Google Cloud Policy Intelligence
En este documento se ofrecen directrices para ayudarte a configurar e integrar Policy Intelligence con el módulo SOAR de Google Security Operations.
Versión de la integración: 3.0
Casos prácticos
Corrección automatizada de infracciones de políticas: usa las funciones de Google SecOps para corregir automáticamente los problemas aplicando la configuración correcta. Por ejemplo, cuando Policy Intelligence detecta una regla de cortafuegos mal configurada que infringe la política de tu empresa. Corregir la infracción de las políticas ayuda a garantizar el cumplimiento continuo y reduce el riesgo de que se produzcan brechas de seguridad.
Respuesta a incidentes priorizada: usa las funciones de Google SecOps para priorizar los esfuerzos de respuesta a incidentes, centrándote en los recursos de alto riesgo y minimizando los posibles daños.
Mejora proactiva de la postura de seguridad: usa las funciones de Google SecOps para recomendar mejoras proactivas de la postura de seguridad, como implementar controles de acceso más estrictos o desplegar herramientas de seguridad adicionales.
Preparación automatizada de auditorías de seguridad: usa las funciones de Google SecOps para compilar automáticamente los informes de Policy Intelligence en un formato fácil de entender para las auditorías de seguridad, lo que simplifica la creación de informes de cumplimiento y reduce el trabajo manual.
Búsqueda e investigación de amenazas: usa las funciones de Google SecOps para iniciar flujos de trabajo automatizados de búsqueda de amenazas, investigar posibles amenazas y acelerar la respuesta ante incidentes cada vez que la inteligencia de las políticas identifique configuraciones de recursos inusuales que puedan indicar actividad maliciosa.
Endpoints
La integración interactúa con el endpoint activities:query único de la API Policy Intelligence mediante diferentes parámetros para distintas acciones. A continuación, se muestra un ejemplo de un endpoint para la integración:
https://policyintelligence.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query
Antes de empezar
Para usar la integración, necesitas una Google Cloud cuenta de servicio. Puedes usar una cuenta de servicio que ya tengas o crear una.
Crear una cuenta de servicio
Para obtener instrucciones sobre cómo crear una cuenta de servicio, consulta el artículo Crear cuentas de servicio.
Si usas una cuenta de servicio para autenticarte en Google Cloud, crea una clave de cuenta de servicio en JSON y proporciona el contenido del archivo JSON descargado al configurar los parámetros de integración.
Por motivos de seguridad, te recomendamos que uses la federación de identidades de carga de trabajo para las direcciones de correo de GKE en lugar de una clave de cuenta de servicio. Para obtener más información sobre las identidades de carga de trabajo, consulta Identidades de cargas de trabajo.
Crear y configurar el rol de gestión de identidades y accesos
Para configurar los roles y permisos que requiere Policy Intelligence, consulta Roles y permisos necesarios.
Para crear y configurar el rol de gestión de identidades y accesos que se necesita para la integración de Policy Intelligence, sigue estos pasos:
En la Google Cloud consola, ve a la página Roles de gestión de identidades y accesos.
Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.
Para crear un rol personalizado, indica el título, la descripción y un ID único.
En Fase de lanzamiento del rol, selecciona Disponibilidad general.
Añade el siguiente permiso al rol creado:
policyanalyzer.serviceAccountLastAuthenticationActivities.query
Haz clic en Crear.
Integrar Policy Intelligence con Google SecOps
La integración requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
API Root |
Obligatorio
La raíz de la API de la instancia de Policy Intelligence. El valor predeterminado es |
Organization ID |
Optional
El ID de la organización que se va a usar en la integración de Policy Intelligence. |
User's Service Account |
Obligatorio
El contenido del archivo JSON de la clave de la cuenta de servicio. Puede configurar este parámetro o el parámetro Para configurar este parámetro, proporciona el contenido completo del archivo JSON de la clave de la cuenta de servicio que has descargado al crear una cuenta de servicio. |
Quota Project ID |
Optional El Google Cloud ID de proyecto que usas para las APIs Google Cloud y la facturación. Para usar este parámetro, debe conceder el rol Si no asignas ningún valor a este parámetro, la integración obtiene el ID de proyecto de tu cuenta de servicio Google Cloud . |
Workload Identity Email |
Optional La dirección de correo del cliente de tu cuenta de servicio. Puede configurar este parámetro o el parámetro Si defines este parámetro, configura el parámetro Para suplantar cuentas de servicio con la dirección de correo de Workload Identity Federation for GKE, asigna el rol |
Verify SSL |
Obligatorio
Si se selecciona, la integración verifica que el certificado SSL para conectarse al servidor de Estadísticas de políticas sea válido. Esta opción está seleccionada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta el artículo Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
La integración de Google Policy Intelligence incluye las siguientes acciones:
Ping
Usa la acción Ping para probar la conectividad con Policy Intelligence.
Esta acción no se ejecuta en entidades.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
En un panel de casos, la acción Ping proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully connected to the Google Cloud Policy Intelligence server
with the provided connection parameters! |
La acción se ha realizado correctamente. |
Failed to connect to the Google Cloud Policy Intelligence
server! |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Buscar actividad de la cuenta de servicio
Usa la acción Buscar actividad de cuenta de servicio para buscar una actividad relacionada con cuentas de servicio en Estadísticas de políticas.
Esta acción no se ejecuta en entidades.
Entradas de acciones
La acción Actividad de la cuenta de servicio de búsqueda requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Project ID |
Optional Nombre del proyecto en el que se buscarán las actividades de la cuenta de servicio. Si no proporciona ningún valor, la acción extraerá el ID de proyecto de la configuración de la integración. |
Service Account Resource Name |
Obligatorio
Lista separada por comas que contiene los nombres de recurso de las cuentas de servicio usadas para obtener actividades. |
Max Activities To Return |
Obligatorio
Número de actividades que se devuelven de una cuenta de servicio. El número máximo es 1000. De forma predeterminada, la acción devuelve 50 actividades. |
Resultados de la acción
La acción Actividad de cuenta de servicio de búsqueda proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Buscar actividad de cuenta de servicio:
[
{
"Entity": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"EntityResult": [
{
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2023-05-23T07:00:00Z",
"endTime": "2023-08-20T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2023-08-20T07:00:00Z",
"serviceAccount": {
"serviceAccountId": "SERVICE_ACCOUNT_ID",
"projectNumber": "PROJECT_NUMBER",
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID"
}
}
}
]
}
]
Mensajes de salida
En un panel de casos, la acción Actividad de la cuenta de servicio de búsqueda proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search Service Account Activity".
Reason: ERROR_REASON |
Ha fallado la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Buscar actividad de cuenta de servicio:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.