收集 FingerprintJS 日志

本文档介绍了如何配置 FingerprintJS 以使用 Webhook 将日志推送到 Google Security Operations。

FingerprintJS 是一个设备智能平台，可提供访问者身份识别和欺诈检测功能。它会生成唯一的访问者标识符，并提供智能信号，包括机器人检测、VPN 检测、无痕模式检测和其他设备智能数据洞见。当通过 FingerprintJS JavaScript 代理识别出访问者时，Webhook 可以实时将识别事件数据发送到 Google Security Operations。

准备工作

确保您满足以下前提条件：

• Google SecOps 实例
• 支持 Webhook 的 FingerprintJS 账号
• 访问 Google Cloud 控制台（用于创建 API 密钥）
• 安装在您的网站或应用上的 FingerprintJS JavaScript 代理

在 Google SecOps 中创建 Webhook Feed

创建 Feed。

1. 依次前往 SIEM 设置 > Feed。
2. 点击添加新 Feed。
3. 在下一页上，点击配置单个 Feed。
4. 在Feed 名称字段中，输入 Feed 的名称（例如 FingerprintJS Identification Events）。
5. 选择 Webhook 作为来源类型。
6. 选择 FingerprintJS 作为日志类型。
7. 点击下一步。
8. 为以下输入参数指定值：
   • 拆分分隔符（可选）：留空。每个 Webhook 请求都包含一个识别事件。
   • 资产命名空间：资产命名空间。
   • 注入标签：要应用于此 Feed 中事件的标签。
9. 点击下一步。
10. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

生成并保存密钥

创建 Feed 后，您必须生成用于身份验证的密钥：

1. 在 Feed 详情页面上，点击生成密钥。
2. 系统会显示一个包含密钥的对话框。

3. 复制并妥善保存此密钥。

获取 Feed 端点网址

1. 前往 Feed 的详细信息标签页。
2. 在端点信息部分，复制 Feed 端点网址。

3. 网址格式为：

   https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate
   

   或

   https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate
   

4. 保存此网址以供后续步骤使用。

5. 点击完成。

创建 Google Cloud API 密钥

Chronicle 需要 API 密钥才能进行身份验证。在 Google Cloud 控制台中创建受限 API 密钥。

创建 API 密钥

1. 前往 Google Cloud 控制台“凭据”页面
2. 选择您的项目（与您的 Chronicle 实例关联的项目）。
3. 依次点击创建凭据> API 密钥。
4. 系统会创建一个 API 密钥，并在对话框中显示该密钥。
5. 点击修改 API 密钥以限制密钥。

限制 API 密钥

1. 在 API 密钥设置页面中：
   • 名称：输入一个描述性名称（例如 Chronicle FingerprintJS Webhook API Key）。
2. 在 API 限制下：
   • 选择限制密钥。
   • 在选择 API 下拉菜单中，搜索并选择 Google SecOps API（或 Chronicle API）。
3. 点击保存。
4. 从页面顶部的 API 密钥字段复制 API 密钥值。

5. 安全地保存 API 密钥。

配置 FingerprintJS Webhook

构建网络钩子网址

合并 Chronicle 端点网址和 API 密钥：<ENDPOINT_URL>?key=<API_KEY>

示例： https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...

在 FingerprintJS 信息中心内创建 Webhook

1. 登录 FingerprintJS 信息中心。
2. 前往信息中心 > Webhook。
3. 点击 Add webhook。
4. 提供以下配置详细信息：
   • 网址：粘贴包含 API 密钥的完整端点网址（如上所示）。
   • 环境（可选）：如果您选择环境，Webhook 将仅报告来自匹配环境的事件。留空可接收来自所有环境的事件。
   • 基本身份验证（可选）：如果您想添加其他身份验证，请展开基本身份验证。对于 Chronicle 集成，您可以将此字段留空，因为身份验证是通过 API 密钥和密钥来处理的。
5. 点击创建 Webhook。
6. 系统会显示一个成功模式框，其中包含“已创建 Webhook”消息。
7. 重要提示：如果您使用的是 Webhook 签名（仅限企业版方案），请复制并保存成功模式框中显示的加密密钥。该密钥仅显示一次。

向网络钩子添加 Chronicle Secret 密钥

FingerprintJS 在创建 Webhook 期间不支持自定义 HTTP 标头。您必须在网络钩子网址中添加 Chronicle 密钥作为查询参数。

更新 webhook 网址以包含密钥：<ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET_KEY>

示例： https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...&secret=abcd1234...

如需更新 Webhook 网址，请执行以下操作：

1. 在 FingerprintJS 信息中心内，依次前往信息中心 > Webhook。
2. 在表格中找到您的 Webhook，然后点击修改图标。
3. 使用包含 API 密钥和密钥的完整网址更新 网址 字段。
4. 点击修改 Webhook。

测试网络钩子

1. 在 FingerprintJS 信息中心内，依次前往信息中心 > Webhook。
2. 在表格中找到您的 Webhook。
3. 点击发送测试事件。
4. 等待确认测试活动已成功发送。

5. 验证 webhook 是否显示成功传送状态。

身份验证方法参考

Chronicle webhook Feed 支持多种身份验证方法。FingerprintJS 网络钩子使用查询参数进行身份验证。

查询参数方法

FingerprintJS 在创建 Webhook 期间不支持自定义 HTTP 标头，因此必须将凭据附加到网址。

网址格式： <ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET_KEY>

示例： https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...&secret=abcd1234...

请求格式：

POST <ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET_KEY> HTTP/1.1
Content-Type: application/json

{
  "visitorId": "3HNey93AkBW6CRbxV6xP",
  "requestId": "1708102555327.NLOjmg",
  "timestamp": 1582299576512
}

注意：凭据会显示在网址中，并且可能会记录在 Web 服务器访问日志中。这是 FingerprintJS Webhook 支持的唯一身份验证方法。

UDM 映射表

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。