Integra Cloud Identity con Google SecOps
Questo documento spiega come integrare Cloud Identity con Google Security Operations.
Casi d'uso
L'integrazione di Cloud Identity utilizza le funzionalità di Google SecOps per supportare i seguenti casi d'uso:
- Gestisci i controlli dell'accesso: crea e aggiorna le configurazioni IAM direttamente da un playbook investigativo.
- Definizioni dei criteri di controllo: elenca le informazioni sulle policy disponibili per monitorare le mutazioni di accesso.
- Gestisci gli attributi dell'elenco dei rilevatori: aggiungi entità e indicatori a elenchi di URL di rilevatori specifici per il monitoraggio.
Prima di iniziare
Prima di configurare l'integrazione di Cloud Identity nella piattaforma Google SecOps, verifica di aver configurato l'ambiente seguendo questi passaggi:
- Crea un service account.
- Delegare l'autorità a livello di dominio al tuo service account
- Abilita le API richieste per il tuo progetto.
- Scegli e configura uno dei seguenti metodi di autenticazione:
- Opzione 1: chiave JSON. Questo metodo si basa su un file di chiave segreta statico e di lunga durata. Utilizza questo metodo solo se Workload Identity non è disponibile nel tuo ambiente.
- Opzione 2: Workload Identity (consigliata): questo metodo utilizza token di accesso temporanei di breve durata tramite la simulazione dell'identità dei account di servizio, eliminando la necessità di archiviare eventuali secret.
Crea un account di servizio
Per creare un account di servizio per l'integrazione, completa i seguenti passaggi:
Nella console Google Cloud , vai a IAM e amministrazione > Service account e seleziona il tuo progetto.
Fai clic su Crea service account.
Fornisci un nome e una descrizione e fai clic su Fine per creare l'account.
Delega l'autorità a livello di dominio al tuo account di servizio
- Nella Console di amministrazione Google del tuo dominio, vai a Menu principale > Sicurezza > Accesso e controllo dei dati > Controlli API.
- Nel riquadro Delega a livello di dominio, seleziona Gestisci delega a livello di dominio.
- Fai clic su Aggiungi nuovo.
- Nel campo ID client, inserisci l'ID client ottenuto dalla sezione Crea un service account.
Nel campo Ambiti OAuth, inserisci il seguente elenco di ambiti delimitato da virgole necessari per la tua applicazione:
https://www.googleapis.com/auth/cloud-platform, https://www.googleapis.com/auth/cloud-identity.policies, https://www.googleapis.com/auth/admin.directory.orgunitFai clic su Autorizza.
L'account di servizio ora è autorizzato ad accedere ai dati del tuo dominio utilizzando gli ambiti specificati.
Abilita le API richieste per il progetto
Nella console Google Cloud , vai ad API e servizi.
Fai clic su Abilita API e servizi.
Cerca e abilita le seguenti API per il tuo progetto:
- API SDK Admin (
admin.googleapis.com) - API Cloud Identity (
cloudidentity.googleapis.com)
- API SDK Admin (
Configurare una chiave JSON
Puoi autenticare l'integrazione utilizzando un file di chiavi JSON statico o la federazione delle identità per i workload. Per massimizzare la sicurezza dell'ambiente, utilizza il metodo Workload Identity. Utilizza il metodo della chiave JSON solo se Workload Identity non è supportato nella tua infrastruttura, poiché le chiavi statiche richiedono la rotazione manuale e aumentano i rischi di esposizione delle credenziali.
Per generare il file di chiave JSON necessario per autenticare l'integrazione, completa i seguenti passaggi:
Nella Google Cloud console, vai a IAM e amministrazione > Service account e seleziona il account di servizio che hai creato.
Vai alla scheda Chiavi.
Fai clic su Aggiungi chiave.
Seleziona Crea nuova chiave.
Per il tipo di chiave, seleziona JSON e fai clic su Crea. Il file JSON viene scaricato sul computer.
Copia l'intero contenuto di questo file e incollalo in
User's Service Account JSONdurante la configurazione dell'integrazione.
Configura le autorizzazioni Cloud Identity
Utilizza la seguente procedura per definire i privilegi amministrativi richiesti dall'integrazione per gestire le risorse dell'organizzazione:
- Nella Console di amministrazione Google, vai ad Account > Ruoli amministratore.
- Fai clic su Crea nuovo ruolo.
- Fornisci un nome per il nuovo ruolo personalizzato e fai clic su Continua.
- Nella pagina Seleziona privilegi, vai alla sezione dei privilegi API Admin.
- Nella sezione Privilegi dell'API Admin, seleziona i seguenti privilegi:
Organization UnitsUsersGroups
- Fai clic su Continua.
- Per creare un nuovo ruolo personalizzato, fai clic su Crea ruolo.
