Google Cloud IAM in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie Google Cloud Identity and Access Management in Google Security Operations einbinden.

Anwendungsfälle

Die Google Cloud IAM-Integration unterstützt die folgenden Anwendungsfälle:

  • Automatisierte Verwaltung des Dienstkontolebenszyklus: Dienstkonten werden während des Onboarding- und Offboarding-Prozesses automatisch erstellt, aktiviert oder deaktiviert, damit der Zugriff nur bei Bedarf gewährt wird.

  • Schnelle Reaktion auf Identitätsvorfälle: Löschen oder deaktivieren Sie kompromittierte Dienstkonten und Rollen bei einem Sicherheitsvorfall sofort, um unbefugten Zugriff auf Cloud-Ressourcen zu verhindern.

  • Identitätsverwaltung und -anreicherung: Nutzerentitäten in Google SecOps werden mit detaillierten Dienstkontometadaten wie Anzeigenamen und Projekt-IDs angereichert, um Analysten bei Untersuchungen sofortigen Kontext zu liefern.

  • Richtlinienprüfung und ‑durchsetzung: Rufen Sie Zugriffssteuerungsrichtlinien ab und prüfen Sie sie, um sicherzustellen, dass sie dem Prinzip der geringsten Berechtigung entsprechen. Legen Sie programmatisch neue Richtlinien fest, um nicht autorisierte Änderungen zu beheben.

  • Verwaltung der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC): Erstellen und verwalten Sie benutzerdefinierte IAM-Rollen mit bestimmten Berechtigungssätzen in Ihrer gesamten Organisation, um eine detaillierte Kontrolle über den Zugriff auf die Cloud-Umgebung zu behalten.

Hinweis

Bevor Sie die Google Cloud IAM-Integration in Google SecOps konfigurieren, müssen Sie die folgenden Voraussetzungen erfüllen:

  1. Benutzerdefinierte IAM-Rolle erstellen: Definieren Sie eine Rolle mit den spezifischen Berechtigungen, die zum Verwalten von Dienstkonten und Rollen erforderlich sind.

  2. Dienstkonto erstellen: Erstellen Sie die Identität, die von der Integration zum Ausführen von Aktionen verwendet wird.

  3. Authentifizierungsmethode auswählen: Wählen Sie zwischen der empfohlenen Workload Identity oder einem JSON-Schlüssel für das Dienstkonto aus.

Benutzerdefinierte IAM-Rolle erstellen und konfigurieren

Um das Prinzip der geringsten Berechtigung zu wahren, führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Rolle zu erstellen, die nur die für diese Integration erforderlichen Berechtigungen enthält:

  1. Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung > Rollen auf.

  2. Klicken Sie auf Rolle erstellen.

  3. Geben Sie einen Titel, eine Beschreibung und eine ID an.

  4. Legen Sie die Rollenstartphase auf General Availability fest.

  5. Klicken Sie auf Berechtigungen hinzufügen und fügen Sie die folgenden spezifischen Berechtigungen hinzu:

    • iam.serviceAccounts.list
    • iam.serviceAccounts.create
    • iam.serviceAccounts.get
    • iam.serviceAccounts.getIamPolicy
    • iam.serviceAccounts.setIamPolicy
    • iam.serviceAccounts.disable
    • iam.serviceAccounts.enable
    • iam.serviceAccounts.delete
    • iam.roles.list
    • iam.roles.get
    • iam.roles.create
    • iam.roles.delete

  6. Klicken Sie auf Erstellen.

Dienstkonto erstellen

Für die Authentifizierung und Ausführung von IAM-Aktionen in Ihrem Projekt wird ein Dienstkonto verwendet.

So erstellen Sie ein Dienstkonto:

  1. Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.

  2. Klicken Sie auf Dienstkonto erstellen.

  3. Geben Sie einen Namen und eine Beschreibung ein und klicken Sie auf Erstellen und fortfahren.

  4. Weisen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen diesem Dienstkonto die benutzerdefinierte Rolle zu, die Sie im vorherigen Schritt erstellt haben. Klicken Sie auf Fertig.

