Collecter les journaux HYPR MFA

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux HYPR MFA dans Google Security Operations à l'aide de Webhooks ou de Google Cloud Storage V2.

HYPR MFA est une solution d'authentification multifacteur sans mot de passe qui offre une authentification résistante à l'hameçonnage à l'aide de clés d'accès FIDO2, de données biométriques et de la connexion initiée sur mobile. HYPR remplace les mots de passe traditionnels par une cryptographie à clé publique sécurisée pour éliminer les attaques basées sur les identifiants, tout en simplifiant l'authentification des utilisateurs sur les postes de travail, les applications Web et les services cloud.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Une instance Google SecOps
Accès administrateur au centre de contrôle HYPR
Contactez l'assistance HYPR pour activer les hooks d'événements personnalisés pour l'application RP que vous souhaitez surveiller.

Différences entre les méthodes de collecte

HYPR MFA est compatible avec deux méthodes d'envoi de journaux à Google Security Operations :

Webhook (recommandé) : HYPR envoie des événements en temps réel à Google Security Operations via des hooks d'événements personnalisés. Cette méthode permet de diffuser les événements immédiatement et ne nécessite aucune infrastructure supplémentaire.
Google Cloud Storage : les événements HYPR sont collectés via l'API et stockés dans GCS, puis ingérés par Google Security Operations. Cette méthode permet le traitement par lot et la conservation des données historiques.

Choisissez la méthode qui correspond le mieux à vos besoins :

Fonctionnalité	Webhook	Google Cloud Storage
Latence	Temps réel (en secondes)	Lot (de minutes à heures)
Infrastructure	Aucune action requise	Projet GCP avec une fonction Cloud Run
Données historiques	Limité au flux d'événements	Rétention complète dans GCS
Complexité de la configuration	Simple	Modéré
Coût	Minimale	Coûts de calcul et de stockage GCP

Option 1 : Configurer l'intégration du webhook

Créer un flux de webhook dans Google SecOps

Créer le flux

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, HYPR MFA Events).
Sélectionnez Webhook comme type de source.
Sélectionnez HYPR MFA comme type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Délimiteur de fractionnement (facultatif) : laissez ce champ vide. Chaque requête de webhook contient un seul événement JSON.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Générer et enregistrer une clé secrète

Après avoir créé le flux, vous devez générer une clé secrète pour l'authentification :

Sur la page d'informations sur le flux, cliquez sur Générer une clé secrète.
Une boîte de dialogue affiche la clé secrète.
Copiez et enregistrez la clé secrète de manière sécurisée.

Obtenir l'URL du point de terminaison du flux

Accédez à l'onglet Détails du flux.
Dans la section Endpoint Information (Informations sur le point de terminaison), copiez l'URL du point de terminaison du flux.

Le format d'URL est le suivant :

https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

Enregistrez cette URL pour les étapes suivantes.
Cliquez sur OK.

Créer une clé API Google Cloud

Chronicle nécessite une clé API pour l'authentification. Créez une clé API restreinte dans la Google Cloud Console.

Créer la clé API

Accédez à la page Identifiants de la console Google Cloud.
Sélectionnez votre projet (celui associé à votre instance Chronicle).
Cliquez sur Créer des identifiants > Clé API.
Une clé API est créée et affichée dans une boîte de dialogue.
Cliquez sur Modifier la clé API pour la restreindre.

Restreindre la clé API

Sur la page des paramètres de la clé API :
- Nom : saisissez un nom descriptif (par exemple, Chronicle Webhook API Key).
Sous Restrictions relatives aux API :
1. Sélectionnez Restreindre la clé.
2. Dans le menu déroulant Sélectionner des API, recherchez et sélectionnez API Google SecOps (ou API Chronicle).
Cliquez sur Enregistrer.
Copiez la valeur de la clé API dans le champ Clé API en haut de la page.
Enregistrez la clé API de manière sécurisée.

Configurer le crochet d'événement personnalisé HYPR MFA

Construire l'URL du webhook avec des en-têtes

HYPR est compatible avec les en-têtes personnalisés pour l'authentification. Utilisez la méthode d'authentification par en-têtes pour une sécurité renforcée.

URL du point de terminaison (sans les paramètres) :
```
<ENDPOINT_URL>
```
En-têtes :
```
x-goog-chronicle-auth: <API_KEY>
x-chronicle-auth: <SECRET_KEY>
```
- Remplacez :
  - <ENDPOINT_URL> : URL du point de terminaison du flux de l'étape précédente.
  - <API_KEY> : la clé API Google Cloud que vous avez créée.
  - <SECRET_KEY> : clé secrète issue de la création du flux Chronicle.

Préparer la configuration JSON du hook d'événement personnalisé

Les hooks d'événements personnalisés HYPR sont configurés à l'aide de JSON. Préparez la configuration JSON suivante en remplaçant les valeurs d'espace réservé :
```
{
  "name": "Chronicle SIEM Integration",
  "eventType": "ALL",
  "invocationEndpoint": "<ENDPOINT_URL>",
  "httpMethod": "POST",
  "authType": "API_KEY",
  "authParams": {
    "apiKeyAuthParameters": {
      "apiKeyName": "x-goog-chronicle-auth",
      "apiKeyValue": "<API_KEY>"
    },
    "invocationHttpParameters": {
      "headerParameters": [
        {
          "key": "Content-Type",
          "value": "application/json",
          "isValueSecret": false
        },
        {
          "key": "x-chronicle-auth",
          "value": "<SECRET_KEY>",
          "isValueSecret": true
        }
      ]
    }
  }
}
```
- Remplacez :
  - <ENDPOINT_URL> : URL du point de terminaison du flux Chronicle.
  - <API_KEY> : clé API Google Cloud.
  - <SECRET_KEY> : clé secrète Chronicle.
- Paramètres de configuration :
- name : nom descriptif du hook d'événement (par exemple, Chronicle SIEM Integration).
- eventType : définissez la valeur sur ALL pour envoyer tous les événements HYPR ou spécifiez des tags d'événement spécifiques tels que AUTHENTICATION, REGISTRATION ou ACCESS_TOKEN.
- invocationEndpoint : URL du point de terminaison du flux Chronicle.
- httpMethod : défini sur POST.
- authType : défini sur API_KEY pour l'authentification par clé API.
- apiKeyName : nom de l'en-tête de la clé API (x-goog-chronicle-auth).
- apiKeyValue : valeur de la clé API Google Cloud.
- headerParameters : en-têtes supplémentaires, y compris Content-Type: application/json et la clé secrète Chronicle dans l'en-tête x-chronicle-auth.

Créer le crochet d'événement personnalisé dans HYPR Control Center

Connectez-vous à HYPR Control Center en tant qu'administrateur.
Dans le menu de navigation à gauche, cliquez sur Integrations (Intégrations).
Sur la page Intégrations, cliquez sur Ajouter une intégration.
Le centre de contrôle HYPR affiche les intégrations disponibles.
Cliquez sur le bloc Événements personnalisés sous Hooks d'événement.
Cliquez sur Add New Event Hook (Ajouter un nouveau hook d'événement).
Dans la boîte de dialogue Add New Event Hook (Ajouter un crochet d'événement), collez le contenu JSON que vous avez préparé dans le champ de texte.
Cliquez sur Ajouter un hook d'événement.
Le centre de contrôle HYPR revient à la page Event Hooks (Crochets d'événement).

Le crochet d'événement personnalisé est maintenant configuré et commencera à envoyer des événements à Google SecOps.

Vérifier que le webhook fonctionne

Vérifier l'état du crochet d'événement HYPR Control Center

Connectez-vous au Centre de contrôle HYPR.
Accédez à Intégrations.
Cliquez sur l'intégration Événements personnalisés.
Dans le tableau Event Hooks (Crochets d'événement), vérifiez que votre crochet d'événement est bien listé.
Cliquez sur le nom du hook d'événement pour afficher les détails.
Vérifiez que la configuration correspond à vos paramètres.

Vérifier l'état du flux Chronicle

Accédez à Paramètres du SIEM > Flux dans Chronicle.
Localisez votre flux de webhook.
Vérifiez la colonne État (elle doit indiquer Actif).
Vérifiez le nombre d'événements reçus (il doit augmenter).
Vérifiez l'horodatage Dernière réussite le (il doit être récent).

Vérifier les journaux dans Chronicle

Accédez à Rechercher > Recherche UDM.

Utilisez la requête suivante :

metadata.vendor_name = "HYPR" AND metadata.product_name = "MFA"

Ajustez la période sur "Dernière heure".
Vérifiez que les événements apparaissent dans les résultats.

Référence des méthodes d'authentification

Les hooks d'événements personnalisés HYPR sont compatibles avec plusieurs méthodes d'authentification. La méthode recommandée pour Chronicle est l'authentification par clé API avec des en-têtes personnalisés.

Authentification par clé API (recommandée pour Chronicle)

Configuration :

{
  "authType": "API_KEY",
  "authParams": {
    "apiKeyAuthParameters": {
      "apiKeyName": "x-goog-chronicle-auth",
      "apiKeyValue": "<API_KEY>"
    },
    "invocationHttpParameters": {
      "headerParameters": [
        {
          "key": "Content-Type",
          "value": "application/json",
          "isValueSecret": false
        },
        {
          "key": "x-chronicle-auth",
          "value": "<SECRET_KEY>",
          "isValueSecret": true
        }
      ]
    }
  }
}

Avantages :
- Clé API et code secret envoyés dans les en-têtes (plus sécurisé que les paramètres d'URL).
- Compatible avec plusieurs en-têtes d'authentification.
- Les en-têtes ne sont pas consignés dans les journaux d'accès au serveur Web.

Authentification de base

Configuration :

{
  "authType": "BASIC",
  "authParams": {
    "basicAuthParameters": {
      "username": "your-username",
      "password": "your-password"
    },
    "invocationHttpParameters": {
      "headerParameters": [
        {
          "key": "Content-Type",
          "value": "application/json",
          "isValueSecret": false
        }
      ]
    }
  }
}

Cas d'utilisation : lorsque le système cible nécessite une authentification de base HTTP.

Identifiants client OAuth2

Configuration :

{
  "authType": "OAUTH_CLIENT_CREDENTIALS",
  "authParams": {
    "oauthParameters": {
      "clientParameters": {
        "clientId": "your-client-id",
        "clientSecret": "your-client-secret"
      },
      "authorizationEndpoint": "https://login.example.com/oauth2/v2.0/token",
      "httpMethod": "POST",
      "oauthHttpParameters": {
        "bodyParameters": [
          {
            "key": "scope",
            "value": "api://your-api/.default",
            "isValueSecret": false
          },
          {
            "key": "grant_type",
            "value": "client_credentials",
            "isValueSecret": false
          }
        ]
      }
    },
    "invocationHttpParameters": {
      "headerParameters": [
        {
          "key": "Content-Type",
          "value": "application/json",
          "isValueSecret": false
        }
      ]
    }
  }
}

Cas d'utilisation : lorsque le système cible nécessite une authentification OAuth 2.0.

Types d'événements et filtrage

Les événements HYPR sont regroupés à l'aide du paramètre eventTags. Vous pouvez configurer le crochet d'événement personnalisé pour envoyer tous les événements ou filtrer par types d'événements spécifiques.

Tags d'événement

AUTHENTICATION : événements d'authentification de l'utilisateur (connexion, déverrouillage).
REGISTRATION : événements d'enregistrement des appareils (association d'appareils mobiles, clés de sécurité).
ACCESS_TOKEN : événements de génération et d'utilisation de jetons d'accès.
AUDIT : événements du journal d'audit (actions administratives, modifications de configuration).

