Menyiapkan feed webhook HTTPS SIEM

Didukung di:

Google SecOps SIEM

Sebelum memulai:

Pastikan project untuk Google SecOps dikonfigurasi dan Chronicle API diaktifkan untuk project tersebut.Google Cloud
Tautkan instance Google SecOps ke Google Cloud layanan.

Catatan: Batch data yang dikirim melalui feed Webhook mungkin mengalami penundaan penyerapan jika batas ukuran permintaan atau QPS ditetapkan terlalu rendah. Endpoint push HTTPS mendukung ukuran permintaan maksimum sebesar 4 MB per permintaan dan throughput maksimum 15 K QPS per instance Google SecOps.

Untuk menyiapkan feed webhook HTTPS, lakukan hal berikut:

Buat feed webhook HTTPS, lalu salin URL endpoint dan kunci rahasia.
Buat kunci API yang ditentukan dengan URL endpoint. Anda juga dapat menggunakan kembali kunci API yang ada untuk melakukan autentikasi ke Google SecOps.
Tentukan URL endpoint di aplikasi Anda.

Mengirim beberapa peristiwa dalam satu permintaan webhook

Contoh kode berikut menunjukkan cara memformat isi permintaan tunggal dengan beberapa objek JSON yang dipisahkan oleh baris baru setelah item curl --location:

--header 'Content-Type: application/json' \
--header 'X-goog-api-key: API_KEY' \
--header 'X-Webhook-Access-Key: SECRET' \
--data '{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}
{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}'

Membuat feed webhook HTTPS

Di menu Google SecOps, pilih Setelan, lalu klik Feed.
Klik Tambahkan baru.
Di kolom Nama feed, masukkan nama untuk feed.
Dalam daftar Jenis sumber, pilih Webhook.
Pilih Jenis log. Misalnya, untuk membuat feed untuk Open Cybersecurity Schema Framework, pilih Open Cybersecurity Schema Framework (OCSF) sebagai Jenis log.
Klik Berikutnya.
Opsional: Tentukan nilai untuk parameter input berikut:
- Pembatas pemisahan: pembatas yang digunakan untuk memisahkan baris log, seperti \n.
- Namespace aset: namespace aset.
- Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
Salin dan simpan kunci rahasia karena Anda tidak dapat melihat rahasia ini lagi. Anda dapat membuat kunci rahasia baru lagi, tetapi pembuatan ulang kunci rahasia akan membuat kunci rahasia sebelumnya tidak berlaku.
Dari tab Detail, salin URL endpoint feed dari kolom Informasi Endpoint. Anda perlu menentukan URL endpoint ini di aplikasi klien Anda.
Opsional: Klik tombol Feed Diaktifkan untuk menonaktifkan feed. Feed diaktifkan secara default.
Klik Done.

Membuat kunci API untuk feed webhook

Buka halaman Google Cloud konsol Credentials.
Klik Create credentials, lalu pilih API key.
Membatasi akses kunci API ke Chronicle API.

Tentukan URL endpoint

Di aplikasi klien, tentukan endpoint HTTPS, yang tersedia di feed webhook.
Aktifkan autentikasi dengan menentukan kunci API dan kunci rahasia sebagai bagian dari header kustom dalam format berikut:

X-goog-api-key = API_KEY

X-Webhook-Access-Key = SECRET

Sebaiknya tentukan kunci API sebagai header, bukan menentukannya di URL. Jika klien webhook Anda tidak mendukung header kustom, Anda dapat menentukan kunci API dan kunci rahasia menggunakan parameter kueri dalam format berikut:
```
  ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Ganti kode berikut:
- ENDPOINT_URL: URL endpoint feed.
- API_KEY: kunci API untuk mengautentikasi ke Google SecOps.
- SECRET: kunci rahasia yang Anda buat untuk mengautentikasi feed.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.