Authentifizierungsmethode auswählen

Google SecOps unterstützt zwei Authentifizierungspfade für diese Integration:

  • Option 1: Workload Identity (empfohlen): Bei dieser Methode werden kurzlebige Tokens mithilfe der Identitätsübertragung von Dienstkonten verwendet. Sie ist sicherer, da keine langlebigen JSON-Schlüssel erforderlich sind.

  • Option 2: JSON-Schlüssel des Dienstkontos: Bei dieser Methode wird eine statische Schlüsseldatei verwendet. Verwenden Sie diese Option nur, wenn in Ihrer Umgebung keine Workload Identity verfügbar ist.

Mit einer Workload Identity authentifizieren (empfohlen)

Wenn Sie eine Workload Identity verwenden möchten, müssen Sie Ihrer Google SecOps-Instanz die Berechtigung erteilen, die Identität des von Ihnen erstellten Dienstkontos zu übernehmen.

  1. Gehen Sie in Google SecOps zu Content Hub > Response Integrations.

  2. Wählen Sie die Google Cloud IAM-Integration aus.

  3. Geben Sie die E-Mail-Adresse Ihres Dienstkontos in das Feld Workload Identity-E-Mail-Adresse ein.

  4. Klicken Sie auf Speichern und dann auf Testen. Der Test wird voraussichtlich zunächst fehlschlagen.

  5. Klicken Sie neben dem fehlgeschlagenen Test auf close_small, um die Fehlermeldung aufzurufen.

  6. Suchen Sie nach der eindeutigen E‑Mail-Adresse (im Format gke-init-python@... oder soar-python@...), die sich am Ende der Fehlermeldung befindet. Kopieren Sie diese Adresse.

Berechtigungen zur Identitätsübernahme erteilen

Nachdem Sie die eindeutige Identität für Ihre Google SecOps-Instanz abgerufen haben, müssen Sie sie autorisieren, auf Ihre Google Cloud -Ressourcen zuzugreifen. Mit diesem Schritt wird die Identitätsübertragung für Dienstkonten aktiviert. So kann die Plattform kurzlebige Tokens generieren und in Ihrem Namen agieren, ohne dass statische Schlüssel erforderlich sind.

  1. Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.

  2. Wählen Sie das Dienstkonto aus, das Sie für diese Integration erstellt haben.

  3. Klicken Sie auf den Tab Berechtigungen und dann auf Zugriff gewähren.

  4. Fügen Sie die kopierte eindeutige E-Mail-Adresse in das Feld Neue Hauptkonten ein.

  5. Weisen Sie die Rolle Ersteller von Dienstkonto-Tokens (roles/iam.serviceAccountTokenCreator) zu. Klicken Sie auf Speichern.

Mit einem JSON-Schlüssel authentifizieren

Wenn die Verwendung einer Workload Identity in Ihrer Umgebung nicht möglich ist, können Sie die Integration mit einem JSON-Schlüssel für ein Dienstkonto authentifizieren. Bei dieser Methode wird eine statische, langlebige Secret-Datei verwendet, um die Verbindung zwischen der Plattform und Ihren Google Cloud Ressourcen herzustellen.

  1. Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung > Dienstkonten auf und wählen Sie Ihr Dienstkonto aus.

  2. Rufen Sie den Tab Schlüssel auf.

  3. Klicken Sie auf Schlüssel hinzufügen > Neuen Schlüssel erstellen.

  4. Wählen Sie als Schlüsseltyp JSON aus und klicken Sie auf Erstellen. Die Datei wird auf Ihren Computer heruntergeladen.

  5. Kopieren Sie den gesamten Inhalt der JSON-Datei.

  6. Wenn Sie diese Integration auf der Plattform konfigurieren, fügen Sie den Inhalt in das Feld Inhalt der JSON-Datei des Dienstkontos ein.

