Google Cloud Policy Intelligence
このドキュメントでは、Google Security Operations の SOAR モジュールで Policy Intelligence を構成して統合するためのガイダンスを提供します。
統合バージョン: 3.0
ユースケース
ポリシー違反の自動修復: Google SecOps の機能を使用して、正しい構成を適用することで問題を自動的に修復します。たとえば、Policy Intelligence が会社のポリシーに違反するファイアウォール ルールの構成ミスを検出した場合などです。ポリシー違反を修復すると、継続的なコンプライアンスが確保され、セキュリティ侵害のリスクが軽減されます。
インシデント対応の優先度設定: Google SecOps の機能を使用して、インシデント対応の取り組みに優先順位を付け、リスクの高いアセットに焦点を当てて、潜在的な損害を最小限に抑えます。
プロアクティブなセキュリティ ポスチャーの改善: Google SecOps の機能を使用して、より厳格なアクセス制御の実装や追加のセキュリティ ツールのデプロイなど、プロアクティブなセキュリティ ポスチャーの改善を推奨します。
セキュリティ監査の準備の自動化: Google SecOps の機能を使用して、セキュリティ監査用に Policy Intelligence レポートをわかりやすい形式に自動的にコンパイルし、コンプライアンス レポートを簡素化して手作業を減らします。
脅威のハンティングと調査: Google SecOps の機能を使用して、自動化された脅威ハンティング ワークフローを開始し、潜在的な脅威を調査し、Policy Intelligence が悪意のあるアクティビティを示す可能性のある異常なリソース構成を特定するたびにインシデント対応を迅速化します。
エンドポイント
この統合は、さまざまなアクションにさまざまなパラメータを使用して、Policy Intelligence API 内の単一の activities:query エンドポイントとやり取りします。統合のエンドポイントの例を次に示します。
https://policyintelligence.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query
始める前に
この統合を使用するには、 Google Cloud サービス アカウントが必要です。既存のサービス アカウントを使用することも、新しいサービス アカウントを作成することもできます。
サービス アカウントを作成する
サービス アカウントの作成については、サービス アカウントを作成するをご覧ください。
サービス アカウントを使用して Google Cloudに対する認証を行う場合は、JSON でサービス アカウント キーを作成し、統合パラメータを構成するときに、ダウンロードした JSON ファイルの内容を指定します。
セキュリティ上の理由から、サービス アカウント キーではなく Workload Identity Federation for GKE のメールアドレスを使用することをおすすめします。ワークロード ID の詳細については、ワークロードの ID をご覧ください。
IAM ロールを作成して構成する
Policy Intelligence に必要なロールと権限を構成するには、必要なロールと権限をご覧ください。
Policy Intelligence の統合に必要な IAM ロールを作成して構成するには、次の操作を行います。
Google Cloud コンソールで、[IAM ロール] ページに移動します。
[ロールを作成] をクリックして、統合に必要な権限を持つカスタムロールを作成します。
新しいカスタムロールの場合は、タイトル、説明、一意の ID を指定します。
[ロールのリリース段階] を [一般提供] に設定します。
作成したロールに次の権限を追加します。
policyanalyzer.serviceAccountLastAuthenticationActivities.query
[作成] をクリックします。
Policy Intelligence を Google SecOps と統合する
統合には次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
API Root |
必須
Policy Intelligence インスタンスの API ルート。 デフォルト値は |
Organization ID |
省略可 Policy Intelligence 統合で使用する組織 ID。 |
User's Service Account |
必須
サービス アカウント キーの JSON ファイルの内容。 このパラメータまたは このパラメータを構成するには、サービス アカウントの作成時にダウンロードしたサービス アカウント キーの JSON ファイルの内容全体を指定します。 |
Quota Project ID |
Optional Google Cloud API と課金に使用する Google Cloud プロジェクト ID。このパラメータを使用するには、サービス アカウントに このパラメータに値を設定しない場合、インテグレーションは Google Cloud サービス アカウントからプロジェクト ID を取得します。 |
Workload Identity Email |
Optional サービス アカウントのクライアント メールアドレス。 このパラメータまたは このパラメータを設定する場合は、 Workload Identity Federation for GKE のメールアドレスでサービス アカウントを偽装するには、サービス アカウントに |
Verify SSL |
必須
オンにすると、統合によって Policy Intelligence サーバーへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトで選択されています。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。
操作
Google Policy Intelligence の統合には、次のアクションが含まれます。
Ping
Ping アクションを使用して、Policy Intelligence への接続をテストします。
このアクションはエンティティに対しては実行されません。
アクション入力
なし
アクションの出力
Ping アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
ケースウォールで Ping アクションを実行すると、次の出力メッセージが表示されます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully connected to the Google Cloud Policy Intelligence server
with the provided connection parameters! |
アクションが成功しました。 |
Failed to connect to the Google Cloud Policy Intelligence
server! |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
サービス アカウントのアクティビティを検索する
[Search Service Account Activity] アクションを使用して、Policy Intelligence でサービス アカウントに関連するアクティビティを検索します。
このアクションはエンティティに対しては実行されません。
アクション入力
Search Service Account Activity アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Project ID |
Optional サービス アカウントのアクティビティを検索するプロジェクトの名前。 値を指定しない場合、アクションは統合構成からプロジェクト ID を抽出します。 |
Service Account Resource Name |
必須
アクティビティの取得に使用されるサービス アカウントのリソース名を含むカンマ区切りのリスト。 |
Max Activities To Return |
必須
サービス アカウントに対して返すアクティビティの数。 最大数は 1,000 です。 デフォルトでは、このアクションは 50 個のアクティビティを返します。 |
アクションの出力
[Search Service Account Activity] アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、Search Service Account Activity アクションを使用した場合に受信する JSON 結果の出力を示しています。
[
{
"Entity": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"EntityResult": [
{
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2023-05-23T07:00:00Z",
"endTime": "2023-08-20T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2023-08-20T07:00:00Z",
"serviceAccount": {
"serviceAccountId": "SERVICE_ACCOUNT_ID",
"projectNumber": "PROJECT_NUMBER",
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID"
}
}
}
]
}
]
出力メッセージ
ケースウォールで、[Search Service Account Activity] アクションは次の出力メッセージを提供します。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Search Service Account Activity".
Reason: ERROR_REASON |
操作を実行できませんでした。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[Search Service Account Activity] アクションを使用した場合のスクリプト結果の出力値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。