Google Cloud Policy Intelligence
En este documento, se proporciona orientación para ayudarte a configurar e integrar Policy Intelligence con el módulo de SOAR de Google Security Operations.
Versión de la integración: 3.0
Casos de uso
Corrección automática de incumplimientos de políticas: Usa las capacidades de SecOps de Google para corregir automáticamente los problemas aplicando la configuración correcta, por ejemplo, cuando la Inteligencia de políticas detecta una regla de firewall mal configurada que incumple la política de tu empresa. Corregir el incumplimiento de política ayuda a garantizar el cumplimiento continuo y reduce el riesgo de violaciones de seguridad.
Respuesta ante incidentes priorizada: Usa las capacidades de SecOps de Google para priorizar los esfuerzos de respuesta ante incidentes mientras te enfocas en los recursos de alto riesgo y minimizas los daños potenciales.
Mejora proactiva de la postura de seguridad: Usa las capacidades de Google SecOps para recomendar mejoras proactivas en la postura de seguridad, como implementar controles de acceso más estrictos o implementar herramientas de seguridad adicionales.
Preparación automatizada de auditorías de seguridad: Usa las capacidades de Google SecOps para compilar automáticamente los informes de Policy Intelligence en un formato fácil de entender para las auditorías de seguridad, lo que simplifica la generación de informes de cumplimiento y reduce el esfuerzo manual.
Búsqueda e investigación de amenazas: Usa las capacidades de SecOps de Google para iniciar flujos de trabajo automatizados de búsqueda de amenazas, investigar posibles amenazas y acelerar la respuesta ante incidentes cada vez que la Inteligencia de políticas identifica configuraciones de recursos inusuales que podrían indicar actividad maliciosa.
Extremos
La integración interactúa con el único extremo activities:query dentro de la API de Policy Intelligence con diferentes parámetros para diferentes acciones. A continuación, se muestra un ejemplo de un extremo para la integración:
https://policyintelligence.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query
Antes de comenzar
Para usar la integración, necesitas una cuenta de servicio de Google Cloud . Puedes usar una cuenta de servicio existente o crear una nueva.
Crea una cuenta de servicio
Para obtener orientación sobre cómo crear una cuenta de servicio, consulta Crea cuentas de servicio.
Si usas una cuenta de servicio para autenticarte en Google Cloud, crea una clave de cuenta de servicio en formato JSON y proporciona el contenido del archivo JSON descargado cuando configures los parámetros de integración.
Por motivos de seguridad, te recomendamos que uses las direcciones de correo electrónico de la federación de identidades para cargas de trabajo de GKE en lugar de una clave de cuenta de servicio. Para obtener más información sobre las identidades para cargas de trabajo, consulta Identidades para cargas de trabajo.
Crea y configura el rol de IAM
Para configurar los roles y permisos que requiere Policy Intelligence, consulta Roles y permisos requeridos.
Para crear y configurar el rol de IAM que se requiere para la integración de Policy Intelligence, completa los siguientes pasos:
En la consola de Google Cloud , ve a la página Roles de IAM.
Haz clic en Crear rol para crear un rol personalizado con los permisos necesarios para la integración.
Para un nuevo rol personalizado, proporciona el Título, la Descripción y un ID único.
Establece la etapa de lanzamiento del rol en Disponibilidad general.
Agrega el siguiente permiso al rol creado:
policyanalyzer.serviceAccountLastAuthenticationActivities.query
Haz clic en Crear.
Integra Policy Intelligence con Google SecOps
La integración requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
API Root |
Obligatorio
Es la raíz de la API de la instancia de Policy Intelligence. El valor predeterminado es |
Organization ID |
Optional
Es el ID de la organización que se usará en la integración de Policy Intelligence. |
User's Service Account |
Obligatorio
Es el contenido del archivo JSON de la clave de la cuenta de servicio. Puedes configurar este parámetro o el parámetro Para configurar este parámetro, proporciona el contenido completo del archivo JSON de la clave de la cuenta de servicio que descargaste cuando creaste una cuenta de servicio. |
Quota Project ID |
Optional El ID del proyecto Google Cloud que usas para las APIs y la facturación. Google Cloud Este parámetro requiere que otorgues el rol Si no configuras ningún valor para este parámetro, la integración recupera el ID del proyecto de tu cuenta de servicio Google Cloud . |
Workload Identity Email |
Optional Es la dirección de correo electrónico del cliente de tu cuenta de servicio. Puedes configurar este parámetro o el parámetro Si estableces este parámetro, configura el parámetro Para actuar en nombre de cuentas de servicio con la dirección de correo electrónico de Workload Identity Federation for GKE, otorga el rol |
Verify SSL |
Obligatorio
Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse al servidor de Policy Intelligence sea válido. Esta opción se selecciona de forma predeterminada. |
Si deseas obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
La integración de Google Policy Intelligence incluye las siguientes acciones:
Ping
Usa la acción Ping para probar la conectividad con Policy Intelligence.
Esta acción no se ejecuta en entidades.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
En un muro de casos, la acción Ping proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully connected to the Google Cloud Policy Intelligence server
with the provided connection parameters! |
La acción se completó correctamente. |
Failed to connect to the Google Cloud Policy Intelligence
server! |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Cómo buscar la actividad de la cuenta de servicio
Usa la acción Search Service Account Activity para buscar una actividad relacionada con las cuentas de servicio en Policy Intelligence.
Esta acción no se ejecuta en entidades.
Entradas de acción
La acción Search Service Account Activity requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Project ID |
Optional Es el nombre del proyecto en el que se buscarán las actividades de la cuenta de servicio. Si no proporcionas ningún valor, la acción extraerá el ID del proyecto de la configuración de la integración. |
Service Account Resource Name |
Obligatorio
Es una lista separada por comas que contiene los nombres de recursos de las cuentas de servicio que se usan para recuperar actividades. |
Max Activities To Return |
Obligatorio
Es la cantidad de actividades que se devolverán para una cuenta de servicio. La cantidad máxima es 1,000. De forma predeterminada, la acción devuelve 50 actividades. |
Resultados de la acción
La acción Search Service Account Activity proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Search Service Account Activity:
[
{
"Entity": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"EntityResult": [
{
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2023-05-23T07:00:00Z",
"endTime": "2023-08-20T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2023-08-20T07:00:00Z",
"serviceAccount": {
"serviceAccountId": "SERVICE_ACCOUNT_ID",
"projectNumber": "PROJECT_NUMBER",
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID"
}
}
}
]
}
]
Mensajes de salida
En un muro de casos, la acción Search Service Account Activity proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search Service Account Activity".
Reason: ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Search Service Account Activity:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.