Google Cloud Policy Intelligence

Dokumen ini memberikan panduan untuk membantu Anda mengonfigurasi dan mengintegrasikan Policy Intelligence dengan modul SOAR Google Security Operations.

Versi integrasi: 3.0

Kasus penggunaan

  • Perbaikan otomatis pelanggaran kebijakan: Gunakan kemampuan Google SecOps untuk otomatis memperbaiki masalah dengan menerapkan konfigurasi yang benar—misalnya, saat Policy Intelligence mendeteksi aturan firewall yang salah dikonfigurasi yang melanggar kebijakan perusahaan Anda. Memperbaiki pelanggaran kebijakan membantu memastikan kepatuhan berkelanjutan dan mengurangi risiko pelanggaran keamanan.

  • Respons insiden yang diprioritaskan: Gunakan kemampuan Google SecOps untuk memprioritaskan upaya respons insiden sambil berfokus pada aset berisiko tinggi dan meminimalkan potensi kerusakan.

  • Peningkatan postur keamanan proaktif: Gunakan kemampuan Google SecOps untuk merekomendasikan peningkatan postur keamanan proaktif, seperti menerapkan kontrol akses yang lebih ketat atau men-deploy alat keamanan tambahan.

  • Persiapan audit keamanan otomatis: Gunakan kemampuan Google SecOps untuk mengompilasi laporan Policy Intelligence secara otomatis ke dalam format yang mudah dipahami untuk audit keamanan, sehingga menyederhanakan pelaporan kepatuhan dan mengurangi upaya manual.

  • Perburuan dan investigasi ancaman: Gunakan kemampuan Google SecOps untuk memulai alur kerja perburuan ancaman otomatis, menyelidiki potensi ancaman, dan mempercepat respons insiden setiap kali Policy Intelligence mengidentifikasi konfigurasi resource yang tidak biasa yang mungkin mengindikasikan aktivitas berbahaya.

Endpoint

Integrasi berinteraksi dengan endpoint activities:query tunggal dalam Policy Intelligence API menggunakan parameter yang berbeda untuk berbagai tindakan. Berikut adalah contoh endpoint untuk integrasi:

https://policyintelligence.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query

Sebelum memulai

Untuk menggunakan integrasi, Anda memerlukan akun layanan Google Cloud . Anda dapat menggunakan akun layanan yang ada atau membuat yang baru.

Membuat akun layanan

Untuk mendapatkan panduan tentang cara membuat akun layanan, lihat Membuat akun layanan.

Jika Anda menggunakan akun layanan untuk melakukan autentikasi ke Google Cloud, buat kunci akun layanan dalam JSON dan berikan konten file JSON yang didownload saat mengonfigurasi parameter integrasi.

Untuk alasan keamanan, sebaiknya gunakan alamat email Workload Identity Federation untuk GKE, bukan kunci akun layanan. Untuk mengetahui informasi selengkapnya tentang identitas beban kerja, lihat Identitas untuk beban kerja.

Membuat dan mengonfigurasi peran IAM

Untuk mengonfigurasi peran dan izin yang diperlukan Policy Intelligence, lihat Peran dan izin yang diperlukan.

Untuk membuat dan mengonfigurasi peran IAM yang diperlukan untuk integrasi Policy Intelligence, selesaikan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman IAM Roles.

    Buka Peran IAM

  2. Klik Buat peran untuk membuat peran kustom dengan izin yang diperlukan untuk integrasi.

  3. Untuk peran khusus baru, berikan Judul, Deskripsi, dan ID unik.

  4. Tetapkan Role Launch Stage ke General Availability.

  5. Tambahkan izin berikut ke peran yang dibuat:

    • policyanalyzer.serviceAccountLastAuthenticationActivities.query

  6. Klik Buat.

Mengintegrasikan Policy Intelligence dengan Google SecOps

Integrasi memerlukan parameter berikut:

Parameter Deskripsi
API Root Wajib

Root API instance Policy Intelligence.

Nilai defaultnya adalah https://policyanalyzer.googleapis.com.

Organization ID Opsional

ID organisasi yang akan digunakan dalam integrasi Policy Intelligence.
User's Service Account Wajib

Konten file JSON kunci akun layanan.

Anda dapat mengonfigurasi parameter ini, atau parameter Workload Identity Email.

Untuk mengonfigurasi parameter ini, berikan konten lengkap file JSON kunci akun layanan yang telah Anda download saat membuat akun layanan.
Quota Project ID Opsional

Google Cloud Project ID yang Anda gunakan untuk Google Cloud API dan penagihan. Parameter ini mengharuskan Anda memberikan peran Service Usage Consumer ke akun layanan Anda.

Jika Anda tidak menetapkan nilai untuk parameter ini, integrasi akan mengambil project ID dari akun layanan Google Cloud Anda.
Workload Identity Email Opsional

Alamat email klien akun layanan Anda.

Anda dapat mengonfigurasi parameter ini atau parameter User's Service Account.

Jika Anda menetapkan parameter ini, konfigurasi parameter Quota Project ID.

Untuk meniru identitas akun layanan dengan alamat email Workload Identity Federation for GKE, berikan peran Service Account Token Creator ke akun layanan Anda. Untuk mengetahui detail selengkapnya tentang identitas beban kerja dan cara menggunakannya, lihat Identitas untuk beban kerja.
Verify SSL Wajib

Jika dipilih, integrasi akan memverifikasi bahwa sertifikat SSL untuk menghubungkan ke server Policy Intelligence valid.

Dipilih secara default.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Integrasi Google Policy Intelligence mencakup tindakan berikut:

Ping

Gunakan tindakan Ping untuk menguji konektivitas ke Policy Intelligence.

Tindakan ini tidak dijalankan di entity.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Pesan output

Di Repositori Kasus, tindakan Ping memberikan pesan output berikut:

Pesan output Deskripsi pesan
Successfully connected to the Google Cloud Policy Intelligence server with the provided connection parameters! Tindakan berhasil.
Failed to connect to the Google Cloud Policy Intelligence server!

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Nama hasil skrip Nilai
is_success True atau False

Menelusuri Aktivitas Akun Layanan

Gunakan tindakan Search Service Account Activity untuk menelusuri aktivitas yang terkait dengan akun layanan di Policy Intelligence.

Tindakan ini tidak dijalankan di entity.

Input tindakan

Tindakan Aktivitas Akun Layanan Penelusuran memerlukan parameter berikut:

Parameter Deskripsi
Project ID Opsional

Nama project untuk menelusuri aktivitas akun layanan.

Jika Anda tidak memberikan nilai, tindakan akan mengekstrak project ID dari konfigurasi integrasi.
Service Account Resource Name Wajib

Daftar yang dipisahkan koma yang berisi nama resource akun layanan yang digunakan untuk mengambil aktivitas.
Max Activities To Return Wajib

Jumlah aktivitas yang akan ditampilkan untuk akun layanan.

Jumlah maksimumnya adalah 1.000.

Secara default, tindakan ini menampilkan 50 aktivitas.

Output tindakan

Tindakan Aktivitas Akun Layanan Penelusuran memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Search Service Account Activity:

[
  {
    "Entity": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
    "EntityResult": [
      {
        "fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
        "activityType": "serviceAccountLastAuthentication",
        "observationPeriod": {
          "startTime": "2023-05-23T07:00:00Z",
          "endTime": "2023-08-20T07:00:00Z"
        },
        "activity": {
          "lastAuthenticatedTime": "2023-08-20T07:00:00Z",
          "serviceAccount": {
            "serviceAccountId": "SERVICE_ACCOUNT_ID",
            "projectNumber": "PROJECT_NUMBER",
            "fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID"
          }
        }
      }
    ]
  }
]
Pesan output

Di Repositori Kasus, tindakan Search Service Account Activity memberikan pesan output berikut:

Pesan output Deskripsi pesan

Successfully found activity for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS

No activity was found for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS

No activity was found for the provided service accounts in Google Cloud Policy Intelligence

 Tindakan berhasil.
Error executing action "Search Service Account Activity". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Search Service Account Activity:

Nama hasil skrip Nilai
is_success True atau False

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.