Google Cloud Policy Intelligence

Este documento fornece orientações para ajudar você a configurar e integrar o Policy Intelligence ao módulo SOAR do Google Security Operations.

Casos de uso

  • Correção automática de violações de política:use os recursos do Google SecOps para corrigir problemas automaticamente aplicando a configuração correta. Por exemplo, quando o Policy Intelligence detecta uma regra de firewall mal configurada que viola a política da empresa. A correção da violação da política ajuda a garantir a conformidade contínua e reduz o risco de violações de segurança.

  • Resposta a incidentes priorizada:use os recursos do Google SecOps para priorizar os esforços de resposta a incidentes, concentrando-se em recursos de alto risco e minimizando possíveis danos.

  • Melhoria proativa da postura de segurança:use os recursos do Google SecOps para recomendar melhorias proativas na postura de segurança, como implementar controles de acesso mais rígidos ou implantar ferramentas de segurança adicionais.

  • Preparação automatizada de auditorias de segurança:use os recursos do Google SecOps para compilar automaticamente os relatórios do Policy Intelligence em um formato fácil de entender para auditorias de segurança, simplificando a geração de relatórios de compliance e reduzindo o esforço manual.

  • Busca e investigação de ameaças:use os recursos do Google SecOps para iniciar fluxos de trabalho automatizados de busca de ameaças, investigar ameaças em potencial e acelerar a resposta a incidentes sempre que o Policy Intelligence identificar configurações de recursos incomuns que possam indicar atividade maliciosa.

Endpoints

A integração interage com o único endpoint activities:query na API Policy Intelligence usando parâmetros diferentes para ações diferentes. Confira um exemplo de endpoint para a integração:

https://policyintelligence.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query

Antes de começar

Para usar a integração, você precisa de uma conta de serviço Google Cloud . É possível usar uma conta de serviço atual ou criar uma nova.

Criar uma conta de serviço

Para orientações sobre como criar uma conta de serviço, consulte Criar contas de serviço.

Se você usar uma conta de serviço para autenticar no Google Cloud, crie uma chave de conta de serviço em JSON e forneça o conteúdo do arquivo JSON baixado ao configurar os parâmetros de integração.

Por motivos de segurança, recomendamos usar endereços de e-mail da Federação de Identidade da Carga de Trabalho para GKE em vez de uma chave de conta de serviço. Para mais informações sobre as identidades de carga de trabalho, consulte Identidades para cargas de trabalho.

Criar e configurar o papel do IAM

Para configurar os papéis e as permissões exigidos pela Policy Intelligence, consulte Papéis e permissões necessários.

Para criar e configurar a função do IAM necessária para a integração do Policy Intelligence, siga estas etapas:

  1. No console do Google Cloud , acesse a página Papéis.

    Acessar papéis do IAM

  2. Clique em Criar função para criar uma função personalizada com as permissões necessárias para a integração.

  3. Para uma nova função personalizada, forneça o Título, a Descrição e um ID exclusivo.

  4. Defina o Estágio de lançamento do papel como Disponibilidade geral.

  5. Adicione a seguinte permissão ao papel criado:

    • policyanalyzer.serviceAccountLastAuthenticationActivities.query

  6. Clique em Criar.

Integrar o Policy Intelligence ao Google SecOps

A integração requer os seguintes parâmetros:

Parâmetros Descrição
API Root Obrigatório

A raiz da API da instância do Policy Intelligence.

O valor padrão é https://policyanalyzer.googleapis.com.

Organization ID Opcional

O ID da organização a ser usado na integração do Policy Intelligence.
User's Service Account Obrigatório

O conteúdo do arquivo JSON da chave da conta de serviço.

É possível configurar este parâmetro ou o Workload Identity Email.

Para configurar esse parâmetro, forneça todo o conteúdo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço.
Quota Project ID Opcional

O ID do projeto Google Cloud que você usa para APIs Google Cloud e faturamento. Para usar esse parâmetro, conceda o papel Service Usage Consumer à sua conta de serviço.

Se você não definir um valor para esse parâmetro, a integração vai extrair o ID do projeto da sua conta de serviço Google Cloud .
Workload Identity Email Opcional

O endereço de e-mail do cliente da sua conta de serviço.

É possível configurar este parâmetro ou o User's Service Account.

Se você definir esse parâmetro, configure o parâmetro Quota Project ID.

Para representar contas de serviço com o endereço de e-mail da Federação de Identidade da Carga de Trabalho para GKE, conceda o papel Service Account Token Creator à sua conta de serviço. Para mais detalhes sobre identidades de carga de trabalho e como trabalhar com elas, consulte Identidades para cargas de trabalho.
Verify SSL Obrigatório

Se selecionada, a integração verifica se o certificado SSL para conexão com o servidor do Policy Intelligence é válido.

Essa opção é selecionada por padrão.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

A integração da Google Policy Intelligence inclui as seguintes ações:

Ping

Use a ação "Ping" para testar a conectividade com a Política de inteligência.

Essa ação não é executada em entidades.

Entradas de ação

Nenhuma.

Saídas de ação

A ação "Ping" fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Bloqueio de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

Em um quadro de casos, a ação de ping fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully connected to the Google Cloud Policy Intelligence server with the provided connection parameters! A ação foi concluída.
Failed to connect to the Google Cloud Policy Intelligence server!

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Ping":

Nome do resultado do script Valor
is_success True ou False

Pesquisar a atividade da conta de serviço

Use a ação "Pesquisar atividade da conta de serviço" para encontrar uma atividade relacionada a contas de serviço no Policy Intelligence.

Essa ação não é executada em entidades.

Entradas de ação

A ação "Pesquisar atividade da conta de serviço" exige os seguintes parâmetros:

Parâmetros Descrição
Project ID Opcional

O nome do projeto em que as atividades da conta de serviço serão pesquisadas.

Se você não fornecer um valor, a ação vai extrair o ID do projeto da configuração de integração.
Service Account Resource Name Obrigatório

Uma lista separada por vírgulas que contém os nomes de recursos das contas de serviço usadas para recuperar atividades.
Max Activities To Return Obrigatório

O número de atividades a serem retornadas para uma conta de serviço.

O número máximo é 1.000.

Por padrão, a ação retorna 50 atividades.

Saídas de ação

A ação "Pesquisar atividade da conta de serviço" fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Bloqueio de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação "Pesquisar atividade da conta de serviço":

[
  {
    "Entity": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
    "EntityResult": [
      {
        "fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
        "activityType": "serviceAccountLastAuthentication",
        "observationPeriod": {
          "startTime": "2023-05-23T07:00:00Z",
          "endTime": "2023-08-20T07:00:00Z"
        },
        "activity": {
          "lastAuthenticatedTime": "2023-08-20T07:00:00Z",
          "serviceAccount": {
            "serviceAccountId": "SERVICE_ACCOUNT_ID",
            "projectNumber": "PROJECT_NUMBER",
            "fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID"
          }
        }
      }
    ]
  }
]
Mensagens de saída

Em um quadro de casos, a ação "Atividade da conta de serviço de pesquisa" fornece as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully found activity for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS

No activity was found for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS

No activity was found for the provided service accounts in Google Cloud Policy Intelligence

 A ação foi concluída.
Error executing action "Search Service Account Activity". Reason: ERROR_REASON

Falha na ação.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação "Pesquisar atividade da conta de serviço":

Nome do resultado do script Valor
is_success True ou False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.