Halaman ini diterjemahkan oleh Cloud Translation API.

Mengintegrasikan Pusat Pemberitahuan Google dengan Google SecOps

Dokumen ini menjelaskan cara mengintegrasikan Pusat Pemberitahuan Google dengan Google Security Operations (Google SecOps).

Versi integrasi: 8.0

Di platform Google SecOps, integrasi untuk pusat pemberitahuan disebut Pusat Pemberitahuan Google.

Kasus penggunaan

Mengintegrasikan pusat pemberitahuan dengan Google SecOps dapat membantu Anda menyelesaikan kasus penggunaan berikut:

Deteksi kampanye phishing: gunakan kemampuan Google SecOps untuk menyerap notifikasi pusat notifikasi tentang potensi email phishing yang menargetkan organisasi Anda. Google SecOps dapat memicu alur kerja otomatis untuk menyelidiki email, memblokir URL berbahaya, dan mengarantina akun pengguna yang terpengaruh.
Upaya pemindahan data yang tidak sah: gunakan kemampuan Google SecOps untuk memicu respons insiden otomatis, mengisolasi sistem yang terpengaruh, memblokir pelaku berbahaya, dan memulai analisis forensik.
Deteksi malware: gunakan kemampuan Google SecOps untuk mengarantina perangkat yang terinfeksi, memulai pemindaian malware, dan men-deploy patch.
Identifikasi Kerentanan: gunakan kemampuan Google SecOps untuk memproses secara otomatis pemberitahuan tentang kerentanan yang baru ditemukan yang memengaruhi sistem organisasi Anda, memprioritaskan upaya penambalan, memulai pemindaian kerentanan, dan memberi tahu tim yang relevan.

Sebelum memulai

Sebelum mengonfigurasi integrasi Pusat Pemberitahuan Google, pastikan Anda telah menyiapkan hal berikut:

Aktifkan API yang diperlukan.
Buat akun layanan dan kredensial.
Tetapkan peran Alert Center Viewer ke akun layanan.
Delegasikan kewenangan tingkat domain ke akun layanan Anda.

Mengaktifkan Google Workspace Alert Center API

Untuk mengaktifkan Google Workspace Alert Center API, Anda harus melakukannya dalam project Anda di Google Cloud console.

Buka APIs & Services > Library.
Cari dan pilih Google Workspace Alert Center API.
Klik Enable.

Membuat akun layanan

Agar integrasi dapat mengakses data Pusat Pemberitahuan Google Anda dengan aman, Anda harus membuat akun layanan di konsol Google Cloud untuk berfungsi sebagai identitasnya.

Untuk mendapatkan panduan tentang cara membuat akun layanan, lihat Membuat akun layanan.

Membuat kunci JSON akun layanan

Untuk membuat kunci JSON, selesaikan langkah-langkah berikut:

Pilih akun layanan yang Anda buat, lalu buka Kunci.
Klik Tambahkan kunci > Buat kunci baru.
Pilih JSON sebagai jenis kunci dan klik Create. Kunci pribadi akan otomatis didownload ke komputer Anda dan dialog konfirmasi akan muncul, mengingatkan Anda untuk menyimpan kunci dengan aman.
Temukan client_id dalam file JSON dan salin untuk digunakan nanti saat Anda mendelegasikan otoritas seluruh domain ke akun layanan Anda.

Tetapkan peran Pelihat Pusat Pemberitahuan ke akun layanan Anda

Di konsol Google Cloud , buka IAM & Admin > IAM.
Temukan akun layanan Anda dalam daftar, lalu klik Edit di samping namanya.
Di menu Peran, tambahkan peran Alert Center Viewer.
Simpan perubahan.

Mendelegasikan otoritas tingkat domain ke akun layanan Anda

Agar akun layanan dapat mengakses data pengguna Anda, Anda harus memberikan otoritas tingkat domain kepada akun layanan tersebut di konsol Google Admin.

Dari konsol Google Admin domain Anda, buka Menu utama > Keamanan > Kontrol data dan akses > Kontrol API.
Di panel Delegasi tingkat domain, pilih Kelola Delegasi Tingkat Domain.
Klik Tambahkan baru.
Di kolom Client ID, masukkan client ID yang ada di kunci JSON yang Anda buat (client_id).
Di kolom OAuth Scopes, masukkan cakupan berikut:
```
https://www.googleapis.com/auth/apps.alerts
```
Klik Otorisasi.

Mengonfigurasi integrasi untuk pusat notifikasi di Google SecOps

Integrasi memerlukan parameter berikut:

Parameter Deskripsi

Parameter	Deskripsi
`Service Account JSON Secret`	Wajib Konten JSON lengkap dari file akun layanan yang Anda gunakan untuk autentikasi ke pusat pemberitahuan.
`Impersonation Email Address`	Wajib Alamat email untuk meniru identitas pengguna yang memiliki akses ke pusat notifikasi. Untuk mengonfigurasi parameter ini, masukkan alamat email administrator. Data dari pusat notifikasi hanya tersedia untuk administrator.
`Verify SSL`	Opsional Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk terhubung ke pusat notifikasi valid. Dipilih secara default.

Service Account JSON Secret

Wajib

Konten JSON lengkap dari file akun layanan yang Anda gunakan untuk autentikasi ke pusat pemberitahuan.

Impersonation Email Address

Wajib

Alamat email untuk meniru identitas pengguna yang memiliki akses ke pusat notifikasi. Untuk mengonfigurasi parameter ini, masukkan alamat email administrator. Data dari pusat notifikasi hanya tersedia untuk administrator.

Verify SSL

Opsional

Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk terhubung ke pusat notifikasi valid.

Dipilih secara default.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari meja kerja Anda dan Melakukan tindakan manual.

Notifikasi Dihapus

Gunakan tindakan Hapus Notifikasi untuk menghapus notifikasi di pusat notifikasi.

Setelah menghapus notifikasi, Anda dapat memulihkannya selama 30 hari berikutnya. Anda tidak dapat memulihkan notifikasi yang Anda hapus lebih dari 30 hari yang lalu.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Delete Alert memerlukan parameter berikut:

Parameter	Deskripsi
`Alert ID`	Wajib ID pemberitahuan yang akan dihapus.

Output tindakan

Tindakan Hapus Pemberitahuan memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Pesan output

Tindakan Hapus Pemberitahuan dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully deleted alert with ID RECORD_ID in the alert center.` `Alert with ID RECORD_ID doesn't exist in the alert center.`	Tindakan berhasil.
`Error executing action "Delete Alert". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully deleted alert with ID RECORD_ID in the alert center.

Alert with ID RECORD_ID doesn't exist in the alert center.

Tindakan berhasil.

Error executing action "Delete Alert". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Hapus Pemberitahuan:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Ping

Gunakan tindakan Ping untuk menguji konektivitas ke pusat notifikasi.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Pesan output

Tindakan Ping dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully connected to the alert center server with the provided connection parameters! Tindakan berhasil.

Pesan output	Deskripsi pesan
`Successfully connected to the alert center server with the provided connection parameters!`	Tindakan berhasil.
`Failed to connect to the alert center server! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Failed to connect to the alert center server! Error is
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Konektor

Untuk mengetahui petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

Pusat Notifikasi Google – Konektor Notifikasi

Gunakan Google Alert Center – Alerts Connector untuk mengambil informasi tentang notifikasi dari pusat notifikasi.

Filter daftar dinamis berfungsi dengan parameter type.

Google Alert Center – Alerts Connector memerlukan parameter berikut:

Parameter	Deskripsi
`Product Field Name`	Wajib Nama kolom tempat nama produk disimpan. Nilai defaultnya adalah `source`.
`Event Field Name`	Wajib Nama kolom yang digunakan untuk menentukan nama peristiwa (subjenis). Nilai defaultnya adalah `type`.
`Environment Field Name`	Opsional Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan akan disetel ke lingkungan default. Nilai defaultnya adalah `""`.
`Environment Regex Pattern`	Opsional Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Gunakan nilai default `.*` untuk mengambil nilai `Environment Field Name` mentah yang diperlukan. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
`PythonProcessTimeout`	Wajib Batas waktu dalam detik untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah `180`.
`Service Account JSON Secret`	Wajib Konten JSON lengkap dari file akun layanan yang Anda gunakan untuk autentikasi ke pusat pemberitahuan.
`Impersonation Email Address`	Wajib Alamat email untuk meniru identitas pengguna yang memiliki akses ke pusat notifikasi. Untuk mengonfigurasi parameter ini, masukkan alamat email administrator. Data dari pusat notifikasi hanya tersedia untuk administrator.
`Verify SSL`	Opsional Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk terhubung ke pusat notifikasi valid. Dipilih secara default.
`Max Hours Backwards`	Opsional Jumlah jam sebelum iterasi konektor pertama untuk mengambil respons dari. Parameter ini berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya atau nilai penggantian untuk stempel waktu konektor yang telah berakhir. Nilai defaultnya adalah 1 jam.
`Max Alerts To Fetch`	Opsional Jumlah maksimum pemberitahuan yang akan diambil untuk setiap iterasi konektor. Jumlah maksimumnya adalah 100.
`Lowest Severity To Fetch`	Opsional Tingkat keparahan terendah untuk pemberitahuan yang akan diambil.
`Use whitelist as a blacklist`	Opsional Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. Tidak dipilih secara default.
`Proxy Server Address`	Opsional Alamat server proxy yang akan digunakan.
`Proxy Username`	Opsional Nama pengguna proxy untuk melakukan autentikasi.
`Proxy Password`	Opsional Sandi proxy untuk mengautentikasi.

Aturan konektor

Konektor mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.