Configurer un flux de webhook HTTPS SIEM
Avant de commencer :
- Assurez-vous qu'un projetGoogle Cloud pour Google SecOps est configuré et que l'API Chronicle est activée pour le projet.
Associez une instance Google SecOps aux services Google Cloud .
Pour configurer un flux de webhook HTTPS :
- Créez un flux de webhook HTTPS, puis copiez l'URL du point de terminaison et la clé secrète.
- Créez une clé API spécifiée avec l'URL du point de terminaison. Vous pouvez également réutiliser votre clé API existante pour vous authentifier auprès de Google SecOps.
- Spécifiez l'URL du point de terminaison dans votre application.
Envoyer plusieurs événements dans une seule requête de webhook
L'exemple de code suivant montre comment mettre en forme un corps de requête unique avec plusieurs objets JSON séparés par des sauts de ligne après l'élément curl --location :
--header 'Content-Type: application/json' \
--header 'X-goog-api-key: API_KEY' \
--header 'X-Webhook-Access-Key: SECRET' \
--data '{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}
{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}'
Créer un flux de webhook HTTPS
- Dans le menu Google SecOps, sélectionnez Paramètres, puis cliquez sur Flux.
- Cliquez sur Ajouter.
- Dans le champ Nom du flux, saisissez un nom pour le flux.
- Dans la liste Type de source, sélectionnez Webhook.
- Sélectionnez le type de journal. Par exemple, pour créer un flux pour l'Open Cybersecurity Schema Framework, sélectionnez Open Cybersecurity Schema Framework (OCSF) comme Type de journal.
- Cliquez sur Suivant.
- Facultatif : Spécifiez les valeurs des paramètres d'entrée suivants :
- Délimiteur de fractionnement : délimiteur utilisé pour séparer les lignes de journaux, tel que
\n. - Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
- Délimiteur de fractionnement : délimiteur utilisé pour séparer les lignes de journaux, tel que
- Cliquez sur Suivant.
- Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.
- Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.
- Copiez et stockez la clé secrète, car vous ne pourrez plus l'afficher. Vous pouvez générer une nouvelle clé secrète, mais l'ancienne deviendra obsolète.
- Dans l'onglet Détails, copiez l'URL du point de terminaison du flux à partir du champ Informations sur le point de terminaison. Vous devez spécifier cette URL de point de terminaison dans votre application cliente.
- Facultatif : Cliquez sur le bouton Flux activé pour désactiver le flux. Le flux est activé par défaut.
- Cliquez sur OK.
Créer une clé API pour le flux de webhook
- Accédez à la page Identifiants de la console Google Cloud .
- Cliquez sur Créer des identifiants, puis sélectionnez Clé API.
- Restreignez l'accès de la clé API à l'API Chronicle.
Spécifier l'URL du point de terminaison
- Dans votre application cliente, spécifiez le point de terminaison HTTPS, qui est disponible dans le flux de webhook.
Activez l'authentification en spécifiant la clé API et la clé secrète dans l'en-tête personnalisé au format suivant :
X-goog-api-key = API_KEYX-Webhook-Access-Key = SECRETNous vous recommandons de spécifier la clé API en tant qu'en-tête plutôt que dans l'URL. Si votre client de webhook n'accepte pas les en-têtes personnalisés, vous pouvez spécifier la clé API et la clé secrète à l'aide de paramètres de requête au format suivant :
ENDPOINT_URL?key=API_KEY&secret=SECRETRemplacez les éléments suivants :
ENDPOINT_URL: URL du point de terminaison du flux.API_KEY: clé API pour s'authentifier auprès de Google SecOps.SECRET: clé secrète que vous avez générée pour authentifier le flux.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.