Collecter les journaux Entrust Identity Verification (anciennement Onfido)

Compatible avec :

Ce document explique comment ingérer les journaux Entrust Identity Verification (anciennement Onfido) dans Google Security Operations à l'aide de Google Cloud Storage V2. L'analyseur transforme les journaux bruts de vérification et de rapports Onfido en schéma UDM Google SecOps.

Entrust Identity Verification est une plate-forme cloud de validation de l'identité qui automatise la vérification des documents, l'analyse biométrique et la détection des fraudes. Elle fournit une API REST permettant de gérer les candidats, les vérifications et les rapports, ce qui permet aux organisations d'intégrer des workflows de validation de l'identité dans leurs applications.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Un projet GCP avec l'API Cloud Storage activée
  • Autorisations pour créer et gérer des buckets GCS
  • Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
  • Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
  • Un compte Entrust Identity Verification (anciennement Onfido) avec accès à l'API
  • Un jeton d'API Onfido disposant des autorisations suffisantes pour lire les vérifications et les rapports

Collecter les identifiants de l'API Onfido

Obtenir un jeton d'API

  1. Connectez-vous au tableau de bord Onfido.
  2. Accédez à Développeurs > Jetons d'API.
  3. Copiez un jeton API actif existant ou cliquez sur Générer un jeton API pour en créer un.
  4. Saisissez un nom pour le jeton (par exemple, Google Security Operations Integration).
  5. Sélectionnez Live comme type de jeton.

  6. Copiez et enregistrez le jeton d'API de manière sécurisée.

Vérifier les autorisations

Pour vérifier que le jeton API dispose des autorisations requises :

  1. Connectez-vous au tableau de bord Onfido.
  2. Accédez à Développeurs > Jetons d'API.
  3. Vérifiez que le jeton est listé avec l'état En ligne et qu'il n'a pas été révoqué.
  4. Vérifiez que le jeton dispose d'un accès en lecture aux vérifications et aux rapports en testant l'accès à l'API.

Tester l'accès à l'API

  • Testez vos identifiants avant de procéder à l'intégration :

    # Replace with your actual API token
ONFIDO_API_TOKEN="your-api-token"

# Test API access - list checks
curl -v -H "Authorization: Token token=${ONFIDO_API_TOKEN}" \
  "[https://api.onfido.com/v3.6/checks](https://api.onfido.com/v3.6/checks)"

Une réponse réussie renvoie le code HTTP 200 avec un objet JSON contenant un tableau checks.

Créer un bucket Google Cloud Storage

  1. Accédez à la console Google Cloud.
  2. Sélectionnez votre projet ou créez-en un.
  3. Dans le menu de navigation, accédez à Cloud Storage > Buckets.

  4. Cliquez sur Créer un bucket.

  5. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nommer votre bucket Saisissez un nom unique (par exemple, onfido-verification-logs).
    Type d'emplacement Choisissez en fonction de vos besoins (région, birégion ou multirégion).
    Emplacement Sélectionnez l'emplacement (par exemple, us-central1).
    Classe de stockage Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
    Access control (Contrôle des accès) Uniforme (recommandé)
    Outils de protection Facultatif : Activez la gestion des versions des objets ou une règle de conservation.

  6. Cliquez sur Créer.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

  1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
  2. Cliquez sur Créer un compte de service.
  3. Fournissez les informations de configuration suivantes :
    • Nom du compte de service : saisissez onfido-logs-collector-sa.
    • Description du compte de service : saisissez Service account for Cloud Run function to collect Onfido verification logs.
  4. Cliquez sur Créer et continuer.
  5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
    1. Cliquez sur Sélectionner un rôle.
    2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
    3. Cliquez sur + Ajouter un autre rôle.
    4. Recherchez et sélectionnez Demandeur Cloud Run.
    5. Cliquez sur + Ajouter un autre rôle.
    6. Recherchez et sélectionnez Demandeur Cloud Functions.
  6. Cliquez sur Continuer.
  7. Cliquez sur OK.

Ces rôles sont requis pour :

  • Administrateur des objets Storage : écrire des journaux dans un bucket GCS et gérer les fichiers d'état
  • Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
  • Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket.
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, onfido-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
  6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

  1. Dans la console GCP, accédez à Pub/Sub > Sujets.
  2. Cliquez sur Create topic (Créer un sujet).
  3. Fournissez les informations de configuration suivantes :
    • ID du sujet : saisissez onfido-logs-trigger.
    • Conservez les valeurs par défaut des autres paramètres.
  4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run sera déclenchée par les messages Pub/Sub de Cloud Scheduler pour récupérer les vérifications et les rapports de l'API Onfido et les écrire dans GCS.

  1. Dans la console GCP, accédez à Cloud Run.
  2. Cliquez sur Créer un service.
  3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

  4. Dans la section Configurer, fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom du service onfido-logs-collector
    Région Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
    Durée d'exécution Sélectionnez Python 3.12 ou version ultérieure.

  5. Dans la section Déclencheur (facultatif) :

    1. Cliquez sur + Ajouter un déclencheur.
    2. Sélectionnez Cloud Pub/Sub.
    3. Dans Sélectionner un sujet Cloud Pub/Sub, sélectionnez onfido-logs-trigger.
    4. Cliquez sur Enregistrer.

  6. Dans la section Authentification :

    1. Sélectionnez Exiger l'authentification.
    2. Consultez Identity and Access Management (IAM).

  7. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.

  8. Accédez à l'onglet Sécurité :

    • Compte de service : sélectionnez onfido-logs-collector-sa.

  9. Accédez à l'onglet Conteneurs :

    1. Cliquez sur Variables et secrets.
    2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :
    Nom de la variable Exemple de valeur Description
    GCS_BUCKET onfido-verification-logs Nom du bucket GCS
    GCS_PREFIX onfido-logs Préfixe des fichiers journaux
    STATE_KEY onfido-logs/state.json Chemin d'accès au fichier d'état
    ONFIDO_API_TOKEN your-api-token-here Jeton d'API Onfido
    MAX_RECORDS 1000 Nombre maximal d'enregistrements par exécution
    PAGE_SIZE 100 Enregistrements par page
    LOOKBACK_HOURS 24 Période d'analyse initiale

  10. Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

  11. Accédez à l'onglet Paramètres :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.

  12. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

  13. Cliquez sur Créer.

  14. Attendez que le service soit créé (1 à 2 minutes).

  15. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

  1. Saisissez main dans Point d'entrée de la fonction.

  2. Dans l'éditeur de code intégré, créez deux fichiers :

    • Premier fichier : main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'onfido-logs')
STATE_KEY = os.environ.get('STATE_KEY', 'onfido-logs/state.json')
ONFIDO_API_TOKEN = os.environ.get('ONFIDO_API_TOKEN')
MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '1000'))
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))

API_BASE = '[https://api.onfido.com/v3.6](https://api.onfido.com/v3.6)'

def parse_datetime(value: str) -> datetime:
    """Parse ISO datetime string to datetime object."""
    if value.endswith("Z"):
        value = value[:-1] + "+00:00"
    return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Onfido verification
    checks and reports and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, ONFIDO_API_TOKEN]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Determine time window
        now = datetime.now(timezone.utc)
        last_time = None

        if isinstance(state, dict) and state.get("last_event_time"):
            try:
                last_time = parse_datetime(state["last_event_time"])
                # Overlap by 2 minutes to catch any delayed events
                last_time = last_time - timedelta(minutes=2)
            except Exception as e:
                print(f"Warning: Could not parse last_event_time: {e}")

        if last_time is None:
            last_time = now - timedelta(hours=LOOKBACK_HOURS)

        print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")

        # Fetch checks
        checks, newest_check_time = fetch_checks(
            api_token=ONFIDO_API_TOKEN,
            start_time=last_time,
            end_time=now,
            page_size=PAGE_SIZE,
            max_records=MAX_RECORDS,
        )

        # Fetch reports for each check
        all_records = []
        for check in checks:
            check_record = check.copy()
            check_id = check.get('id')
            if check_id:
                reports = fetch_reports(api_token=ONFIDO_API_TOKEN, check_id=check_id)
                check_record['reports'] = reports
            all_records.append(check_record)

        if not all_records:
            print("No new log records found.")
            save_state(bucket, STATE_KEY, now.isoformat())
            return

        # Write to GCS as NDJSON
        timestamp = now.strftime('%Y%m%d_%H%M%S')
        object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in all_records]) + '\n'
        blob.upload_from_string(ndjson, content_type='application/x-ndjson')

        print(f"Wrote {len(all_records)} records to gs://{GCS_BUCKET}/{object_key}")

        # Update state with newest event time
        if newest_check_time:
            save_state(bucket, STATE_KEY, newest_check_time)
        else:
            save_state(bucket, STATE_KEY, now.isoformat())

        print(f"Successfully processed {len(all_records)} records")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    return {}

def save_state(bucket, key, last_event_time_iso: str):
    """Save the last event timestamp to GCS state file."""
    try:
        state = {'last_event_time': last_event_time_iso}
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: last_event_time={last_event_time_iso}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

def fetch_checks(api_token: str, start_time: datetime, end_time: datetime, page_size: int, max_records: int):
    """
    Fetch verification checks from the Onfido API with pagination and rate limiting.

    Args:
        api_token: Onfido API token
        start_time: Start time for check query
        end_time: End time for check query
        page_size: Number of records per page
        max_records: Maximum total records to fetch

    Returns:
        Tuple of (checks list, newest_event_time ISO string)
    """
    headers = {
        'Authorization': f'Token token={api_token}',
        'Accept': 'application/json',
        'User-Agent': 'GoogleSecOps-OnfidoCollector/1.0'
    }

    records = []
    newest_time = None
    page_num = 0
    backoff = 1.0
    current_page = 1

    while True:
        page_num += 1

        if len(records) >= max_records:
            print(f"Reached max_records limit ({max_records})")
            break

        url = f"{API_BASE}/checks?page={current_page}&per_page={page_size}"

        try:
            response = http.request('GET', url, headers=headers)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                print(f"HTTP Error: {response.status}")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text}")
                return [], None

            data = json.loads(response.data.decode('utf-8'))

            page_results = data.get('checks', [])

            if not page_results:
                print(f"No more results (empty page)")
                break

            # Filter checks within the time window
            filtered = []
            for check in page_results:
                created_at = check.get('created_at')
                if created_at:
                    try:
                        check_time = parse_datetime(created_at)
                        if start_time <= check_time <= end_time:
                            filtered.append(check)
                        if newest_time is None or check_time > parse_datetime(newest_time):
                            newest_time = created_at
                    except Exception as e:
                        print(f"Warning: Could not parse check time: {e}")
                        filtered.append(check)

            print(f"Page {page_num}: Retrieved {len(page_results)} checks, {len(filtered)} in time window")
            records.extend(filtered)

            # Check for more results
            if len(page_results) < page_size:
                print(f"Reached last page (size={len(page_results)} < limit={page_size})")
                break

            current_page += 1

        except Exception as e:
            print(f"Error fetching checks: {e}")
            return [], None

    print(f"Retrieved {len(records)} total checks from {page_num} pages")
    return records[:max_records], newest_time

def fetch_reports(api_token: str, check_id: str):
    """
    Fetch reports for a specific check from the Onfido API.

    Args:
        api_token: Onfido API token
        check_id: Check ID to fetch reports for

    Returns:
        List of report objects
    """
    headers = {
        'Authorization': f'Token token={api_token}',
        'Accept': 'application/json',
        'User-Agent': 'GoogleSecOps-OnfidoCollector/1.0'
    }

    url = f"{API_BASE}/reports?check_id={check_id}"

    try:
        response = http.request('GET', url, headers=headers)

        if response.status == 429:
            time.sleep(2)
            response = http.request('GET', url, headers=headers)

        if response.status != 200:
            print(f"Error fetching reports for check {check_id}: HTTP {response.status}")
            return []

        data = json.loads(response.data.decode('utf-8'))
        reports = data.get('reports', [])
        return reports

    except Exception as e:
        print(f"Error fetching reports for check {check_id}: {e}")
        return []
    • Deuxième fichier : requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

  4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

  1. Dans la console GCP, accédez à Cloud Scheduler.

  2. Cliquez sur Créer une tâche.

  3. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom onfido-logs-collector-hourly
    Région Sélectionnez la même région que la fonction Cloud Run.
    Fréquence 0 * * * * (toutes les heures)
    Fuseau horaire Sélectionnez un fuseau horaire (UTC recommandé).
    Type de cible Pub/Sub
    Thème Sélectionner onfido-logs-trigger
    Corps du message {} (objet JSON vide)

  4. Cliquez sur Créer.

Options de fréquence de programmation

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence Expression Cron Cas d'utilisation
Toutes les 5 minutes */5 * * * * Volume élevé, faible latence
Toutes les 15 minutes */15 * * * * Volume moyen
Toutes les heures 0 * * * * Standard (recommandé)
Toutes les 6 heures 0 */6 * * * Traitement par lot à faible volume
Tous les jours 0 0 * * * Collecte de données historiques

Tester l'intégration

  1. Dans la console Cloud Scheduler, recherchez votre job.
  2. Cliquez sur Exécuter de force pour déclencher le job manuellement.
  3. Patientez quelques secondes.
  4. Accédez à Cloud Run > Services.
  5. Cliquez sur onfido-logs-collector.
  6. Cliquez sur l'onglet Journaux.

  7. Vérifiez que la fonction s'est exécutée correctement. Par exemple :

    Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X checks, X in time window
Wrote X records to gs://bucket-name/onfido-logs/logs_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

  8. Accédez à Cloud Storage > Buckets.

  9. Cliquez sur le nom de votre bucket.

  10. Accédez au dossier onfido-logs/.

  11. Vérifiez qu'un fichier .ndjson a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

  • HTTP 401 : vérifiez le jeton de l'API Onfido dans les variables d'environnement.
  • HTTP 403 : vérifiez que le jeton d'API est actif et n'a pas été révoqué.
  • HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle entre les tentatives.
  • Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Configurer un flux dans Google SecOps pour ingérer les journaux Onfido

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Onfido Verification Logs).
  5. Sélectionnez Google Cloud Storage V2 comme Type de source.
  6. Sélectionnez Onfido comme Type de journal.

  7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copiez cette adresse e-mail. Vous en aurez besoin lors de la tâche suivante.

  9. Cliquez sur Suivant.

  10. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket de stockage : saisissez l'URI du bucket GCS avec le chemin d'accès au préfixe :

      gs://onfido-verification-logs/onfido-logs/
      • Remplacez :
        • onfido-verification-logs : nom de votre bucket GCS.
        • onfido-logs : préfixe/chemin d'accès au dossier facultatif où les journaux sont stockés (laisser vide pour la racine).

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers une fois le transfert réussi.
      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

  11. Cliquez sur Suivant.

  12. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket.
  3. Accédez à l'onglet Autorisations.

  4. Cliquez sur Accorder l'accès.

  5. Fournissez les informations de configuration suivantes :

    • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
    • Attribuer des rôles : sélectionnez Lecteur d'objets Storage.

  6. Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
read_only_udm.metadata.vendor_name Définissez-le sur "ONFIDO".
read_only_udm.metadata.product_name Définissez-le sur "ONFIDO".
read_only_udm.metadata.log_type Définissez-le sur "ONFIDO".

Journal des modifications

Afficher le journal des modifications pour ce parseur

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.