Tines-Audit-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Tines-Audit-Logs mit Google Cloud Storage in Google Security Operations aufnehmen.

Tines ist eine No-Code-Automatisierungsplattform, mit der Sicherheitsteams Workflows erstellen und Sicherheitsvorgänge automatisieren können. Tines-Audit-Logs bieten Einblick in Nutzeraktionen, Konfigurationsänderungen und Systemereignisse auf der Tines-Plattform.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Ein GCP-Projekt mit aktivierter Cloud Storage API
• Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
• Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
• Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
• Privilegierter Zugriff auf Tines

Tines-URL abrufen

1. Öffnen Sie in Ihrem Browser die Tines-Benutzeroberfläche für Ihren Mandanten.
2. Kopieren Sie die Domain aus der Adressleiste. Sie verwenden sie als TINES_BASE_URL.
3. Format: https://<tenant-domain> (z. B. https://<tenant-domain>.tines.com).

Tines Service API-Schlüssel (empfohlen) oder persönlichen API-Schlüssel erstellen

Werte, die für spätere Schritte gespeichert werden müssen:

• TINES_BASE_URL – Beispiel: https://<domain>.tines.com
• TINES_API_KEY: Das Token, das Sie in den folgenden Schritten erstellen

Option 1: Dienst-API-Schlüssel (empfohlen)

1. Rufen Sie das Navigationsmenü > API-Schlüssel auf.
2. Klicken Sie auf + Neuer Schlüssel.
3. Wählen Sie Service API key (Service-API-Schlüssel) aus.
4. Geben Sie einen aussagekräftigen Namen ein, z. B. SecOps Audit Logs.
5. Klicken Sie auf Erstellen.
6. Kopieren Sie das generierte Token sofort und speichern Sie es sicher. Sie verwenden es als TINES_API_KEY.

Option 2: Persönlicher API-Schlüssel (wenn Dienstschlüssel nicht verfügbar sind)

1. Rufen Sie das Navigationsmenü > API-Schlüssel auf.
2. Klicken Sie auf + Neuer Schlüssel.
3. Wählen Sie Persönlicher API-Schlüssel aus.
4. Geben Sie einen aussagekräftigen Namen ein.
5. Klicken Sie auf Erstellen.

6. Kopieren Sie das generierte Token und speichern Sie es sicher.

Berechtigung zum Lesen von Audit-Logs erteilen

1. Melden Sie sich als Mandanteneigentümer an oder bitten Sie einen Mandanteneigentümer, dies zu tun.
2. Klicken Sie auf Einstellungen > Verwaltung > Nutzerverwaltung oder klicken Sie im Menü links oben auf den Namen Ihres Teams und wählen Sie Nutzer aus.
3. Suchen Sie den Dienstkontonutzer, der mit Ihrem Service-API-Schlüssel verknüpft ist. Er hat denselben Namen wie Ihr API-Schlüssel. Wenn Sie einen persönlichen API-Schlüssel verwenden, suchen Sie stattdessen nach Ihrem eigenen Nutzerkonto.
4. Klicken Sie auf den Nutzer, um sein Profil zu öffnen.
5. Aktivieren Sie im Abschnitt Mandantenberechtigungen die Option AUDIT_LOG_READ.
6. Klicken Sie auf Speichern.

Berechtigungen prüfen

So prüfen Sie, ob das Konto die erforderlichen Berechtigungen hat:

1. Melden Sie sich in Tines an.
2. Gehen Sie zu Einstellungen> Überwachung > Audit-Logs.
3. Wenn Sie Audit-Log-Einträge sehen können, haben Sie die erforderlichen Berechtigungen.
4. Wenn Sie diese Option nicht sehen, bitten Sie den Mandanteninhaber, die Berechtigung AUDIT_LOG_READ zu erteilen.

API-Zugriff testen

• Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

  # Replace with your actual credentials
  TINES_BASE_URL="https://<tenant-domain>.tines.com"
  TINES_API_KEY="<your-api-key>"
  
  # Test API access
  curl -X GET "${TINES_BASE_URL}/api/v1/audit_logs?per_page=1" \
    -H "Authorization: Bearer ${TINES_API_KEY}" \
    -H "Content-Type: application/json"
  

Sie sollten eine JSON-Antwort mit Einträgen im Audit-Log erhalten.

Google Cloud Storage-Bucket erstellen

1. Rufen Sie die Google Cloud Console auf.
2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
4. Klicken Sie auf Bucket erstellen.

5. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. tines-audit-logs.
   Standorttyp	Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
   Standort	Wählen Sie den Speicherort aus, z. B. us-central1.
   Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
   Zugriffssteuerung	Einheitlich (empfohlen)
   Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

6. Klicken Sie auf Erstellen.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
2. Klicken Sie auf Dienstkonto erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Name des Dienstkontos: Geben Sie tines-audit-to-gcs-sa ein.
   • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Tines Audit Logs ein.
4. Klicken Sie auf Erstellen und fortfahren.
5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
   1. Klicken Sie auf Rolle auswählen.
   2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
   3. Klicken Sie auf + Weitere Rolle hinzufügen.
   4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
   5. Klicken Sie auf + Weitere Rolle hinzufügen.
   6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
6. Klicken Sie auf Weiter.
7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

• Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
• Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
• Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. tines-audit-to-gcs-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
2. Klicken Sie auf Thema erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Themen-ID: Geben Sie tines-audit-trigger ein.
   • Übernehmen Sie die anderen Einstellungen.
4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der Tines API abzurufen und in GCS zu schreiben.

1. Rufen Sie in der GCP Console Cloud Run auf.
2. Klicken Sie auf Dienst erstellen.
3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Dienstname	tines-audit-to-gcs
   Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
   Laufzeit	Wählen Sie Python 3.12 oder höher aus.

5. Im Abschnitt Trigger (optional):

   1. Klicken Sie auf + Trigger hinzufügen.
   2. Wählen Sie Cloud Pub/Sub aus.
   3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Pub/Sub-Thema (tines-audit-trigger) aus.
   4. Klicken Sie auf Speichern.

6. Im Abschnitt Authentifizierung:

   1. Wählen Sie Authentifizierung erforderlich aus.
   2. Identitäts- und Zugriffsverwaltung

7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

8. Rufen Sie den Tab Sicherheit auf:

   • Dienstkonto: Wählen Sie das Dienstkonto aus (tines-audit-to-gcs-sa).

9. Rufen Sie den Tab Container auf:

   1. Klicken Sie auf Variablen und Secrets.
   2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

   Variablenname	Beispielwert	Beschreibung
   GCS_BUCKET	tines-audit-logs	Name des GCS-Buckets
   GCS_PREFIX	tines/audit/	Präfix für Protokolldateien
   STATE_KEY	tines/audit/state.json	Statusdateipfad
   TINES_BASE_URL	https://your-tenant.tines.com	API-Basis-URL
   TINES_API_KEY	your-tines-api-key	API-Schlüssel
   LOOKBACK_SECONDS	3600	Erster Rückschauzeitraum
   PAGE_SIZE	500	Datensätze pro Seite
   MAX_PAGES	20	Maximale Anzahl von Seiten pro Ausführung
   HTTP_TIMEOUT	60	Zeitüberschreitung bei HTTP-Anforderung
   HTTP_RETRIES	3	HTTP-Wiederholungsversuche

10. Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:

    • Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.

11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

13. Klicken Sie auf Erstellen.

14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

1. Geben Sie main unter Funktionseinstiegspunkt ein.

2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

   • Erste Datei: main.py::

   import functions_framework
   from google.cloud import storage
   import json
   import os
   import urllib3
   from datetime import datetime, timezone, timedelta
   import time
   
   # Initialize HTTP client with timeouts
   http = urllib3.PoolManager(
       timeout=urllib3.Timeout(connect=5.0, read=30.0),
       retries=False,
   )
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   # Environment variables
   GCS_BUCKET = os.environ.get('GCS_BUCKET')
   GCS_PREFIX = os.environ.get('GCS_PREFIX', 'tines/audit/')
   STATE_KEY = os.environ.get('STATE_KEY', 'tines/audit/state.json')
   TINES_BASE_URL = os.environ.get('TINES_BASE_URL')
   TINES_API_KEY = os.environ.get('TINES_API_KEY')
   LOOKBACK_SECONDS = int(os.environ.get('LOOKBACK_SECONDS', '3600'))
   PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '500'))
   MAX_PAGES = int(os.environ.get('MAX_PAGES', '20'))
   HTTP_TIMEOUT = int(os.environ.get('HTTP_TIMEOUT', '60'))
   HTTP_RETRIES = int(os.environ.get('HTTP_RETRIES', '3'))
   
   def parse_datetime(value: str) -> datetime:
       """Parse ISO datetime string to datetime object."""
       if value.endswith("Z"):
           value = value[:-1] + "+00:00"
       return datetime.fromisoformat(value)
   
   @functions_framework.cloud_event
   def main(cloud_event):
       """
       Cloud Run function triggered by Pub/Sub to fetch Tines Audit Logs and write to GCS.
   
       Args:
           cloud_event: CloudEvent object containing Pub/Sub message
       """
   
       if not all([GCS_BUCKET, TINES_BASE_URL, TINES_API_KEY]):
           print('Error: Missing required environment variables')
           return
   
       try:
           # Get GCS bucket
           bucket = storage_client.bucket(GCS_BUCKET)
   
           # Load state
           state = load_state(bucket, STATE_KEY)
   
           # Determine time window
           now = datetime.now(timezone.utc)
           last_time = None
   
           if isinstance(state, dict) and state.get("last_event_time"):
               try:
                   last_time = parse_datetime(state["last_event_time"])
                   # Overlap by 2 minutes to catch any delayed events
                   last_time = last_time - timedelta(minutes=2)
               except Exception as e:
                   print(f"Warning: Could not parse last_event_time: {e}")
   
           if last_time is None:
               last_time = now - timedelta(seconds=LOOKBACK_SECONDS)
   
           print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")
   
           # Fetch logs
           records, newest_event_time = fetch_logs(
               api_base=TINES_BASE_URL,
               api_key=TINES_API_KEY,
               start_time=last_time,
               page_size=PAGE_SIZE,
               max_pages=MAX_PAGES,
           )
   
           if not records:
               print("No new log records found.")
               save_state(bucket, STATE_KEY, now.isoformat())
               return
   
           # Write to GCS as NDJSON
           timestamp = now.strftime('%Y%m%d_%H%M%S')
           object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
           blob = bucket.blob(object_key)
   
           ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
           blob.upload_from_string(ndjson, content_type='application/x-ndjson')
   
           print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")
   
           # Update state with newest event time
           if newest_event_time:
               save_state(bucket, STATE_KEY, newest_event_time)
           else:
               save_state(bucket, STATE_KEY, now.isoformat())
   
           print(f"Successfully processed {len(records)} records")
   
       except Exception as e:
           print(f'Error processing logs: {str(e)}')
           raise
   
   def load_state(bucket, key):
       """Load state from GCS."""
       try:
           blob = bucket.blob(key)
           if blob.exists():
               state_data = blob.download_as_text()
               return json.loads(state_data)
       except Exception as e:
           print(f"Warning: Could not load state: {e}")
   
       return {}
   
   def save_state(bucket, key, last_event_time_iso: str):
       """Save the last event timestamp to GCS state file."""
       try:
           state = {'last_event_time': last_event_time_iso}
           blob = bucket.blob(key)
           blob.upload_from_string(
               json.dumps(state, indent=2),
               content_type='application/json'
           )
           print(f"Saved state: last_event_time={last_event_time_iso}")
       except Exception as e:
           print(f"Warning: Could not save state: {e}")
   
   def fetch_logs(api_base: str, api_key: str, start_time: datetime, page_size: int, max_pages: int):
       """
       Fetch logs from Tines API with pagination and rate limiting.
   
       Args:
           api_base: API base URL
           api_key: Tines API key
           start_time: Start time for log query
           page_size: Number of records per page
           max_pages: Maximum pages to fetch
   
       Returns:
           Tuple of (records list, newest_event_time ISO string)
       """
       base_url = api_base.rstrip('/')
       endpoint = f"{base_url}/api/v1/audit_logs"
   
       headers = {
           'Authorization': f'Bearer {api_key}',
           'Accept': 'application/json',
           'Content-Type': 'application/json',
           'User-Agent': 'GoogleSecOps-TinesCollector/1.0'
       }
   
       records = []
       newest_time = None
       page_num = 1
       backoff = 1.0
   
       while page_num <= max_pages:
           # Build URL with query parameters
           params = {
               'page': page_num,
               'per_page': page_size
           }
           param_str = '&'.join([f"{k}={v}" for k, v in params.items()])
           url = f"{endpoint}?{param_str}"
   
           try:
               response = http.request('GET', url, headers=headers, timeout=HTTP_TIMEOUT)
   
               # Handle rate limiting with exponential backoff
               if response.status == 429:
                   retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                   print(f"Rate limited (429). Retrying after {retry_after}s...")
                   time.sleep(retry_after)
                   backoff = min(backoff * 2, 30.0)
                   continue
   
               backoff = 1.0
   
               if response.status != 200:
                   print(f"HTTP Error: {response.status}")
                   response_text = response.data.decode('utf-8')
                   print(f"Response body: {response_text}")
                   return [], None
   
               data = json.loads(response.data.decode('utf-8'))
   
