Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת פיד webhook ב-HTTPS של SIEM

נתמך ב:

Google secops SIEM

לפני שמתחילים:

מוודאים שהוגדר פרויקטGoogle Cloud ל-Google SecOps וש-Chronicle API מופעל בפרויקט.
קישור של מכונת Google SecOps אל Google Cloud שירותים.

הערה: אם מגבלות גודל הבקשה או השאילתות לשנייה מוגדרות נמוך מדי, יכול להיות שיהיו עיכובים בהעברת נתונים באצוות שנשלחות דרך פידים של Webhook. נקודת הקצה של HTTPS push תומכת בגודל בקשה מקסימלי של 4 MB לכל בקשה ובקצב העברת נתונים מקסימלי של 15 K QPS לכל מופע של Google SecOps.

כדי להגדיר פיד webhook של HTTPS:

יוצרים פיד של תגובה לפעולה מאתר אחר (webhook) מסוג HTTPS ומעתיקים את כתובת ה-URL של נקודת הקצה ואת המפתח הסודי.
יוצרים מפתח API שמוגדר עם כתובת ה-URL של נקודת הקצה. אפשר גם לעשות שימוש חוזר במפתח ה-API הקיים כדי לבצע אימות ל-Google SecOps.
מציינים את כתובת ה-URL של נקודת הקצה באפליקציה.

שליחת כמה אירועים בבקשת webhook אחת

בדוגמת הקוד הבאה אפשר לראות איך מעצבים גוף של בקשה יחידה עם כמה אובייקטים של JSON שמופרדים באמצעות שורות חדשות אחרי הפריט curl --location:

--header 'Content-Type: application/json' \
--header 'X-goog-api-key: API_KEY' \
--header 'X-Webhook-Access-Key: SECRET' \
--data '{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}
{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}'

יצירת פיד webhook ב-HTTPS

בתפריט של Google SecOps, בוחרים באפשרות הגדרות ואז לוחצים על פידים.
לוחצים על הוספת חדש.
בשדה שם הפיד, מזינים שם לפיד.
ברשימה סוג המקור, בוחרים באפשרות Webhook.
בוחרים את סוג היומן. לדוגמה, כדי ליצור פיד עבור Open Cybersecurity Schema Framework (מסגרת סכימה פתוחה לאבטחת סייבר), בוחרים באפשרות Open Cybersecurity Schema Framework (OCSF) בתור סוג היומן.
לוחצים על הבא.
אופציונלי: מציינים ערכים לפרמטרים הבאים של הקלט:
- ‫Split delimiter: התו המפריד שמשמש להפרדה בין שורות ביומן, כמו \n.
- מרחב השמות של הנכס: מרחב השמות של הנכס.
- תוויות להוספה: התווית שתתווסף לאירועים מהפיד הזה.
לוחצים על הבא.
בודקים את ההגדרות של הפיד החדש במסך סיום ולוחצים על שליחה.
לוחצים על יצירת מפתח סודי כדי ליצור מפתח סודי לאימות הפיד הזה.
צריך להעתיק את המפתח הסודי ולשמור אותו, כי לא תהיה אפשרות לראות אותו שוב. אפשר ליצור מפתח סודי חדש, אבל יצירה מחדש של המפתח הסודי מבטלת את התוקף של המפתח הסודי הקודם.
בכרטיסייה פרטים, מעתיקים את כתובת ה-URL של נקודת הקצה של הפיד מהשדה פרטי נקודת הקצה. צריך לציין את כתובת ה-URL הזו של נקודת הקצה באפליקציית הלקוח.
אופציונלי: לוחצים על המתג הפיד מופעל כדי להשבית את הפיד. הפיד מופעל כברירת מחדל.
לוחצים על סיום.

יצירת מפתח API ל-Webhook feed

עוברים לדף Credentials במסוף Google Cloud .
לוחצים על Create credentials ואז על API key.
להגביל את הגישה של מפתח ה-API ל-Chronicle API.

מציינים את כתובת ה-URL של נקודת הקצה

באפליקציית הלקוח, מציינים את נקודת הקצה מסוג HTTPS, שזמינה בפיד של ה-webhook.
כדי להפעיל אימות, צריך לציין את מפתח ה-API ואת המפתח הסודי כחלק מהכותרת המותאמת אישית בפורמט הבא:

X-goog-api-key = API_KEY

X-Webhook-Access-Key = SECRET

מומלץ לציין את מפתח ה-API ככותרת ולא בכתובת ה-URL. אם לקוח ה-Webhook לא תומך בכותרות בהתאמה אישית, אפשר לציין את מפתח ה-API ואת המפתח הסודי באמצעות פרמטרים של שאילתה בפורמט הבא:
```
  ENDPOINT_URL?key=API_KEY&secret=SECRET
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫ENDPOINT_URL: כתובת ה-URL של נקודת הקצה של הפיד.
- ‫API_KEY: מפתח ה-API לאימות ב-Google SecOps.
- ‫SECRET: המפתח הסודי שיצרתם כדי לאמת את הפיד.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.