Google Cloud -API

Dieses Dokument enthält Anleitungen zum Konfigurieren und Einbinden derGoogle Cloud API in Google Security Operations.

Anwendungsfälle

Bei der Integration der Google Cloud API werden Google SecOps-Funktionen verwendet, um die folgenden Anwendungsfälle zu unterstützen:

  • Automatisierte Ressourcenverwaltung: Führen Sie Aktionen in Google Cloud-Diensten wie Compute Engine oder Cloud Storage aus, um Bedrohungen zu beheben oder die Infrastruktur dynamisch zu verwalten.

  • Identity and Access Governance: Identity and Access Management-Richtlinien oder ‑Rollen werden als Reaktion auf erkannte Sicherheitsvorfälle programmatisch angepasst.

  • Benutzerdefinierte API-Orchestrierung: Sie können mit jeder aktivierten Google Cloud API interagieren, für die keine dedizierte Integration vorhanden ist. So haben Sie maximale Flexibilität für komplexe Playbooks.

  • Schlüssellose Authentifizierung: Mit Workload Identity können Sie sicher auf Google Cloud Ressourcen zugreifen und so die Risiken im Zusammenhang mit statischen Dienstkontoschlüsseln vermeiden.

Hinweis

Bevor Sie die Integration in der Google SecOps-Plattform konfigurieren, müssen Sie Folgendes haben:

  • Ziel-APIs aktiviert: Identifizieren und aktivieren Sie die spezifischenGoogle Cloud -Dienste, die Sie automatisieren möchten.

  • IAM-Berechtigungen: Achten Sie darauf, dass Ihre Identität die erforderlichen Rollen für die spezifischen Aktionen hat, die Sie ausführen möchten.

  • Authentifizierungsmethode: Wählen Sie zwischen der empfohlenen Workload Identity oder einem JSON-Schlüssel für das Dienstkonto zur Authentifizierung aus.

Ziel-APIs identifizieren und aktivieren

Da es sich bei dieser Integration um ein generisches Gateway handelt, gibt es keine festen APIs. Die Anforderungen hängen von Ihrem jeweiligen Anwendungsfall ab. Sie müssen die Ziel-APIs (z. B. Compute Engine, Cloud Storage oder IAM) in Ihrem Projekt aktivieren, damit sie über die Integration ausgeführt werden können.

Gehen Sie so vor, um die Ziel-APIs zu identifizieren und zu aktivieren:

  1. Rufen Sie in der Google Cloud Console die Seite APIs und Dienste > Bibliothek auf.

  2. Suchen Sie nach den erforderlichen Diensten und aktivieren Sie sie.

IAM-Berechtigungen konfigurieren

Das von dieser Integration verwendete Dienstkonto oder die Identität muss die entsprechenden IAM-Rollen haben.

  • Prinzip der geringsten Berechtigung: Weisen Sie nur die spezifischen Rollen zu, die für Ihre beabsichtigten API-Aufrufe erforderlich sind.

  • Dynamische Anforderungen: Die Berechtigungen variieren je nach Vorgang. Für die Verwaltung von Ressourcen sind beispielsweise andere Rollen erforderlich als für die Auflistung von Ressourcen.

Authentifizierungsmethode auswählen

Google SecOps unterstützt zwei Authentifizierungspfade für diese Integration:

Mit einer Workload Identity authentifizieren (empfohlen)

Workload Identity ist die sicherste Methode, da keine langlebigen JSON-Schlüssel verwaltet oder rotiert werden müssen. Dabei wird die Dienstkonto-Identitätsübernahme verwendet, damit die Plattform sicher auf Ihre Ressourcen zugreifen kann.

Identität der Google SecOps-Instanz ermitteln

So finden Sie die eindeutige Identität Ihrer Instanz:

  1. Gehen Sie in Google SecOps zu Content Hub > Response Integrations.

  2. Wählen Sie die Google Cloud API-Integration aus.

  3. Geben Sie die E-Mail-Adresse des Zieldienstkontos in das Feld Workload Identity-E-Mail-Adresse ein.

  4. Klicken Sie auf Speichern und dann auf Testen. Der Test sollte fehlschlagen.

  5. Klicken Sie rechts neben Test auf close_small und suchen Sie in der Fehlermeldung nach der Identitäts-E-Mail-Adresse, die mit gke-init-python@... oder soar-python@... beginnt.

    Kopieren Sie diese eindeutige E-Mail-Adresse und fügen Sie sie während der Konfiguration der Integration in Workload Identity Email ein.

Berechtigungen zur Identitätsübernahme erteilen

So autorisieren Sie die Instanzidentität für den Zugriff auf Ihre Ressourcen:

  1. Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.

  2. Wählen Sie das Zieldienstkonto aus und rufen Sie Berechtigungen > Zugriff gewähren auf.

  3. Fügen Sie die eindeutige E-Mail-Adresse in das Feld Neue Hauptkonten ein.

  4. Weisen Sie die Rolle Ersteller von Dienstkonto-Tokens (roles/iam.serviceAccountTokenCreator) zu.

Mit einem JSON-Schlüssel authentifizieren

Verwenden Sie diese Methode nur, wenn Workload Identity in Ihrer Umgebung nicht verfügbar ist.

So authentifizieren Sie die Integration mit einem JSON-Schlüssel für ein Dienstkonto:

  1. Erstellen Sie in der Google Cloud Console ein Dienstkonto.

  2. Rufen Sie den Tab Schlüssel auf und wählen Sie Schlüssel hinzufügen > Neuen Schlüssel erstellen aus.

  3. Wählen Sie als Schlüsseltyp JSON aus und laden Sie die Datei herunter.

  4. Kopieren Sie den gesamten Inhalt dieser Datei und fügen Sie ihn während der Konfiguration der Integration in Google SecOps in User's Service Account ein.

Google Cloud API in Google SecOps SOAR einbinden

Für die Integration sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Test URL Optional

Eine Test-URL zum Validieren der Authentifizierung für die Google Cloud API. Für diesen Parameter wird eine GET-Anfrage verwendet.
Service Account Json File Content Optional

Der Inhalt der JSON-Datei des Dienstkontoschlüssels.

Sie können entweder diesen Parameter, den Parameter Workload Identity Email oder alle vorherigen Integrationsparameter konfigurieren.

Geben Sie zum Konfigurieren dieses Parameters den vollständigen Inhalt der JSON-Datei des Dienstkontoschlüssels an, die Sie beim Erstellen eines Dienstkontos heruntergeladen haben.

Weitere Informationen zur Verwendung von Dienstkonten als Authentifizierungsmethode finden Sie unter Dienstkonten – Übersicht und Identitätsübernahme des Dienstkontos.

Bei dieser Integration hat die Authentifizierung mit der JSON-Datei des Dienstkontoschlüssels Vorrang vor der Workload Identity-E-Mail-Adresse.
Organization ID Optional

Die in der Integration zu verwendende Organisations-ID.

Wenn Sie den Wert dieses Parameters während der Ausführung der Aktion abrufen möchten, legen Sie den folgenden Platzhalter fest: {{org_id}}.

Project ID Optional

Die Projekt-ID, die in der Integration verwendet werden soll.

Wenn Sie den Wert dieses Parameters während der Ausführung der Aktion abrufen möchten, legen Sie den folgenden Platzhalter fest: {{project_id}}.
Quota Project ID Optional

Die Google Cloud Projekt-ID, die Sie für Google Cloud APIs und Abrechnung verwenden. Für diesen Parameter müssen Sie Ihrem Dienstkonto die Rolle Service Usage Consumer zuweisen.

Der Parameterwert wird von der Integration an alle API-Anfragen angehängt.

Wenn Sie keinen Wert für diesen Parameter festlegen, ruft die Integration die Projekt-ID aus Ihrem Google Cloud Dienstkonto ab.
Workload Identity Email Optional

Die Client-E-Mail-Adresse Ihres Dienstkontos.

Sie können entweder diesen Parameter oder den Parameter Service Account Json File Content konfigurieren.

Bei dieser Integration hat die Authentifizierung mit der JSON-Datei des Dienstkontoschlüssels Vorrang vor der Workload Identity-E-Mail-Adresse.

Um die Identität von Dienstkonten mit Workload Identity zu übernehmen, weisen Sie Ihrem Dienstkonto die Rolle Service Account Token Creator zu. Weitere Informationen zu Workload Identitys und deren Verwendung finden Sie unter Identitäten für Arbeitslasten.
OAuth Scopes Optional

Eine durch Kommas getrennte Liste von OAuth-Bereichen, die zum Ausführen der Google Cloud API-Anfragen erforderlich sind.
Verify SSL Erforderlich

Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum Google Cloud -Dienst gültig ist.

Standardmäßig ausgewählt.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen in „Mein Arbeitsbereich“ beantworten und Manuelle Aktion ausführen.

HTTP-Anfrage ausführen

Mit der Aktion HTTP-Anfrage ausführen können Sie eine benutzerdefinierte HTTP-API-Anfrage für eine Ziel-URL erstellen und ausführen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionsverhalten

Diese Aktion unterstützt komplexe Verhaltensweisen wie asynchrones Polling, dynamische Nutzlastgenerierung und Dateiverwaltung.

Asynchrones Polling

Wenn Expected Response Values angegeben wird, wird die Aktion im asynchronen Modus ausgeführt. In diesem Modus fragt die Aktion den Zielendpunkt wiederholt ab, um den Status einer Antwort zu verfolgen (z. B. um auf den Abschluss einer Aufgabe mit langer Ausführungszeit zu warten).

Bei der Aktion wird der Antworttext anhand der im Parameter angegebenen JSON-Bedingungen ausgewertet. Die Ausführung wird fortgesetzt, bis die Bedingungen erfüllt sind oder das Zeitlimit der Aktion erreicht ist.

Bedingungslogik

Die Aktion unterstützt die folgende Logik zum Erfassen von Antwortstatus:

  • Abgleich mit einem einzelnen Feld: Die Aktion wartet, bis ein bestimmtes Feld einen einzelnen Wert erreicht.

    {
  "state": "finished"
}

  • Mehrere Werte (ODER-Logik): Die Ausführung der Aktion wird beendet, wenn ein Feld mit einem beliebigen Wert in einer bereitgestellten Liste übereinstimmt. Das ist nützlich, um sowohl bei „success“- als auch bei „error“-Status zu stoppen und so unnötiges Polling zu vermeiden.

    {
  "state": ["finished", "error"]
}

  • Mehrere Felder (UND-Logik): Die Aktion wartet, bis alle angegebenen Felder gleichzeitig mit den entsprechenden Werten übereinstimmen.

    {
  "state": "finished",
  "percentage": "100"
}

  • Kombinierte Logik: Sie können mehrere Bedingungen im JSON-Objekt kombinieren.

    {
  "state": ["finished", "error"],
  "percentage": "10"
}
JSON-Parsing-Verhalten

Bei der Auswertung von Bedingungen gelten für die Aktion folgende Regeln:

  • Globale Suche: Bei dieser Aktion wird das gesamte JSON-Antwortobjekt nach den angegebenen Schlüsseln durchsucht. Geben Sie den Schlüsselnamen genau so an, wie er im JSON-Dokument steht, ohne Namen übergeordneter Objekte voranzustellen oder Präfixe zu verwenden (z. B. "state" statt "data_state" oder "data-state").

  • Mehrere identische Schlüssel: Wenn die Antwort mehrere Schlüssel mit demselben Namen auf verschiedenen Ebenen der JSON-Hierarchie enthält, wird die erwartete Ausgabe nur erreicht, wenn alle übereinstimmenden Schlüsselnamen den identischen erwarteten Wert erfüllen.

    Wenn Sie beispielsweise in der JSON-Antwort nach dem Status finished suchen und andere Status ignorieren möchten, legen Sie alle state-Schlüssel in Expected Response Values auf finished fest:

    {
"data": {
  "state": "finished"
  },
  "state": "finished"
}
Nutzlast für den Body erstellen

Die Aktion erstellt den Anfragetext basierend auf dem Header Content-Type, der in Headers angegeben ist.

Dies ist die Body Payload-Eingabe, die für die folgenden Konstruktionsbeispiele verwendet wird:

{
  "Id": "123123",
  "sorting": "asc"
}

  • application/x-www-form-urlencoded: Die Aktion generiert die Nutzlast als Id=123123&sorting=asc.

  • application/json: Die Aktion generiert die folgende JSON-Nutzlast:

    {
  "Id": "123123",
  "sorting": "asc"
}

  • XML: Wenn für das Drittanbieterprodukt XML erforderlich ist, geben Sie eine XML-formatierte Eingabe direkt in Body Payload an:

    <?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:soap="[http://schemas.xmlsoap.org/soap/envelope/](http://schemas.xmlsoap.org/soap/envelope/)">
<soap:Body>
  <NumberToWords xmlns="[http://www.dataaccess.com/webservicesserver/](http://www.dataaccess.com/webservicesserver/)">
    <ubiNum>500</ubiNum>
  </NumberToWords>
</soap:Body>
</soap:Envelope>
Dateiverwaltung

Die Aktion unterstützt die folgenden Workflows zum Verwalten von Dateien:

  • Dateien herunterladen:

    • Wenn Sie möchten, dass Dateidaten als Teil des JSON-Ergebnisses im Base64-Format zurückgegeben werden, wählen Sie Base64 Output aus.

    • Wenn Sie eine Datei direkt als ZIP-Archiv in der Fallwand speichern möchten, wählen Sie Save To Case Wall aus.

  • Dateien hochladen: Wenn Sie eine Datei hochladen möchten, wandeln Sie sie in einen Base64-codierten String um und fügen Sie sie als Teil des Body Payload-Werts ein.

    Das folgende Beispiel zeigt eine Bilddatei, die in einen base64-codierten String umgewandelt wurde:

    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

  • Sicherheit: Wählen Sie für vertrauliche Dateien (z. B. Malware) Password Protect Zip aus. Dadurch wird das mit Save To Case Wall erstellte gespeicherte ZIP-Archiv automatisch mit dem Passwort infected verschlüsselt.

Playbook-Blockkonfiguration

Die folgende Konfiguration zeigt, wie Sie die Aktion HTTP-Anfrage ausführen in einem Playbook-Block verwenden. Anhand dieses Beispiels können Sie nachvollziehen, wie Platzhalter und Eingabepräfixe angewendet werden.

Wenn Sie Blockeingaben als Platzhalter verwenden, müssen Sie das Präfix Input. angeben (z. B. [Input.comment]).

  • Methode: PUT

  • URL-Pfad:

    https://{API_URL}/[Input.table_name]/[Input.sys_id]

  • Header:

    {
  "Content-type": "application/json; charset=utf-8",
  "Accept": "application/json",
  "User-Agent": "GoogleSecops"
}

  • Nutzlast des Textkörpers:

    {
  "work_notes": "[Input.comment]"
}

Aktionseingaben

Für die Aktion HTTP-Anfrage ausführen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Method Optional

Eine in der Anfrage zu verwendende Methode.

Der Standardwert ist GET.

Mögliche Werte:
  • GET
  • POST
  • PUT
  • PATCH
  • DELETE
  • HEAD
  • OPTIONS
URL Path Optional

Eine auszuführende URL.

Der Standardwert ist https://.
URL Params Optional

Die URL-Parameter.

Die Aktion verwendet alle Werte, die neben den Werten angegeben werden, die Sie direkt im Parameter URL-Pfad angegeben haben.

Für diesen Parameter ist das JSON-Objektformat als Eingabe erforderlich. Der Standardwert ist:

{
    "URL Field Name": "URL_FIELD_VALUE"
    }
Headers Optional

Header, die in der HTTP-Anfrage verwendet werden sollen.

Für diesen Parameter ist das JSON-Objektformat als Eingabe erforderlich. Der Standardwert ist:

{
    "Content-Type": "application/json; charset=utf-8",
    "Accept": "application/json",
    "User-Agent" : "GoogleSecOps"
    }
Cookie Optional

Die Parameter, die im Cookie-Header verwendet werden sollen.

Mit diesem Parameter werden Cookies überschrieben, die im Parameter Headers angegeben sind.

Für diesen Parameter ist das JSON-Objektformat als Eingabe erforderlich. Der Standardwert ist:

{
    "Cookie_1": "COOKIE_1_VALUE"
    }
Body Payload
 Optional

Ein Text für die HTTP-Anfrage. Die Aktion erstellt je nach Content-Type-Headerwert, der im Parameter Headers angegeben ist, unterschiedliche Nutzlasten.

Für diesen Parameter ist das JSON-Objektformat als Eingabe erforderlich, es sei denn, für ein Drittanbieterprodukt ist XML oder der multipart/form-data-Inhalt erforderlich. Wenn Sie eine Datei über die API-Anfrage senden oder hochladen, geben Sie die base64-codierte Version der Datei im Parameter Body Payload an und legen Sie den Header auf "Content-type": "multipart/form-data" fest.

Der Standardwert ist:

{
    "Body Field Name": "BODY_FIELD_VALUE"
    }
Expected Response Values

Optional.

Das JSON-Objekt mit den Feld-Wert-Paaren, die den erforderlichen Status des Antworttexts definieren.
Save To Case Wall Optional

Wenn diese Option ausgewählt ist, wird die Datei gespeichert und an das Fall-Repository angehängt. Die Datei wird mit der Erweiterung .zip archiviert. Die Datei .zip ist nicht passwortgeschützt.

Diese Option ist standardmäßig nicht ausgewählt.
Password Protect Zip Optional

Wenn diese Option ausgewählt ist, wird der .zip-Datei, die mit dem Parameter Save To Case Wall erstellt wurde, ein Passwort hinzugefügt. Das Passwort lautet: infected.

Verwenden Sie diesen Parameter, wenn Sie mit verdächtigen Dateien arbeiten.

Standardmäßig ausgewählt.
Follow Redirects Optional

Wenn diese Option ausgewählt ist, folgt die Aktion den Weiterleitungen.

Standardmäßig ausgewählt.
Fail on 4xx/5xx Optional

Wenn diese Option ausgewählt ist, schlägt die Aktion fehl, wenn der Statuscode der Antwort ein 4xx- oder 5xx-Fehler ist.

Standardmäßig ausgewählt.
Base64 Output Optional

Wenn diese Option ausgewählt ist, wird die Antwort in das Base64-Format konvertiert.

Verwenden Sie diesen Parameter beim Herunterladen von Dateien.

Das JSON-Ergebnis darf nicht größer als 15 MB sein.

Diese Option ist standardmäßig nicht ausgewählt.
Fields To Return Erforderlich

Die Felder, die zurückgegeben werden sollen. Folgende Werte sind möglich:

  • response_data
  • redirects
  • response_code
  • response_cookies
  • response_headers
  • apparent_encoding
Request Timeout Erforderlich

Ein Zeitraum, in dem auf das Senden von Daten durch den Server gewartet wird, bevor die Aktion fehlschlägt.

Der Standardwert beträgt 120 Sekunden.

Aktionsausgaben

Die Aktion HTTP-Anfrage ausführen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion HTTP-Anfrage ausführen empfangen wird:

{
   "response_data": {
       "data": {
           "relationships": {
               "comment": [
                   {
                       "name": "item",
                       "description": "Object to which the comment belongs to."
                   },
                   {
                       "name": "author",
                       "description": "User who wrote the comment."
                   }
               ]
           }
       }
   },
   "redirects": [],
   "response_code": 200,
   "cookies": {},
   "response_headers": {
       "Content-Type": "application/json",
       "X-Cloud-Trace-Context": "VALUE",
       "Date": "Fri, 03 Nov 2023 16:14:13 GMT",
       "Server": "Google Frontend",
       "Content-Length": "36084"
   },
   "apparent_encoding": "ascii"
}
Ausgabenachrichten

Die Aktion HTTP-Anfrage ausführen gibt die folgenden Ausgabemeldungen zurück:

Ausgabemeldung Nachrichtenbeschreibung

Successfully executed API request.

Successfully executed API request, but the status code {4xx/5xx} was returned. Please check the request or try again later.

 Die Aktion wurde ausgeführt.
Failed to execute API request. Error: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion HTTP-Anfrage ausführen beschrieben:

Name des Scriptergebnisses Wert
is_success True oder False

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Google Cloudzu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Ping empfangen wird:

{
"endpoint": "TEST_URL"
}
Ausgabenachrichten

Die Aktion Ping gibt die folgenden Ausgabenachrichten aus:

Ausgabemeldung Nachrichtenbeschreibung
Successfully tested connectivity. Die Aktion wurde ausgeführt.
Failed to test connectivity.

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping beschrieben:

Name des Scriptergebnisses Wert
is_success True oder False

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten