SIEM HTTPS Webhook フィードを設定する

以下でサポートされています。

Google SecOps SIEM

始める前に:

Google SecOps のGoogle Cloud プロジェクトが構成され、そのプロジェクトで Chronicle API が有効になっていることを確認します。
Google SecOps インスタンスを Google Cloud サービスにリンクする。

注: リクエストサイズまたは QPS の上限の設定が低すぎると、Webhook フィード経由で送信されるデータのバッチで取り込みが遅れることがあります。HTTPS プッシュエンドポイントは、リクエストあたり最大 4 MB のリクエストサイズと、Google SecOps インスタンスあたり最大 15 K QPS のスループットをサポートしています。

HTTPS webhook フィードを設定する手順は次のとおりです。

HTTPS Webhook フィードを作成し、エンドポイント URL と秘密鍵をコピーします。
エンドポイント URL で指定された API キーを作成します。既存の API キーを再利用して Google SecOps に対する認証を行うこともできます。
アプリケーション内でエンドポイント URL を指定します。

1 つの Webhook リクエストで複数のイベントを送信する

次のコードサンプルは、curl --location 項目の後に複数の改行区切りの JSON オブジェクトを含む単一のリクエスト本文をフォーマットする方法を示しています。

--header 'Content-Type: application/json' \
--header 'X-goog-api-key: API_KEY' \
--header 'X-Webhook-Access-Key: SECRET' \
--data '{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}
{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}'

HTTPS Webhook フィードを作成する

Google SecOps メニューで、[設定] を選択し、[フィード] をクリックします。
[新しく追加] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します。
[ソースタイプ] リストで、[Webhook] を選択します。
[ログタイプ] を選択します。たとえば、Open Cybersecurity Schema Framework のフィードを作成するには、[ログタイプ] として [Open Cybersecurity Schema Framework（OCSF）] を選択します。
[次へ] をクリックします。
省略可: 次の入力パラメータの値を指定します。
- Split delimiter: ログ行を区切るために使用される区切り文字（\n など）。
- Asset namespace: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
[秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレットキーを生成します。
このシークレットは再び表示できないため、秘密鍵をコピーして保存します。新しいシークレットキーを再度生成できますが、シークレットキーを再生成すると、以前のシークレットキーは無効になります。
[詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL をクライアントアプリケーション内で指定する必要があります。
省略可: [フィードを有効にする] の切り替えボタンをクリックして、フィードを無効にします。フィードはデフォルトで有効になっています。
[完了] をクリックします。

Webhook フィード用の API キーを作成する

Google Cloud コンソールの [認証情報] ページに移動します。
[認証情報を作成] をクリックして [API キー] を選択します。
API キーへのアクセスを Chronicle API に限定します。

エンドポイント URL を指定する

クライアントアプリケーション内で HTTPS エンドポイント（Webhook フィード内にあります）を指定します。
次の形式でカスタムヘッダーの一部として API キーと秘密鍵を指定して、認証を有効にします。

X-goog-api-key = API_KEY

X-Webhook-Access-Key = SECRET

API キーは URL 内で指定するのではなく、ヘッダーとして指定することをおすすめします。Webhook クライアントがカスタムヘッダーをサポートしていない場合は、次の形式のクエリパラメータを使用して API キーと秘密鍵を指定できます。
```
  ENDPOINT_URL?key=API_KEY&secret=SECRET
```
以下を置き換えます。
- ENDPOINT_URL: フィードエンドポイントの URL。
- API_KEY: Google SecOps に対する認証に使用する API キー。
- SECRET: フィードの認証用に生成した秘密鍵。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。