Raccogliere i log di URLScan IO
Questo documento spiega come importare i log di URLScan IO in Google Security Operations utilizzando Google Cloud Storage. URLScan IO è un servizio che analizza i siti web e fornisce informazioni dettagliate sul loro comportamento, sicurezza e prestazioni. Esegue la scansione degli URL e genera report completi, inclusi screenshot, transazioni HTTP, record DNS e dati di intelligence sulle minacce.
Prima di iniziare
Assicurati di disporre dei seguenti prerequisiti:
- Un'istanza Google SecOps
- Un progetto GCP con l'API Cloud Storage abilitata
- Autorizzazioni per creare e gestire bucket GCS
- Autorizzazioni per gestire le policy IAM nei bucket GCS
- Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
- Accesso privilegiato al tenant URLScan IO
Recuperare i prerequisiti di URLScan IO
- Accedi a URLScan IO.
- Fai clic sull'icona del tuo profilo.
- Seleziona Chiave API dal menu.
- Se non hai ancora una chiave API:
- Fai clic sul pulsante Crea chiave API.
- Inserisci una descrizione per la chiave API (ad esempio,
Google SecOps Integration). - Fai clic su Genera chiave API.
- Copia e salva in una posizione sicura i seguenti dettagli:
- API_KEY: la stringa della chiave API generata (formato:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx) - URL di base dell'API:
https://urlscan.io/api/v1(questo valore è costante per tutti gli utenti)
- API_KEY: la stringa della chiave API generata (formato:
- Prendi nota dei limiti di quota API:
- Gli account senza costi e Pro sono soggetti a limiti al minuto, all'ora e al giorno che variano in base all'azione. Controlla le tue quote personali o le intestazioni del limite di frequenza API per conoscere i limiti esatti.
- Per maggiori dettagli, consulta la documentazione sui limiti di frequenza dell'API URLScan IO.
Se devi limitare le ricerche alle sole scansioni della tua organizzazione, annota:
- Identificatore utente: il tuo nome utente o indirizzo email (da utilizzare con il filtro di ricerca
user:) - Identificatore del team: se utilizzi la funzionalità dei team (da utilizzare con il filtro di ricerca
team:)
- Identificatore utente: il tuo nome utente o indirizzo email (da utilizzare con il filtro di ricerca
Verificare l'accesso API
Testa la chiave API prima di procedere con l'integrazione:
# Replace with your actual API key API_KEY="your-api-key-here" # Test API access curl -v -H "API-Key: ${API_KEY}" "https://urlscan.io/api/v1/search/?q=date:>now-1h&size=1"
Risposta prevista: HTTP 200 con JSON contenente i risultati di ricerca.
Se ricevi HTTP 401 o 403, verifica che la chiave API sia corretta e non sia scaduta.
Creazione di un bucket Google Cloud Storage
- Vai alla console Google Cloud.
- Seleziona il tuo progetto o creane uno nuovo.
- Nel menu di navigazione, vai a Cloud Storage > Bucket.
- Fai clic su Crea bucket.
Fornisci i seguenti dettagli di configurazione:
Impostazione Valore Assegna un nome al bucket Inserisci un nome univoco globale (ad esempio urlscan-logs-bucket).Tipo di località Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni) Località Seleziona la posizione (ad esempio, us-central1).Classe di archiviazione Standard (consigliato per i log a cui si accede di frequente) Controllo dell'accesso Uniforme (consigliato) Strumenti di protezione (Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione Fai clic su Crea.
Crea un service account per la funzione Cloud Run
La funzione Cloud Run richiede un service account con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.
Crea service account
- Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
- Fai clic su Crea service account.
- Fornisci i seguenti dettagli di configurazione:
- Nome del service account: inserisci
urlscan-collector-sa. - Descrizione service account: inserisci
Service account for Cloud Run function to collect URLScan IO logs.
- Nome del service account: inserisci
- Fai clic su Crea e continua.
- Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
- Fai clic su Seleziona un ruolo.
- Cerca e seleziona Amministratore oggetti di archiviazione.
- Fai clic su + Aggiungi un altro ruolo.
- Cerca e seleziona Cloud Run Invoker.
- Fai clic su + Aggiungi un altro ruolo.
- Cerca e seleziona Invoker di Cloud Functions.
- Fai clic su Continua.
- Fai clic su Fine.
