Cloud Identity in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie Cloud Identity in Google Security Operations einbinden.

Anwendungsfälle

Bei der Cloud Identity-Integration werden Google SecOps-Funktionen verwendet, um die folgenden Anwendungsfälle zu unterstützen:

  • Zugriffssteuerungen verwalten: IAM-Konfigurationen direkt über ein Untersuchungs-Playbook erstellen und aktualisieren.
  • Audit-Richtliniendefinitionen: Hier werden Informationen zu verfügbaren Richtlinien zum Nachverfolgen von Zugriffsänderungen aufgeführt.
  • Attribute der Detektorliste verwalten: Hängen Sie Entitäten und Indikatoren an bestimmte Detektor-URL-Listen an, um sie zu überwachen.

Hinweis

Bevor Sie die Cloud Identity-Integration in der Google SecOps-Plattform konfigurieren, müssen Sie Ihre Umgebung mit den folgenden Schritten konfigurieren:

  1. Erstellen Sie ein Dienstkonto.
  2. Domainweite Befugnisse an Ihr Dienstkonto delegieren
  3. Aktivieren Sie die erforderlichen APIs für Ihr Projekt.
  4. Wählen Sie eine der folgenden Authentifizierungsmethoden aus und konfigurieren Sie sie:
    • Option 1: JSON-Schlüssel: Bei dieser Methode wird eine statische, langlebige geheime Schlüsseldatei verwendet. Verwenden Sie diese Methode nur, wenn Workload Identity in Ihrer Umgebung nicht verfügbar ist.
    • Option 2: Workload Identity (empfohlen): Bei dieser Methode werden kurzlebige, temporäre Zugriffstokens mithilfe der Identitätsübernahme des Dienstkontos verwendet. Dadurch müssen keine vertraulichen Informationen gespeichert werden.

Dienstkonto erstellen

So erstellen Sie ein Dienstkonto für die Integration:

  1. Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung > Dienstkonten auf und wählen Sie Ihr Projekt aus.

    Zur Seite „Dienstkonten“

  2. Klicken Sie auf Dienstkonto erstellen.

  3. Geben Sie einen Namen und eine Beschreibung ein und klicken Sie auf Fertig, um das Konto zu erstellen.

Domainweite Befugnisse an Ihr Dienstkonto delegieren

  1. Rufen Sie in der Admin-Konsole Ihrer Domain das  Hauptmenü > „Sicherheit“ > „Zugriffs- und Datenkontrolle“ > „API-Steuerung“ auf.
  2. Wählen Sie im Bereich Domainweite Delegierung die Option Domainweite Delegierung verwalten aus.
  3. Klicken Sie auf Neu hinzufügen.
  4. Geben Sie im Feld Client-ID die Client-ID ein, die Sie im Abschnitt Dienstkonto erstellen erhalten haben.

  5. Geben Sie im Feld OAuth-Bereiche die folgende durch Kommas getrennte Liste der für Ihre Anwendung erforderlichen Bereiche ein:

    https://www.googleapis.com/auth/cloud-platform,
https://www.googleapis.com/auth/cloud-identity.policies,
https://www.googleapis.com/auth/admin.directory.orgunit

  6. Klicken Sie auf Autorisieren.

Das Dienstkonto ist jetzt autorisiert, mit den angegebenen Bereichen auf Daten in Ihrer Domain zuzugreifen.

Erforderliche APIs für Ihr Projekt aktivieren

  1. Rufen Sie in der Google Cloud Console APIs & Dienste auf.

    Rufen Sie "APIs & Dienste" auf.

  2. Klicken Sie auf APIs und Dienste aktivieren.

  3. Suchen Sie nach den folgenden APIs und aktivieren Sie sie für Ihr Projekt:

    • Admin SDK API (admin.googleapis.com)
    • Cloud Identity API (cloudidentity.googleapis.com)

JSON-Schlüssel konfigurieren

Sie können die Integration entweder mit einer statischen JSON-Schlüsseldatei oder mit der Workload Identity-Föderation authentifizieren. Um die Sicherheit Ihrer Umgebung zu maximieren, sollten Sie die Workload Identity-Methode verwenden. Verwenden Sie die JSON-Schlüsselmethode nur, wenn Workload Identity in Ihrer Infrastruktur nicht unterstützt wird, da statische Schlüssel manuell rotiert werden müssen und das Risiko der Offenlegung von Anmeldedaten erhöhen.

So generieren Sie die JSON-Schlüsseldatei, die zur Authentifizierung der Integration erforderlich ist:

  1. Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten und wählen Sie das erstellte Dienstkonto aus.

    Zur Seite „Dienstkonten“

  2. Rufen Sie den Tab Schlüssel auf.

  3. Klicken Sie auf Schlüssel hinzufügen.

  4. Wählen Sie Neuen Schlüssel erstellen aus.

  5. Wählen Sie als Schlüsseltyp JSON aus und klicken Sie auf Erstellen. Die JSON-Datei wird auf Ihren Computer heruntergeladen.

  6. Kopieren Sie den gesamten Inhalt dieser Datei und fügen Sie ihn während der Konfiguration der Integration in User's Service Account JSON ein.

Cloud Identity-Berechtigungen konfigurieren

Gehen Sie so vor, um die Administratorberechtigungen zu definieren, die für die Verwaltung von Organisationsressourcen durch die Integration erforderlich sind:

  1. Klicken Sie in der Admin-Konsole auf Konto > Administratorrollen.
  2. Klicken Sie auf Neue Rolle erstellen.
  3. Geben Sie einen Namen für die neue benutzerdefinierte Rolle ein und klicken Sie auf Weiter.
  4. Rufen Sie auf der Seite Berechtigungen auswählen den Abschnitt Admin API auf.
  5. Wählen Sie unter Berechtigungen für Admin APIs die folgenden Berechtigungen aus:
    • Organization Units
    • Users
    • Groups
  6. Klicken Sie auf Weiter.
  7. Wenn Sie eine neue benutzerdefinierte Rolle erstellen möchten, klicken Sie auf Rolle erstellen.
Benutzerdefinierte Rolle einem Nutzer zuweisen

Gehen Sie so vor, um einem Nutzerkonto die Rolle zuzuweisen und die Integration zu autorisieren, Aktionen in Ihrem Namen auszuführen:

  1. Rufen Sie die Seite Verzeichnis > Nutzer auf, um einen neuen Nutzer zu erstellen.
  2. Fügen Sie einen neuen Nutzer hinzu, der mit dem Dienstkonto verknüpft ist.
  3. Öffnen Sie die Einstellungen für den neu erstellten Nutzer. Der Tab „Nutzerkonto“ wird geöffnet.
  4. Klicken Sie auf Administratorrollen und Berechtigungen.
  5. Klicken Sie auf Bearbeiten Bearbeiten.
  6. Wählen Sie die benutzerdefinierte Rolle aus, die Sie erstellt haben.
  7. Stellen Sie den Schalter für die ausgewählte Rolle auf Zugewiesen.

Workload Identity-Anmeldedaten konfigurieren

Wählen Sie diese Methode oder die JSON-Schlüsselmethode aus, um die Integration zu authentifizieren. Workload Identity ist der empfohlene und sicherere Ansatz, da kurzlebige, temporäre Zugriffstokens mithilfe der Identitätsübernahme des Dienstkontos verwendet werden. Dadurch werden die Risiken durch die Offenlegung von langlebigen geheimen Anmeldedaten minimiert.

Eindeutige Instanzidentität ermitteln

Wenn Sie Workload Identity verwenden möchten, müssen Sie Ihrer Google SecOps-Instanz die Berechtigung erteilen, sich als Ihr Dienstkonto auszugeben. Mit diesem Schritt kann die Instanz sicher auf Google Cloud-Ressourcen zugreifen.

  1. Rufen Sie in Google SecOps den Content Hub > Response Integrations auf.
  2. Wählen Sie die Integration aus, die Sie konfigurieren, und geben Sie die E-Mail-Adresse Ihres Dienstkontos in das Feld Workload Identity Email ein.
  3. Geben Sie im Feld Delegated Email die E-Mail-Adresse ein, die für die Identität der Integration verwendet werden soll.
  4. Klicken Sie auf Speichern> > Test. Der Test sollte fehlschlagen.

  5. Klicken Sie rechts neben Test auf close_small und suchen Sie in der Fehlermeldung nach der Identitäts-E-Mail-Adresse, die mit gke-init-python@... oder soar-python@... beginnt.

    Kopieren Sie diese eindeutige E-Mail-Adresse und fügen Sie sie während der Konfiguration der Integration in Workload Identity Email ein.

Instanzidentität in Google Cloud autorisieren

Nachdem Sie die eindeutige Identität für Ihre Google SecOps-Instanz abgerufen haben, müssen Sie sie für den Zugriff auf Ihre Google Cloud-Ressourcen autorisieren. Mit diesem Schritt wird die Identitätsübernahme des Dienstkontos aktiviert. So kann die Plattform kurzlebige Tokens generieren und in Ihrem Namen agieren, ohne dass statische Schlüssel erforderlich sind.

  1. Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.
  2. Wählen Sie das Zieldienstkonto aus und rufen Sie Berechtigungen > Zugriff gewähren auf.
  3. Fügen Sie die eindeutige E-Mail-Adresse in das Feld Neue Hauptkonten ein.
  4. Weisen Sie die Rolle Ersteller von Dienstkonto-Tokens (roles/iam.serviceAccountTokenCreator) zu.

Integrationsparameter

Für die Cloud Identity-Integration sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Service Account JSON File Content

Optional.

Der Inhalt der JSON-Datei des Dienstkontoschlüssels.

Sie können entweder diesen Parameter oder Workload Identity-E-Mail konfigurieren. Wenn Sie diese Methode verwenden möchten, fügen Sie den gesamten JSON-String aus der Schlüsseldatei ein, die beim Erstellen des Dienstkontos heruntergeladen wurde.
Workload Identity Email

Optional.

Die Client-E‑Mail-Adresse Ihres Dienstkontos.

Sie können entweder diesen Parameter oder Inhalt der JSON-Datei des Dienstkontos konfigurieren.

Wenn Sie diese Methode für die Identitätsübernahme des Dienstkontos verwenden möchten, müssen Sie Ihrem Google SecOps-Dienstkonto die Rolle „Ersteller von Dienstkonto-Tokens“ zuweisen.
Delegated Email

Erforderlich.

Die E‑Mail-Adresse, die von der Integration zum Ausführen von Aktionen verwendet wird.

Achten Sie darauf, dass dieses Konto über die entsprechenden delegierten Berechtigungen in Ihrer Umgebung verfügt, um die erforderlichen Integrationsaufgaben auszuführen.
Verify SSL

Optional.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Cloud Identity-Server validiert.

Standardmäßig aktiviert.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen in „Mein Arbeitsbereich“ beantworten und Manuelle Maßnahme ausführen.

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Cloud Identity zu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für diese Aktion sind keine Eingabeparameter erforderlich.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Ausgabenachrichten

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully connected to the Cloud Identity server with the provided connection parameters!

 Die Aktion wurde ausgeführt.
Failed to connect to the Cloud Identity server! Error is ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses Wert
is_success true oder false

Entität der URL-Liste des Detektors hinzufügen

Verwenden Sie die Aktion Add Entity To Detector URL List (Entität zur URL-Liste des Detektors hinzufügen), um Entitäten zur Liste der Cloud Identity-Richtlinienerkennung hinzuzufügen.

Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:

  • URL
  • Domain

Aktionseingaben

Für die Aktion Add Entity To Detector URL List sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Detector Policy ID

Erforderlich.

Die eindeutige Kennung der zu aktualisierenden Richtlinie für den Detektor.
URL

Optional.

Eine durch Kommas getrennte Liste von URLs, die der Detektorliste hinzugefügt werden sollen.
Domain

Optional.

Eine durch Kommas getrennte Liste von Domains, die der Liste der Detektoren hinzugefügt werden sollen.

Aktionsausgaben

Die Aktion Entität zur URL-Liste des Detektors hinzufügen gibt die folgenden Ausgaben zurück:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Add Entity To Detector URL List (Entität zur URL-Liste des Detektors hinzufügen) empfangen wird:

{
 "type": "ADMIN",
 "customer": "customers/<CUSTOMER_ID>",
 "policyQuery": {
   "query": "entity.org_units.exists(org_unit, org_unit.org_unit_id == orgUnitId('<ORG_UNIT_ID>'))",
   "orgUnit": "orgUnits/<ORG_UNIT_ID>"
 },
 "setting": {
   "type": "settings/detector.url_list",
   "value": {
     "displayName": "test_url_list_detector",
     "description": "test_url_list_detector desc",
     "urlList": {
       "urls": [
         "[http://example.com](http://example.com)",
         "example.org",
         "bad_entity.com"
       ]
     }
   }
 }
}
Ausgabenachrichten

Die Aktion Add Entity To Detector URL List (URL-Liste des Detektors um Entität erweitern) kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully blocked the following URLs using Cloud Identity: ENTITY_IDENTIFIER

 Die Aktion wurde ausgeführt.
Error executing action "Add Entity To Detector URL List". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Entity To Detector URL List verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

Richtlinie erstellen

Mit der Aktion Richtlinie erstellen können Sie einen neuen Richtlinieneintrag in Cloud Identity erstellen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Richtlinie erstellen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Policy Entry

Erforderlich.

Das JSON-Objekt, das die Konfiguration des hinzuzufügenden Richtlinieneintrags darstellt.
Beispielkonfigurationen für Richtlinien

Die folgenden Beispielkonfigurationen zeigen, wie der Parameter Policy Entry strukturiert wird:

Beispiel 1: URL-Listendetektor

{
  "type": "ADMIN",
  "customer": "customers/<CUSTOMER_ID>",
  "policyQuery": {
    "orgUnit": "orgUnits/<ORG_UNIT_ID>",
    "sortOrder": 1
  },
  "setting": {
    "type": "settings/detector.url_list",
    "value": {
      "displayName": "BlockUrlDetector",
      "description": "Blocked urls for security reasons",
      "urlList": {
        "urls": [
          "www.medium.com",
          "medium.com",
          "wikipedia.org"
        ]
      }
    }
  }
}

Beispiel 2: DLP-Regel

{
  "type": "ADMIN",
  "customer": "customers/<CUSTOMER_ID>",
  "policyQuery": {
    "query": "entity.org_units.exists(org_unit, org_unit.org_unit_id == orgUnitId('<ORG_UNIT_ID>'))",
    "orgUnit": "orgUnits/<ORG_UNIT_ID>",
    "sortOrder": 1
  },
  "setting": {
    "type": "settings/rule.dlp",
    "value": {
      "display_name": "TestRule",
      "description": "GoogleSecOps URL Blocklist Rule. Keeps state of blocked URLs. Manual modification is not advised",
      "triggers": [
        "google.workspace.chrome.url.v1.navigation"
      ],
      "condition": {
        "contentCondition": "url.matches_url_list('policies/<DETECTOR_POLICY_ID>')"
      },
      "action": {
        "chromeAction": {
          "blockContent": {
            "actionParams": {
              "customEndUserMessage": {
                "unsafeHtmlMessageBody": "(EQ)🚫 BlockedAccess denied."
              }
            }
          }
        }
      },
      "state": "ACTIVE"
    }
  }
}

Aktionsausgaben

Die Aktion Richtlinie erstellen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die beim Verwenden der Aktion Create Policy (Richtlinie erstellen) empfangen wird:

{
  "type": "ADMIN",
  "customer": "customers/<CUSTOMER_ID>",
  "policyQuery": {
    "query": "entity.org_units.exists(org_unit, org_unit.org_unit_id == orgUnitId('<ORG_UNIT_ID>'))",
    "orgUnit": "orgUnits/<ORG_UNIT_ID>"
  },
  "setting": {
    "type": "settings/rule.dlp",
    "value": {
      "display_name": "test_create_rule",
      "triggers": [
        "google.workspace.chrome.file.v1.download"
      ],
      "state": "ACTIVE",
      "action": {
        "chromeAction": {
          "warnUser": {}
        }
      }
    }
  }
}
Ausgabenachrichten

Die Aktion Create Policy kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully added a new policy in Cloud Identity.

 Die Aktion wurde ausgeführt.
Error executing action "Create Policy". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Create Policy verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

Richtlinien auflisten

Mit der Aktion List Policies (Richtlinien auflisten) können Sie eine Liste der vorhandenen Richtlinien aus Cloud Identity abrufen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion List Policies sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Organization Unit Name

Erforderlich.

Der Name der Organisationseinheit, aus der Richtlinien aufgeführt werden sollen.
Policy Type Filter

Optional.

Der Richtlinientyp, der zum Filtern der Liste verwendet wird. Mögliche Werte: Admin, System oder Both.

Der Standardwert ist Both.
Settings Type Filter

Optional.

Das Muster für reguläre Ausdrücke, das zum Filtern von Richtlinien nach ihrem Einstellungstyp verwendet wird. Dieser Filter wird direkt auf die API-Anfrage angewendet.
Settings Display Name Filter

Optional.

Eine durch Kommas getrennte Liste mit Anzeigenamen, die zum Filtern von Richtlinieneinstellungen verwendet werden.
Max Results To Return

Optional.

Die maximale Anzahl der Ergebnisse, die für den Aktionslauf zurückgegeben werden sollen. Der Standardwert ist 50. Der Höchstwert beträgt 100.

Aktionsausgaben

Die Aktion List Policies (Richtlinien auflisten) gibt die folgenden Ausgaben zurück:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion List Policies (Richtlinien auflisten) empfangen wird:

[
  {
    "name": "policies/123",
    "customer": "customers/123",
    "type": "ADMIN",
    "policy_query": {
      "query": "entity.org_units.exists(org_unit, org_unit.org_unit_id == orgUnitId('12345'))",
      "orgUnit": "orgUnits/12345",
      "sortOrder": 1
    },
    "setting": {
      "type": "settings/rule.dlp",
      "value": {
        "display_name": "Test DLP Rule"
      }
    }
  }
]
Ausgabenachrichten

Die Aktion List Policies (Richtlinien auflisten) kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully listed policies based on the provided criteria in Cloud Identity.

No policies found based on the provided criteria in Cloud Identity.

 Die Aktion wurde ausgeführt.
Error executing action "List Policies". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Skriptergebnis-Ausgabe bei Verwendung der Aktion List Policies aufgeführt:

Name des Scriptergebnisses Wert
is_success true oder false

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten