Integre o Sysdig Secure com o Google SecOps
Este documento explica como integrar o Sysdig Secure com o Google Security Operations (Google SecOps).
Versão da integração: 1.0
Parâmetros de integração
A integração do Sysdig Secure requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Root |
Obrigatório. A raiz da API da instância do Sysdig Secure. Para mais informações sobre os valores de raiz da API, consulte a API Sysdig. |
API Token |
Obrigatório. A chave da API Sysdig Secure. Para mais informações sobre como gerar tokens, consulte o artigo Obtenha o token da API Sysdig. |
Verify SSL |
Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do Sysdig Secure. Selecionado por predefinição. |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Tchim-tchim
Use a ação Ping para testar a conetividade com o Sysdig Secure.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully connected to the Sysdig Secure server with the
provided connection parameters! |
A ação foi bem-sucedida. |
Failed to connect to the Sysdig Secure server! Error is ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Sysdig Secure - Events Connector
Use o Sysdig Secure - Events Connector para extrair eventos do Sysdig Secure.
Para trabalhar com a lista dinâmica, use o parâmetro ruleName.
Entradas do conetor
O Sysdig Secure - Events Connector requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor predefinido é
|
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é |
API Root |
Obrigatório. A raiz da API da instância do Sysdig Secure. Para mais informações sobre os valores de raiz da API, consulte a API Sysdig. |
API Token |
Obrigatório. A chave da API Sysdig Secure. Para mais informações sobre como gerar tokens, consulte o artigo Obtenha o token da API Sysdig. |
Lowest Severity To Fetch |
Opcional. A gravidade mais baixa dos alertas a obter. Se não configurar este parâmetro, o conector carrega alertas com todos os níveis de gravidade. Os valores possíveis são os seguintes:
|
Custom Filter Query |
Opcional. Uma consulta para filtrar, definir o âmbito ou agrupar eventos durante o carregamento. Este parâmetro tem prioridade sobre o parâmetro O exemplo da entrada é o seguinte: |
Max Hours Backwards |
Obrigatório. O número de horas anteriores ao momento atual para obter eventos. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada. O valor predefinido é |
Max Events To Fetch |
Obrigatório. O número máximo de eventos a processar em cada iteração do conetor. O valor máximo é O valor predefinido é |
Disable Overflow |
Opcional. Se selecionado, o conetor ignora o mecanismo de overflow do Google SecOps. Não selecionado por predefinição. |
Use dynamic list as a blocklist |
Opcional. Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. Não selecionado por predefinição. |
Verify SSL |
Opcional. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do Sysdig Secure. Não selecionado por predefinição. |
Proxy Server Address |
Opcional. O endereço de um servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional. A palavra-passe do proxy para autenticação. |
Regras de conector
O Sysdig Secure - Events Connector suporta proxies.
Eventos de conetores
O exemplo do evento Sysdig Secure - Events Connector é o seguinte:
{
"id": "ID",
"reference": "0194cd55-6752-823e-990c-380977fa3ce8",
"cursor": "PTE4MjBjYTI0NjdjZDFjYzkwMzdlZDA0NGVkNjYyNzFh",
"timestamp": "2025-02-03T19:41:53.874140361Z",
"customerId": 2002953,
"originator": "policy",
"category": "runtime",
"source": "syscall",
"rawEventOriginator": "linuxAgent",
"rawEventCategory": "runtime",
"sourceDetails": {
"sourceType": "workload",
"sourceSubType": "host"
},
"engine": "falco",
"name": "Sysdig Runtime Threat Detection",
"description": "This policy contains rules which Sysdig considers High Confidence of a security incident. They are tightly coupled to common attacker TTP's. They have been designed to minimize false positives but may still result in some depending on your environment.",
"severity": 3,
"agentId": 118055020,
"machineId": "MACHINE_ID",
"content": {
"policyId": 10339481,
"ruleName": "Find Google Cloud Credentials",
"internalRuleName": "Find Google Cloud Credentials",
"ruleType": 6,
"ruleSubType": 0,
"ruleTags": [
"host",
"container",
"MITRE",
"MITRE_TA0006_credential_access",
"MITRE_TA0007_discovery",
"MITRE_T1552_unsecured_credentials",
"MITRE_T1552.004_unsecured_credentials_private_keys",
"MITRE_T1119_automated_collection",
"MITRE_T1555_credentials_from_password_stores",
"MITRE_TA0009_collection",
"process",
"gcp",
"MITRE_T1552.003_unsecured_credentials_bash_history"
],
"output": "OUTPUT",
"fields": {
"container.id": "host",
"container.image.repository": "<NA>",
"container.image.tag": "<NA>",
"container.name": "host",
"evt.args": "ARGS_VALUE",
"evt.res": "SUCCESS",
"evt.type": "execve",
"group.gid": "1010",
"group.name": "example",
"proc.aname[2]": "sshd",
"proc.aname[3]": "sshd",
"proc.aname[4]": "sshd",
"proc.cmdline": "grep private_key example_credentials.json",
"proc.cwd": "/home/example/",
"proc.exepath": "/usr/bin/grep",
"proc.hash.sha256": "9a9c5a0c3b5d1d78952252f7bcf4a992ab9ea1081c84861381380a835106b817",
"proc.name": "grep",
"proc.pcmdline": "bash",
"proc.pid": "402495",
"proc.pid.ts": "1738611713873608827",
"proc.pname": "bash",
"proc.ppid": "385443",
"proc.ppid.ts": "1738599569497780082",
"proc.sid": "385443",
"user.loginname": "example",
"user.loginuid": "1009",
"user.name": "example",
"user.uid": "1009"
},
"falsePositive": false,
"matchedOnDefault": false,
"templateId": 1331,
"policyType": "falco",
"AlertId": 1357687,
"origin": "Sysdig"
},
"labels": {
"agent.tag.role": "datafeeder",
"cloudProvider.account.id": "ACCOUNT_ID",
"cloudProvider.name": "gcp",
"cloudProvider.region": "europe-west3",
"gcp.compute.availabilityZone": "europe-west3-c",
"gcp.compute.image": "projects/debian-cloud/global/images/debian-example",
"gcp.compute.instanceId": "INSTANCE_ID",
"gcp.compute.instanceName": "example-instance",
"gcp.compute.machineType": "e2-standard-2",
"gcp.location": "europe-west3",
"gcp.projectId": "PROJECT_ID",
"gcp.projectName": "example-project",
"host.hostName": "example-instance",
"host.id": "HOST_ID",
"orchestrator.type": "none",
"process.name": "grep private_key example_credentials.json"
}
}
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.