               # Extract results
               page_results = []
               if isinstance(data, dict):
                   page_results = data.get('audit_logs', [])
               elif isinstance(data, list):
                   page_results = data
   
               if not page_results:
                   print(f"No more results (empty page)")
                   break
   
               # Filter by start_time
               filtered_results = []
               for event in page_results:
                   try:
                       event_time = event.get('created_at')
                       if event_time:
                           event_dt = parse_datetime(event_time)
                           if event_dt >= start_time:
                               filtered_results.append(event)
                               # Track newest event time
                               if newest_time is None or event_dt > parse_datetime(newest_time):
                                   newest_time = event_time
                   except Exception as e:
                       print(f"Warning: Could not parse event time: {e}")
                       filtered_results.append(event)
   
               print(f"Page {page_num}: Retrieved {len(page_results)} events, {len(filtered_results)} after filtering")
               records.extend(filtered_results)
   
               # Check for more results
               if isinstance(data, dict):
                   meta = data.get('meta', {})
                   next_page = meta.get('next_page_number')
                   if not next_page:
                       print("No more pages (no next_page_number)")
                       break
                   page_num = next_page
               else:
                   # If response is a list, check if we got fewer results than requested
                   if len(page_results) < page_size:
                       print(f"Reached last page (size={len(page_results)} < limit={page_size})")
                       break
                   page_num += 1
   
           except Exception as e:
               print(f"Error fetching logs: {e}")
               if page_num <= HTTP_RETRIES:
                   print(f"Retrying... (attempt {page_num}/{HTTP_RETRIES})")
                   time.sleep(backoff)
                   backoff = min(backoff * 2, 30.0)
                   continue
               return [], None
   
       print(f"Retrieved {len(records)} total records from {page_num} pages")
       return records, newest_time
   

   • Zweite Datei: requirements.txt::

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

1. Rufen Sie in der GCP Console Cloud Scheduler auf.
2. Klicken Sie auf Job erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Name	tines-audit-hourly
   Region	Dieselbe Region wie für die Cloud Run-Funktion auswählen
   Frequenz	0 * * * * (jede Stunde, zur vollen Stunde)
   Zeitzone	Zeitzone auswählen (UTC empfohlen)
   Zieltyp	Pub/Sub
   Thema	Wählen Sie das Pub/Sub-Thema aus (tines-audit-trigger).
   Nachrichtentext	{} (leeres JSON-Objekt)

4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

• Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

  Häufigkeit	Cron-Ausdruck	Anwendungsfall
  Alle 5 Minuten	*/5 * * * *	Hohes Volumen, niedrige Latenz
  Alle 15 Minuten	*/15 * * * *	Mittleres Suchvolumen
  Stündlich	0 * * * *	Standard (empfohlen)
  Alle 6 Stunden	0 */6 * * *	Geringes Volumen, Batchverarbeitung
  Täglich	0 0 * * *	Erhebung von Verlaufsdaten

Integration testen

1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job (tines-audit-hourly).
2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
3. Warten Sie einige Sekunden.
4. Rufen Sie Cloud Run > Dienste auf.
5. Klicken Sie auf den Namen Ihrer Funktion (tines-audit-to-gcs).
6. Klicken Sie auf den Tab Logs.

7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Achten Sie auf Folgendes:

   Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
   Page 1: Retrieved X events
   Wrote X records to gs://bucket-name/tines/audit/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Rufen Sie Cloud Storage > Buckets auf.

9. Klicken Sie auf den Namen Ihres Buckets (tines-audit-logs).

10. Rufen Sie den Ordner tines/audit/ auf.

11. Prüfen Sie, ob eine neue .ndjson-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn in den Logs Fehler angezeigt werden, gehen Sie so vor:

• HTTP 401: API-Anmeldedaten in Umgebungsvariablen prüfen
• HTTP 403: Prüfen, ob das Konto die Berechtigung AUDIT_LOG_READ hat
• HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit Backoff wiederholt.
• Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Tines Audit Logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie Tines als Logtyp aus.

7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets (tines-audit-logs).
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

6. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um Tines-Audit-Logs aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Tines Audit Logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie Tines als Logtyp aus.
7. Klicken Sie auf Weiter.

8. Geben Sie Werte für die folgenden Eingabeparameter an:

   • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

     gs://tines-audit-logs/tines/audit/
     

     • Ersetzen Sie:

       • tines-audit-logs: Der Name Ihres GCS-Buckets.
       • tines/audit/: Präfix/Ordnerpfad, in dem Logs gespeichert werden.

   • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

     • Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
     • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.

     • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

   • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

   • Asset-Namespace: Der Asset-Namespace.

   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

9. Klicken Sie auf Weiter.

10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten