FingerprintJS-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie FingerprintJS so konfigurieren, dass Logs über Webhooks an Google Security Operations gesendet werden.

FingerprintJS ist eine Plattform für Geräteinformationen, die Funktionen zur Besucheridentifizierung und Betrugserkennung bietet. Es werden eindeutige Besucher-IDs generiert und intelligente Signale bereitgestellt, darunter die Erkennung von Bots, VPNs und Inkognitomodus sowie andere Informationen zur Geräteintelligenz. Wenn ein Besucher über den FingerprintJS-JavaScript-Agent identifiziert wird, können Webhooks die Identifikationsereignisdaten in Echtzeit an Google Security Operations senden.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• FingerprintJS-Konto mit Webhook-Unterstützung
• Zugriff auf die Google Cloud Console (zum Erstellen von API-Schlüsseln)
• FingerprintJS-JavaScript-Agent auf Ihrer Website oder in Ihrer Anwendung installiert

Webhook-Feed in Google SecOps erstellen

Feed erstellen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. FingerprintJS Identification Events.
5. Wählen Sie Webhook als Quelltyp aus.
6. Wählen Sie FingerprintJS als Log type (Protokolltyp) aus.
7. Klicken Sie auf Weiter.
8. Geben Sie Werte für die folgenden Eingabeparameter an:
   • Trennzeichen für Aufteilung (optional): Lassen Sie das Feld leer. Jede Webhook-Anfrage enthält ein einzelnes Identifikationsereignis.
   • Asset-Namespace: Der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
9. Klicken Sie auf Weiter.
10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Secret-Schlüssel generieren und speichern

Nachdem Sie den Feed erstellt haben, müssen Sie einen geheimen Schlüssel für die Authentifizierung generieren:

1. Klicken Sie auf der Seite mit den Feeddetails auf Geheimen Schlüssel generieren.
2. In einem Dialogfeld wird der geheime Schlüssel angezeigt.

3. Kopieren und speichern Sie den geheimen Schlüssel sicher.

Feed-Endpunkt-URL abrufen

1. Rufen Sie den Tab Details des Feeds auf.
2. Kopieren Sie im Abschnitt Endpunktinformationen die Feed-Endpunkt-URL.

3. Das URL-Format lautet:

   https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate
   

   oder

   https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate
   

4. Speichern Sie diese URL für die nächsten Schritte.

5. Klicken Sie auf Fertig.

Google Cloud API-Schlüssel erstellen

Für die Authentifizierung in Chronicle ist ein API-Schlüssel erforderlich. Erstellen Sie einen eingeschränkten API-Schlüssel in der Google Cloud Console.

API-Schlüssel erstellen

1. Rufen Sie die Google Cloud Seite „Anmeldedaten“ auf.
2. Wählen Sie Ihr Projekt aus (das Projekt, das mit Ihrer Chronicle-Instanz verknüpft ist).
3. Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
4. Ein API-Schlüssel wird erstellt und in einem Dialogfeld angezeigt.
5. Klicken Sie auf API-Schlüssel bearbeiten, um den Schlüssel einzuschränken.

API-Schlüssel einschränken

1. Auf der Seite mit den API-Schlüssel-Einstellungen:
   • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Chronicle FingerprintJS Webhook API Key.
2. Gehen Sie unter API-Einschränkungen so vor:
   • Wählen Sie Schlüssel einschränken aus.
   • Suchen Sie im Drop-down-Menü APIs auswählen nach Google SecOps API (oder Chronicle API) und wählen Sie die Option aus.
3. Klicken Sie auf Speichern.
4. Kopieren Sie den API-Schlüsselwert aus dem Feld API-Schlüssel oben auf der Seite.

5. Speichern Sie den API-Schlüssel sicher.

FingerprintJS-Webhook konfigurieren

Webhook-URL erstellen

Kombinieren Sie die Chronicle-Endpunkt-URL und den API-Schlüssel: <ENDPOINT_URL>?key=<API_KEY>

Beispiel: https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...

Webhook im FingerprintJS-Dashboard erstellen

1. Melden Sie sich im FingerprintJS-Dashboard an.
2. Klicken Sie auf Dashboard > Webhooks.
3. Klicken Sie auf Add webhook (Webhook hinzufügen).
4. Geben Sie die folgenden Konfigurationsdetails an:
   • URL: Fügen Sie die vollständige Endpunkt-URL mit API-Schlüssel von oben ein.
   • Umgebung (optional): Wenn Sie eine Umgebung auswählen, werden in Ihrem Webhook nur Ereignisse aus einer entsprechenden Umgebung gemeldet. Lassen Sie das Feld leer, um Ereignisse aus allen Umgebungen zu empfangen.
   • Basisauthentifizierung (optional): Maximieren Sie Basisauthentifizierung, wenn Sie eine zusätzliche Authentifizierung hinzufügen möchten. Bei der Chronicle-Integration können Sie dieses Feld leer lassen, da die Authentifizierung über den API-Schlüssel und den geheimen Schlüssel erfolgt.
5. Klicken Sie auf Webhook erstellen.
6. Es wird ein Erfolgsmodal mit der Meldung Webhooks created (Webhooks erstellt) angezeigt.
7. Wichtig: Wenn Sie Webhook-Signaturen verwenden (nur Enterprise-Abo), kopieren und speichern Sie den im Erfolgsmodal angezeigten Verschlüsselungsschlüssel. Der Schlüssel wird nur einmal angezeigt.

Webhook einen Chronicle-Secret-Schlüssel hinzufügen

FingerprintJS unterstützt keine benutzerdefinierten HTTP-Header beim Erstellen von Webhooks. Sie müssen den geheimen Schlüssel von Chronicle als Suchparameter in die Webhook-URL einfügen.

Aktualisieren Sie die Webhook-URL, damit sie den geheimen Schlüssel enthält: <ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET_KEY>

Beispiel: https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...&secret=abcd1234...

So aktualisieren Sie die Webhook-URL:

1. Rufen Sie im FingerprintJS-Dashboard Dashboard > Webhooks auf.
2. Suchen Sie in der Tabelle nach Ihrem Webhook und klicken Sie auf das Symbol Bearbeiten.
3. Aktualisieren Sie das Feld URL mit der vollständigen URL, die sowohl den API-Schlüssel als auch den geheimen Schlüssel enthält.
4. Klicken Sie auf Webhook bearbeiten.

Webhook testen

1. Rufen Sie im FingerprintJS-Dashboard Dashboard > Webhooks auf.
2. Suchen Sie in der Tabelle nach Ihrem Webhook.
3. Klicken Sie auf Testlaufwerk senden.
4. Warten Sie auf die Bestätigung, dass das Testereignis gesendet wurde.

5. Prüfen Sie, ob für den Webhook der Status „Erfolgreiche Zustellung“ angezeigt wird.

Referenz zu Authentifizierungsmethoden

Chronicle-Webhook-Feeds unterstützen mehrere Authentifizierungsmethoden. FingerprintJS-Webhooks verwenden Abfrageparameter zur Authentifizierung.

Methode für Abfrageparameter

FingerprintJS unterstützt keine benutzerdefinierten HTTP-Headern beim Erstellen von Webhooks. Anmeldedaten müssen also an die URL angehängt werden.

URL-Format:<ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET_KEY>

Beispiel: https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...&secret=abcd1234...

Anfrageformat:

POST <ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET_KEY> HTTP/1.1
Content-Type: application/json

{
  "visitorId": "3HNey93AkBW6CRbxV6xP",
  "requestId": "1708102555327.NLOjmg",
  "timestamp": 1582299576512
}

Hinweis: Anmeldedaten sind in der URL sichtbar und werden möglicherweise in den Zugriffslogs des Webservers protokolliert. Dies ist die einzige Authentifizierungsmethode, die von FingerprintJS-Webhooks unterstützt wird.

UDM-Zuordnungstabelle

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten