Integra il Centro avvisi Google con Google SecOps

Questo documento spiega come integrare il Centro avvisi di Google con Google Security Operations (Google SecOps).

Versione integrazione: 8.0

Nella piattaforma Google SecOps, l'integrazione per il centro avvisi si chiama Google Alert Center.

Casi d'uso

L'integrazione del Centro avvisi con Google SecOps può aiutarti a risolvere i seguenti casi d'uso:

  • Rilevamento di campagne di phishing:utilizza le funzionalità di Google SecOps per importare le notifiche del centro avvisi relative a potenziali email di phishing che prendono di mira la tua organizzazione. Google SecOps può attivare flussi di lavoro automatizzati per esaminare le email, bloccare gli URL dannosi e mettere in quarantena gli account utente interessati.

  • Tentativo di esfiltrazione dei dati: utilizza le funzionalità di Google SecOps per attivare la risposta automatizzata agli incidenti, isolare i sistemi interessati, bloccare gli autori delle attività dannose e avviare l'analisi forense.

  • Rilevamento di malware: utilizza le funzionalità di Google SecOps per mettere in quarantena i dispositivi infetti, avviare scansioni di malware e distribuire patch.

  • Identificazione delle vulnerabilità:utilizza le funzionalità di Google SecOps per elaborare automaticamente gli avvisi relativi alle vulnerabilità appena scoperte che interessano i sistemi della tua organizzazione, dare la priorità agli interventi di patching, avviare scansioni delle vulnerabilità e informare i team pertinenti.

Prima di iniziare

Prima di configurare l'integrazione del Centro avvisi Google, assicurati di avere a portata di mano quanto segue:

  1. Abilita l'API richiesta.
  2. Crea un account di servizio e le relative credenziali.
  3. Assegna il ruolo Alert Center Viewer all'account di servizio.
  4. Delega l'autorità a livello di dominio al tuo service account.

Abilita l'API Alert Center di Google Workspace

Per attivare l'API Alert Center di Google Workspace, devi farlo all'interno del tuo progetto nella consoleGoogle Cloud .

  1. Vai ad API e servizi > Libreria.

  2. Cerca e seleziona l'API Alert Center di Google Workspace.

  3. Fai clic su Attiva.

Crea un account di servizio

Per consentire all'integrazione di accedere in modo sicuro ai dati del Centro avvisi Google, devi creare un account di servizio nella consoleGoogle Cloud che funga da identità.

Per indicazioni sulla creazione di un account di servizio, vedi Creare service account.

Crea una chiave JSON dell'account di servizio

Per creare una chiave JSON, completa i seguenti passaggi:

  1. Seleziona il account di servizio che hai creato e vai a Chiavi.

  2. Fai clic su Aggiungi chiave > Crea nuova chiave.

  3. Seleziona JSON come tipo di chiave e fai clic su Crea. La chiave privata viene scaricata automaticamente sul computer e viene visualizzata una finestra di dialogo di conferma che ti ricorda di archiviarla in modo sicuro.

  4. Individua client_id all'interno del file JSON e copialo per utilizzarlo in un secondo momento quando deleghi l'autorità a livello di dominio al tuo service account.

Assegna il ruolo Visualizzatore Centro avvisi al tuo account di servizio

  1. Nella console Google Cloud , vai a IAM e amministrazione > IAM.

  2. Individua l'account di servizio nell'elenco e fai clic su Modifica accanto al nome.

  3. Nel menu Ruolo, aggiungi il ruolo Alert Center Viewer.

  4. Salva le modifiche.

Delega l'autorità a livello di dominio al tuo service account

Per consentire all'account di servizio di accedere ai dati dei tuoi utenti, devi concedergli l'autorità a livello di dominio nella Console di amministrazione Google.

  1. Nella Console di amministrazione Google del tuo dominio, vai a Menu principale > Sicurezza > Accesso e controllo dei dati > Controlli API.

  2. Nel riquadro Delega a livello di dominio, seleziona Gestisci delega a livello di dominio.

  3. Fai clic su Aggiungi nuovo.

  4. Nel campo ID client, inserisci l'ID client che trovi nella chiave JSON che hai creato (client_id).

  5. Nel campo Ambiti OAuth, inserisci il seguente ambito:

    https://www.googleapis.com/auth/apps.alerts

  6. Fai clic su Autorizza.

Configurare l'integrazione per il Centro avvisi in Google SecOps

L'integrazione richiede i seguenti parametri:

Parametro Descrizione
Service Account JSON Secret Obbligatorio

L'intero contenuto JSON del file dell'account di servizio che hai utilizzato per l'autenticazione al centro avvisi.
Impersonation Email Address Obbligatorio

L'indirizzo email per impersonare un utente con accesso al Centro avvisi. Per configurare questo parametro, inserisci l'indirizzo email dell'amministratore. I dati del Centro avvisi sono disponibili solo per gli amministratori.
Verify SSL Optional

Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al centro avvisi sia valido.

Questa opzione è selezionata per impostazione predefinita.

Per istruzioni sulla configurazione di un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.

Azioni

Per maggiori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua postazione di lavoro ed Eseguire un'azione manuale.

Eliminazione avviso

Utilizza l'azione Elimina avviso per eliminare un avviso nel Centro avvisi.

Dopo aver eliminato un avviso, puoi recuperarlo nei 30 giorni successivi. Non puoi recuperare un avviso che hai eliminato più di 30 giorni fa.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Elimina avviso richiede i seguenti parametri:

Parametro Descrizione
Alert ID Obbligatorio

L'ID dell'avviso da eliminare.

Output dell'azione

L'azione Elimina avviso fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Elimina avviso può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully deleted alert with ID RECORD_ID in the alert center.

Alert with ID RECORD_ID doesn't exist in the alert center.

 L'azione è riuscita.
Error executing action "Delete Alert". Reason: ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Elimina avviso:

Nome del risultato dello script Valore
is_success True o False

Dindin

Utilizza l'azione Ping per testare la connettività al Centro avvisi.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Ping può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Successfully connected to the alert center server with the provided connection parameters! L'azione è riuscita.
Failed to connect to the alert center server! Error is ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script Valore
is_success True o False

Connettori

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, consulta Importare i dati (connettori).

Google Alert Center - Alerts Connector

Utilizza Google Alert Center - Alerts Connector per recuperare informazioni sugli avvisi del Centro avvisi.

Il filtro dell'elenco dinamico funziona con il parametro type.

Il connettore Google Alert Center - Avvisi richiede i seguenti parametri:

Parametro Descrizione
Product Field Name Obbligatorio

Il nome del campo in cui è memorizzato il nome del prodotto.

Il valore predefinito è source.
Event Field Name Obbligatorio

Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo).

Il valore predefinito è type.
Environment Field Name Optional

Il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo ambiente non viene trovato, l'ambiente viene impostato sull'ambiente predefinito.

Il valore predefinito è "".
Environment Regex Pattern Optional

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Utilizza il valore predefinito .* per recuperare il valore Environment Field Name grezzo richiesto.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito.
PythonProcessTimeout Obbligatorio

Il limite di timeout in secondi per il processo Python che esegue lo script corrente.

Il valore predefinito è 180.
Service Account JSON Secret Obbligatorio

L'intero contenuto JSON del file dell'account di servizio che hai utilizzato per l'autenticazione al centro avvisi.
Impersonation Email Address Obbligatorio

L'indirizzo email per impersonare un utente con accesso al Centro avvisi. Per configurare questo parametro, inserisci l'indirizzo email dell'amministratore. I dati del Centro avvisi sono disponibili solo per gli amministratori.
Verify SSL Optional

Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al centro avvisi sia valido.

Questa opzione è selezionata per impostazione predefinita.
Max Hours Backwards Optional

Numero di ore prima della prima iterazione del connettore da cui recuperare le risposte. Questo parametro si applica all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto.

Il valore predefinito è 1 ora.
Max Alerts To Fetch Optional

Il numero massimo di avvisi da recuperare per ogni iterazione del connettore.

Il numero massimo è 100.
Lowest Severity To Fetch Optional

La gravità minima degli avvisi da recuperare.
Use whitelist as a blacklist Optional

Se selezionato, il connettore utilizza l'elenco dinamico come blocklist.

Non selezionato per impostazione predefinita.
Proxy Server Address Optional

L'indirizzo del server proxy da utilizzare.
Proxy Username Optional

Il nome utente del proxy con cui eseguire l'autenticazione.
Proxy Password Optional

La password del proxy per l'autenticazione.

Regole del connettore

Il connettore supporta i proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.