Configurer le filtrage des événements

Pour n'envoyer que des types d'événements spécifiques, modifiez le paramètre eventType dans la configuration JSON :

Envoyer tous les événements :
```
{
  "eventType": "ALL"
}
```
Envoyer uniquement les événements d'authentification :
```
{
  "eventType": "AUTHENTICATION"
}
```
Envoyer uniquement les événements d'inscription :
```
{
  "eventType": "REGISTRATION"
}
```

Option 2 : Configurer l'intégration de Google Cloud Storage

Conditions préalables supplémentaires pour l'intégration à GCS

En plus des conditions préalables listées dans la section "Avant de commencer", vous devez :

Un projet GCP avec l'API Cloud Storage activée
Autorisations pour créer et gérer des buckets GCS
Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
Identifiants de l'API HYPR (contactez l'assistance HYPR pour accéder à l'API)

Créer un bucket Google Cloud Storage

Accédez à Google Cloud Console.
Sélectionnez votre projet ou créez-en un.
Dans le menu de navigation, accédez à Cloud Storage> Buckets.
Cliquez sur Créer un bucket.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nommer votre bucket	Saisissez un nom unique (par exemple, `hypr-mfa-logs`).
Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
Emplacement	Sélectionnez l'emplacement (par exemple, `us-central1`).
Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
Access control (Contrôle des accès)	Uniforme (recommandé)
Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

Cliquez sur Créer.

Collecter les identifiants de l'API HYPR

Contactez l'assistance HYPR pour obtenir les identifiants API permettant d'accéder aux données d'événement HYPR. Vous avez alors besoin de :

URL de base de l'API : URL de votre instance HYPR (par exemple, https://your-tenant.hypr.com)
Jeton d'API : jeton d'authentification pour l'accès à l'API
ID de l'application RP : ID application Relying Party à surveiller

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

Dans la console GCP, accédez à IAM et administration > Comptes de service.
Cliquez sur Créer un compte de service.
Fournissez les informations de configuration suivantes :
- Nom du compte de service : saisissez hypr-logs-collector-sa.
- Description du compte de service : saisissez Service account for Cloud Run function to collect HYPR MFA logs.
Cliquez sur Créer et continuer.
Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
1. Cliquez sur Sélectionner un rôle.
2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
3. Cliquez sur + Ajouter un autre rôle.
4. Recherchez et sélectionnez Demandeur Cloud Run.
5. Cliquez sur + Ajouter un autre rôle.
6. Recherchez et sélectionnez Demandeur Cloud Functions.
Cliquez sur Continuer.
Cliquez sur OK.

Ces rôles sont requis pour :

Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service (hypr-logs-collector-sa) des autorisations d'écriture sur le bucket GCS :

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (par exemple, hypr-mfa-logs).
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, hypr-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Attribuer des rôles : sélectionnez Administrateur des objets Storage.
Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

Dans la console GCP, accédez à Pub/Sub > Sujets.
Cliquez sur Create topic (Créer un sujet).
Fournissez les informations de configuration suivantes :
- ID du sujet : saisissez hypr-logs-trigger.
- Conservez les valeurs par défaut des autres paramètres.
Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run sera déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API HYPR et les écrire dans GCS.

Dans la console GCP, accédez à Cloud Run.
Cliquez sur Créer un service.
Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

Dans la section Configurer, fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom du service	`hypr-logs-collector`
Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, `us-central1`).
Durée d'exécution	Sélectionnez Python 3.12 ou version ultérieure.

Dans la section Déclencheur (facultatif) :
1. Cliquez sur + Ajouter un déclencheur.
2. Sélectionnez Cloud Pub/Sub.
3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet Pub/Sub (hypr-logs-trigger).
4. Cliquez sur Enregistrer.
Dans la section Authentification :
1. Sélectionnez Exiger l'authentification.
2. Consultez Identity and Access Management (IAM).
Remarque : Pub/Sub gère automatiquement l'authentification lors de l'appel de la fonction.
Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.
Accédez à l'onglet Sécurité :
- Compte de service : sélectionnez le compte de service (hypr-logs-collector-sa).

