將 Sysdig Secure 與 Google SecOps 整合
本文說明如何將 Sysdig Secure 與 Google Security Operations (Google SecOps) 整合。
整合版本:1.0
整合參數
整合 Sysdig Secure 時需要下列參數:
| 參數 | 說明 |
|---|---|
API Root |
必填。 Sysdig Secure 執行個體的 API 根目錄。 如要進一步瞭解 API 根值,請參閱 Sysdig API。 |
API Token |
必填。 Sysdig Secure API 權杖。 如要進一步瞭解如何產生權杖,請參閱「擷取 Sysdig API 權杖」。 |
Verify SSL |
必填。 如果選取這個選項,整合服務會在連線至 Sysdig Secure 伺服器時驗證 SSL 憑證。 (此為預設選項)。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
乒乓
使用 Ping 動作測試與 Sysdig Secure 的連線。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「Ping」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully connected to the Sysdig Secure server with the
provided connection parameters! |
動作成功。 |
Failed to connect to the Sysdig Secure server! Error is ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Ping」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
Sysdig Secure - Events Connector
使用 Sysdig Secure - Events Connector 從 Sysdig Secure 提取事件。
如要使用動態清單,請使用 ruleName 參數。
連接器輸入內容
Sysdig Secure - Events Connector 需要下列參數:
| 參數 | 說明 |
|---|---|
Product Field Name |
必填。 儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
Event Field Name |
必填。 決定事件名稱 (子類型) 的欄位名稱。 預設值為 |
Environment Field Name |
選填。 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 |
Environment Regex Pattern |
選填。 要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout (Seconds) |
必填。 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
API Root |
必填。 Sysdig Secure 執行個體的 API 根目錄。 如要進一步瞭解 API 根值,請參閱 Sysdig API。 |
API Token |
必填。 Sysdig Secure API 權杖。 如要進一步瞭解如何產生權杖,請參閱「擷取 Sysdig API 權杖」。 |
Lowest Severity To Fetch |
選填。 要擷取的最低快訊嚴重性。 如未設定這個參數,連接器會擷取所有嚴重程度的快訊。 可能的值如下:
|
Custom Filter Query |
選填。 在擷取期間篩選、設定範圍或分組事件的查詢。 這個參數的優先順序高於 輸入範例如下: |
Max Hours Backwards |
必填。 要擷取事件的小時數 (以目前時間為準)。 這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。 預設值為 |
Max Events To Fetch |
必填。 每次連接器疊代要處理的事件數上限。 最大值為 預設值為 |
Disable Overflow |
選填。 如果選取此選項,連接器會忽略 Google SecOps 溢位機制。 預設為未選取。 |
Use dynamic list as a blocklist |
選填。 如果選取這個選項,連接器會將動態清單做為封鎖清單。 預設為未選取。 |
Verify SSL |
選填。 如果選取這個選項,整合服務會在連線至 Sysdig Secure 伺服器時驗證 SSL 憑證。 預設為未選取。 |
Proxy Server Address |
選填。 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填。 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填。 用於驗證的 Proxy 密碼。 |
連接器規則
Sysdig Secure - Events Connector 支援 Proxy。
連接器事件
以下是 Sysdig Secure - Events Connector 事件的範例:
{
"id": "ID",
"reference": "0194cd55-6752-823e-990c-380977fa3ce8",
"cursor": "PTE4MjBjYTI0NjdjZDFjYzkwMzdlZDA0NGVkNjYyNzFh",
"timestamp": "2025-02-03T19:41:53.874140361Z",
"customerId": 2002953,
"originator": "policy",
"category": "runtime",
"source": "syscall",
"rawEventOriginator": "linuxAgent",
"rawEventCategory": "runtime",
"sourceDetails": {
"sourceType": "workload",
"sourceSubType": "host"
},
"engine": "falco",
"name": "Sysdig Runtime Threat Detection",
"description": "This policy contains rules which Sysdig considers High Confidence of a security incident. They are tightly coupled to common attacker TTP's. They have been designed to minimize false positives but may still result in some depending on your environment.",
"severity": 3,
"agentId": 118055020,
"machineId": "MACHINE_ID",
"content": {
"policyId": 10339481,
"ruleName": "Find Google Cloud Credentials",
"internalRuleName": "Find Google Cloud Credentials",
"ruleType": 6,
"ruleSubType": 0,
"ruleTags": [
"host",
"container",
"MITRE",
"MITRE_TA0006_credential_access",
"MITRE_TA0007_discovery",
"MITRE_T1552_unsecured_credentials",
"MITRE_T1552.004_unsecured_credentials_private_keys",
"MITRE_T1119_automated_collection",
"MITRE_T1555_credentials_from_password_stores",
"MITRE_TA0009_collection",
"process",
"gcp",
"MITRE_T1552.003_unsecured_credentials_bash_history"
],
"output": "OUTPUT",
"fields": {
"container.id": "host",
"container.image.repository": "<NA>",
"container.image.tag": "<NA>",
"container.name": "host",
"evt.args": "ARGS_VALUE",
"evt.res": "SUCCESS",
"evt.type": "execve",
"group.gid": "1010",
"group.name": "example",
"proc.aname[2]": "sshd",
"proc.aname[3]": "sshd",
"proc.aname[4]": "sshd",
"proc.cmdline": "grep private_key example_credentials.json",
"proc.cwd": "/home/example/",
"proc.exepath": "/usr/bin/grep",
"proc.hash.sha256": "9a9c5a0c3b5d1d78952252f7bcf4a992ab9ea1081c84861381380a835106b817",
"proc.name": "grep",
"proc.pcmdline": "bash",
"proc.pid": "402495",
"proc.pid.ts": "1738611713873608827",
"proc.pname": "bash",
"proc.ppid": "385443",
"proc.ppid.ts": "1738599569497780082",
"proc.sid": "385443",
"user.loginname": "example",
"user.loginuid": "1009",
"user.name": "example",
"user.uid": "1009"
},
"falsePositive": false,
"matchedOnDefault": false,
"templateId": 1331,
"policyType": "falco",
"AlertId": 1357687,
"origin": "Sysdig"
},
"labels": {
"agent.tag.role": "datafeeder",
"cloudProvider.account.id": "ACCOUNT_ID",
"cloudProvider.name": "gcp",
"cloudProvider.region": "europe-west3",
"gcp.compute.availabilityZone": "europe-west3-c",
"gcp.compute.image": "projects/debian-cloud/global/images/debian-example",
"gcp.compute.instanceId": "INSTANCE_ID",
"gcp.compute.instanceName": "example-instance",
"gcp.compute.machineType": "e2-standard-2",
"gcp.location": "europe-west3",
"gcp.projectId": "PROJECT_ID",
"gcp.projectName": "example-project",
"host.hostName": "example-instance",
"host.id": "HOST_ID",
"orchestrator.type": "none",
"process.name": "grep private_key example_credentials.json"
}
}
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。