收集 FingerprintJS 記錄

本文說明如何設定 FingerprintJS，透過 Webhook 將記錄檔推送至 Google Security Operations。

FingerprintJS 是裝置智慧平台，提供訪客識別和詐欺偵測功能。這項服務會產生不重複的訪客 ID，並提供智慧信號，包括偵測機器人、偵測 VPN、偵測無痕模式，以及其他裝置智慧洞察資料。透過 FingerprintJS JavaScript 代理程式識別訪客時，Webhook 可以即時將識別事件資料傳送至 Google Security Operations。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• 支援 Webhook 的 FingerprintJS 帳戶
• 存取 Google Cloud 控制台 (用於建立 API 金鑰)
• 網站或應用程式上安裝的 FingerprintJS JavaScript 代理程式

在 Google SecOps 中建立 Webhook 動態饋給

建立動態饋給

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「新增動態消息」。
3. 在下一個頁面中，按一下「設定單一動態饋給」。
4. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 FingerprintJS Identification Events)。
5. 選取「Webhook」做為「來源類型」。
6. 選取「FingerprintJS」做為「記錄類型」。
7. 點選 [下一步]。
8. 指定下列輸入參數的值：
   • 分割分隔符 (選填)：留空。每個 Webhook 要求都包含單一識別事件。
   • 資產命名空間：資產命名空間。
   • 擷取標籤：要套用至這個動態饋給事件的標籤。
9. 點選 [下一步]。
10. 在「Finalize」(完成) 畫面中檢查新的動態饋給設定，然後按一下「Submit」(提交)。

產生並儲存密鑰

建立動態饋給後，請務必產生驗證用的密鑰：

1. 在動態消息詳細資料頁面中，按一下「產生密鑰」。
2. 對話方塊會顯示密鑰。

3. 複製並妥善儲存密鑰。

取得動態饋給端點網址

1. 前往動態消息的「詳細資料」分頁。
2. 在「端點資訊」部分，複製「動態消息端點網址」。

3. 網址格式為：

   https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate
   

   或

   https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate
   

4. 請儲存這個網址，以供後續步驟使用。

5. 按一下 [完成]。

建立 Google Cloud API 金鑰

Chronicle 需要 API 金鑰才能進行驗證。在 Google Cloud 控制台中建立受限制的 API 金鑰。

建立 API 金鑰

1. 前往Google Cloud 控制台的「憑證」頁面
2. 選取專案 (與 Chronicle 執行個體相關聯的專案)。
3. 依序按一下「建立憑證」>「API 金鑰」。
4. 系統會建立 API 金鑰，並在對話方塊中顯示。
5. 按一下「編輯 API 金鑰」即可限制金鑰。

限制 API 金鑰

1. 在「API 金鑰」設定頁面中：
   • 名稱：輸入描述性名稱 (例如 Chronicle FingerprintJS Webhook API Key)。
2. 在「API 限制」下方：
   • 選取「限制金鑰」。
   • 在「選取 API」下拉式選單中，搜尋並選取「Google SecOps API」 (或「Chronicle API」)。
3. 按一下 [儲存]。
4. 從頁面頂端的「API key」(API 金鑰) 欄位複製 API 金鑰值。

5. 安全儲存 API 金鑰。

設定 FingerprintJS Webhook

建構 Webhook 網址

合併 Chronicle 端點網址和 API 金鑰：<ENDPOINT_URL>?key=<API_KEY>

範例：https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...

在 FingerprintJS 資訊主頁中建立 Webhook

1. 登入 FingerprintJS 資訊主頁。
2. 前往「資訊主頁」>「Webhook」。
3. 按一下 [Add Webhook]。
4. 請提供下列設定詳細資料：
   • 網址：貼上上述包含 API 金鑰的完整端點網址。
   • 環境 (選用)：如果選取環境，Webhook 就只會回報相符環境的事件。如要接收來自所有環境的事件，請將這個欄位留空。
   • 基本驗證 (選用)：如要新增其他驗證方式，請展開「基本驗證」。如要整合 Chronicle，您可以將這個欄位留空，因為驗證作業會透過 API 金鑰和私密金鑰處理。
5. 按一下「建立 Webhook」。
6. 成功建立 Webhook 後，系統會顯示「已建立 Webhook」的成功訊息。
7. 重要事項：如果您使用 Webhook 簽章 (僅限 Enterprise 方案)，請複製並儲存成功訊息視窗中顯示的加密金鑰。金鑰只會顯示一次。

將 Chronicle 密鑰新增至 webhook

建立 Webhook 時，FingerprintJS 不支援自訂 HTTP 標頭。您必須在 Webhook 網址中加入 Chronicle 密鑰做為查詢參數。

更新 Webhook 網址，加入密鑰：<ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET_KEY>

範例：https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...&secret=abcd1234...

如要更新 Webhook 網址，請按照下列步驟操作：

1. 在 FingerprintJS 資訊主頁中，依序前往「Dashboard」(資訊主頁) >「Webhooks」(Webhook)。
2. 在表格中找出所需網路鉤子，然後按一下「編輯」圖示。
3. 在「URL」欄位中，更新包含 API 金鑰和私密金鑰的完整網址。
4. 按一下「編輯 Webhook」。

測試 Webhook

1. 在 FingerprintJS 資訊主頁中，依序前往「Dashboard」(資訊主頁) >「Webhooks」(Webhook)。
2. 在表格中找出所需 Webhook。
3. 按一下「傳送測試事件」。
4. 等待系統確認測試事件已成功傳送。

5. 確認網路鉤子顯示成功傳送狀態。

驗證方式參考資料

Chronicle 網頁掛鉤動態消息支援多種驗證方法。FingerprintJS Webhook 會使用查詢參數進行驗證。

查詢參數方法

FingerprintJS 在建立 Webhook 時不支援自訂 HTTP 標頭，因此必須將憑證附加至網址。

網址格式： <ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET_KEY>

範例：https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=AIzaSyD...&secret=abcd1234...

要求格式：

POST <ENDPOINT_URL>?key=<API_KEY>&secret=<SECRET_KEY> HTTP/1.1
Content-Type: application/json

{
  "visitorId": "3HNey93AkBW6CRbxV6xP",
  "requestId": "1708102555327.NLOjmg",
  "timestamp": 1582299576512
}

注意：憑證會顯示在網址中，且可能會記錄在網頁伺服器存取記錄中。這是 FingerprintJS Webhook 唯一支援的驗證方法。

UDM 對應表

需要其他協助嗎？向社群成員和 Google SecOps 專業人員尋求答案。