Accédez à l'onglet Conteneurs :

Cliquez sur Variables et secrets.
Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

Nom de la variable	Exemple de valeur	Description
`GCS_BUCKET`	`hypr-mfa-logs`	Nom du bucket GCS
`GCS_PREFIX`	`hypr-events`	Préfixe des fichiers journaux
`STATE_KEY`	`hypr-events/state.json`	Chemin d'accès au fichier d'état
`HYPR_API_URL`	`https://your-tenant.hypr.com`	URL de base de l'API HYPR
`HYPR_API_TOKEN`	`your-api-token`	Jeton d'authentification de l'API HYPR
`HYPR_RP_APP_ID`	`your-rp-app-id`	ID application HYPR RP
`MAX_RECORDS`	`1000`	Nombre maximal d'enregistrements par exécution
`PAGE_SIZE`	`100`	Enregistrements par page
`LOOKBACK_HOURS`	`24`	Période d'analyse initiale

Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :
- Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).
Accédez à l'onglet Paramètres :
- Dans la section Ressources :
  - Mémoire : sélectionnez 512 Mio ou plus.
  - CPU : sélectionnez 1.
Dans la section Scaling de révision :
- Nombre minimal d'instances : saisissez 0.
- Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).
Cliquez sur Créer.
Attendez que le service soit créé (1 à 2 minutes).
Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

Saisissez main dans le champ Point d'entrée.

Dans l'éditeur de code intégré, créez deux fichiers :

Premier fichier : main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'hypr-events')
STATE_KEY = os.environ.get('STATE_KEY', 'hypr-events/state.json')
HYPR_API_URL = os.environ.get('HYPR_API_URL')
HYPR_API_TOKEN = os.environ.get('HYPR_API_TOKEN')
HYPR_RP_APP_ID = os.environ.get('HYPR_RP_APP_ID')
MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '1000'))
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))

def to_unix_millis(dt: datetime) -> int:
    """Convert datetime to Unix epoch milliseconds."""
    if dt.tzinfo is None:
        dt = dt.replace(tzinfo=timezone.utc)
    dt = dt.astimezone(timezone.utc)
    return int(dt.timestamp() * 1000)

def parse_datetime(value: str) -> datetime:
    """Parse ISO datetime string to datetime object."""
    if value.endswith("Z"):
        value = value[:-1] + "+00:00"
    return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch HYPR MFA logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, HYPR_API_URL, HYPR_API_TOKEN, HYPR_RP_APP_ID]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Determine time window
        now = datetime.now(timezone.utc)
        last_time = None

        if isinstance(state, dict) and state.get("last_event_time"):
            try:
                last_time = parse_datetime(state["last_event_time"])
                # Overlap by 2 minutes to catch any delayed events
                last_time = last_time - timedelta(minutes=2)
            except Exception as e:
                print(f"Warning: Could not parse last_event_time: {e}")

        if last_time is None:
            last_time = now - timedelta(hours=LOOKBACK_HOURS)

        print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")

        # Convert to Unix milliseconds for HYPR API
        start_millis = to_unix_millis(last_time)
        end_millis = to_unix_millis(now)

        # Fetch logs
        records, newest_event_time = fetch_logs(
            api_url=HYPR_API_URL,
            api_token=HYPR_API_TOKEN,
            rp_app_id=HYPR_RP_APP_ID,
            start_time_ms=start_millis,
            end_time_ms=end_millis,
            page_size=PAGE_SIZE,
            max_records=MAX_RECORDS,
        )

        if not records:
            print("No new log records found.")
            save_state(bucket, STATE_KEY, now.isoformat())
            return

        # Write to GCS as NDJSON
        timestamp = now.strftime('%Y%m%d_%H%M%S')
        object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
        blob.upload_from_string(ndjson, content_type='application/x-ndjson')

        print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

        # Update state with newest event time
        if newest_event_time:
            save_state(bucket, STATE_KEY, newest_event_time)
        else:
            save_state(bucket, STATE_KEY, now.isoformat())

        print(f"Successfully processed {len(records)} records")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    return {}

def save_state(bucket, key, last_event_time_iso: str):
    """Save the last event timestamp to GCS state file."""
    try:
        state = {'last_event_time': last_event_time_iso}
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: last_event_time={last_event_time_iso}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

def fetch_logs(api_url: str, api_token: str, rp_app_id: str, start_time_ms: int, end_time_ms: int, page_size: int, max_records: int):
    """
    Fetch logs from HYPR API with pagination and rate limiting.

    Args:
        api_url: HYPR API base URL
        api_token: HYPR API authentication token
        rp_app_id: HYPR RP application ID
        start_time_ms: Start time in Unix milliseconds
        end_time_ms: End time in Unix milliseconds
        page_size: Number of records per page
        max_records: Maximum total records to fetch

    Returns:
        Tuple of (records list, newest_event_time ISO string)
    """
    # Clean up API URL
    base_url = api_url.rstrip('/')

    endpoint = f"{base_url}/rp/api/versioned/events"

    # Bearer token authentication
    headers = {
        'Authorization': f'Bearer {api_token}',
        'Accept': 'application/json',
        'Content-Type': 'application/json',
        'User-Agent': 'GoogleSecOps-HYPRCollector/1.0'
    }

    records = []
    newest_time = None
    page_num = 0
    backoff = 1.0

    # Offset-based pagination
    start_index = 0

    while True:
        page_num += 1

        if len(records) >= max_records:
            print(f"Reached max_records limit ({max_records})")
            break

        # Build request parameters
        params = []
        params.append(f"rpAppId={rp_app_id}")
        params.append(f"startDate={start_time_ms}")
        params.append(f"endDate={end_time_ms}")
        params.append(f"start={start_index}")
        params.append(f"limit={min(page_size, max_records - len(records))}")
        url = f"{endpoint}?{'&'.join(params)}"

        try:
            response = http.request('GET', url, headers=headers)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                print(f"HTTP Error: {response.status}")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text}")
                return [], None

            data = json.loads(response.data.decode('utf-8'))

            # Extract results
            page_results = data.get('data', [])

            if not page_results:
                print(f"No more results (empty page)")
                break

            print(f"Page {page_num}: Retrieved {len(page_results)} events")
            records.extend(page_results)

            # Track newest event time
            for event in page_results:
                try:
                    # HYPR uses LOGGEDTIMEINUTC field with Unix milliseconds
                    event_time_ms = event.get('LOGGEDTIMEINUTC')
                    if event_time_ms:
                        event_dt = datetime.fromtimestamp(event_time_ms / 1000, tz=timezone.utc)
                        event_time = event_dt.isoformat()
                        if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                            newest_time = event_time
                except Exception as e:
                    print(f"Warning: Could not parse event time: {e}")

            # Check for more results
            current_size = data.get('size', 0)
            if current_size < page_size:
                print(f"Reached last page (size={current_size} < limit={page_size})")
                break

            start_index += current_size

        except Exception as e:
            print(f"Error fetching logs: {e}")
            return [], None

    print(f"Retrieved {len(records)} total records from {page_num} pages")
    return records, newest_time

Deuxième fichier : requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Cliquez sur Déployer pour enregistrer et déployer la fonction.
Attendez la fin du déploiement (deux à trois minutes).

Remarque : La configuration du déclencheur Pub/Sub crée automatiquement les abonnements et les autorisations nécessaires.

Créer une tâche Cloud Scheduler

Cloud Scheduler publiera des messages sur le sujet Pub/Sub (hypr-logs-trigger) à intervalles réguliers, ce qui déclenchera la fonction Cloud Run.

Dans la console GCP, accédez à Cloud Scheduler.
Cliquez sur Créer une tâche.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom	`hypr-logs-collector-hourly`
Région	Sélectionnez la même région que la fonction Cloud Run.
Fréquence	`0 * * * *` (toutes les heures)
Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
Type de cible	Pub/Sub
Sujet	Sélectionnez le sujet Pub/Sub (`hypr-logs-trigger`).
Corps du message	`{}` (objet JSON vide)

Cliquez sur Créer.

