Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Fivetran-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Fivetran so konfigurieren, dass Logs mithilfe von Webhooks an Google Security Operations gesendet werden.

Fivetran ist eine Datenintegrationsplattform, mit der Datenpipelines aus verschiedenen Quellen in Data Warehouses automatisiert werden. Fivetran generiert Betriebsereignisse, darunter Connector-Synchronisierungsereignisse, Transformationsereignisse und Änderungen des Verbindungsstatus. Diese Ereignisse können über ausgehende Webhooks an externe Endpunkte gesendet werden, um sie zu überwachen, Benachrichtigungen zu erhalten und Sicherheitsanalysen durchzuführen.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz.
Ein Fivetran-Konto mit Administrator- oder Kontoberechtigungen.
Zugriff auf die Google Cloud Console (zum Erstellen von API-Schlüsseln).
Fivetran-Konto mit aktivierter REST API.

Webhook-Feed in Google SecOps erstellen

Feed erstellen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf + Neu hinzufügen.
Wählen Sie Einzelnen Feed konfigurieren aus.
Geben Sie im Feld Feedname einen Namen ein, z. B. Fivetran Events.
Wählen Sie Webhook als Quelltyp aus.
Wählen Sie Fivetran als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Trennzeichen für Aufteilung (optional): Lassen Sie das Feld leer.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration und klicken Sie auf Senden.

Secret-Schlüssel generieren und speichern

Klicken Sie auf der Feed-Detailseite auf Secret Key generieren.
In einem Dialogfeld wird der geheime Schlüssel angezeigt.
Kopieren und speichern Sie den geheimen Schlüssel sicher.

Feed-Endpunkt-URL abrufen

Rufen Sie den Tab Details des Feeds auf.
Kopieren Sie im Abschnitt Endpunktinformationen die Feed-Endpunkt-URL.
Speichern Sie diese URL für die nächsten Schritte.
Klicken Sie auf Fertig.

Google Cloud API-Schlüssel erstellen

Für Google SecOps ist ein API-Schlüssel für die Authentifizierung erforderlich.

API-Schlüssel erstellen

Rufen Sie die Seite „Anmeldedaten“ in der Google Cloud Console auf.
Wählen Sie Ihr Projekt aus.
Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
Klicken Sie auf API-Schlüssel bearbeiten, um den Schlüssel einzuschränken.

API-Schlüssel einschränken

In den Einstellungen für den API-Schlüssel:
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B. SecOps Webhook API Key.
Gehen Sie unter API-Einschränkungen so vor:
1. Wählen Sie Schlüssel einschränken aus.
2. Suchen Sie im Drop-down-Menü nach Google SecOps API (oder Chronicle API) und wählen Sie die Option aus.
Klicken Sie auf Speichern.
Kopieren Sie den API-Schlüssel und speichern Sie ihn sicher.

Fivetran-Webhook konfigurieren

Webhook-URL erstellen

Kombinieren Sie die Endpunkt-URL und den API-Schlüssel:
```
<ENDPOINT_URL>?key=<API_KEY>
```

Webhook mit der Fivetran REST API erstellen

Fivetran API-Anmeldedaten abrufen

Melden Sie sich in Ihrem Fivetran-Konto an.
Rufen Sie die Kontoeinstellungen > API-Konfiguration auf.
Klicken Sie auf API-Schlüssel generieren, falls Sie noch keinen haben.
Kopieren Sie den API-Schlüssel und das API-Secret.

Webhook auf Kontoebene erstellen

Mit dieser Methode erhalten Sie Ereignisse von allen Connectors in Ihrem Konto.

Öffnen Sie ein Terminal und führen Sie den folgenden Befehl aus:

curl -X POST [https://api.fivetran.com/v1/webhooks/account](https://api.fivetran.com/v1/webhooks/account) \
        -u "API_KEY:API_SECRET" \
        -H "Content-Type: application/json" \
        -H "Accept: application/json" \
        -d '{
                "url": "[https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=YOUR_CHRONICLE_API_KEY](https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate?key=YOUR_CHRONICLE_API_KEY)",
                "events": [
                        "sync_start",
                        "sync_end",
                        "transformation_start",
                        "transformation_succeeded",
                        "transformation_failed",
                        "connection_successful",
                        "connection_failure",
                        "create_connector",
                        "pause_connector",
                        "resume_connector",
                        "edit_connector",
                        "delete_connector",
                        "force_update_connector",
                        "resync_connector",
                        "resync_table"
                ],
                "active": true,
                "secret": "YOUR_CHRONICLE_SECRET_KEY"
        }'

Webhook-Details

Verfügbare Webhook-Ereignisse

Ereignis	Beschreibung
`sync_start`	Connector-Synchronisierung gestartet
`sync_end`	Synchronisierung des Connectors abgeschlossen
`transformation_start`	Transformation gestartet
`transformation_succeeded`	Transformation erfolgreich abgeschlossen
`transformation_failed`	Transformation fehlgeschlagen
`connection_successful`	Verbindungstest erfolgreich
`connection_failure`	Verbindungstest fehlgeschlagen
`create_connector`	Neuer Connector erstellt

Verhalten bei Webhook-Wiederholungen

Fivetran wiederholt fehlgeschlagene Webhooks automatisch bis zu 24 Stunden lang nach folgendem Zeitplan:

Wiederholen	Zeit nach dem ersten Versuch
1. Wiederholungsversuch	6 Minuten
2. Wiederholungsversuch	27 Minuten
3. Wiederholungsversuch	1 Stunde und 45 Minuten
4. Wiederholungsversuch	6 Stunden, 25 Minuten
5. Wiederholungsversuch	23 Stunden, 13 Minuten

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`jsonPayload.connector_id`	`additional.connector_id`	Der Wert wurde direkt kopiert.
`jsonPayload.connector_type`	`additional.connector_type`	Der Wert wurde direkt kopiert.
`jsonPayload.data.query`	`additional.query`	Der Wert wurde direkt kopiert.
–	`metadata.event_type`	Wird basierend auf dem Vorhandensein von Haupt- und Ziel-Standby-Knoten festgelegt.
`jsonPayload.event`	`metadata.product_event_type`	Der Wert wurde direkt kopiert.
`jsonPayload.sync_id`	`metadata.product_log_id`	Der Wert wurde direkt kopiert.
`jsonPayload.connector_name`	`principal.hostname`	Der Wert wurde direkt kopiert.
`resource.labels.email_id`	`principal.user.email_addresses`	Wird zugeordnet, wenn das Format eine gültige E-Mail-Adresse ist.
`resource.labels.unique_id`	`principal.user.userid`	Der Wert wurde direkt kopiert.
`severity`	`security_result.severity`	„INFO“ entspricht INFORMATIONAL.
`logName`	`target.resource.name`	Der Wert wurde direkt kopiert.
–	`target.resource.type`	Auf DATABASE (DATENBANK) festgelegt.
–	`metadata.product_name`	Auf FIVETRAN festlegen.
–	`metadata.vendor_name`	Auf FIVETRAN festlegen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten