設定 SIEM HTTPS 網頁掛鉤動態饋給
支援的國家/地區:
Google SecOps
SIEM
事前準備:
- 確認已Google Cloud 設定 Google SecOps 專案,並為該專案啟用 Chronicle API。
如要設定 HTTPS Webhook 資訊動態,請按照下列步驟操作:
- 建立 HTTPS Webhook 動態消息,然後複製端點網址和密鑰。
- 建立 API 金鑰,並指定端點網址。您也可以重複使用現有的 API 金鑰,向 Google SecOps 進行驗證。
- 在應用程式中指定端點網址。
在單一 Webhook 要求中傳送多個事件
下列程式碼範例說明如何在 curl --location 項目後,以換行符號分隔多個 JSON 物件,並設定單一要求主體的格式:
--header 'Content-Type: application/json' \
--header 'X-goog-api-key: API_KEY' \
--header 'X-Webhook-Access-Key: SECRET' \
--data '{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}
{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}'
建立 HTTPS Webhook 動態饋給
- 在 Google SecOps 選單中選取「設定」,然後按一下「動態消息」。
- 按一下「新增」。
- 在「動態饋給名稱」欄位中,輸入動態饋給名稱。
- 在「Source type」(來源類型) 清單中,選取「Webhook」(Webhook)。
- 選取「記錄類型」。舉例來說,如要為開放式網路安全架構建立動態饋給,請選取「開放式網路安全架構 (OCSF)」做為「記錄類型」。
- 點選「下一步」。
- 選用:指定下列輸入參數的值:
- 分割分隔符號:用於分隔記錄行的分隔符號,例如
\n。 - 資產命名空間:資產命名空間。
- 擷取標籤:要套用至這個動態饋給事件的標籤。
- 分割分隔符號:用於分隔記錄行的分隔符號,例如
- 點選「下一步」。
- 在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)。
- 按一下「產生密鑰」,產生驗證這個動態饋給的密鑰。
- 複製並儲存密鑰,因為您無法再次查看這個密鑰。您可以再次產生新的密鑰,但重新產生的密鑰會使先前的密鑰失效。
- 在「詳細資料」分頁中,從「端點資訊」欄位複製動態消息端點網址。 您需要在用戶端應用程式中指定這個端點網址。
- 選用:按一下「動態消息已啟用」切換鈕,即可停用動態消息。動態消息預設為啟用。
- 按一下 [完成]。
為 Webhook 資訊提供建立 API 金鑰
- 前往 Google Cloud 控制台的「憑證」頁面。
- 按一下 [Create credentials] (建立憑證),然後選取 [API key] (API 金鑰)。
- 限制 API 金鑰對 Chronicle API 的存取權。
指定端點網址
- 在用戶端應用程式中,指定 HTTPS 端點 (Webhook 動態消息中提供)。
如要啟用驗證,請在自訂標頭中指定 API 金鑰和密鑰,格式如下:
X-goog-api-key = API_KEYX-Webhook-Access-Key = SECRET建議您將 API 金鑰指定為標頭,而不是在網址中指定。如果 Webhook 用戶端不支援自訂標頭,您可以使用查詢參數指定 API 金鑰和密鑰,格式如下:
ENDPOINT_URL?key=API_KEY&secret=SECRET更改下列內容:
ENDPOINT_URL:動態消息端點網址。API_KEY:用於向 Google SecOps 進行驗證的 API 金鑰。SECRET:您產生的密鑰,用於驗證動態消息。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。