Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

设置 SIEM HTTPS Webhook Feed

支持的平台：

Google SecOps SIEM

准备工作：

确保已配置 Google SecOps 的Google Cloud 项目，并且已为该项目启用 Chronicle API。
将 Google SecOps 实例与 Google Cloud 服务相关联。

注意：如果请求大小或 QPS 限额设置得过低，通过网络钩子 Feed 发送的数据批次可能会出现提取延迟。HTTPS 推送端点支持的请求大小上限为每个请求 4 MB，吞吐量上限为每个 Google SecOps 实例 15 K QPS。

如需设置 HTTPS 网络钩子 Feed，请执行以下操作：

创建 HTTPS 网络钩子 Feed，然后复制端点网址和密钥。
创建通过端点网址指定的 API 密钥。您还可以重复使用现有的 API 密钥向 Google SecOps 进行身份验证。
在应用中指定端点网址。

在单个 Webhook 请求中发送多个事件

以下代码示例展示了如何设置单个请求正文的格式，在 curl --location 项后包含多个以换行符分隔的 JSON 对象：

--header 'Content-Type: application/json' \
--header 'X-goog-api-key: API_KEY' \
--header 'X-Webhook-Access-Key: SECRET' \
--data '{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}
{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}'

创建 HTTPS 网络钩子 Feed

在 Google SecOps 菜单中，选择设置，然后点击 Feed。
点击新增。
在Feed 名称字段中，输入 Feed 的名称。
在来源类型列表中，选择 Webhook。
选择日志类型。例如，如需为开放网络安全架构框架创建 Feed，请选择开放网络安全架构框架 (OCSF) 作为日志类型。
点击下一步。
可选：为以下输入参数指定值：
- 拆分定界符：用于分隔日志行的定界符，例如 \n。
- 资源命名空间：资源命名空间。
- 注入标签：要应用于此 Feed 中事件的标签。
点击下一步。
在最终确定界面中查看新的 Feed 配置，然后点击提交。
点击生成密钥，生成用于对此 Feed 进行身份验证的密钥。
复制并存储密钥，因为您无法再次查看此密钥。您可以再次生成新的密钥，但重新生成密钥会使之前的密钥失效。
在详情标签页中，从端点信息字段复制 Feed 端点网址。您需要在客户端应用中指定此端点网址。
可选：点击已启用 Feed 切换开关以停用 Feed。该 Feed 默认处于启用状态。
点击完成。

为 webhook Feed 创建 API 密钥

前往 Google Cloud 控制台中的凭据页面。
点击创建凭据，然后选择 API 密钥。
将 API 密钥访问权限限制为 Chronicle API。

指定端点网址

在客户端应用中，指定 HTTPS 端点（可在 Webhook Feed 中找到）。
通过在自定义标头中指定 API 密钥和密钥来启用身份验证，格式如下：

X-goog-api-key = API_KEY

X-Webhook-Access-Key = SECRET

我们建议您将 API 密钥指定为标头，而不是在网址中指定。如果您的 Webhook 客户端不支持自定义标头，您可以使用以下格式的查询参数指定 API 密钥和密钥：
```
  ENDPOINT_URL?key=API_KEY&secret=SECRET
```
替换以下内容：
- ENDPOINT_URL：Feed 端点网址。
- API_KEY：用于向 Google SecOps 进行身份验证的 API 密钥。
- SECRET：您生成的用于验证 Feed 的密钥。