Integrationsparameter

Für die Google Cloud IAM-Integration sind die folgenden Parameter erforderlich:

Parameter Beschreibung
API Root

Optional.

Die Basis-URL der Google Cloud IAM-Instanz.

Der Standardwert ist https://iam.googleapis.com.
Account Type

Optional.

Der Typ des Google Cloud -Kontos.

Dieser Wert entspricht dem Parameter type in der JSON-Datei für die Authentifizierung.

Der Standardwert ist service_account.
Project ID

Optional.

Die Projekt-ID des Google Cloud -Kontos.

Dieser Wert entspricht dem Parameter project_id in der JSON-Datei für die Authentifizierung.
Quota Project ID

Optional.

Die Projekt-ID, die für Kontingente und die Abrechnung bei API-Anfragen verwendet wird.
Private Key ID

Optional.

Die ID des privaten Schlüssels des Google Cloud Kontos.

Dieser Wert entspricht dem Parameter private_key_id in der JSON-Datei für die Authentifizierung.
Private Key

Optional.

Der private Schlüssel des Google Cloud Kontos.

Dieser Wert entspricht dem Parameter private_key in der JSON-Datei für die Authentifizierung.
Client Email

Optional.

Die Client-E-Mail-Adresse des Google Cloud -Kontos.

Dieser Wert entspricht dem Parameter client_email in der JSON-Datei für die Authentifizierung.
Client ID

Optional.

Die Client-ID des Google Cloud -Kontos.

Dieser Wert entspricht dem Parameter client_id in der JSON-Datei für die Authentifizierung.
Auth URI

Optional.

Die Authentifizierungs-URI für das Google Cloud -Konto.

Dieser Wert entspricht dem Parameter auth_uri in der JSON-Datei für die Authentifizierung.

Der Standardwert ist https://accounts.google.com/o/oauth2/auth.
Token URI

Optional.

Der Token-URI für das Google Cloud -Konto.

Dieser Wert entspricht dem Parameter token_uri in der JSON-Datei für die Authentifizierung.

Der Standardwert ist https://oauth2.googleapis.com/token.
Auth Provider X509 URL

Optional.

Die URL des X.509-Zertifikats des Authentifizierungsanbieters.

Dieser Wert entspricht dem Parameter auth_provider_x509_cert_url in der JSON-Datei für die Authentifizierung.

Der Standardwert ist https://www.googleapis.com/oauth2/v1/certs.
Client X509 URL

Optional.

Die URL des X.509-Clientzertifikats.

Dieser Wert entspricht dem Parameter client_x509_cert_url in der JSON-Datei für die Authentifizierung.
Organization ID

Optional.

Die eindeutige Kennung für Ihre Google Cloud Organisation.
Service Account Json File Content

Optional.

Der vollständige JSON-Inhalt der Schlüsseldatei des Dienstkontos.

Wenn dieser Parameter angegeben wird, werden einzelne Verbindungsparameter wie Private Key ID und Private Key ignoriert.
Workload Identity Email

Optional.

Die E‑Mail-Adresse, die mit dem Workload Identity-Dienstkonto verknüpft ist.
Verify SSL

Optional.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Google Cloud IAM-Dienst validiert.

Standardmäßig aktiviert.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen in „Mein Arbeitsbereich“ beantworten und Manuelle Aktion ausführen.

Rolle erstellen

Erstellen Sie eine IAM-Rolle (Identity and Access Management).

Parameter

Anzeigename des Parameters Typ Standardwert Pflichtfeld Beschreibung
Rollen-ID String Ja Geben Sie die Rollen-ID für die neu erstellte Identity and Access Management-Rolle an.
Rollendefinition String Ja Geben Sie das JSON-Richtliniendokument an, das als Rollendefinition verwendet werden soll.

Ausführen am

Die Aktion wird nicht für Entitäten ausgeführt.