Questi ruoli sono necessari per:
- Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
- Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
- Cloud Functions Invoker: consente la chiamata di funzioni
Concedi autorizzazioni IAM sul bucket GCS
Concedi al service account le autorizzazioni di scrittura sul bucket GCS:
- Vai a Cloud Storage > Bucket.
- Fai clic sul nome del bucket.
- Vai alla scheda Autorizzazioni.
- Fai clic su Concedi l'accesso.
- Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: inserisci l'email del service account (ad es.
urlscan-collector-sa@PROJECT_ID.iam.gserviceaccount.com). - Assegna i ruoli: seleziona Storage Object Admin.
- Aggiungi entità: inserisci l'email del service account (ad es.
- Fai clic su Salva.
Crea argomento Pub/Sub
Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.
- Nella console GCP, vai a Pub/Sub > Argomenti.
- Fai clic su Crea argomento.
- Fornisci i seguenti dettagli di configurazione:
- ID argomento: inserisci
urlscan-logs-trigger. - Lascia le altre impostazioni sui valori predefiniti.
- ID argomento: inserisci
- Fai clic su Crea.
Crea una funzione Cloud Run per raccogliere i log
La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API URLScan IO e li scrive in GCS.
- Nella console GCP, vai a Cloud Run.
- Fai clic su Crea servizio.
- Seleziona Funzione (usa un editor in linea per creare una funzione).
Nella sezione Configura, fornisci i seguenti dettagli di configurazione:
Impostazione Valore Nome servizio urlscan-collectorRegione Seleziona la regione corrispondente al tuo bucket GCS (ad esempio us-central1)Runtime Seleziona Python 3.12 o versioni successive Nella sezione Trigger (facoltativo):
- Fai clic su + Aggiungi trigger.
- Seleziona Cloud Pub/Sub.
- In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento Pub/Sub (
urlscan-logs-trigger). - Fai clic su Salva.
Nella sezione Autenticazione:
- Seleziona Richiedi autenticazione.
- Controlla Identity and Access Management (IAM).
Scorri verso il basso ed espandi Container, networking, sicurezza.
Vai alla scheda Sicurezza:
- Service account: seleziona il service account (
urlscan-collector-sa).
- Service account: seleziona il service account (
Vai alla scheda Container:
- Fai clic su Variabili e secret.
- Fai clic su + Aggiungi variabile per ogni variabile di ambiente:
Nome variabile Valore di esempio Descrizione GCS_BUCKETurlscan-logs-bucketNome bucket GCS GCS_PREFIXurlscan/Prefisso per i file di log STATE_KEYurlscan/state.jsonPercorso file di stato API_KEYyour-urlscan-api-keyChiave API URLScan IO API_BASEhttps://urlscan.io/api/v1URL di base dell'API SEARCH_QUERYdate:>now-1hFiltro query di ricerca PAGE_SIZE100Record per pagina MAX_PAGES10Numero massimo di pagine da recuperare Nella sezione Variabili e secret, scorri verso il basso fino a Richieste:
- Timeout richiesta: inserisci
600secondi (10 minuti).
- Timeout richiesta: inserisci
Vai alla scheda Impostazioni:
- Nella sezione Risorse:
- Memoria: seleziona 512 MiB o un valore superiore.
- CPU: seleziona 1.
- Nella sezione Risorse:
Nella sezione Scalabilità della revisione:
- Numero minimo di istanze: inserisci
0. - Numero massimo di istanze: inserisci
100(o modifica in base al carico previsto).
- Numero minimo di istanze: inserisci
Fai clic su Crea.
Attendi la creazione del servizio (1-2 minuti).
Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.
Aggiungi codice per la funzione
- Inserisci main in Entry point della funzione
Nell'editor di codice incorporato, crea due file:
- Primo file: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timedelta, timezone import time # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() # Environment variables GCS_BUCKET = os.environ.get('GCS_BUCKET') GCS_PREFIX = os.environ.get('GCS_PREFIX', 'urlscan/') STATE_KEY = os.environ.get('STATE_KEY', 'urlscan/state.json') API_KEY = os.environ.get('API_KEY') API_BASE = os.environ.get('API_BASE', 'https://urlscan.io/api/v1') SEARCH_QUERY = os.environ.get('SEARCH_QUERY', 'date:>now-1h') PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100')) MAX_PAGES = int(os.environ.get('MAX_PAGES', '10')) def parse_datetime(value: str) -> datetime: """Parse ISO datetime string to datetime object.""" if value.endswith("Z"): value = value[:-1] + "+00:00" return datetime.fromisoformat(value) @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch URLScan IO results and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ if not all([GCS_BUCKET, API_KEY]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(GCS_BUCKET) # Load state state = load_state(bucket, STATE_KEY) last_run = state.get('last_run') # Adjust search query based on last run search_query = SEARCH_QUERY if last_run: try: search_time = parse_datetime(last_run) time_diff = datetime.now(timezone.utc) - search_time hours = int(time_diff.total_seconds() / 3600) + 1 search_query = f'date:>now-{hours}h' except Exception as e: print(f'Warning: Could not parse last_run: {e}') print(f'Searching with query: {search_query}') # Fetch logs records, newest_event_time = fetch_logs( api_base=API_BASE, api_key=API_KEY, search_query=search_query, page_size=PAGE_SIZE, max_pages=MAX_PAGES, ) if not records: print("No new log records found.") now = datetime.now(timezone.utc) save_state(bucket, STATE_KEY, now.isoformat()) return # Write to GCS as NDJSON now = datetime.now(timezone.utc) file_key = f"{GCS_PREFIX}year={now.year}/month={now.month:02d}/day={now.day:02d}/hour={now.hour:02d}/urlscan_{now.strftime('%Y%m%d_%H%M%S')}.json" ndjson_content = '\n'.join([json.dumps(r, separators=(',', ':')) for r in records]) blob = bucket.blob(file_key) blob.upload_from_string( ndjson_content, content_type='application/x-ndjson' ) print(f"Uploaded {len(records)} results to gs://{GCS_BUCKET}/{file_key}") # Update state with newest event time if newest_event_time: save_state(bucket, STATE_KEY, newest_event_time) else: save_state(bucket, STATE_KEY, now.isoformat()) print(f'Successfully processed {len(records)} scan results') except Exception as e: print(f'Error processing logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {str(e)}') return {} def save_state(bucket, key, last_event_time_iso: str): """Save the last event timestamp to GCS state file.""" try: state = {'last_run': last_event_time_iso} blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, indent=2), content_type='application/json' ) print(f"Saved state: last_run={last_event_time_iso}") except Exception as e: print(f'Warning: Could not save state: {str(e)}') def fetch_logs(api_base: str, api_key: str, search_query: str, page_size: int, max_pages: int): """ Fetch logs from URLScan IO API with pagination and rate limiting. Args: api_base: API base URL api_key: URLScan IO API key search_query: Search query string page_size: Number of records per page max_pages: Maximum total pages to fetch Returns: Tuple of (records list, newest_event_time ISO string) """ headers = { 'API-Key': api_key, 'Accept': 'application/json', 'User-Agent': 'GoogleSecOps-URLScanCollector/1.0' } all_results = [] newest_time = None page_num = 0 backoff = 1.0 offset = 0 while page_num < max_pages: page_num += 1 # Build search URL with pagination search_url = f"{api_base}/search/" params = [ f"q={search_query}", f"size={page_size}", f"offset={offset}" ] url = f"{search_url}?{'&'.join(params)}" try: response = http.request('GET', url, headers=headers) # Handle rate limiting with exponential backoff if response.status == 429: retry_after = int(response.headers.get('Retry-After', str(int(backoff)))) print(f"Rate limited (429). Retrying after {retry_after}s...") time.sleep(retry_after) backoff = min(backoff * 2, 30.0) continue backoff = 1.0 if response.status != 200: print(f"Search failed: {response.status}") response_text = response.data.decode('utf-8') print(f"Response body: {response_text}") break search_data = json.loads(response.data.decode('utf-8')) results = search_data.get('results', []) if not results: print(f"No more results (empty page)") break print(f"Page {page_num}: Retrieved {len(results)} scan results") # Fetch full result for each scan for result in results: task = result.get('task', {}) uuid = task.get('uuid') if uuid: result_url = f"{api_base}/result/{uuid}/" try: result_response = http.request('GET', result_url, headers=headers) # Handle rate limiting if result_response.status == 429: retry_after = int(result_response.headers.get('Retry-After', '5')) print(f"Rate limited on result fetch. Retrying after {retry_after}s...") time.sleep(retry_after) result_response = http.request('GET', result_url, headers=headers) if result_response.status == 200: full_result = json.loads(result_response.data.decode('utf-8')) all_results.append(full_result) # Track newest event time try: event_time = task.get('time') if event_time: if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time): newest_time = event_time except Exception as e: print(f"Warning: Could not parse event time: {e}") else: print(f"Failed to fetch result for {uuid}: {result_response.status}") except Exception as e: print(f"Error fetching result for {uuid}: {e}") # Check if we have more pages total = search_data.get('total', 0) if offset + len(results) >= total or len(results) < page_size: print(f"Reached last page (offset={offset}, results={len(results)}, total={total})") break offset += len(results) except Exception as e: print(f"Error fetching logs: {e}") return [], None print(f"Retrieved {len(all_results)} total records from {page_num} pages") return all_results, newest_time- Secondo file: requirements.txt::
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.
Attendi il completamento del deployment (2-3 minuti).
Crea job Cloud Scheduler
Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.
- Nella console di GCP, vai a Cloud Scheduler.
- Fai clic su Crea job.
Fornisci i seguenti dettagli di configurazione:
Impostazione Valore Nome urlscan-collector-hourlyRegione Seleziona la stessa regione della funzione Cloud Run Frequenza 0 * * * *(ogni ora, all'ora)Fuso orario Seleziona il fuso orario (UTC consigliato) Tipo di target Pub/Sub Argomento Seleziona l'argomento Pub/Sub ( urlscan-logs-trigger)Corpo del messaggio {}(oggetto JSON vuoto)Fai clic su Crea.
Opzioni di frequenza di pianificazione
Scegli la frequenza in base al volume dei log e ai requisiti di latenza:
Frequenza Espressione cron Caso d'uso Ogni 5 minuti */5 * * * *Volume elevato, bassa latenza Ogni 15 minuti */15 * * * *Volume medio Ogni ora 0 * * * *Standard (consigliato) Ogni 6 ore 0 */6 * * *Volume basso, elaborazione batch Ogni giorno 0 0 * * *Raccolta dei dati storici
Testare l'integrazione
- Nella console Cloud Scheduler, trova il tuo job (
urlscan-collector-hourly). - Fai clic su Forza esecuzione per attivare il job manualmente.
- Aspetta alcuni secondi.
- Vai a Cloud Run > Servizi.
- Fai clic sul nome della funzione (
urlscan-collector). - Fai clic sulla scheda Log.
Verifica che la funzione sia stata eseguita correttamente. Cerca quanto segue:
Searching with query: date:>now-1h Page 1: Retrieved X scan results Uploaded X results to gs://bucket-name/urlscan/year=YYYY/month=MM/day=DD/hour=HH/urlscan_YYYYMMDD_HHMMSS.json Successfully processed X scan resultsVai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla cartella del prefisso (
urlscan/).Verifica che sia stato creato un nuovo file
.jsoncon il timestamp corrente.
Se visualizzi errori nei log:
- HTTP 401: controlla la chiave API nelle variabili di ambiente
- HTTP 403: verifica che la chiave API non sia scaduta
- HTTP 429: limitazione della frequenza: la funzione riproverà automaticamente con backoff
- Variabili di ambiente mancanti: controlla che tutte le variabili richieste siano impostate
- Ricerca non riuscita: verifica che la sintassi della query di ricerca sia corretta
Recuperare il service account Google SecOps
Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.
Recuperare l'email del service account
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio,
URLScan IO logs). - Seleziona Google Cloud Storage V2 come Tipo di origine.
- Seleziona URLScan IO come Tipo di log.
Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comCopia questo indirizzo email per utilizzarlo nel passaggio successivo.
Concedi le autorizzazioni IAM al service account Google SecOps
Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.
- Vai a Cloud Storage > Bucket.
- Fai clic sul nome del bucket.
- Vai alla scheda Autorizzazioni.
- Fai clic su Concedi l'accesso.
- Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: incolla l'email del service account Google SecOps.
- Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
Fai clic su Salva.
Configura un feed in Google SecOps per importare i log di URLScan IO
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Fai clic su Configura un singolo feed.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio,
URLScan IO logs). - Seleziona Google Cloud Storage V2 come Tipo di origine.
- Seleziona URLScan IO come Tipo di log.
- Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:
gs://urlscan-logs-bucket/urlscan/Sostituisci:
urlscan-logs-bucket: il nome del bucket GCS.urlscan/: (Facoltativo) prefisso/percorso della cartella in cui vengono archiviati i log (lascia vuoto per la radice).Esempi:
- Bucket radice:
gs://urlscan-logs-bucket/ - Con prefisso:
gs://urlscan-logs-bucket/urlscan/
- Bucket radice:
Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:
- Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
- Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.
Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.