Esta página foi traduzida pela API Cloud Translation.

Integrar a Central de alertas do Google ao Google SecOps

Neste documento, explicamos como integrar a Central de alertas do Google ao Google Security Operations (Google SecOps).

Versão da integração: 8.0

Na plataforma Google SecOps, a integração para a central de alertas é chamada de Central de alertas do Google.

Casos de uso

A integração da central de alertas com o Google SecOps pode ajudar você a resolver os seguintes casos de uso:

Detecção de campanhas de phishing:use os recursos do Google SecOps para ingerir as notificações da Central de alertas sobre possíveis e-mails de phishing direcionados à sua organização. O Google SecOps pode acionar fluxos de trabalho automatizados para investigar os e-mails, bloquear URLs maliciosos e colocar em quarentena as contas de usuário afetadas.
Tentativa de exfiltração de dados:use os recursos do Google SecOps para acionar a resposta automatizada a incidentes, isolar os sistemas afetados, bloquear os agentes maliciosos e iniciar a análise forense.
Detecção de malware:use os recursos do Google SecOps para colocar em quarentena os dispositivos infectados, iniciar verificações de malware e implantar patches.
Identificação de vulnerabilidades:use os recursos do Google SecOps para processar automaticamente os alertas sobre vulnerabilidades recém-descobertas que afetam os sistemas da sua organização, priorizar os esforços de correção, iniciar verificações de vulnerabilidade e informar as equipes relevantes.

Antes de começar

Antes de configurar a integração da Central de alertas do Google, verifique se você tem o seguinte:

Ative a API necessária.
Crie uma conta de serviço e credenciais.
Atribua o papel Alert Center Viewer à conta de serviço.
Delegue autoridade em todo o domínio à sua conta de serviço.

Ativar a API Alert Center do Google Workspace

Para ativar a API Alert Center do Google Workspace, faça isso no seu projeto no consoleGoogle Cloud .

Acesse APIs e serviços > Biblioteca.
Pesquise e selecione a API Alert Center do Google Workspace.
Clique em Ativar.

Criar uma conta de serviço

Para permitir que a integração acesse seus dados da Central de alertas do Google com segurança, crie uma conta de serviço no consoleGoogle Cloud para servir como identidade.

Para orientações sobre como criar uma conta de serviço, consulte Criar contas de serviço.

Criar uma chave JSON da conta de serviço

Para criar uma chave JSON, siga estas etapas:

Selecione a conta de serviço que você criou e acesse Chaves.
Clique em Adicionar chave > Criar nova chave.
Selecione JSON como o tipo de chave e clique em Criar. A chave privada é baixada automaticamente para o computador, e uma caixa de diálogo de confirmação aparece, lembrando você de armazenar a chave em um local seguro.
Localize o client_id no arquivo JSON e copie-o para usar depois ao delegar autoridade em todo o domínio à sua conta de serviço.

Atribua o papel de leitor da Central de alertas à sua conta de serviço

No console do Google Cloud , acesse IAM e administrador > IAM.
Localize sua conta de serviço na lista e clique em Editar ao lado do nome dela.
No menu Função, adicione a função Alert Center Viewer.
Salve as alterações.

Delegar autoridade em todo o domínio à conta de serviço

Para permitir que a conta de serviço acesse os dados dos usuários, conceda a ela autoridade em todo o domínio no Google Admin Console.

No Google Admin Console do seu domínio, acesse Menu principal > Segurança > Controle de acesso e dados > Controles de API.
No painel Delegação em todo o domínio, selecione Gerenciar a delegação em todo o domínio.
Clique em Adicionar novo.
No campo ID do cliente, insira o ID do cliente encontrado na chave JSON que você criou (client_id).
No campo Escopos OAuth, insira o seguinte escopo:
```
https://www.googleapis.com/auth/apps.alerts
```
Clique em Autorizar.

Configurar a integração da Central de alertas no Google SecOps

A integração requer os seguintes parâmetros:

Parâmetro Descrição

Parâmetro	Descrição
`Service Account JSON Secret`	Obrigatório O conteúdo JSON completo do arquivo da conta de serviço usado para autenticação na Central de alertas.
`Impersonation Email Address`	Obrigatório O endereço de e-mail para simular um usuário com acesso à Central de alertas. Para configurar esse parâmetro, insira o endereço de e-mail do administrador. Os dados da Central de alertas estão disponíveis apenas para administradores.
`Verify SSL`	Opcional Se selecionada, a integração verifica se o certificado SSL para conexão com a Central de alertas é válido. Essa opção é selecionada por padrão.

Service Account JSON Secret

Obrigatório

O conteúdo JSON completo do arquivo da conta de serviço usado para autenticação na Central de alertas.

Impersonation Email Address

Obrigatório

O endereço de e-mail para simular um usuário com acesso à Central de alertas. Para configurar esse parâmetro, insira o endereço de e-mail do administrador. Os dados da Central de alertas estão disponíveis apenas para administradores.

Verify SSL

Opcional

Se selecionada, a integração verifica se o certificado SSL para conexão com a Central de alertas é válido.

Essa opção é selecionada por padrão.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes na sua mesa de trabalho e Realizar uma ação manual.

Excluir alerta

Use a ação Excluir alerta para excluir um alerta na Central de alertas.

Depois de excluir um alerta, você pode recuperá-lo nos 30 dias seguintes. Não é possível recuperar um alerta excluído há mais de 30 dias.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Excluir alerta exige os seguintes parâmetros:

Parâmetro	Descrição
`Alert ID`	Obrigatório O ID do alerta a ser excluído.

Saídas de ação

A ação Excluir alerta fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Excluir alerta pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Mensagem de resposta	Descrição da mensagem
`Successfully deleted alert with ID RECORD_ID in the alert center.` `Alert with ID RECORD_ID doesn't exist in the alert center.`	A ação foi concluída.
`Error executing action "Delete Alert". Reason: ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Successfully deleted alert with ID RECORD_ID in the alert center.

Alert with ID RECORD_ID doesn't exist in the alert center.

A ação foi concluída.

Error executing action "Delete Alert". Reason:
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Excluir alerta:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Ping

Use a ação Ping para testar a conectividade com a Central de alertas.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação	Disponibilidade
Anexo do Painel de Casos	Indisponível
Link do Painel de Casos	Indisponível
Tabela do painel de casos	Indisponível
Tabela de enriquecimento	Indisponível
Resultado JSON	Indisponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully connected to the alert center server with the provided connection parameters! A ação foi concluída.

Mensagem de resposta	Descrição da mensagem
`Successfully connected to the alert center server with the provided connection parameters!`	A ação foi concluída.
`Failed to connect to the alert center server! Error is ERROR_REASON`	A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Failed to connect to the alert center server! Error is
      ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Conectores

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Ingerir seus dados (conectores).

Central de alertas do Google: conector de alertas

Use o Conector da Central de alertas do Google – Alertas para recuperar informações sobre alertas da Central de alertas.

O filtro de lista dinâmica funciona com o parâmetro type.

O Conector de alertas da Central de alertas do Google exige os seguintes parâmetros:

Parâmetro	Descrição
`Product Field Name`	Obrigatório O nome do campo em que o nome do produto é armazenado. O valor padrão é `source`.
`Event Field Name`	Obrigatório O nome do campo usado para determinar o nome do evento (subtipo). O valor padrão é `type`.
`Environment Field Name`	Opcional O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, ele será definido como o ambiente padrão. O valor padrão é `""`.
`Environment Regex Pattern`	Opcional Um padrão de expressão regular a ser executado no valor encontrado no campo `Environment Field Name`. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular. Use o valor padrão `.*` para extrair o valor `Environment Field Name` bruto necessário. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
`PythonProcessTimeout`	Obrigatório O limite de tempo limite em segundos para o processo Python que executa o script atual. O valor padrão é `180`.
`Service Account JSON Secret`	Obrigatório O conteúdo JSON completo do arquivo da conta de serviço usado para autenticação na Central de alertas.
`Impersonation Email Address`	Obrigatório O endereço de e-mail para simular um usuário com acesso à Central de alertas. Para configurar esse parâmetro, insira o endereço de e-mail do administrador. Os dados da Central de alertas estão disponíveis apenas para administradores.
`Verify SSL`	Opcional Se selecionada, a integração verifica se o certificado SSL para conexão com a Central de alertas é válido. Essa opção é selecionada por padrão.
`Max Hours Backwards`	Opcional Um número de horas antes da primeira iteração do conector para recuperar respostas. Esse parâmetro se aplica à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor padrão é 1 hora.
`Max Alerts To Fetch`	Opcional O número máximo de alertas a serem recuperados para cada iteração do conector. O número máximo é 100.
`Lowest Severity To Fetch`	Opcional A menor gravidade dos alertas a serem recuperados.
`Use whitelist as a blacklist`	Opcional Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão.
`Proxy Server Address`	Opcional O endereço do servidor proxy a ser usado.
`Proxy Username`	Opcional O nome de usuário do proxy para autenticação.
`Proxy Password`	Opcional A senha do proxy para autenticação.

Regras do conector

O conector é compatível com proxies.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.