%SZ") def put_json(bucket, prefix: str, page_label: str, data): ts = now_utc().strftime("%Y/%m/%d/%H%M%S") key = f"{PREFIX_BASE}{prefix}{ts}-{page_label}.json" blob = bucket.blob(key) blob.upload_from_string(json.dumps(data), content_type='application/json') return key def get_token(): """Get OAuth 2.0 access token using client credentials flow.""" token_url = f"{BASE}/v1/oauth/token" # Encode credentials import base64 credentials = f"{CID}:{CSECRET}" encoded_credentials = base64.b64encode(credentials.encode('utf-8')).decode('utf-8') headers = { 'Authorization': f'Basic {encoded_credentials}', 'Content-Type': 'application/x-www-form-urlencoded', 'Accept': 'application/json' } body = 'grant_type=client_credentials' backoff = 1.0 max_retries = 3 for attempt in range(max_retries): response = http.request('POST', token_url, body=body, headers=headers) if response.status == 429: retry_after = int(response.headers.get('Retry-After', str(int(backoff)))) print(f"Rate limited (429) on token request. Retrying after {retry_after}s...") time.sleep(retry_after) backoff = min(backoff * 2, 30.0) continue if response.status != 200: raise RuntimeError(f"Failed to get access token: {response.status} - {response.data.decode('utf-8')}") data = json.loads(response.data.decode('utf-8')) return data['access_token'] raise RuntimeError(f"Failed to get token after {max_retries} retries due to rate limiting") def auth_header(): token = get_token() return { "Authorization": f"Bearer {token}", "Accept": "application/json" } def http_get(path: str, params: dict = None, headers: dict = None): url = f"{BASE}{path}" if params: from urllib.parse import urlencode url += "?" + urlencode(params) backoff = 1.0 max_retries = 3 for attempt in range(max_retries): response = http.request('GET', url, headers=headers) if response.status == 429: retry_after = int(response.headers.get('Retry-After', str(int(backoff)))) print(f"Rate limited (429). Retrying after {retry_after}s...") time.sleep(retry_after) backoff = min(backoff * 2, 30.0) continue return response.data raise RuntimeError(f"Failed after {max_retries} retries due to rate limiting") def http_post_json(path: str, body: dict, headers: dict = None): url = f"{BASE}{path}" backoff = 1.0 max_retries = 3 for attempt in range(max_retries): response = http.request( 'POST', url, body=json.dumps(body), headers={**headers, 'Content-Type': 'application/json'} ) if response.status == 429: retry_after = int(response.headers.get('Retry-After', str(int(backoff)))) print(f"Rate limited (429). Retrying after {retry_after}s...") time.sleep(retry_after) backoff = min(backoff * 2, 30.0) continue return response.data raise RuntimeError(f"Failed after {max_retries} retries due to rate limiting") # USERS (/v1/users) def pull_users(bucket, hdrs): next_token = None pages = 0 while True: params = {"active": "true", "blocked": "false", "pageSize": PAGE_SIZE} if next_token: params["pageToken"] = next_token raw = http_get("/v1/users", params, hdrs) data = json.loads(raw.decode('utf-8')) put_json(bucket, "users/", f"users-page-{pages}", data) pages += 1 next_token = data.get("nextPageToken") or data.get("next_page_token") if not next_token: break return pages # AUDIT LOG (/v1/audit/log) def pull_audit(bucket, hdrs): start_iso = iso_minus(LOOKBACK_MINUTES) next_token = None pages = 0 while True: params = {"startTime": start_iso, "pageSize": PAGE_SIZE} if next_token: params["pageToken"] = next_token raw = http_get("/v1/audit/log", params, hdrs) try: data = json.loads(raw.decode('utf-8')) put_json(bucket, "audit/", f"audit-page-{pages}", data) next_token = data.get("nextPageToken") or data.get("next_page_token") pages += 1 if not next_token: break except Exception as e: print(f"Error parsing audit log response: {e}") # Save raw response ts = now_utc().strftime("%Y/%m/%d/%H%M%S") key = f"{PREFIX_BASE}audit/{ts}-audit-export.bin" blob = bucket.blob(key) blob.upload_from_string(raw, content_type='application/octet-stream') pages += 1 break return pages # CASES (/v1/cases) def pull_cases(bucket, hdrs): next_token = None pages = 0 while True: params = {"pageSize": PAGE_SIZE} if next_token: params["pageToken"] = next_token raw = http_get("/v1/cases", params, hdrs) data = json.loads(raw.decode('utf-8')) put_json(bucket, "cases/", f"cases-page-{pages}", data) pages += 1 next_token = data.get("nextPageToken") or data.get("next_page_token") if not next_token: break return pages # FILE EVENTS (/v2/file-events/search) def pull_file_events(bucket, hdrs): if not FE_QUERY_JSON: return 0 try: base_query = json.loads(FE_QUERY_JSON) except Exception as e: print(f"Error: FE_QUERY_JSON is not valid JSON: {e}") return 0 pages = 0 next_token = None while True: body = dict(base_query) body["pageSize"] = FE_PAGE_SIZE if next_token: body["pageToken"] = next_token raw = http_post_json("/v2/file-events/search", body, hdrs) data = json.loads(raw.decode('utf-8')) put_json(bucket, "file_events/", f"fileevents-page-{pages}", data) pages += 1 next_token = ( data.get("nextPageToken") or data.get("next_page_token") or (data.get("file_events") or {}).get("nextPageToken") ) if not next_token: break return pages @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch logs from Code42 Incydr API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ if not all([BASE, CID, CSECRET, BUCKET]): print('Error: Missing required environment variables') return try: bucket = storage_client.bucket(BUCKET) hdrs = auth_header() report = {} if "users" in STREAMS: print("Fetching users...") report["users_pages"] = pull_users(bucket, hdrs) if "audit" in STREAMS: print("Fetching audit logs...") report["audit_pages"] = pull_audit(bucket, hdrs) if "cases" in STREAMS: print("Fetching cases...") report["cases_pages"] = pull_cases(bucket, hdrs) if "file_events" in STREAMS: print("Fetching file events...") report["file_events_pages"] = pull_file_events(bucket, hdrs) print(f'Successfully processed logs: {json.dumps(report)}') except Exception as e: print(f'Error processing logs: {str(e)}') raise- Segundo archivo: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0Haz clic en Implementar para guardar y, luego, implementar la función.
Espera a que se complete la implementación (de 2 a 3 minutos).
Crea un trabajo de Cloud Scheduler
Cloud Scheduler publica mensajes en el tema de Pub/Sub a intervalos regulares, lo que activa la función de Cloud Run.
- En GCP Console, ve a Cloud Scheduler.
- Haz clic en Crear trabajo.
Proporciona los siguientes detalles de configuración:
Configuración Valor Nombre code42-incydr-hourlyRegión Selecciona la misma región que la función de Cloud Run Frecuencia 0 * * * *(cada hora, en punto)Zona horaria Selecciona la zona horaria (se recomienda UTC) Tipo de orientación Pub/Sub Tema Selecciona el tema code42-incydr-trigger.Cuerpo del mensaje {}(objeto JSON vacío)Haz clic en Crear.
Opciones de frecuencia de programación
Elige la frecuencia según los requisitos de latencia y volumen de registros:
Frecuencia Expresión cron Caso de uso Cada 5 minutos */5 * * * *Alto volumen y baja latencia Cada 15 minutos */15 * * * *Volumen medio Cada 1 hora 0 * * * *Estándar (opción recomendada) Cada 6 horas 0 */6 * * *Procesamiento por lotes y volumen bajo Diario 0 0 * * *Recopilación de datos históricos
Prueba el trabajo de Scheduler
- En la consola de Cloud Scheduler, busca tu trabajo (
code42-incydr-hourly). - Haz clic en Forzar ejecución para activarlo de forma manual.
- Espera unos segundos y ve a Cloud Run > Servicios > code42-incydr-collector > Registros.
Verifica que la función se haya ejecutado correctamente. Busca lo siguiente:
Fetching users... Fetching audit logs... Fetching cases... Successfully processed logs: {"users_pages": X, "audit_pages": Y, "cases_pages": Z}Verifica el bucket de GCS (
code42-incydr-logs) para confirmar que se escribieron los registros.
Si ves errores en los registros, haz lo siguiente:
- HTTP 401: Verifica las credenciales de la API en las variables de entorno
- HTTP 403: Verifica que el cliente de la API tenga los permisos necesarios en la consola de Code42 Incydr
- HTTP 429: Limitación de frecuencia. La función volverá a intentarlo automáticamente con una espera exponencial.
- No se pudo obtener el token de acceso: Verifica que
INCYDR_BASE_URL,INCYDR_CLIENT_IDyINCYDR_CLIENT_SECRETsean correctos.
Recupera la cuenta de servicio de Google SecOps
Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.
Obtén el correo electrónico de la cuenta de servicio
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- Haz clic en Configura un feed único.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo,
Code42 Incydr Datasets). - Selecciona Google Cloud Storage V2 como el Tipo de fuente.
- Selecciona Code42 Incydr como el Tipo de registro.
Haz clic en Obtener cuenta de servicio. Se mostrará un correo electrónico único de la cuenta de servicio, por ejemplo:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comCopia esta dirección de correo electrónico para usarla en el siguiente paso.
Otorga permisos de IAM a la cuenta de servicio de Google SecOps
La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.
- Ve a Cloud Storage > Buckets.
- Haz clic en el nombre de tu bucket (
code42-incydr-logs). - Ve a la pestaña Permisos.
- Haz clic en Otorgar acceso.
- Proporciona los siguientes detalles de configuración:
- Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
- Asignar roles: Selecciona Visualizador de objetos de Storage.
Haz clic en Guardar.
Configura un feed en Google SecOps para transferir registros de Code42 Incydr
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- Haz clic en Configura un feed único.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo,
Code42 Incydr Datasets). - Selecciona Google Cloud Storage V2 como el Tipo de fuente.
- Selecciona Code42 Incydr como el Tipo de registro.
- Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:
gs://code42-incydr-logs/code42/Reemplaza lo siguiente:
code42-incydr-logs: Es el nombre de tu bucket de GCS.code42/: Es el prefijo o la ruta de carpeta opcionales en los que se almacenan los registros (déjalo vacío para la raíz).
Ejemplos:
- Bucket raíz:
gs://code42-incydr-logs/ - Con prefijo:
gs://code42-incydr-logs/code42/
- Bucket raíz:
Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:
- Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
- Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.
- Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.
Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
Espacio de nombres del recurso: Es el espacio de nombres del recurso.
Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.