Beispiel für JSON-Code für Rollenrichtlinien

{
   "name": "projects/silver-shift-275007/roles/iam_test_role_api",
   "title": "iam_test_role_api",
   "description": "test role",
   "includedPermissions": [
       "storagetransfer.projects.getServiceAccount"
   ],
   "stage": "GA",
   "etag": "BwXBu1RHiPw="
}

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
   "name": "projects/[PROJECT_ID]/roles/[ROLE_NAME]",
   "title": "[ROLE_TITLE]",
   "description": "[ROLE_DESCRIPTION]",
   "includedPermissions": [
       "storagetransfer.projects.getServiceAccount"
   ],
   "stage": "GA",
   "etag": "[ETAG_VALUE]"
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

  • Wenn die Aktion erfolgreich ausgeführt wurde (is_success=true):

    • Die Rolle Identity and Access Management“ <roleid> wurde erstellt.

  • Wenn die angegebene role_id bereits vorhanden ist(is_success =false)

    • Die angegebene Rollen-ID<role_id> ist bereits vorhanden.

  • Wenn die bereitgestellte Rollen-JSON ungültig ist (is_success =false)

    • Das bereitgestellte JSON-Dokument für die Rollendefinition <role json> ist ungültig.

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler oder SDK-Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Rolle erstellen‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Dienstkonto erstellen

Erstellen Sie ein IAM-Dienstkonto (Identity and Access Management).

Parameter

Anzeigename des Parameters Typ Standardwert Pflichtfeld Beschreibung
Dienstkonto-ID String String Ja Geben Sie die Dienstkonto-ID an, die erstellt werden soll.
Anzeigename des Dienstkontos String String Nein Geben Sie den Anzeigenamen des zu erstellenden Dienstkontos an.
Beschreibung des Dienstkontos String String Nein Geben Sie eine Beschreibung für das zu erstellende Dienstkonto an.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
   "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
   "projectId": "PROJECT_ID",
   "uniqueId": "UNIQUE_ID",
   "email": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
   "displayName": "SERVICE_ACCOUNT_DISPLAY_NAME",
   "etag": "ETAG_VALUE",
   "description": "SERVICE_ACCOUNT_DESCRIPTION",
   "oauth2ClientId": "UNIQUE_ID"
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

  • Wenn die Aktion erfolgreich ausgeführt wurde (is_success=true):

    • Google Cloud Dienstkonto wurde erfolgreich erstellt <eindeutige ID>.

  • Wenn die Aktion nicht ausgeführt werden konnte, weil das angegebene Dienstkonto bereits vorhanden ist(is_success =false)

    • Das angegebene Dienstkonto <eindeutige ID> ist bereits vorhanden.

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler oder SDK-Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Dienstkonto erstellen‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Rolle löschen

Löschen einer IAM-Rolle (Identity and Access Management)

Parameter

Anzeigename des Parameters Typ Standardwert Pflichtfeld Beschreibung
Rollen-ID String Ja Geben Sie die Rollen-ID für die neu erstellte Identity and Access Management-Rolle an.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
   "name": "projects/[PROJECT_ID]/roles/[ROLE_NAME]",
   "title": "[ROLE_TITLE]",
   "description": "[ROLE_DESCRIPTION]",
   "includedPermissions": [
       "storagetransfer.projects.getServiceAccount"
   ],
   "stage": "GA",
   "etag": "[ETAG_VALUE]",
   "deleted": true
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

  • Wenn die Aktion erfolgreich ausgeführt wurde (is_success=true):

    • Identity and Access Management <roleid> wurde gelöscht.

  • Wenn die angegebene role_id nicht vorhanden ist(is_success =false)

    • Die angegebene Rollen-ID<role_id> ist nicht vorhanden.

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler oder SDK-Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Rolle löschen‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Dienstkonto löschen

Dienstkonto löschen Für die Aktion wird die E-Mail-Adresse des Identity and Access Management-Dienstkontos als Google SecOps-Nutzerentität erwartet.

Ausführen am

Diese Aktion wird für die Nutzerentität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

  • Bei Erfolg mindestens eine der angegebenen Entitäten: „Die folgenden Dienstkonten wurden gelöscht: {0}“.format([entity.Identifier]).

  • Wenn das Löschen aller angegebenen Einheiten fehlschlägt: „Es wurden keine Dienstkonten gelöscht.“

  • Wenn keine Daten in Identity and Access Management gefunden werden, um bestimmte Entitäten zu löschen: „Die Aktion konnte in Identity and Access Management keine Übereinstimmung für die angegebenen Entitäten finden: {0}“.format([entity.identifier])

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler oder SDK-Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Dienstkonto löschen‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Dienstkonto deaktivieren

Deaktivieren Sie das Dienstkonto. Für die Aktion wird die E-Mail-Adresse des Identity and Access Management-Dienstkontos als Google SecOps-Nutzerentität erwartet.

Ausführen am

Diese Aktion wird für die Nutzerentität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

  • Bei Erfolg mindestens einer der angegebenen Entitäten: „Die folgenden Dienstkonten wurden deaktiviert: {0}“.format([entity.Identifier]).

  • Wenn das Deaktivieren aller angegebenen Entitäten fehlschlägt: „Es wurden keine Dienstkonten deaktiviert.“

  • Wenn keine Daten in Google Cloud Identity and Access Management gefunden werden, um bestimmte Entitäten zu deaktivieren: „Die Aktion konnte in Google Cloud Identity and Access Management keine Übereinstimmung für die angegebenen Entitäten finden: {0}“.format([entity.identifier])

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler oder SDK-Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Dienstkonto deaktivieren‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Dienstkonto aktivieren

Aktivieren Sie das Dienstkonto. Für die Aktion wird die E-Mail-Adresse des Identity and Access Management-Dienstkontos als Google SecOps-Nutzerentität erwartet.

Ausführen am

Diese Aktion wird für die Nutzerentität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

  • Bei Erfolg mindestens eine der angegebenen Entitäten: „Die folgenden Dienstkonten wurden erfolgreich aktiviert: {0}“.format([entity.Identifier]).

  • Wenn alle angegebenen Entitäten nicht aktiviert werden können: „Es wurden keine Dienstkonten aktiviert.“

  • Wenn keine Daten in Identity and Access Management gefunden werden, um bestimmte Entitäten zu aktivieren: „Die Aktion konnte in Identity and Access Management keine Übereinstimmung für die angegebenen Entitäten finden: {0}“.format([entity.identifier])

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler oder SDK-Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Dienstkonto aktivieren‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Entitäten anreichern

Google SecOps-Nutzerentitäten mit Dienstkontoinformationen aus Identity and Access Management anreichern. Für die Aktion wird die E-Mail-Adresse des Identity and Access Management-Dienstkontos als Google SecOps-Nutzerentität erwartet.

Ausführen am

Diese Aktion wird für die Nutzerentität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
  "name": "projects/[PROJECT_ID]/serviceAccounts/[SERVICE_ACCOUNT_NAME]@[PROJECT_ID].iam.gserviceaccount.com",
  "projectId": "[PROJECT_ID]",
  "uniqueId": "[UNIQUE_ID]",
  "email": "[SERVICE_ACCOUNT_NAME]@[PROJECT_ID].iam.gserviceaccount.com",
  "displayName": "[DISPLAY_NAME]",
  "etag": "[ETAG]",
  "description": "[DESCRIPTION]",
  "oauth2ClientId": "[UNIQUE_ID]"
}
Entitätsanreicherung
Name des Anreicherungsfelds Logik – Wann anwenden?
Google_IAM_name
Google_IAM_project_id ..
Google_IAM_unique_id
Google_IAM_email
Google_IAM_display_name
Google_IAM_description
Google_IAM_oauth2_client_id
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

