将 Google 提醒中心与 Google SecOps 集成
本文档介绍了如何将 Google 提醒中心与 Google Security Operations (Google SecOps) 集成。
集成版本:8.0
在 Google SecOps 平台中,与提醒中心的集成称为 Google 提醒中心。
使用场景
将提醒中心与 Google SecOps 集成有助于您解决以下使用场景:
钓鱼式攻击活动检测:使用 Google SecOps 功能来接收有关可能针对您组织的钓鱼式攻击电子邮件的提醒中心通知。Google SecOps 可以触发自动化工作流来调查电子邮件、屏蔽恶意网址,并隔离受影响的用户账号。
数据渗出尝试:使用 Google SecOps 功能触发自动事件响应,隔离受影响的系统,屏蔽恶意行为者,并启动取证分析。
恶意软件检测:使用 Google SecOps 功能隔离受感染的设备、启动恶意软件扫描并部署补丁。
漏洞识别:利用 Google SecOps 功能自动处理有关影响组织系统的新发现的漏洞的提醒,确定修补工作的优先级,启动漏洞扫描,并通知相关团队。
准备工作
在配置 Google 提醒中心集成之前,请确保您已做好以下准备:
启用 Google Workspace Alert Center API
如需启用 Google Workspace Alert Center API,您必须在 Google Cloud 控制台中的项目内执行此操作。
前往 API 和服务 > 库。
搜索并选择 Google Workspace Alert Center API。
点击启用。
创建服务账号
为了让集成安全地访问您的 Google 提醒中心数据,您必须在 Google Cloud 控制台中创建一个服务账号作为其身份。
如需有关创建服务账号的指南,请参阅创建服务账号。
创建服务账号 JSON 密钥
如需创建 JSON 密钥,请完成以下步骤:
选择您创建的服务账号,然后前往密钥。
依次点击添加密钥 > 创建新密钥。
选择 JSON 作为密钥类型,然后点击创建。 私钥会自动下载到您的计算机,并显示一个确认对话框,提醒您妥善存储该密钥。
找到 JSON 文件中的
client_id,并复制该值以供日后向服务账号委托全网域授权时使用。
为服务账号分配“提醒中心查看者”角色
在 Google Cloud 控制台中,前往 IAM 和管理 > IAM。
在列表中找到您的服务账号,然后点击其名称旁边的 修改。
在角色菜单中,添加
Alert Center Viewer角色。保存更改。
向您的服务账号进行全网域授权
如需允许服务账号访问用户的数据,您必须在 Google 管理控制台中向其授予全网域权限。
在网域的 Google 管理控制台中,依次前往 主菜单 > 安全性 > 访问权限和数据控件 > API 控件。
在全网域授权窗格中,选择管理全网域授权。
点击新增。
在客户端 ID 字段中,输入您创建的 JSON 密钥 (
client_id) 中的客户端 ID。在 OAuth 范围字段中,输入以下范围:
https://www.googleapis.com/auth/apps.alerts点击授权。
在 Google SecOps 中为提醒中心配置集成
集成需要以下参数:
| 参数 | 说明 |
|---|---|
Service Account JSON Secret |
必需
您用于向提醒中心进行身份验证的服务账号文件的完整 JSON 内容。 |
Impersonation Email Address |
必需
要模拟具有提醒中心访问权限的用户的电子邮件地址。 如需配置此参数,请输入管理员电子邮件地址。 提醒中心的数据仅供管理员查看。 |
Verify SSL |
可选 如果选择此选项,集成会验证用于连接到提醒中心的 SSL 证书是否有效。 此选项将会默认选中。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅处理工作台中的待处理操作和执行手动操作。
删除提醒
使用删除提醒操作可删除提醒中心内的提醒。
删除提醒后,您可以在接下来的 30 天内将其恢复。您无法恢复 30 天前删除的提醒。
此操作不适用于 Google SecOps 实体。
操作输入
删除提醒操作需要以下参数:
| 参数 | 说明 |
|---|---|
Alert ID |
必需
要删除的提醒的 ID。 |
操作输出
删除提醒操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
删除提醒操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Delete Alert". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Delete Alert 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
Ping
使用 Ping 操作测试与提醒中心的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully connected to the alert center server with the
provided connection parameters! |
操作成功。 |
Failed to connect to the alert center server! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅提取数据(连接器)。
Google 提醒中心 - 提醒连接器
使用 Google 提醒中心 - 提醒连接器可从提醒中心检索有关提醒的信息。
动态列表过滤条件可与 type 参数搭配使用。
Google 提醒中心 - 提醒连接器需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必需 存储商品名称的字段的名称。 默认值为 |
Event Field Name |
必需 用于确定事件名称(子类型)的字段名称。 默认值为 |
Environment Field Name |
可选
存储环境名称的字段的名称。 如果找不到环境字段,则将环境设置为默认环境。 默认值为 |
Environment Regex Pattern |
可选
要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
PythonProcessTimeout |
必需
运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
Service Account JSON Secret |
必需
您用于向提醒中心进行身份验证的服务账号文件的完整 JSON 内容。 |
Impersonation Email Address |
必需
要模拟具有提醒中心访问权限的用户的电子邮件地址。 如需配置此参数,请输入管理员电子邮件地址。 提醒中心的数据仅供管理员查看。 |
Verify SSL |
可选 如果选择此选项,集成会验证用于连接到提醒中心的 SSL 证书是否有效。 此选项将会默认选中。 |
Max Hours Backwards |
可选 首次连接器迭代之前的小时数,用于检索响应。此参数适用于首次启用连接器后的初始连接器迭代,或适用于已过期的连接器时间戳的回退值。 默认值为 1 小时。 |
Max Alerts To Fetch |
可选
每次连接器迭代要检索的提醒数量上限。 上限为 100。 |
Lowest Severity To Fetch |
可选
要检索的提醒的最低严重程度。 |
Use whitelist as a blacklist |
可选
如果选中此选项,连接器会将动态列表用作屏蔽列表。 默认情况下未选中。 |
Proxy Server Address |
可选 要使用的代理服务器的地址。 |
Proxy Username |
可选 用于进行身份验证的代理用户名。 |
Proxy Password |
可选 用于进行身份验证的代理密码。 |
连接器规则
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。