Assegnare il ruolo personalizzato a un utente
Utilizza la seguente procedura per assegnare il ruolo a un account utente, autorizzando l'integrazione a eseguire azioni per tuo conto:
- Per creare un nuovo utente, vai alla pagina Directory > Utenti.
- Aggiungi un nuovo utente associato al account di servizio.
- Apri le impostazioni dell'utente appena creato. Si apre la scheda dell'account utente.
- Fai clic su Ruoli e privilegi di amministratore.
- Fai clic su Modifica Modifica.
- Seleziona il ruolo personalizzato che hai creato.
- Per il ruolo selezionato, sposta il pulsante di attivazione/disattivazione su Assegnato.
Configurare le credenziali di Workload Identity
Scegli questo metodo o quello della chiave JSON per autenticare l'integrazione. Workload Identity è l'approccio consigliato e più sicuro perché utilizza token di accesso temporanei di breve durata tramite la simulazione dell'identità del account di servizio, riducendo al minimo i rischi di esposizione delle credenziali segrete di lunga durata.
Identificare l'identità univoca dell'istanza
Per utilizzare Workload Identity, devi concedere alla tua istanza Google SecOps l'autorizzazione a rappresentare il tuoaccount di serviziot. Questo passaggio consente all'istanza di accedere in modo sicuro alle risorse Google Cloud.
- In Google SecOps, vai a Content Hub > Response Integrations.
- Seleziona l'integrazione che stai configurando e inserisci l'email del account di servizio
nel campo
Workload Identity Email. - Inserisci l'email che vuoi che l'integrazione impersoni nel campo
Delegated Email. - Fai clic su Salva > Test. Il test dovrebbe non riuscire.
Fai clic su close_small a destra di Test e cerca il messaggio di errore per l'email dell'identità che inizia con
gke-init-python@...osoar-python@....Copia questo indirizzo email univoco e incollalo in
Workload Identity Emaildurante la configurazione dell'integrazione.
Autorizza l'identità dell'istanza in Google Cloud
Dopo aver recuperato l'identità univoca per la tua istanza Google SecOps, devi autorizzarla ad accedere alle tue risorse Google Cloud. Questo passaggio attiva la simulazione dell'identità delaccount di serviziot, consentendo alla piattaforma di generare token di breve durata e agire per tuo conto senza la necessità di chiavi statiche.
- Nella Google Cloud console, vai a IAM e amministrazione > Service Accounts.
- Seleziona l'account di servizio di destinazione e vai a Autorizzazioni > Concedi accesso.
- Incolla l'indirizzo email univoco nel campo Nuove entità.
- Assegna il ruolo Creatore token service account
(
roles/iam.serviceAccountTokenCreator).
Parametri di integrazione
L'integrazione di Cloud Identity richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Service Account JSON File Content |
Facoltativo. Il contenuto del file JSON della chiave dell'account di servizio. Puoi configurare questo parametro o Email di Workload Identity. Per utilizzare questo metodo, incolla l'intera stringa JSON dal file della chiave scaricato durante la creazione del account di servizio. |
Workload Identity Email |
Facoltativo. L'indirizzo email client del tuo account di servizio. Puoi configurare questo parametro o Contenuto del file JSON dell'account di servizio. Per utilizzare questo metodo per la simulazione dell'identità del account di servizio, devi concedere il ruolo Creatore token service account al tuo account di servizio Google SecOps. |
Delegated Email |
Obbligatorio. L'indirizzo email utilizzato dall'integrazione per eseguire le azioni. Assicurati che questo account disponga delle autorizzazioni delegate appropriate all'interno del tuo ambiente per eseguire le attività di integrazione richieste. |
Verify SSL |
Facoltativo. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Cloud Identity. Abilitato per impostazione predefinita. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, puoi apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Dindin
Utilizza l'azione Ping per testare la connettività a Cloud Identity.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Per questa azione non sono richiesti parametri di input.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Ping può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Failed to connect to the Cloud Identity server! Error is ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Aggiungi entità all'elenco di URL del rilevatore
Utilizza l'azione Aggiungi entità all'elenco URL del rilevatore per aggiungere entità all'elenco di rilevamento dei criteri Cloud Identity.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
- URL
- Dominio
Input azione
L'azione Aggiungi entità all'elenco URL del rilevatore richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Detector Policy ID |
Obbligatorio. L'identificatore univoco del criterio del detector da aggiornare. |
URL |
Facoltativo. Un elenco separato da virgole di URL da aggiungere all'elenco dei rilevatori. |
Domain |
Facoltativo. Un elenco di domini separati da virgole da aggiungere all'elenco dei rilevatori. |
Output dell'azione
L'azione Aggiungi entità all'elenco di URL del rilevatore fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Aggiungi entità all'elenco URL del rilevatore:
{
"type": "ADMIN",
"customer": "customers/<CUSTOMER_ID>",
"policyQuery": {
"query": "entity.org_units.exists(org_unit, org_unit.org_unit_id == orgUnitId('<ORG_UNIT_ID>'))",
"orgUnit": "orgUnits/<ORG_UNIT_ID>"
},
"setting": {
"type": "settings/detector.url_list",
"value": {
"displayName": "test_url_list_detector",
"description": "test_url_list_detector desc",
"urlList": {
"urls": [
"[http://example.com](http://example.com)",
"example.org",
"bad_entity.com"
]
}
}
}
}
Messaggi di output
L'azione Aggiungi entità all'elenco di URL del rilevatore può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Add Entity To Detector URL List". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi entità all'elenco URL del detector:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Crea policy
Utilizza l'azione Crea policy per creare una nuova voce di policy in Cloud Identity.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Crea norma richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Policy Entry |
Obbligatorio. L'oggetto JSON che rappresenta la configurazione della voce di policy da aggiungere. |
Configurazioni dei criteri di esempio
Le seguenti configurazioni di esempio mostrano come strutturare il parametro Policy Entry:
Esempio 1: rilevatore di elenchi di URL
{
"type": "ADMIN",
"customer": "customers/<CUSTOMER_ID>",
"policyQuery": {
"orgUnit": "orgUnits/<ORG_UNIT_ID>",
"sortOrder": 1
},
"setting": {
"type": "settings/detector.url_list",
"value": {
"displayName": "BlockUrlDetector",
"description": "Blocked urls for security reasons",
"urlList": {
"urls": [
"www.medium.com",
"medium.com",
"wikipedia.org"
]
}
}
}
}
Esempio 2: regola DLP
{
"type": "ADMIN",
"customer": "customers/<CUSTOMER_ID>",
"policyQuery": {
"query": "entity.org_units.exists(org_unit, org_unit.org_unit_id == orgUnitId('<ORG_UNIT_ID>'))",
"orgUnit": "orgUnits/<ORG_UNIT_ID>",
"sortOrder": 1
},
"setting": {
"type": "settings/rule.dlp",
"value": {
"display_name": "TestRule",
"description": "GoogleSecOps URL Blocklist Rule. Keeps state of blocked URLs. Manual modification is not advised",
"triggers": [
"google.workspace.chrome.url.v1.navigation"
],
"condition": {
"contentCondition": "url.matches_url_list('policies/<DETECTOR_POLICY_ID>')"
},
"action": {
"chromeAction": {
"blockContent": {
"actionParams": {
"customEndUserMessage": {
"unsafeHtmlMessageBody": "(EQ)🚫 BlockedAccess denied."
}
}
}
}
},
"state": "ACTIVE"
}
}
}
Output dell'azione
L'azione Crea criterio fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Crea policy:
{
"type": "ADMIN",
"customer": "customers/<CUSTOMER_ID>",
"policyQuery": {
"query": "entity.org_units.exists(org_unit, org_unit.org_unit_id == orgUnitId('<ORG_UNIT_ID>'))",
"orgUnit": "orgUnits/<ORG_UNIT_ID>"
},
"setting": {
"type": "settings/rule.dlp",
"value": {
"display_name": "test_create_rule",
"triggers": [
"google.workspace.chrome.file.v1.download"
],
"state": "ACTIVE",
"action": {
"chromeAction": {
"warnUser": {}
}
}
}
}
}
Messaggi di output
L'azione Crea criterio può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Create Policy". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Crea policy:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Elenco criteri
Utilizza l'azione Elenca norme per recuperare un elenco di norme esistenti da Cloud Identity.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Elenca policy richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Organization Unit Name |
Obbligatorio. Il nome dell'unità organizzativa da cui elencare le norme. |
Policy Type Filter |
Facoltativo. Il tipo di policy utilizzato per filtrare l'elenco. Valori possibili: Il valore predefinito è |
Settings Type Filter |
Facoltativo. Il pattern dell'espressione regolare utilizzato per filtrare i criteri in base al tipo di impostazione. Questo filtro viene applicato direttamente alla richiesta API. |
Settings Display Name Filter |
Facoltativo. Un elenco separato da virgole di nomi visualizzati utilizzati per filtrare le impostazioni dei criteri. |
Max Results To Return |
Facoltativo. Il numero massimo di risultati da restituire per l'esecuzione dell'azione. Il valore predefinito è |
Output dell'azione
L'azione Elenca policy fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Elenca criteri:
[
{
"name": "policies/123",
"customer": "customers/123",
"type": "ADMIN",
"policy_query": {
"query": "entity.org_units.exists(org_unit, org_unit.org_unit_id == orgUnitId('12345'))",
"orgUnit": "orgUnits/12345",
"sortOrder": 1
},
"setting": {
"type": "settings/rule.dlp",
"value": {
"display_name": "Test DLP Rule"
}
}
}
]
Messaggi di output
L'azione List Policies può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
|
L'azione è riuscita. |
Error executing action "List Policies". Reason: ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Elenca policy:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.