  • Bei Erfolg und wenn mindestens eine der angegebenen Entitäten angereichert wurde: „Successfully enriched entities: {0}“.format([entity.Identifier]).
  • Wenn nicht alle angegebenen Entitäten angereichert werden können: „Es wurden keine Entitäten angereichert.“
  • Wenn keine Daten in Identity and Access Management gefunden werden, um bestimmte Entitäten anzureichern: „Action was not able to find a match in Identity and Access Management to enrich provided entities: {0}“.format([entity.identifier])

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler oder SDK-Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein
Tabelle (Anreicherung)

Tabellenname: {entity}-Anreicherungstabelle

Spalten: „Schlüssel“, „Wert“

 Entität

IAM-Richtlinie für Dienstkonto abrufen

Ruft die Zugriffssteuerungsrichtlinie für das Dienstkonto ab. Für die Aktion wird die E-Mail-Adresse des Identity and Access Management-Dienstkontos als Google SecOps-Nutzerentität erwartet. Die Richtlinie kann leer sein, wenn dem Dienstkonto keine Richtlinie zugewiesen ist.

Ausführen am

Diese Aktion wird für die Nutzerentität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
   "version": 1,
   "etag": "[ETAG_VALUE]",
   "bindings": [
       {
           "role": "roles/iam.securityReviewer",
           "members": [
               "user:[USER_EMAIL]"
           ]
       }
   ]
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

  • Wenn die Aktion erfolgreich ausgeführt wurde (is_success=true):

    • „Die IAM-Richtlinie (Identity and Access Management) für die folgenden Google Cloud Dienstkonten wurde erfolgreich abgerufen: <email id1, email id 2...>

  • Wenn die Aktion keine Informationen für die Identität gefunden hat (z. B. nicht in der angegebenen E-Mail-Adresse für Google Identity and Access Management vorhanden):

    • Die Aktion konnte die IAM-Richtlinie (Identity and Access Management) für die folgenden Dienstkonten nicht abrufen: <email id1, email id2 ..> Google Cloud
  • Wenn keine Identity and Access Management-Richtlinie für alle angegebenen Entitäten gefunden wird: „Für keine der angegebenen Entitäten wurde eine Identity and Access Management-Richtlinie gefunden.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler oder SDK-Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚IAM-Richtlinie für Dienstkonto abrufen‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Rollen auflisten

IAM-Rollen (Identity and Access Management) anhand der angegebenen Suchkriterien auflisten. Aktionen funktionieren nicht für Google SecOps-Entitäten.

Parameter

Anzeigename des Parameters Typ Standardwert Pflichtfeld Beschreibung
Ansehen DDL Einfach Nein Geben Sie an, welche Ansicht verwendet werden soll, um Rolleninformationen zurückzugeben.
Maximale Anzahl zurückzugebender Zeilen Ganzzahl 50 Nein Geben Sie an, wie viele Rollen die Aktion zurückgeben soll.
Nur benutzerdefinierte Projektrollen auflisten? Kästchen Deaktiviert Nein Wenn diese Option aktiviert ist, werden nur benutzerdefinierte Rollen zurückgegeben, die für die aktuelle Projekt-ID definiert sind.
Gelöschte anzeigen Kästchen Deaktiviert Nein Wenn diese Option aktiviert ist, werden auch gelöschte Rollen zurückgegeben.

Ausführen am

Die Aktion wird nicht für Entitäten ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
   "roles": [
       {
           "name": "roles/accessapproval.approver",
           "title": "Access Approval Approver",
           "description": "Ability to view or act on access approval requests and view configuration",
           "stage": "BETA",
           "etag": "[ETAG_VALUE]"
       },
       {
           "name": "roles/accessapproval.configEditor",
           "title": "Access Approval Config Editor",
           "description": "Ability update the Access Approval configuration",
           "stage": "BETA",
           "etag": "[ETAG_VALUE]"
       }
   ]
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

  • Wenn Rollen erfolgreich aufgeführt wurden(is_success = true): „Identity and Access Management-Rollen wurden erfolgreich abgerufen.“

