Google Cloud Policy Intelligence

이 문서에서는 Google Security Operations의 SOAR 모듈을 사용하여 정책 인텔리전스를 구성하고 통합하는 방법을 안내합니다.

통합 버전: 3.0

사용 사례

  • 자동 정책 위반 해결: Google SecOps 기능을 사용하여 올바른 구성을 적용하여 문제를 자동으로 해결합니다. 예를 들어 정책 인텔리전스에서 회사 정책을 위반하는 잘못 구성된 방화벽 규칙을 감지하는 경우입니다. 정책 위반을 해결하면 지속적인 규정 준수를 보장하고 보안 침해 위험을 줄일 수 있습니다.

  • 우선순위가 지정된 사고 대응: Google SecOps 기능을 사용하여 위험도가 높은 애셋에 집중하고 잠재적 피해를 최소화하면서 사고 대응 노력을 우선순위로 지정합니다.

  • 선제적 보안 상황 개선: Google SecOps 기능을 사용하여 더 엄격한 액세스 제어 구현 또는 추가 보안 도구 배포와 같은 선제적 보안 상황 개선을 추천합니다.

  • 자동화된 보안 감사 준비: Google SecOps 기능을 사용하여 정책 인텔리전스 보고서를 보안 감사를 위해 이해하기 쉬운 형식으로 자동 컴파일하여 규정 준수 보고를 간소화하고 수동 노력을 줄입니다.

  • 위협 탐지 및 조사: 정책 인텔리전스에서 악성 활동을 나타낼 수 있는 비정상적인 리소스 구성을 식별할 때마다 Google SecOps 기능을 사용하여 자동화된 위협 탐지 워크플로를 시작하고, 잠재적인 위협을 조사하고, 침해 사고 대응 속도를 높입니다.

엔드포인트

통합은 다양한 작업에 다양한 매개변수를 사용하여 정책 인텔리전스 API 내의 단일 activities:query 엔드포인트와 상호작용합니다. 다음은 통합의 엔드포인트의 예입니다.

https://policyintelligence.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query

시작하기 전에

통합을 사용하려면 Google Cloud 서비스 계정이 필요합니다. 기존 서비스 계정을 사용하거나 새 계정을 만들 수 있습니다.

서비스 계정 만들기

서비스 계정 만들기에 관한 안내는 서비스 계정 만들기를 참고하세요.

서비스 계정을 사용하여 Google Cloud에 인증하는 경우 JSON으로 서비스 계정 키를 만들고 통합 매개변수를 구성할 때 다운로드한 JSON 파일의 콘텐츠를 제공합니다.

보안상의 이유로 서비스 계정 키 대신 GKE용 워크로드 아이덴티티 제휴 이메일 주소를 사용하는 것이 좋습니다. 워크로드 아이덴티티에 대한 자세한 내용은 워크로드의 아이덴티티를 참고하세요.

IAM 역할 만들기 및 구성

정책 인텔리전스에 필요한 역할과 권한을 구성하려면 필요한 역할과 권한을 참고하세요.

정책 인텔리전스 통합에 필요한 IAM 역할을 만들고 구성하려면 다음 단계를 완료하세요.

  1. Google Cloud 콘솔에서 IAM 역할 페이지로 이동합니다.

    IAM 역할로 이동

  2. 역할 만들기를 클릭하여 통합에 필요한 권한이 있는 커스텀 역할을 만듭니다.

  3. 새 커스텀 역할의 경우 제목, 설명, 고유 ID를 제공합니다.

  4. 역할 출시 단계정식 버전으로 설정합니다.

  5. 생성된 역할에 다음 권한을 추가합니다.

    • policyanalyzer.serviceAccountLastAuthenticationActivities.query
  6. 만들기를 클릭합니다.

Google SecOps와 정책 인텔리전스 통합

통합에는 다음 매개변수가 필요합니다.

매개변수 설명
API Root 필수

Policy Intelligence 인스턴스의 API 루트입니다.

기본값은 https://policyanalyzer.googleapis.com입니다.

Organization ID 선택사항

정책 인텔리전스 통합에 사용할 조직 ID입니다.

User's Service Account 필수

서비스 계정 키 JSON 파일의 콘텐츠입니다.

이 매개변수 또는 Workload Identity Email 매개변수를 구성할 수 있습니다.

이 매개변수를 구성하려면 서비스 계정을 만들 때 다운로드한 서비스 계정 키 JSON 파일의 전체 콘텐츠를 제공하세요.

Quota Project ID 선택사항

Google Cloud API 및 결제에 사용하는 Google Cloud 프로젝트 ID입니다. 이 매개변수를 사용하려면 서비스 계정에 Service Usage Consumer 역할을 부여해야 합니다.

이 매개변수에 값을 설정하지 않으면 통합에서 Google Cloud 서비스 계정에서 프로젝트 ID를 가져옵니다.

Workload Identity Email 선택사항

서비스 계정의 클라이언트 이메일 주소입니다.

이 매개변수 또는 User's Service Account 매개변수를 구성할 수 있습니다.

이 매개변수를 설정하는 경우 Quota Project ID 매개변수를 구성합니다.

GKE용 워크로드 아이덴티티 제휴 이메일 주소로 서비스 계정을 가장하려면 서비스 계정에 Service Account Token Creator 역할을 부여하세요. 워크로드 아이덴티티 및 워크로드 아이덴티티 사용 방법에 관한 자세한 내용은 워크로드 아이덴티티를 참고하세요.

Verify SSL 필수

선택하면 통합에서 정책 인텔리전스 서버에 연결하는 데 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되어 있습니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스 구성 및 지원에 대한 자세한 내용은 다중 인스턴스 지원을 참고하세요.

작업

Google 정책 인텔리전스 통합에는 다음 작업이 포함됩니다.

핑 작업을 사용하여 Policy Intelligence와의 연결을 테스트합니다.

이 작업은 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

케이스 월에서 핑 작업은 다음 출력 메시지를 제공합니다.

출력 메시지 메시지 설명
Successfully connected to the Google Cloud Policy Intelligence server with the provided connection parameters! 작업이 완료되었습니다.
Failed to connect to the Google Cloud Policy Intelligence server!

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에서는 Ping 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.

스크립트 결과 이름
is_success True 또는 False

서비스 계정 활동 검색

'서비스 계정 활동 검색' 작업을 사용하여 Policy Intelligence에서 서비스 계정과 관련된 활동을 검색합니다.

이 작업은 항목에서 실행되지 않습니다.

작업 입력

서비스 계정 활동 검색 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Project ID 선택사항

서비스 계정 활동을 검색할 프로젝트의 이름입니다.

값을 제공하지 않으면 작업에서 통합 구성에서 프로젝트 ID를 추출합니다.

Service Account Resource Name 필수

활동을 가져오는 데 사용되는 서비스 계정의 리소스 이름을 포함하는 쉼표로 구분된 목록입니다.

Max Activities To Return 필수

서비스 계정에 대해 반환할 활동 수입니다.

최대 개수는 1,000개입니다.

기본적으로 이 작업은 활동 50개를 반환합니다.

작업 출력

'검색 서비스 계정 활동' 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용 가능
출력 메시지 사용 가능
스크립트 결과 사용 가능
JSON 결과

다음 예에서는 서비스 계정 활동 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 설명합니다.

[
  {
    "Entity": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
    "EntityResult": [
      {
        "fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
        "activityType": "serviceAccountLastAuthentication",
        "observationPeriod": {
          "startTime": "2023-05-23T07:00:00Z",
          "endTime": "2023-08-20T07:00:00Z"
        },
        "activity": {
          "lastAuthenticatedTime": "2023-08-20T07:00:00Z",
          "serviceAccount": {
            "serviceAccountId": "SERVICE_ACCOUNT_ID",
            "projectNumber": "PROJECT_NUMBER",
            "fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID"
          }
        }
      }
    ]
  }
]
출력 메시지

케이스 월에서 서비스 계정 활동 검색 작업은 다음 출력 메시지를 제공합니다.

출력 메시지 메시지 설명

Successfully found activity for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS

No activity was found for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS

No activity was found for the provided service accounts in Google Cloud Policy Intelligence

작업이 완료되었습니다.
Error executing action "Search Service Account Activity". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에서는 서비스 계정 활동 검색 작업을 사용할 때 스크립트 결과 출력의 값을 설명합니다.

스크립트 결과 이름
is_success True 또는 False

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.