Raccogliere i log di OpenCanary

Questo parser estrae i campi dai log SYSLOG e JSON di OpenCanary, li normalizza nel formato UDM e arricchisce i dati con campi derivati come metadata.event_type e security_result.severity. Gestisce vari formati di log, esegue la convalida degli indirizzi IP e mappa i campi agli oggetti UDM appropriati come principal, target e network.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Istanza Google SecOps.
• Accesso con privilegi a OpenCanary.

Configura i feed

Per configurare un feed:

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Nella pagina successiva, fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Log di OpenCanary.
5. Seleziona Webhook come Tipo di origine.
6. Seleziona OpenCanary come Tipo di log.
7. Fai clic su Avanti.
8. (Facoltativo) Specifica i valori per i seguenti parametri di input:
   • Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
9. Fai clic su Avanti.
10. Esamina la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
11. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
12. Copia e salva la chiave segreta. Non puoi visualizzare di nuovo questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
13. Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL dell'endpoint nella tua applicazione client.
14. Fai clic su Fine.

Crea una chiave API per il feed webhook

1. Vai a Google Cloud console > Credenziali.

   Vai a Credenziali

2. Fai clic su Crea credenziali e poi seleziona Chiave API.

3. Limita l'accesso alla chiave API all'API Google Security Operations.

Specifica l'URL dell'endpoint

1. Nell'applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.

2. Abilita l'autenticazione specificando la chiave API e la chiave segreta come parte dell'intestazione personalizzata nel seguente formato:

   X-goog-api-key = API_KEY
   X-Webhook-Access-Key = SECRET
   

   Suggerimento: specifica la chiave API come intestazione anziché nell'URL.

3. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:

   ENDPOINT_URL?key=API_KEY&secret=SECRET
   

   Sostituisci quanto segue:

   • ENDPOINT_URL: l'URL dell'endpoint del feed.
   • API_KEY: la chiave API per l'autenticazione in Google Security Operations.
   • SECRET: la chiave segreta che hai generato per autenticare il feed.

Configurare un webhook OpenCanary per Google SecOps

1. Trova il file di configurazione di OpenCanary, config.json.

2. Apri il file config.json con un editor di testo.

3. Trova la sezione con l'etichetta alerters all'interno del file di configurazione.

4. Se esiste già un avviso webhook, modificalo. In caso contrario, aggiungi una nuova voce per l'avviso webhook.

5. Utilizza la seguente configurazione (sostituisci ENDPOINT_URL, SECRET e API_KEY con i tuoi valori):

"handlers": {
    "Webhook": {
        "class": "opencanary.logger.WebhookHandler",
        "url": "<ENDPOINT_URL>",
        "method": "POST",
        "data": {"message": "%(message)s"},
        "status_code": 200,
        "headers": {
            "X-Webhook-Access-Key": "<SECRET>",
            "X-goog-api-key": "<API_KEY>"
         }
    }
}

1. Salva il file config.json.
2. Riavvia il servizio OpenCanary per applicare le modifiche. (ad esempio, sudo systemctl restart opencanary).

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.