Google Cloud Policy Intelligence
Dieses Dokument enthält Anleitungen zum Konfigurieren und Einbinden von Policy Intelligence in das SOAR-Modul von Google Security Operations.
Integrationsversion: 3.0
Anwendungsfälle
Automatisierte Behebung von Richtlinienverstößen:Nutzen Sie die Google SecOps-Funktionen, um Probleme automatisch zu beheben, indem Sie die richtige Konfiguration anwenden. Das kann beispielsweise der Fall sein, wenn Policy Intelligence eine falsch konfigurierte Firewallregel erkennt, die gegen die Unternehmensrichtlinie verstößt. Durch die Behebung des Richtlinienverstoßes wird die kontinuierliche Compliance sichergestellt und das Risiko von Sicherheitsverletzungen verringert.
Priorisierte Reaktion auf Vorfälle:Nutzen Sie die Google SecOps-Funktionen, um die Reaktion auf Vorfälle zu priorisieren und sich dabei auf Assets mit hohem Risiko zu konzentrieren und potenzielle Schäden zu minimieren.
Proaktive Verbesserung des Sicherheitsstatus:Mit den Google SecOps-Funktionen können Sie proaktive Verbesserungen des Sicherheitsstatus empfehlen, z. B. die Implementierung strengerer Zugriffssteuerungen oder die Bereitstellung zusätzlicher Sicherheitstools.
Automatisierte Vorbereitung von Sicherheitsprüfungen:Mit den Google SecOps-Funktionen können Sie Policy Intelligence-Berichte automatisch in ein für Sicherheitsprüfungen verständliches Format umwandeln. So wird die Compliance-Berichterstellung vereinfacht und der manuelle Aufwand reduziert.
Bedrohungssuche und ‑untersuchung:Mit den Google SecOps-Funktionen können Sie automatisierte Workflows zur Bedrohungssuche starten, potenzielle Bedrohungen untersuchen und die Reaktion auf Vorfälle beschleunigen, wenn Policy Intelligence ungewöhnliche Ressourcenkonfigurationen erkennt, die auf schädliche Aktivitäten hindeuten könnten.
Endpunkte
Die Integration interagiert mit dem einzelnen activities:query-Endpunkt in der Policy Intelligence API und verwendet dabei unterschiedliche Parameter für verschiedene Aktionen. Hier sehen Sie ein Beispiel für einen Endpunkt für die Integration:
https://policyintelligence.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query
Hinweise
Um die Integration nutzen zu können, benötigen Sie ein Google Cloud -Dienstkonto. Sie können ein vorhandenes Dienstkonto verwenden oder ein neues erstellen.
Dienstkonto erstellen
Eine Anleitung zum Erstellen eines Dienstkontos finden Sie unter Dienstkonten erstellen.
Wenn Sie ein Dienstkonto zur Authentifizierung bei Google Cloudverwenden, erstellen Sie einen Dienstkontoschlüssel in JSON und geben Sie den Inhalt der heruntergeladenen JSON-Datei bei der Konfiguration der Integrationsparameter an.
Aus Sicherheitsgründen empfehlen wir, Workload Identity Federation for GKE-E-Mail-Adressen anstelle eines Dienstkontoschlüssels zu verwenden. Weitere Informationen zu den Workload Identitys finden Sie unter Identitäten für Arbeitslasten.
IAM-Rolle erstellen und konfigurieren
Informationen zum Konfigurieren der Rollen und Berechtigungen, die für Policy Intelligence erforderlich sind, finden Sie unter Erforderliche Rollen und Berechtigungen.
So erstellen und konfigurieren Sie die IAM-Rolle, die für die Policy Intelligence-Integration erforderlich ist:
Rufen Sie in der Google Cloud -Console die Seite IAM-Rollen auf.
Klicken Sie auf Rolle erstellen, um eine benutzerdefinierte Rolle mit den für die Integration erforderlichen Berechtigungen zu erstellen.
Geben Sie für eine neue benutzerdefinierte Rolle den Titel, die Beschreibung und eine eindeutige ID an.
Legen Sie die Rollenstartphase auf Allgemeine Verfügbarkeit fest.
Fügen Sie der erstellten Rolle die folgende Berechtigung hinzu:
policyanalyzer.serviceAccountLastAuthenticationActivities.query
Klicken Sie auf Erstellen.
Policy Intelligence in Google SecOps einbinden
Für die Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
API Root |
Erforderlich
Der API-Stamm der Policy Intelligence-Instanz. Der Standardwert ist |
Organization ID |
Optional
Die Organisations-ID, die in der Policy Intelligence-Integration verwendet werden soll. |
User's Service Account |
Erforderlich
Der Inhalt der JSON-Datei des Dienstkontoschlüssels. Sie können entweder diesen Parameter oder den Parameter Geben Sie zum Konfigurieren dieses Parameters den vollständigen Inhalt der JSON-Datei des Dienstkontoschlüssels an, die Sie beim Erstellen eines Dienstkontos heruntergeladen haben. |
Quota Project ID |
Optional Die Google Cloud -Projekt-ID, die Sie für Google Cloud -APIs und die Abrechnung verwenden. Für diesen Parameter müssen Sie Ihrem Dienstkonto die Rolle Wenn Sie für diesen Parameter keinen Wert festlegen, ruft die Integration die Projekt-ID aus Ihrem Google Cloud Dienstkonto ab. |
Workload Identity Email |
Optional Die Client-E‑Mail-Adresse Ihres Dienstkontos. Sie können entweder diesen Parameter oder den Parameter Wenn Sie diesen Parameter festlegen, konfigurieren Sie den Parameter Wenn Sie die Identität von Dienstkonten mit der E-Mail-Adresse der Workload Identity Federation for GKE übernehmen möchten, weisen Sie Ihrem Dienstkonto die Rolle |
Verify SSL |
Erforderlich
Wenn diese Option ausgewählt ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Policy Intelligence-Server gültig ist. Standardmäßig ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Die Google Policy Intelligence-Integration umfasst die folgenden Aktionen:
Ping
Mit der Ping-Aktion können Sie die Verbindung zu Policy Intelligence testen.
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion „Ping“ liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
In einer Fallwand werden bei der Ping-Aktion die folgenden Ausgabenachrichten angezeigt:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully connected to the Google Cloud Policy Intelligence server
with the provided connection parameters! |
Aktion erfolgreich. |
Failed to connect to the Google Cloud Policy Intelligence
server! |
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Ping“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Dienstkontoaktivitäten suchen
Mit der Aktion „Dienstkontoaktivität suchen“ können Sie in Policy Intelligence nach Aktivitäten im Zusammenhang mit Dienstkonten suchen.
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionseingaben
Für die Aktion „Search Service Account Activity“ (Dienstkontoaktivität durchsuchen) sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Project ID |
Optional Der Name des Projekts, in dem nach Dienstkontoaktivitäten gesucht werden soll. Wenn Sie keinen Wert angeben, wird die Projekt-ID aus der Integrationskonfiguration extrahiert. |
Service Account Resource Name |
Erforderlich
Eine durch Kommas getrennte Liste mit den Ressourcennamen der Dienstkonten, die zum Abrufen von Aktivitäten verwendet werden. |
Max Activities To Return |
Erforderlich
Die Anzahl der Aktivitäten, die für ein Dienstkonto zurückgegeben werden sollen. Die maximale Anzahl beträgt 1.000. Standardmäßig werden durch die Aktion 50 Aktivitäten zurückgegeben. |
Aktionsausgaben
Die Aktion „Dienstkontoaktivität durchsuchen“ bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion „Search Service Account Activity“ (Dienstkontoaktivität suchen) empfangen wird:
[
{
"Entity": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"EntityResult": [
{
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2023-05-23T07:00:00Z",
"endTime": "2023-08-20T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2023-08-20T07:00:00Z",
"serviceAccount": {
"serviceAccountId": "SERVICE_ACCOUNT_ID",
"projectNumber": "PROJECT_NUMBER",
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID"
}
}
}
]
}
]
Ausgabemeldungen
In einem Fall-Repository werden mit der Aktion „Search Service Account Activity“ (Dienstkontoaktivität durchsuchen) die folgenden Ausgabemeldungen generiert:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Aktion erfolgreich. |
Error executing action "Search Service Account Activity".
Reason: ERROR_REASON |
Aktion fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion „Dienstkontoaktivität durchsuchen“ beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten