此页面由 Cloud Translation API 翻译。

将 Sysdig Secure 与 Google SecOps 集成

本文档介绍了如何将 Sysdig Secure 与 Google Security Operations (Google SecOps) 集成。

集成版本：1.0

集成参数

Sysdig Secure 集成需要以下参数：

参数说明

参数	说明
`API Root`	必填。 Sysdig Secure 实例的 API 根。如需详细了解 API 根值，请参阅 Sysdig API。
`API Token`	必填。 Sysdig Secure API 令牌。如需详细了解如何生成令牌，请参阅检索 Sysdig API 令牌。
`Verify SSL`	必填。如果选择此项，集成会在连接到 Sysdig Secure 服务器时验证 SSL 证书。此选项将会默认选中。

API Root

必填。

Sysdig Secure 实例的 API 根。

如需详细了解 API 根值，请参阅 Sysdig API。

API Token

必填。

Sysdig Secure API 令牌。

如需详细了解如何生成令牌，请参阅检索 Sysdig API 令牌。

Verify SSL

必填。

如果选择此项，集成会在连接到 Sysdig Secure 服务器时验证 SSL 证书。

此选项将会默认选中。

如需了解如何在 Google SecOps 中配置集成，请参阅配置集成。

如有需要，您可以在稍后阶段进行更改。配置集成实例后，您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例，请参阅支持多个实例。

操作

如需详细了解操作，请参阅在工作台页面中处理待处理的操作和执行手动操作。

Ping

使用 Ping 操作测试与 Sysdig Secure 的连接。

此操作不适用于 Google SecOps 实体。

操作输入

无。

操作输出

Ping 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

Ping 操作可以返回以下输出消息：

输出消息消息说明

Successfully connected to the Sysdig Secure server with the provided connection parameters! 操作成功。

输出消息	消息说明
`Successfully connected to the Sysdig Secure server with the provided connection parameters!`	操作成功。
`Failed to connect to the Sysdig Secure server! Error is ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Failed to connect to the Sysdig Secure server! Error is ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Ping 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

连接器

如需详细了解如何在 Google SecOps 中配置连接器，请参阅注入数据（连接器）。

Sysdig Secure - 事件连接器

使用 Sysdig Secure - Events 连接器从 Sysdig Secure 拉取事件。

如需使用动态列表，请使用 ruleName 参数。

连接器输入

Sysdig Secure - Events Connector 需要以下参数：

参数	说明
`Product Field Name`	必填。存储商品名称的字段的名称。商品名称主要会影响映射。为了简化和改进连接器的映射流程，默认值会解析为代码中引用的回退值。默认情况下，此参数的任何无效输入都会解析为回退值。默认值为 `Product Name`。
`Event Field Name`	必填。用于确定事件名称（子类型）的字段的名称。默认值为 `content_ruleName`。
`Environment Field Name`	可选。存储环境名称的字段的名称。如果缺少环境字段，连接器将使用默认值。
`Environment Regex Pattern`	可选。要对 `Environment Field Name` 字段中的值运行的正则表达式模式。此参数可让您使用正则表达式逻辑来操纵环境字段。使用默认值 `.*` 可检索所需的原始 `Environment Field Name` 值。如果正则表达式模式为 null 或空，或者环境值为 null，则最终环境结果为默认环境。
`Script Timeout (Seconds)`	必填。运行当前脚本的 Python 进程的超时时间限制（以秒为单位）。默认值为 `180`。
`API Root`	必填。 Sysdig Secure 实例的 API 根。如需详细了解 API 根值，请参阅 Sysdig API。
`API Token`	必填。 Sysdig Secure API 令牌。如需详细了解如何生成令牌，请参阅检索 Sysdig API 令牌。
`Lowest Severity To Fetch`	可选。要检索的提醒的最低严重程度。如果您未配置此参数，连接器会提取所有严重程度的提醒。可能的值如下： `Informational` `Low` `Medium` `High`
`Custom Filter Query`	可选。一种在提取期间过滤、限定范围或分组事件的查询。此参数的优先级高于 `Lowest Severity To Fetch` 参数以及您在动态列表中设置的值。如需详细了解如何过滤事件，请参阅过滤安全事件。输入示例：`host.hostName = "instance-1"`。
`Max Hours Backwards`	必填。要检索的事件的小时数（相对于当前时间）。此参数可应用于您首次启用连接器后的初始连接器迭代，也可作为过期连接器时间戳的回退值。默认值为 `1`。
`Max Events To Fetch`	必填。每次连接器迭代中要处理的事件数量上限。最大值为 `200`。默认值为 `100`。
`Disable Overflow`	可选。如果选中此选项，连接器会忽略 Google SecOps 溢出机制。默认情况下未选中。
`Use dynamic list as a blocklist`	可选。如果选中此选项，连接器会将动态列表用作屏蔽列表。默认情况下未选中。
`Verify SSL`	可选。如果选择此项，集成会在连接到 Sysdig Secure 服务器时验证 SSL 证书。默认情况下未选中。
`Proxy Server Address`	可选。要使用的代理服务器的地址。
`Proxy Username`	可选。用于进行身份验证的代理用户名。
`Proxy Password`	可选。用于进行身份验证的代理密码。

连接器规则

Sysdig Secure - Events Connector 支持代理。

连接器事件

Sysdig Secure - Events Connector 事件的示例如下：

{
   "id": "ID",
   "reference": "0194cd55-6752-823e-990c-380977fa3ce8",
   "cursor": "PTE4MjBjYTI0NjdjZDFjYzkwMzdlZDA0NGVkNjYyNzFh",
   "timestamp": "2025-02-03T19:41:53.874140361Z",
   "customerId": 2002953,
   "originator": "policy",
   "category": "runtime",
   "source": "syscall",
   "rawEventOriginator": "linuxAgent",
   "rawEventCategory": "runtime",
   "sourceDetails": {
       "sourceType": "workload",
       "sourceSubType": "host"
   },
   "engine": "falco",
   "name": "Sysdig Runtime Threat Detection",
   "description": "This policy contains rules which Sysdig considers High Confidence of a security incident. They are tightly coupled to common attacker TTP's. They have been designed to minimize false positives but may still result in some depending on your environment.",
   "severity": 3,
   "agentId": 118055020,
   "machineId": "MACHINE_ID",
   "content": {
       "policyId": 10339481,
       "ruleName": "Find Google Cloud Credentials",
       "internalRuleName": "Find Google Cloud Credentials",
       "ruleType": 6,
       "ruleSubType": 0,
       "ruleTags": [
           "host",
           "container",
           "MITRE",
           "MITRE_TA0006_credential_access",
           "MITRE_TA0007_discovery",
           "MITRE_T1552_unsecured_credentials",
           "MITRE_T1552.004_unsecured_credentials_private_keys",
           "MITRE_T1119_automated_collection",
           "MITRE_T1555_credentials_from_password_stores",
           "MITRE_TA0009_collection",
           "process",
           "gcp",
           "MITRE_T1552.003_unsecured_credentials_bash_history"
       ],
       "output": "OUTPUT",
       "fields": {
           "container.id": "host",
           "container.image.repository": "<NA>",
           "container.image.tag": "<NA>",
           "container.name": "host",
           "evt.args": "ARGS_VALUE",
           "evt.res": "SUCCESS",
           "evt.type": "execve",
           "group.gid": "1010",
           "group.name": "example",
           "proc.aname[2]": "sshd",
           "proc.aname[3]": "sshd",
           "proc.aname[4]": "sshd",
           "proc.cmdline": "grep private_key example_credentials.json",
           "proc.cwd": "/home/example/",
           "proc.exepath": "/usr/bin/grep",
           "proc.hash.sha256": "9a9c5a0c3b5d1d78952252f7bcf4a992ab9ea1081c84861381380a835106b817",
           "proc.name": "grep",
           "proc.pcmdline": "bash",
           "proc.pid": "402495",
           "proc.pid.ts": "1738611713873608827",
           "proc.pname": "bash",
           "proc.ppid": "385443",
           "proc.ppid.ts": "1738599569497780082",
           "proc.sid": "385443",
           "user.loginname": "example",
           "user.loginuid": "1009",
           "user.name": "example",
           "user.uid": "1009"
       },
       "falsePositive": false,
       "matchedOnDefault": false,
       "templateId": 1331,
       "policyType": "falco",
       "AlertId": 1357687,
       "origin": "Sysdig"
   },
   "labels": {
       "agent.tag.role": "datafeeder",
       "cloudProvider.account.id": "ACCOUNT_ID",
       "cloudProvider.name": "gcp",
       "cloudProvider.region": "europe-west3",
       "gcp.compute.availabilityZone": "europe-west3-c",
       "gcp.compute.image": "projects/debian-cloud/global/images/debian-example",
       "gcp.compute.instanceId": "INSTANCE_ID",
       "gcp.compute.instanceName": "example-instance",
       "gcp.compute.machineType": "e2-standard-2",
       "gcp.location": "europe-west3",
       "gcp.projectId": "PROJECT_ID",
       "gcp.projectName": "example-project",
       "host.hostName": "example-instance",
       "host.id": "HOST_ID",
       "orchestrator.type": "none",
       "process.name": "grep private_key example_credentials.json"
   }
}