本頁面由 Cloud Translation API 翻譯而成。

整合 Google 快訊中心和 Google SecOps

本文說明如何將 Google 快訊中心與 Google Security Operations (Google SecOps) 整合。

整合版本：8.0

在 Google SecOps 平台中，快訊中心的整合功能稱為「Google 快訊中心」。

用途

將快訊中心與 Google SecOps 整合，有助於解決下列應用實例：

偵測網路釣魚廣告活動：使用 Google SecOps 功能，擷取快訊中心通知，瞭解是否有針對貴機構的潛在網路釣魚電子郵件。Google SecOps 可以觸發自動工作流程來調查電子郵件、封鎖惡意網址，以及隔離受影響的使用者帳戶。
嘗試外洩資料：使用 Google SecOps 功能觸發自動事件回應、隔離受影響的系統、封鎖惡意行為者，並啟動鑑識分析。
惡意軟體偵測：使用 Google SecOps 功能隔離受感染的裝置、啟動惡意軟體掃描，以及部署修補程式。
識別安全漏洞：使用 Google SecOps 功能自動處理影響貴機構系統的新發現安全漏洞相關快訊、決定修補作業的優先順序、啟動安全漏洞掃描，以及通知相關團隊。

事前準備

設定 Google 快訊中心整合功能前，請確認您已備妥下列項目：

啟用必要的 API。
建立服務帳戶和憑證。
將 Alert Center Viewer 角色指派給服務帳戶。
將全網域授權委派給服務帳戶。

啟用 Google Workspace Alert Center API

如要啟用 Google Workspace 快訊中心 API，請在Google Cloud 管理中心的專案中啟用。

依序前往「API 和服務」>「程式庫」。
搜尋並選取「Google Workspace Alert Center API」。
按一下「啟用」。

建立服務帳戶

如要允許整合服務安全地存取 Google 快訊中心資料，您必須在Google Cloud 控制台中建立服務帳戶，做為整合服務的身分。

如需建立服務帳戶的指引，請參閱「建立服務帳戶」。

建立服務帳戶 JSON 金鑰

如要建立 JSON 金鑰，請完成下列步驟：

選取您建立的服務帳戶，然後前往「金鑰」。
依序點選「新增金鑰」>「建立新的金鑰」。
選取「JSON」做為金鑰類型，然後按一下「建立」。私密金鑰會自動下載到電腦，並顯示確認對話方塊，提醒您妥善儲存金鑰。
在 JSON 檔案中找出 client_id，並複製該檔案，以便稍後將全網域授權委派給服務帳戶。

將「快訊中心檢視者」角色指派給服務帳戶

在 Google Cloud 控制台中，依序前往「IAM & Admin」(IAM 與管理) >「IAM」(身分與存取權管理)。
在清單中找到服務帳戶，然後按一下名稱旁邊的「編輯」。
在「角色」選單中新增 Alert Center Viewer 角色。
儲存變更。

將全網域授權委派給服務帳戶

如要允許服務帳戶存取使用者資料，您必須在 Google 管理控制台中授予服務帳戶網域範圍的授權。

在網域的 Google 管理控制台中，依序前往「主選單」「安全性」「存取權與資料控管」「API 控制項」。
在「全網域委派」窗格中，選取「管理全網域委派設定」。
按一下「新增」。
在「用戶端 ID」欄位中，輸入您建立的 JSON 金鑰 (client_id) 中的用戶端 ID。
在「OAuth Scopes」(OAuth 範圍) 欄位中，輸入下列範圍：
```
https://www.googleapis.com/auth/apps.alerts
```
按一下 [授權]。

在 Google SecOps 中設定快訊中心的整合功能

整合作業需要下列參數：

參數說明

參數	說明
`Service Account JSON Secret`	必要您用於向快訊中心進行驗證的服務帳戶檔案完整 JSON 內容。
`Impersonation Email Address`	必要要模擬具有快訊中心存取權的使用者，請輸入該使用者的電子郵件地址。如要設定這個參數，請輸入管理員的電子郵件地址。快訊中心的資料僅供管理員查看。
`Verify SSL`	選用如果選取這個選項，整合服務會驗證用來連線至快訊中心的 SSL 憑證是否有效。 (此為預設選項)。

Service Account JSON Secret

必要

您用於向快訊中心進行驗證的服務帳戶檔案完整 JSON 內容。

Impersonation Email Address

必要

要模擬具有快訊中心存取權的使用者，請輸入該使用者的電子郵件地址。如要設定這個參數，請輸入管理員的電子郵件地址。快訊中心的資料僅供管理員查看。

Verify SSL

選用

如果選取這個選項，整合服務會驗證用來連線至快訊中心的 SSL 憑證是否有效。

(此為預設選項)。

如需在 Google SecOps 中設定整合功能的操作說明，請參閱「設定整合功能」。

如有需要，您可以在稍後階段進行變更。設定整合執行個體後，您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體，請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作，請參閱「從工作區回覆待處理動作」和「執行手動動作」。

刪除快訊

使用「刪除快訊」動作，即可刪除快訊中心的快訊。

刪除快訊後，您可以在 30 天內復原該快訊。如果快訊刪除時間超過 30 天，就無法復原。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「刪除快訊」動作需要下列參數：

參數	說明
`Alert ID`	必要要刪除的快訊 ID。

動作輸出內容

「Delete Alert」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件訊息牆表格	無法使用
補充資訊表格	無法使用
JSON 結果	無法使用
輸出訊息	可用
指令碼結果	可用

輸出訊息

「Delete Alert」動作可能會傳回下列輸出訊息：

輸出訊息訊息說明

輸出訊息	訊息說明
`Successfully deleted alert with ID RECORD_ID in the alert center.` `Alert with ID RECORD_ID doesn't exist in the alert center.`	動作成功。
`Error executing action "Delete Alert". Reason: ERROR_REASON`	動作失敗。檢查伺服器的連線、輸入參數或憑證。

Successfully deleted alert with ID RECORD_ID in the alert center.

Alert with ID RECORD_ID doesn't exist in the alert center.

動作成功。

Error executing action "Delete Alert". Reason:
      ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。

指令碼結果

下表列出使用「Delete Alert」(刪除快訊) 動作時，指令碼結果輸出的值：

指令碼結果名稱	值
`is_success`	`True`或`False`

乒乓

使用「Ping」動作測試與快訊中心的連線。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

無

動作輸出內容

「Ping」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件訊息牆表格	無法使用
補充資訊表格	無法使用
JSON 結果	無法使用
輸出訊息	可用
指令碼結果	可用

輸出訊息

「Ping」動作可能會傳回下列輸出訊息：

輸出訊息訊息說明

Successfully connected to the alert center server with the provided connection parameters! 動作成功。

輸出訊息	訊息說明
`Successfully connected to the alert center server with the provided connection parameters!`	動作成功。
`Failed to connect to the alert center server! Error is ERROR_REASON`	動作失敗。檢查伺服器的連線、輸入參數或憑證。

Failed to connect to the alert center server! Error is
      ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。

指令碼結果

下表列出使用「Ping」動作時，指令碼結果輸出的值：

指令碼結果名稱	值
`is_success`	`True`或`False`

連接器

如需在 Google SecOps 中設定連接器的詳細操作說明，請參閱「擷取資料 (連接器)」。

Google 快訊中心 - 快訊連接器

使用 Google 快訊中心 - 快訊連接器，從快訊中心擷取快訊相關資訊。

動態清單篩選器適用於 type 參數。

「Google 快訊中心 - 快訊連接器」需要下列參數：

參數	說明
`Product Field Name`	必要儲存產品名稱的欄位名稱。預設值為 `source`。
`Event Field Name`	必要用於判斷事件名稱 (子類型) 的欄位名稱。預設值為 `type`。
`Environment Field Name`	選填儲存環境名稱的欄位名稱。如果找不到環境欄位，系統會將環境設為預設環境。預設值為 `""`。
`Environment Regex Pattern`	選填要在 `Environment Field Name` 欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯，操控環境欄位。使用預設值 `.*` 擷取必要的原始 `Environment Field Name` 值。如果規則運算式模式為空值或空白，或環境值為空值，最終環境結果就是預設環境。
`PythonProcessTimeout`	必要執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。預設值為 `180`。
`Service Account JSON Secret`	必要您用於向快訊中心進行驗證的服務帳戶檔案完整 JSON 內容。
`Impersonation Email Address`	必要要模擬具有快訊中心存取權的使用者，請輸入該使用者的電子郵件地址。如要設定這個參數，請輸入管理員的電子郵件地址。快訊中心的資料僅供管理員查看。
`Verify SSL`	選用如果選取這個選項，整合服務會驗證用來連線至快訊中心的 SSL 憑證是否有效。 (此為預設選項)。
`Max Hours Backwards`	選用在第一次連接器疊代前，要從中擷取回應的小時數。這個參數適用於首次啟用連接器後的初始連接器疊代，或過期連接器時間戳記的回溯值。預設值為 1 小時。
`Max Alerts To Fetch`	選填每次連接器疊代要擷取的快訊數量上限。最多 100 個。
`Lowest Severity To Fetch`	選填要擷取的最低嚴重性快訊。
`Use whitelist as a blacklist`	選填如果選取這個選項，連接器會將動態清單做為封鎖清單。預設為未選取。
`Proxy Server Address`	選用要使用的 Proxy 伺服器位址。
`Proxy Username`	選用用於驗證的 Proxy 使用者名稱。
`Proxy Password`	選用用於驗證的 Proxy 密碼。

連接器規則

連接器支援 Proxy。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。