Configura un feed de webhook HTTPS del SIEM

Compatible con:

Antes de comenzar:

Para configurar un feed de webhook HTTPS, haz lo siguiente:

  1. Crea un feed de webhook HTTPS y copia la URL del extremo y la clave secreta.
  2. Crea una clave de API que se especifique con la URL del extremo. También puedes reutilizar tu clave de API existente para autenticarte en Google SecOps.
  3. Especifica la URL del extremo en tu aplicación.

Envía varios eventos en una sola solicitud de webhook

En el siguiente muestra de código, se muestra cómo dar formato a un solo cuerpo de solicitud con varios objetos JSON separados por saltos de línea después del elemento curl --location:

--header 'Content-Type: application/json' \
--header 'X-goog-api-key: API_KEY' \
--header 'X-Webhook-Access-Key: SECRET' \
--data '{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}
{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}'

Crea un feed de webhook HTTPS

  1. En el menú de Google SecOps, selecciona Configuración y, luego, haz clic en Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed.
  4. En la lista Tipo de fuente, selecciona Webhook.
  5. Selecciona el Tipo de registro. Por ejemplo, para crear un feed para Open Cybersecurity Schema Framework, selecciona Open Cybersecurity Schema Framework (OCSF) como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Opcional: Especifica valores para los siguientes parámetros de entrada:
    • Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
  10. Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
  11. Copia y almacena la clave secreta, ya que no podrás volver a verla. Puedes volver a generar una clave secreta nueva, pero la regeneración de la clave secreta hace que la clave secreta anterior quede obsoleta.
  12. En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Debes especificar esta URL de extremo en tu aplicación cliente.
  13. Opcional: Haz clic en el botón de activación Feed habilitado para inhabilitar el feed. El feed está habilitado de forma predeterminada.
  14. Haz clic en Listo.

Crea una clave de API para el feed del webhook

  1. Ve a la página Credenciales de la consola de Google Cloud .
  2. Haz clic en Crear credenciales y selecciona Clave de API.
  3. Restringe el acceso a la API de Chronicle con la clave de API.

Especifica la URL del extremo

  1. En tu aplicación cliente, especifica el extremo HTTPS, que está disponible en el feed de webhook.

  2. Para habilitar la autenticación, especifica la clave de API y la clave secreta como parte del encabezado personalizado en el siguiente formato:

    X-goog-api-key = API_KEY

    X-Webhook-Access-Key = SECRET

    Te recomendamos que especifiques la clave de API como un encabezado en lugar de hacerlo en la URL. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta con parámetros de búsqueda en el siguiente formato:

      ENDPOINT_URL?key=API_KEY&secret=SECRET

    Reemplaza lo siguiente:

    • ENDPOINT_URL: Es la URL del extremo del feed.
    • API_KEY: Es la clave de API para autenticarse en Google SecOps.
    • SECRET: Es la clave secreta que generaste para autenticar el feed.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.