Integrar Sysdig Secure con Google SecOps
En este documento se explica cómo integrar Sysdig Secure con Google Security Operations (Google SecOps).
Versión de la integración: 1.0
Parámetros de integración
La integración de Sysdig Secure requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Root |
Obligatorio. La raíz de la API de la instancia de Sysdig Secure. Para obtener más información sobre los valores raíz de la API, consulta la API de Sysdig. |
API Token |
Obligatorio. Token de API de Sysdig Secure. Para obtener más información sobre cómo generar tokens, consulta Recuperar el token de API de Sysdig. |
Verify SSL |
Obligatorio. Si se selecciona, la integración valida el certificado SSL al conectarse al servidor de Sysdig Secure. Esta opción está seleccionada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Ping
Usa la acción Ping para probar la conectividad con Sysdig Secure.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully connected to the Sysdig Secure server with the
provided connection parameters! |
La acción se ha realizado correctamente. |
Failed to connect to the Sysdig Secure server! Error is ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
Sysdig Secure - Events Connector
Usa el conector de eventos de Sysdig Secure para extraer eventos de Sysdig Secure.
Para trabajar con la lista dinámica, usa el parámetro ruleName.
Entradas de conectores
Sysdig Secure - Events Connector requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
Event Field Name |
Obligatorio. Nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. La raíz de la API de la instancia de Sysdig Secure. Para obtener más información sobre los valores raíz de la API, consulta la API de Sysdig. |
API Token |
Obligatorio. Token de API de Sysdig Secure. Para obtener más información sobre cómo generar tokens, consulta Recuperar el token de API de Sysdig. |
Lowest Severity To Fetch |
Opcional. La gravedad más baja de las alertas que se van a obtener. Si no configura este parámetro, el conector ingiere alertas con todos los niveles de gravedad. Los valores posibles son los siguientes:
|
Custom Filter Query |
Opcional. Consulta para filtrar, acotar o agrupar eventos durante la ingestión. Este parámetro tiene prioridad sobre el parámetro El ejemplo de entrada es el siguiente: |
Max Hours Backwards |
Obligatorio. Número de horas anteriores a la hora actual para obtener eventos. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada. El valor predeterminado es |
Max Events To Fetch |
Obligatorio. Número máximo de eventos que se procesarán en cada iteración del conector. El valor máximo es El valor predeterminado es |
Disable Overflow |
Opcional. Si se selecciona esta opción, el conector ignora el mecanismo de desbordamiento de Google SecOps. No está seleccionada de forma predeterminada. |
Use dynamic list as a blocklist |
Opcional. Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Opcional. Si se selecciona, la integración valida el certificado SSL al conectarse al servidor de Sysdig Secure. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Opcional. La dirección del servidor proxy que se va a usar. |
Proxy Username |
Opcional. Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Opcional. La contraseña del proxy para autenticarte. |
Reglas de conectores
El conector de eventos de Sysdig Secure admite proxies.
Eventos del conector
El ejemplo del evento Sysdig Secure - Events Connector es el siguiente:
{
"id": "ID",
"reference": "0194cd55-6752-823e-990c-380977fa3ce8",
"cursor": "PTE4MjBjYTI0NjdjZDFjYzkwMzdlZDA0NGVkNjYyNzFh",
"timestamp": "2025-02-03T19:41:53.874140361Z",
"customerId": 2002953,
"originator": "policy",
"category": "runtime",
"source": "syscall",
"rawEventOriginator": "linuxAgent",
"rawEventCategory": "runtime",
"sourceDetails": {
"sourceType": "workload",
"sourceSubType": "host"
},
"engine": "falco",
"name": "Sysdig Runtime Threat Detection",
"description": "This policy contains rules which Sysdig considers High Confidence of a security incident. They are tightly coupled to common attacker TTP's. They have been designed to minimize false positives but may still result in some depending on your environment.",
"severity": 3,
"agentId": 118055020,
"machineId": "MACHINE_ID",
"content": {
"policyId": 10339481,
"ruleName": "Find Google Cloud Credentials",
"internalRuleName": "Find Google Cloud Credentials",
"ruleType": 6,
"ruleSubType": 0,
"ruleTags": [
"host",
"container",
"MITRE",
"MITRE_TA0006_credential_access",
"MITRE_TA0007_discovery",
"MITRE_T1552_unsecured_credentials",
"MITRE_T1552.004_unsecured_credentials_private_keys",
"MITRE_T1119_automated_collection",
"MITRE_T1555_credentials_from_password_stores",
"MITRE_TA0009_collection",
"process",
"gcp",
"MITRE_T1552.003_unsecured_credentials_bash_history"
],
"output": "OUTPUT",
"fields": {
"container.id": "host",
"container.image.repository": "<NA>",
"container.image.tag": "<NA>",
"container.name": "host",
"evt.args": "ARGS_VALUE",
"evt.res": "SUCCESS",
"evt.type": "execve",
"group.gid": "1010",
"group.name": "example",
"proc.aname[2]": "sshd",
"proc.aname[3]": "sshd",
"proc.aname[4]": "sshd",
"proc.cmdline": "grep private_key example_credentials.json",
"proc.cwd": "/home/example/",
"proc.exepath": "/usr/bin/grep",
"proc.hash.sha256": "9a9c5a0c3b5d1d78952252f7bcf4a992ab9ea1081c84861381380a835106b817",
"proc.name": "grep",
"proc.pcmdline": "bash",
"proc.pid": "402495",
"proc.pid.ts": "1738611713873608827",
"proc.pname": "bash",
"proc.ppid": "385443",
"proc.ppid.ts": "1738599569497780082",
"proc.sid": "385443",
"user.loginname": "example",
"user.loginuid": "1009",
"user.name": "example",
"user.uid": "1009"
},
"falsePositive": false,
"matchedOnDefault": false,
"templateId": 1331,
"policyType": "falco",
"AlertId": 1357687,
"origin": "Sysdig"
},
"labels": {
"agent.tag.role": "datafeeder",
"cloudProvider.account.id": "ACCOUNT_ID",
"cloudProvider.name": "gcp",
"cloudProvider.region": "europe-west3",
"gcp.compute.availabilityZone": "europe-west3-c",
"gcp.compute.image": "projects/debian-cloud/global/images/debian-example",
"gcp.compute.instanceId": "INSTANCE_ID",
"gcp.compute.instanceName": "example-instance",
"gcp.compute.machineType": "e2-standard-2",
"gcp.location": "europe-west3",
"gcp.projectId": "PROJECT_ID",
"gcp.projectName": "example-project",
"host.hostName": "example-instance",
"host.id": "HOST_ID",
"orchestrator.type": "none",
"process.name": "grep private_key example_credentials.json"
}
}
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.