Configurar um feed de webhook HTTPS do SIEM

Compatível com:

Google SecOps SIEM

Antes de começar:

Verifique se um Google Cloud projeto do Google SecOps está configurado e se a API Chronicle está ativada para o projeto.
Vincule uma instância do Google SecOps aos Google Cloud serviços.

Observação: os lotes de dados enviados por feeds de webhook podem sofrer atrasos na ingestão se o tamanho da solicitação ou os limites de QPS forem definidos como muito baixos. O endpoint de push HTTPS aceita um tamanho máximo de solicitação de 4 MB por solicitação e uma capacidade máxima de 15 K QPS por instância do Google SecOps.

Para configurar um feed de webhook HTTPS, faça o seguinte:

Crie um feed de webhook HTTPS e copie o URL do endpoint e a chave secreta.
Crie uma chave de API especificada com o URL do endpoint. Também é possível reutilizar sua chave de API atual para autenticar no Google SecOps.
Especifique o URL do endpoint no seu aplicativo.

Enviar vários eventos em uma única solicitação de webhook

O exemplo de código a seguir mostra como formatar um único corpo de solicitação com vários objetos JSON separados por novas linhas após o item curl --location:

--header 'Content-Type: application/json' \
--header 'X-goog-api-key: API_KEY' \
--header 'X-Webhook-Access-Key: SECRET' \
--data '{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}
{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}'

Criar um feed de webhook HTTPS

No menu do Google SecOps, selecione Configurações e clique em Feeds.
Clique em Adicionar novo.
No campo Nome do feed, insira um nome para o feed.
Na lista Tipo de origem, selecione Webhook.
Selecione o Tipo de registro. Por exemplo, para criar um feed para o Open Cybersecurity Schema Framework, selecione Open Cybersecurity Schema Framework (OCSF) como o Tipo de registro.
Clique em Próxima.
Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.
Clique em Gerar chave secreta para autenticar o feed.
Copie e armazene a chave secreta, porque não será possível conferir esse secret novamente. Você pode gerar uma nova chave secreta, mas a regeneração torna a anterior obsoleta.
Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
Opcional: clique no botão Feed ativado para desativar o feed. O feed é ativado por padrão.
Clique em Concluído.

Criar uma chave de API para o feed de webhook

Acesse a página Credenciais do console Google Cloud .
Clique em Criar credenciais e, em seguida, selecione Chave de API.
Restrinja o acesso da chave de API à API do Chronicle.

Especifique o URL do endpoint

No aplicativo cliente, especifique o endpoint HTTPS, que está disponível no feed do webhook.
Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

X-goog-api-key = API_KEY

X-Webhook-Access-Key = SECRET

Recomendamos que você especifique a chave de API como um cabeçalho em vez de especificá-la no URL. Se o cliente de webhook não aceitar cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:
```
  ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Substitua:
- ENDPOINT_URL: o URL do endpoint do feed.
- API_KEY: a chave de API para autenticar no Google SecOps.
- SECRET: a chave secreta gerada para autenticar o feed.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.