Integra Sysdig Secure con Google SecOps
En este documento, se explica cómo integrar Sysdig Secure con Google Security Operations (Google SecOps).
Versión de la integración: 1.0
Parámetros de integración
La integración de Sysdig Secure requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Root |
Obligatorio. Es la raíz de la API de la instancia de Sysdig Secure. Para obtener más información sobre los valores raíz de la API, consulta la API de Sysdig. |
API Token |
Obligatorio. Es el token de la API de Sysdig Secure. Para obtener más información sobre cómo generar tokens, consulta Cómo recuperar el token de la API de Sysdig. |
Verify SSL |
Obligatorio. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de Sysdig Secure. Esta opción se selecciona de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Ping
Usa la acción Ping para probar la conectividad a Sysdig Secure.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully connected to the Sysdig Secure server with the
provided connection parameters! |
La acción se completó correctamente. |
Failed to connect to the Sysdig Secure server! Error is ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
Sysdig Secure: conector de eventos
Usa el conector de eventos de Sysdig Secure para extraer eventos de Sysdig Secure.
Para trabajar con la lista dinámica, usa el parámetro ruleName.
Entradas del conector
El conector de eventos de Sysdig Secure requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Event Field Name |
Obligatorio. Es el nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. |
Environment Regex Pattern |
Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. Es la raíz de la API de la instancia de Sysdig Secure. Para obtener más información sobre los valores raíz de la API, consulta la API de Sysdig. |
API Token |
Obligatorio. Es el token de la API de Sysdig Secure. Para obtener más información sobre cómo generar tokens, consulta Cómo recuperar el token de la API de Sysdig. |
Lowest Severity To Fetch |
Opcional. Es la gravedad más baja de las alertas que se recuperarán. Si no configuras este parámetro, el conector transferirá alertas con todos los niveles de gravedad. Los valores posibles son los siguientes:
|
Custom Filter Query |
Opcional. Es una consulta para filtrar, definir el alcance o agrupar eventos durante la transferencia. Este parámetro tiene prioridad sobre el parámetro El ejemplo de la entrada es el siguiente: |
Max Hours Backwards |
Obligatorio. Cantidad de horas previas al momento actual para recuperar eventos. Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para una marca de tiempo del conector vencida. El valor predeterminado es |
Max Events To Fetch |
Obligatorio. Es la cantidad máxima de eventos que se procesarán en cada iteración del conector. El valor máximo es El valor predeterminado es |
Disable Overflow |
Opcional. Si se selecciona, el conector ignora el mecanismo de desbordamiento de SecOps de Google. No está seleccionada de forma predeterminada. |
Use dynamic list as a blocklist |
Opcional. Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. No está seleccionada de forma predeterminada. |
Verify SSL |
Opcional. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de Sysdig Secure. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Opcional. Es la dirección de un servidor proxy que se usará. |
Proxy Username |
Opcional. Nombre de usuario del proxy con el que se realizará la autenticación. |
Proxy Password |
Opcional. Contraseña del proxy para la autenticación. |
Reglas del conector
El conector de eventos de Sysdig Secure admite proxies.
Eventos del conector
El ejemplo del evento Sysdig Secure - Events Connector es el siguiente:
{
"id": "ID",
"reference": "0194cd55-6752-823e-990c-380977fa3ce8",
"cursor": "PTE4MjBjYTI0NjdjZDFjYzkwMzdlZDA0NGVkNjYyNzFh",
"timestamp": "2025-02-03T19:41:53.874140361Z",
"customerId": 2002953,
"originator": "policy",
"category": "runtime",
"source": "syscall",
"rawEventOriginator": "linuxAgent",
"rawEventCategory": "runtime",
"sourceDetails": {
"sourceType": "workload",
"sourceSubType": "host"
},
"engine": "falco",
"name": "Sysdig Runtime Threat Detection",
"description": "This policy contains rules which Sysdig considers High Confidence of a security incident. They are tightly coupled to common attacker TTP's. They have been designed to minimize false positives but may still result in some depending on your environment.",
"severity": 3,
"agentId": 118055020,
"machineId": "MACHINE_ID",
"content": {
"policyId": 10339481,
"ruleName": "Find Google Cloud Credentials",
"internalRuleName": "Find Google Cloud Credentials",
"ruleType": 6,
"ruleSubType": 0,
"ruleTags": [
"host",
"container",
"MITRE",
"MITRE_TA0006_credential_access",
"MITRE_TA0007_discovery",
"MITRE_T1552_unsecured_credentials",
"MITRE_T1552.004_unsecured_credentials_private_keys",
"MITRE_T1119_automated_collection",
"MITRE_T1555_credentials_from_password_stores",
"MITRE_TA0009_collection",
"process",
"gcp",
"MITRE_T1552.003_unsecured_credentials_bash_history"
],
"output": "OUTPUT",
"fields": {
"container.id": "host",
"container.image.repository": "<NA>",
"container.image.tag": "<NA>",
"container.name": "host",
"evt.args": "ARGS_VALUE",
"evt.res": "SUCCESS",
"evt.type": "execve",
"group.gid": "1010",
"group.name": "example",
"proc.aname[2]": "sshd",
"proc.aname[3]": "sshd",
"proc.aname[4]": "sshd",
"proc.cmdline": "grep private_key example_credentials.json",
"proc.cwd": "/home/example/",
"proc.exepath": "/usr/bin/grep",
"proc.hash.sha256": "9a9c5a0c3b5d1d78952252f7bcf4a992ab9ea1081c84861381380a835106b817",
"proc.name": "grep",
"proc.pcmdline": "bash",
"proc.pid": "402495",
"proc.pid.ts": "1738611713873608827",
"proc.pname": "bash",
"proc.ppid": "385443",
"proc.ppid.ts": "1738599569497780082",
"proc.sid": "385443",
"user.loginname": "example",
"user.loginuid": "1009",
"user.name": "example",
"user.uid": "1009"
},
"falsePositive": false,
"matchedOnDefault": false,
"templateId": 1331,
"policyType": "falco",
"AlertId": 1357687,
"origin": "Sysdig"
},
"labels": {
"agent.tag.role": "datafeeder",
"cloudProvider.account.id": "ACCOUNT_ID",
"cloudProvider.name": "gcp",
"cloudProvider.region": "europe-west3",
"gcp.compute.availabilityZone": "europe-west3-c",
"gcp.compute.image": "projects/debian-cloud/global/images/debian-example",
"gcp.compute.instanceId": "INSTANCE_ID",
"gcp.compute.instanceName": "example-instance",
"gcp.compute.machineType": "e2-standard-2",
"gcp.location": "europe-west3",
"gcp.projectId": "PROJECT_ID",
"gcp.projectName": "example-project",
"host.hostName": "example-instance",
"host.id": "HOST_ID",
"orchestrator.type": "none",
"process.name": "grep private_key example_credentials.json"
}
}
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.