Options de fréquence de planification

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les 5 minutes	`/5 * * *`	Volume élevé, faible latence
Toutes les 15 minutes	`/15 * * *`	Volume moyen
Toutes les heures	`0 * * * *`	Standard (recommandé)
Toutes les 6 heures	`0 /6 * *`	Traitement par lot à faible volume
Tous les jours	`0 0 * * *`	Collecte de données historiques

Tester l'intégration

Dans la console Cloud Scheduler, recherchez votre job (hypr-logs-collector-hourly).
Cliquez sur Exécuter de force pour déclencher le job manuellement.
Patientez quelques secondes.
Accédez à Cloud Run > Services.
Cliquez sur le nom de votre fonction (hypr-logs-collector).
Cliquez sur l'onglet Journaux.

Vérifiez que la fonction s'est exécutée correctement. Par exemple :

Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X records to gs://bucket-name/prefix/logs_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (par exemple, hypr-mfa-logs).
Accédez au dossier de préfixe (par exemple, hypr-events/).
Vérifiez qu'un fichier .ndjson a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

HTTP 401 : vérifiez les identifiants de l'API dans les variables d'environnement
HTTP 403 : vérifiez que le jeton de l'API HYPR dispose des autorisations requises et que l'ID de l'application RP est correct.
HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle de temps.
Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Configurer un flux dans Google SecOps pour ingérer les journaux HYPR MFA

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, HYPR MFA Logs from GCS).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez HYPR MFA comme type de journal.
Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Remarque : Chaque instance Google SecOps possède un compte de service unique. N'utilisez pas de comptes de service provenant d'autres documentations ou exemples.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :
```
gs://hypr-mfa-logs/hypr-events/
```
  - Remplacez :
    - hypr-mfa-logs : nom de votre bucket GCS.
    - hypr-events : préfixe/chemin d'accès au dossier facultatif où les journaux sont stockés (laisser vide pour la racine).
Remarque : Incluez toujours la barre oblique (/) à la fin de l'URI.
- Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
  - Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
  - Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
  - Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.
    
    Remarque : Si vous sélectionnez une option de suppression, le compte de service doit disposer du rôle Administrateur des objets Storage au lieu de celui de lecteur. Mettez à jour les autorisations IAM en conséquence.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (par exemple, hypr-mfa-logs).
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
- Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
	extensions.auth.type	Type d'authentification (par exemple, SSO, MFA)
	metadata.event_type	Type d'événement (par exemple, USER_LOGIN, NETWORK_CONNECTION)
EVENTNAME	metadata.product_event_type	Type d'événement spécifique au produit
ID	metadata.product_log_id	ID de journal spécifique au produit
USERAGENT	network.http.parsed_user_agent	User-agent HTTP analysé
USERAGENT	network.http.user_agent	Chaîne user-agent HTTP
SESSIONID	network.session_id	ID de session
DEVICEMODEL	principal.asset.hardware.model	Modèle matériel du composant
COMPANION,MACHINEDOMAIN	principal.asset.hostname	Nom d'hôte du composant
REMOTEIP	principal.asset.ip	Adresse IP de l'élément
DEVICEID	principal.asset_id	Identifiant unique de l'asset
COMPANION,MACHINEDOMAIN	principal.hostname	Nom d'hôte associé au compte principal
REMOTEIP	principal.ip	Adresse IP associée au principal
DEVICEOS	principal.platform	Plate-forme (par exemple, WINDOWS, LINUX)
DEVICEOSVERSION (VERSION DE L'OS DE L'APPAREIL)	principal.platform_version	Version de la plate-forme
ISSUCCESFUL (SUCCÈS)	security_result.action	Action effectuée par le système de sécurité (par exemple, AUTORISER, BLOQUER)
MESSAGE	security_result.description	Description du résultat de sécurité
MACHINEUSERNAME	target.user.user_display_name	Nom à afficher de l'utilisateur
FIDOUSER	target.user.userid	ID utilisateur
	metadata.product_name	Nom du produit
	metadata.vendor_name	Nom du fournisseur/de l'entreprise

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.