  • Wenn keine verfügbaren Werte vorhanden sind(is_success = false): „Für die angegebenen Eingabeparameter wurden keine Rollen zurückgegeben.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler, ungültiger Zone, SDK-Fehler wie falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Rollen auflisten‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein
Tabelle

Tabellenname: Google Cloud IAM-Rollen

Tabellenspalten:

Rollenname

Rollentitel

Rollenbeschreibung

Rollenphase

Rollen-ETag

Rollenberechtigungen

 Allgemein

Dienstkonten auflisten

IAM-Dienstkonten (Identity and Access Management) anhand der angegebenen Suchkriterien auflisten. Diese Aktion funktioniert nicht für Google SecOps-Entitäten.

Parameter

Anzeigename des Parameters Typ Standardwert Pflichtfeld Beschreibung
Anzeigename des Dienstkontos String Nein Geben Sie den Anzeigenamen des Dienstkontos an, der zurückgegeben werden soll. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String.
E-Mail-Adresse des Dienstkontos String Nein Geben Sie die E-Mail-Adresse des Dienstkontos an, die zurückgegeben werden soll. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String.
Maximale Anzahl zurückzugebender Zeilen Ganzzahl 50 Nein Geben Sie an, wie viele Rollen die Aktion zurückgeben soll.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
  "accounts": [
    {
      "name": "projects/[PROJECT_ID]/serviceAccounts/[SERVICE_ACCOUNT_NAME]@[PROJECT_ID].iam.gserviceaccount.com",
      "projectId": "[PROJECT_ID]",
      "uniqueId": "[UNIQUE_ID]",
      "email": "[SERVICE_ACCOUNT_NAME]@[PROJECT_ID].iam.gserviceaccount.com",
      "displayName": "[DISPLAY_NAME]",
      "etag": "[ETAG_VALUE]",
      "description": "[SERVICE_ACCOUNT_DESCRIPTION]",
      "oauth2ClientId": "[UNIQUE_ID]"
    }
  ]
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

  • Bei erfolgreicher Auflistung von Dienstkonten (is_success = true):
    „ Google Cloud Dienstkonten wurden abgerufen.“
  • Wenn keine verfügbaren Werte vorhanden sind(is_success = false): „Für die angegebenen Eingabeparameter wurden keine Dienstkonten zurückgegeben.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler, ungültiger Zone, SDK-Fehler wie falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Dienstkonten auflisten‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein
Tabelle

Tabellenname: Google Cloud Service Accounts

Tabellenspalten:

Name des Dienstkontos

Eindeutige ID des Dienstkontos

E-Mail-Adresse des Dienstkontos

Anzeigename des Dienstkontos

Beschreibung des Dienstkontos

OAuth2-Client-ID des Dienstkontos

 Allgemein

Ping

Testen Sie die Verbindung zum Identity and Access Management-Dienst mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabenachricht*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

  • Bei Erfolg: „Successfully connected to the Identity and Access Management service with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde erfolgreich eine Verbindung zum Identity and Access Management-Dienst hergestellt.)

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

  • Bei kritischen Fehlern wie falschen Anmeldedaten oder Verbindungsverlust: „Fehler beim Herstellen einer Verbindung zum Identity and Access Management-Dienst. Fehler: {0}".format(exception.stacktrace)
 Allgemein

Dienstkontoschlüssel rotieren

Mit der Aktion Dienstkontoschlüssel rotieren können Sie von Nutzern verwaltete Schlüssel rotieren, die mit einem Dienstkonto verknüpft sind. Bei der Rotation werden alle vorhandenen Schlüssel gelöscht und ein neuer Schlüssel wird erstellt.

Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:

  • Deployment

  • Username

Aktionseingaben

Für die Aktion Dienstkontoschlüssel rotieren sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Service Account

Optional.

Eine durch Kommas getrennte Liste von Dienstkonten, für die Schlüssel rotiert werden sollen.

Dieser Parameter funktioniert zusammen mit Entitäten. Falls angegeben, werden mit der Aktion zusätzlich zu allen im Aktionsbereich identifizierten Dienstkonto-Entitäten auch Schlüssel für diese spezifischen Konten rotiert.

Aktionsausgaben

Die Aktion Dienstkontoschlüssel rotieren bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Dienstkontoschlüssel rotieren empfangen wird:

[
    {
       "Entity": "123",
       "EntityResult": {
               "name": "projects/example-project/serviceAccounts/sample-sa@example-project.iam.gserviceaccount.com/keys/b333bbda7826af991a4d4cc4e3f83325103580ca",
               "validAfterTime": "2023-09-12T11:02:31Z",
               "validBeforeTime": "9999-12-31T23:59:59Z",
               "keyAlgorithm": "KEY_ALG_RSA_2048",
               "keyOrigin": "GOOGLE_PROVIDED",
               "keyType": "USER_MANAGED"
        }
    },
    {
       "Entity": "1234",
       "EntityResult": {
               "name": "projects/example-project/serviceAccounts/sample-sa@example-project.iam.gserviceaccount.com/keys/b333bbda7826af991a4d4cc4e3f83325103580ca",
               "validAfterTime": "2023-09-12T11:02:31Z",
               "validBeforeTime": "9999-12-31T23:59:59Z",
               "keyAlgorithm": "KEY_ALG_RSA_2048",
               "keyOrigin": "GOOGLE_PROVIDED",
               "keyType": "USER_MANAGED"
        }
    }
]
Ausgabenachrichten

Die Aktion Dienstkontoschlüssel rotieren kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully rotated keys for service account SERVICE_ACCOUNT_EMAIL in Google Cloud IAM.

The following service accounts were not found in Google Cloud IAM: SERVICE_ACCOUNT_KEYS.

None of the provided service accounts were found in Google Cloud IAM.

 Die Aktion wurde ausgeführt.
Error executing action "Rotate Service Account Keys". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Dienstkontoschlüssel rotieren aufgeführt:

Name des Scriptergebnisses Wert
is_success true oder false

IAM-Richtlinie für Dienstkonto festlegen

Legt die Zugriffssteuerungsrichtlinie für das angegebene Dienstkonto fest. Für die Aktion wird die E-Mail-Adresse des Identity and Access Management-Dienstkontos als Google SecOps-Kontoentität erwartet. Die in der Aktion angegebene Richtlinie ersetzt alle vorhandenen Richtlinien.

Parameter

Anzeigename des Parameters Typ Standardwert Pflichtfeld Beschreibung
Richtlinie String Ja Gibt das JSON-Richtliniendokument an, das für das Dienstkonto festgelegt werden soll.

Ausführen am

Diese Aktion wird für die Kontoentität ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
   "version": 1,
   "etag": "[ETAG_VALUE]",
   "bindings": [
       {
           "role": "roles/iam.securityReviewer",
           "members": [
               "user:[USER_EMAIL]"
           ]
       }
   ]
}
Fall-Repository
Ergebnistyp Wert/Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

  • Wenn einige erfolgreich sind (is_success=True):

    • Die IAM-Richtlinie (Identity and Access Management) wurde für die folgenden Google Cloud Dienstkonten festgelegt: <email id1, ...>

  • Wenn einige fehlgeschlagen sind:

    • Die Aktion konnte die IAM-Richtlinie (Identity and Access Management) für die folgenden Google Cloud Dienstkonten nicht festlegen: <email id1, ....>

  • Wenn alle Versuche fehlgeschlagen sind:

    • Es wurden keine IAM-Richtlinien (Identity and Access Management) für Dienstkonten festgelegt.

  • Wenn die bereitgestellte Richtlinien-JSON-Datei ungültig ist (is_success =false)

    • Das bereitgestellte JSON-Dokument <policy> ist ungültig.

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler oder SDK-Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere: „Fehler beim Ausführen der Aktion ‚IAM-Richtlinie für Dienstkonto festlegen‘. Grund: {0}''.format(error.Stacktrace)

 Allgemein

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten