Google Alert Center in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie das Google-Benachrichtigungscenter in Google Security Operations (Google SecOps) einbinden.

Integrationsversion: 8.0

In der Google SecOps-Plattform heißt die Integration für die Benachrichtigungszentrale Google Alert Center.

Anwendungsfälle

Durch die Integration des Benachrichtigungscenters in Google SecOps können Sie die folgenden Anwendungsfälle abdecken:

  • Erkennung von Phishingkampagnen:Mit den Google SecOps-Funktionen können Sie die Benachrichtigungen der Benachrichtigungszentrale zu potenziellen Phishing-E-Mails, die auf Ihre Organisation abzielen, aufnehmen. Google SecOps kann automatisierte Workflows auslösen, um die E‑Mails zu untersuchen, schädliche URLs zu blockieren und betroffene Nutzerkonten unter Quarantäne zu stellen.

  • Versuch der Daten-Exfiltration:Verwenden Sie die Google SecOps-Funktionen, um eine automatisierte Reaktion auf Vorfälle auszulösen, die betroffenen Systeme zu isolieren, die böswilligen Akteure zu blockieren und eine forensische Analyse zu starten.

  • Malware-Erkennung:Mit den Google SecOps-Funktionen können Sie infizierte Geräte unter Quarantäne stellen, Malware-Scans starten und Patches bereitstellen.

  • Sicherheitslücken erkennen:Mit den Google SecOps-Funktionen können Sie Benachrichtigungen zu neu entdeckten Sicherheitslücken, die die Systeme Ihrer Organisation betreffen, automatisch verarbeiten, Patching-Maßnahmen priorisieren, Sicherheitslückenscans starten und die zuständigen Teams informieren.

Hinweise

Bevor Sie die Google Alert Center-Integration konfigurieren, müssen Sie Folgendes vorbereiten:

  1. Aktivieren Sie die erforderliche API.
  2. Dienstkonto und Anmeldedaten erstellen
  3. Weisen Sie dem Dienstkonto die Rolle Alert Center Viewer zu.
  4. Domainweite Befugnisse an Ihr Dienstkonto delegieren

Google Workspace Alert Center API aktivieren

Sie müssen die Google Workspace Alert Center API in Ihrem Projekt in der Google Cloud Console aktivieren.

  1. Rufen Sie APIs und Dienste > Bibliothek auf.

  2. Suchen Sie nach der Google Workspace Alert Center API und wählen Sie sie aus.

  3. Klicken Sie auf Aktivieren.

Dienstkonto erstellen

Damit die Integration sicher auf Ihre Google Alert Center-Daten zugreifen kann, müssen Sie in der Google Cloud -Konsole ein Dienstkonto als Identität erstellen.

Eine Anleitung zum Erstellen eines Dienstkontos finden Sie unter Dienstkonten erstellen.

JSON-Schlüssel für Dienstkonto erstellen

So erstellen Sie einen JSON-Schlüssel:

  1. Wählen Sie das von Ihnen erstellte Dienstkonto aus und rufen Sie Schlüssel auf.

  2. Klicken Sie auf Schlüssel hinzufügen > Neuen Schlüssel erstellen.

  3. Wählen Sie als Schlüsseltyp JSON aus und klicken Sie auf Erstellen. Der private Schlüssel wird automatisch auf Ihren Computer heruntergeladen und ein Bestätigungsdialogfeld wird angezeigt, in dem Sie daran erinnert werden, den Schlüssel sicher zu speichern.

  4. Suchen Sie in der JSON-Datei nach client_id und kopieren Sie den Wert für die spätere Verwendung, wenn Sie die domainweite Autorisierung an Ihr Dienstkonto delegieren.

Weisen Sie Ihrem Dienstkonto die Rolle „Alert Center Viewer“ zu.

  1. Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > IAM.

  2. Suchen Sie in der Liste nach Ihrem Dienstkonto und klicken Sie neben dem Namen auf Bearbeiten.

  3. Fügen Sie im Menü Rolle die Rolle Alert Center Viewer hinzu.

  4. Speichern Sie die Änderungen.

Domainweite Befugnisse an Ihr Dienstkonto delegieren

Damit das Dienstkonto auf die Daten Ihrer Nutzer zugreifen kann, müssen Sie ihm in der Admin-Konsole die domänenweite Autorisierung erteilen.

  1. Rufen Sie in der Admin-Konsole Ihrer Domain das  Hauptmenü > „Sicherheit“ > „Zugriffs- und Datenkontrolle“ > „API-Steuerung“ auf.

  2. Wählen Sie im Bereich Domainweite Delegierung die Option Domainweite Delegierung verwalten aus.

  3. Klicken Sie auf Neu hinzufügen.

  4. Geben Sie im Feld Client-ID die Client-ID ein, die Sie im erstellten JSON-Schlüssel gefunden haben (client_id).

  5. Geben Sie im Feld OAuth-Bereiche den folgenden Bereich ein:

    https://www.googleapis.com/auth/apps.alerts

  6. Klicken Sie auf Autorisieren.

Integration für die Benachrichtigungszentrale in Google SecOps konfigurieren

Für die Integration sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Service Account JSON Secret Erforderlich

Der vollständige JSON-Inhalt der Dienstkontodatei, die Sie für die Authentifizierung beim Benachrichtigungscenter verwendet haben.
Impersonation Email Address Erforderlich

Die E-Mail-Adresse, mit der ein Nutzer mit Zugriff auf die Benachrichtigungszentrale imitiert werden soll. Geben Sie die E-Mail-Adresse des Administrators ein, um diesen Parameter zu konfigurieren. Die Daten aus der Benachrichtigungszentrale sind nur für Administratoren verfügbar.
Verify SSL Optional

Wenn diese Option ausgewählt ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Benachrichtigungscenter gültig ist.

Standardmäßig ausgewählt.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Auf ausstehende Aktionen in Ihrem Arbeitsbereich reagieren und Manuelle Aktion ausführen.

Benachrichtigung löschen

Mit der Aktion Benachrichtigung löschen können Sie eine Benachrichtigung in der Benachrichtigungszentrale löschen.

Nach dem Löschen einer Benachrichtigung können Sie sie innerhalb von 30 Tagen wiederherstellen. Sie können keine Benachrichtigung wiederherstellen, die Sie vor mehr als 30 Tagen gelöscht haben.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Benachrichtigung löschen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Alert ID Erforderlich

Die ID der zu löschenden Benachrichtigung.

Aktionsausgaben

Die Aktion Benachrichtigung löschen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Die Aktion Delete Alert kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully deleted alert with ID RECORD_ID in the alert center.

Alert with ID RECORD_ID doesn't exist in the alert center.

 Die Aktion wurde ausgeführt.
Error executing action "Delete Alert". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Delete Alert (Benachrichtigung löschen) verwendet wird:

Name des Scriptergebnisses Wert
is_success True oder False

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zur Benachrichtigungszentrale zu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung
Successfully connected to the alert center server with the provided connection parameters! Die Aktion wurde ausgeführt.
Failed to connect to the alert center server! Error is ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses Wert
is_success True oder False

Connectors

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Google Alert Center – Alerts Connector

Mit dem Google Alert Center – Alerts Connector können Sie Informationen zu Benachrichtigungen aus der Benachrichtigungszentrale abrufen.

Der dynamische Listenfilter funktioniert mit dem Parameter type.

Für den Google Alert Center – Alerts Connector sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Product Field Name Erforderlich

Der Name des Felds, in dem der Produktname gespeichert ist.

Der Standardwert ist source.
Event Field Name Erforderlich

Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird.

Der Standardwert ist type.
Environment Field Name Optional

Der Name des Felds, in dem der Name der Umgebung gespeichert ist.

Wenn das Feld „environment“ nicht gefunden wird, wird die Umgebung auf die Standardumgebung festgelegt.

Der Standardwert ist "".
Environment Regex Pattern Optional

Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Environment Field Name angewendet wird. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten.

Verwenden Sie den Standardwert .*, um den erforderlichen Rohwert Environment Field Name abzurufen.

Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
PythonProcessTimeout Erforderlich

Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird.

Der Standardwert ist 180.
Service Account JSON Secret Erforderlich

Der vollständige JSON-Inhalt der Dienstkontodatei, die Sie für die Authentifizierung beim Benachrichtigungscenter verwendet haben.
Impersonation Email Address Erforderlich

Die E-Mail-Adresse, mit der ein Nutzer mit Zugriff auf die Benachrichtigungszentrale imitiert werden soll. Geben Sie die E-Mail-Adresse des Administrators ein, um diesen Parameter zu konfigurieren. Die Daten aus der Benachrichtigungszentrale sind nur für Administratoren verfügbar.
Verify SSL Optional

Wenn diese Option ausgewählt ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Benachrichtigungscenter gültig ist.

Standardmäßig ausgewählt.
Max Hours Backwards Optional

Anzahl der Stunden vor der ersten Connector-Iteration, aus der Antworten abgerufen werden sollen. Dieser Parameter gilt entweder für den ersten Connector-Durchlauf, nachdem Sie den Connector zum ersten Mal aktiviert haben, oder für den Fallback-Wert für einen abgelaufenen Connector-Zeitstempel.

Der Standardwert ist 1 Stunde.
Max Alerts To Fetch Optional

Die maximale Anzahl von Benachrichtigungen, die für jede Connector-Iteration abgerufen werden sollen.

Die maximale Anzahl beträgt 100.
Lowest Severity To Fetch Optional

Der niedrigste Schweregrad von Benachrichtigungen, die abgerufen werden sollen.
Use whitelist as a blacklist Optional

Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste.

Diese Option ist standardmäßig nicht ausgewählt.
Proxy Server Address Optional

Die Adresse des zu verwendenden Proxyservers.
Proxy Username Optional

Der Proxy-Nutzername für die Authentifizierung.
Proxy Password Optional

Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten