Google Cloud Inteligência de políticas
Este documento fornece orientações para ajudar a configurar e integrar a inteligência de políticas com o módulo SOAR do Google Security Operations.
Versão da integração: 3.0
Exemplos de utilização
Remediação automática de violações de políticas: use as capacidades do Google SecOps para remediar automaticamente problemas aplicando a configuração correta. Por exemplo, quando a Policy Intelligence deteta uma regra de firewall configurada incorretamente que viola a política da sua empresa. A correção da violação de políticas ajuda a garantir a conformidade contínua e reduz o risco de violações de segurança.
Resposta a incidentes prioritária: use as capacidades do Google SecOps para dar prioridade aos esforços de resposta a incidentes, enquanto se foca em recursos de alto risco e minimiza potenciais danos.
Melhoria proativa da postura de segurança: use as capacidades do Google SecOps para recomendar melhorias proativas da postura de segurança, como a implementação de controlos de acesso mais rigorosos ou a implementação de ferramentas de segurança adicionais.
Preparação automatizada de auditorias de segurança: use as capacidades do Google SecOps para compilar automaticamente os relatórios de informações sobre políticas num formato acessível para auditorias de segurança, simplificando os relatórios de conformidade e reduzindo o esforço manual.
Procura e investigação de ameaças: use as capacidades do Google SecOps para iniciar fluxos de trabalho de procura de ameaças automatizados, investigar potenciais ameaças e acelerar a resposta a incidentes sempre que a inteligência de políticas identifica configurações de recursos invulgares que podem indicar atividade maliciosa.
Pontos finais
A integração interage com o ponto final activities:query único na API Policy Intelligence através de parâmetros diferentes para diferentes ações. Segue-se um exemplo de um ponto final para a integração:
https://policyintelligence.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query
Antes de começar
Para usar a integração, precisa de uma Google Cloud conta de serviço. Pode usar uma conta de serviço existente ou criar uma nova.
Criar uma conta de serviço
Para orientações sobre como criar uma conta de serviço, consulte o artigo Criar contas de serviço.
Se usar uma conta de serviço para fazer a autenticação no Google Cloud, crie uma chave de conta de serviço em JSON e faculte o conteúdo do ficheiro JSON transferido quando configurar os parâmetros de integração.
Por motivos de segurança, recomendamos que use a Workload Identity Federation para endereços de email do GKE, em vez de uma chave de conta de serviço. Para mais informações sobre as identidades de cargas de trabalho, consulte o artigo Identidades para cargas de trabalho.
Crie e configure a função IAM
Para configurar as funções e as autorizações necessárias para a inteligência de políticas, consulte o artigo Funções e autorizações necessárias.
Para criar e configurar a função do IAM necessária para a integração da Policy Intelligence, conclua os seguintes passos:
Na Google Cloud consola, aceda à página Funções da IAM.
Clique em Criar função para criar uma função personalizada com as autorizações necessárias para a integração.
Para uma nova função personalizada, indique o Título, a Descrição e um ID exclusivo.
Defina o Role Launch Stage como General Availability.
Adicione a seguinte autorização à função criada:
policyanalyzer.serviceAccountLastAuthenticationActivities.query
Clique em Criar.
Integre a inteligência de políticas com o Google SecOps
A integração requer os seguintes parâmetros:
| Parâmetros | Descrição |
|---|---|
API Root |
Obrigatório
A raiz da API da instância da inteligência das políticas. O valor predefinido é |
Organization ID |
Opcional
O ID da organização a usar na integração do Policy Intelligence. |
User's Service Account |
Obrigatório
O conteúdo do ficheiro JSON da chave da conta de serviço. Pode configurar este parâmetro ou o parâmetro Para configurar este parâmetro, faculte o conteúdo completo do ficheiro JSON da chave da conta de serviço que transferiu quando criou uma conta de serviço. |
Quota Project ID |
Opcional O Google Cloud ID do projeto que usa para
Google Cloud APIs e faturação. Este parâmetro requer que conceda a função Se não definir nenhum valor para este parâmetro, a integração obtém o ID do projeto da sua Google Cloud conta de serviço. |
Workload Identity Email |
Opcional O endereço de email do cliente da sua conta de serviço. Pode configurar este parâmetro ou o parâmetro Se definir este parâmetro, configure o parâmetro Para usar a identidade de contas de serviço com a federação de identidades da carga de trabalho para o endereço de email do GKE, conceda a função |
Verify SSL |
Obrigatório
Se esta opção estiver selecionada, a integração verifica se o certificado SSL para a ligação ao servidor de informações sobre políticas é válido. Selecionado por predefinição. |
Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
A integração do Google Policy Intelligence inclui as seguintes ações:
Tchim-tchim
Use a ação Ping para testar a conetividade com a inteligência de políticas.
Esta ação não é executada em entidades.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
Num mural de registos, a ação Ping apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully connected to the Google Cloud Policy Intelligence server
with the provided connection parameters! |
Ação efetuada com êxito. |
Failed to connect to the Google Cloud Policy Intelligence
server! |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atividade da conta de serviço de pesquisa
Use a ação Atividade da conta de serviço de pesquisa para pesquisar uma atividade relacionada com contas de serviço na Policy Intelligence.
Esta ação não é executada em entidades.
Dados de ações
A ação de atividade da conta de serviço de pesquisa requer os seguintes parâmetros:
| Parâmetros | Descrição |
|---|---|
Project ID |
Opcional O nome do projeto no qual pesquisar as atividades da conta de serviço. Se não fornecer nenhum valor, a ação extrai o ID do projeto da configuração da integração. |
Service Account Resource Name |
Obrigatório
Uma lista separada por vírgulas que contém os nomes dos recursos das contas de serviço usadas para obter atividades. |
Max Activities To Return |
Obrigatório
O número de atividades a devolver para uma conta de serviço. O número máximo é 1000. Por predefinição, a ação devolve 50 atividades. |
Resultados da ação
A ação de atividade da conta de serviço de pesquisa fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Search Service Account Activity:
[
{
"Entity": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"EntityResult": [
{
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2023-05-23T07:00:00Z",
"endTime": "2023-08-20T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2023-08-20T07:00:00Z",
"serviceAccount": {
"serviceAccountId": "SERVICE_ACCOUNT_ID",
"projectNumber": "PROJECT_NUMBER",
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID"
}
}
}
]
}
]
Mensagens de saída
Numa Case Wall, a ação Atividade da conta de serviço de pesquisa fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
Ação efetuada com êxito. |
Error executing action "Search Service Account Activity".
Reason: ERROR_REASON |
Falha na ação. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores para o resultado do script quando usa a ação de atividade da conta de serviço de pesquisa:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.