此页面由 Cloud Translation API 翻译。

Google Cloud Policy Intelligence

本文档提供了一些指导，可帮助您将 Policy Intelligence 与 Google Security Operations 的 SOAR 模块进行配置和集成。

集成版本：3.0

使用场景

自动修正违规政策：使用 Google SecOps 功能，通过应用正确的配置自动修正问题，例如，当政策智能检测到违反公司政策的错误配置的防火墙规则时。修正违规行为有助于确保持续合规，并降低安全违规风险。
优先处理突发事件：利用 Google SecOps 功能优先处理突发事件，同时专注于高风险资产并最大限度地减少潜在损害。
主动改进安全状况：使用 Google SecOps 功能来建议主动改进安全状况，例如实施更严格的访问权限控制或部署其他安全工具。
自动准备安全审核：使用 Google SecOps 功能自动将政策情报报告编译成易于理解的格式，以便进行安全审核，从而简化合规性报告并减少人工工作量。
威胁搜寻和调查：每次当政策情报识别出可能表明存在恶意活动的异常资源配置时，您都可以使用 Google SecOps 功能来启动自动威胁搜寻工作流、调查潜在威胁，并加快事件响应速度。

端点

该集成通过使用不同的参数来执行不同的操作，从而与 Policy Intelligence API 中的单个 activities:query 端点进行交互。以下是集成端点的示例：

https://policyintelligence.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query

准备工作

如需使用此集成，您需要拥有 Google Cloud 服务账号。您可以使用现有服务账号，也可以创建新服务账号。

创建服务账号

如需有关创建服务账号的指南，请参阅创建服务账号。

如果您使用服务账号向 Google Cloud进行身份验证，请创建 JSON 格式的服务账号密钥，并在配置集成参数时提供下载的 JSON 文件的内容。

出于安全考虑，我们建议您使用 Workload Identity Federation for GKE 电子邮件地址，而不是服务账号密钥。如需详细了解工作负载身份，请参阅工作负载身份。

创建和配置 IAM 角色

如需配置 Policy Intelligence 所需的角色和权限，请参阅所需的角色和权限。

如需创建和配置政策智能集成所需的 IAM 角色，请完成以下步骤：

在 Google Cloud 控制台中，前往 IAM 角色页面。

前往“IAM 角色”
点击创建角色，以创建具有集成所需权限的自定义角色。
对于新的自定义角色，请提供标题、说明和唯一的 ID。
将角色发布阶段设置为正式版。
向创建的角色添加以下权限：
- policyanalyzer.serviceAccountLastAuthenticationActivities.query
点击创建。

将政策情报与 Google SecOps 集成

集成需要以下参数：

参数	说明
`API Root`	必需 Policy Intelligence 实例的 API 根。默认值为 `https://policyanalyzer.googleapis.com`。
`Organization ID`	可选要在 Policy Intelligence 集成中使用的组织 ID。
`User's Service Account`	必需服务账号密钥 JSON 文件的内容。您可以配置此参数，也可以配置 `Workload Identity Email` 参数。如需配置此参数，请提供您在创建服务账号时下载的服务账号密钥 JSON 文件的完整内容。
`Quota Project ID`	可选您用于 Google Cloud API 和结算的 Google Cloud 项目 ID。此形参要求您向服务账号授予 `Service Usage Consumer` 角色。如果您未为此参数设置值，集成会从您的 Google Cloud 服务账号中检索项目 ID。
`Workload Identity Email`	可选您的服务账号的客户端电子邮件地址。您可以配置此参数或 `User's Service Account` 参数。如果您设置了此参数，请配置 `Quota Project ID` 参数。如需使用 Workload Identity Federation for GKE 电子邮件地址模拟服务账号，请向您的服务账号授予 `Service Account Token Creator` 角色。如需详细了解工作负载身份以及如何使用它们，请参阅工作负载的身份。
`Verify SSL`	必需如果选择此项，集成会验证用于连接到 Policy Intelligence 服务器的 SSL 证书是否有效。此选项将会默认选中。

如需了解如何在 Google SecOps 中配置集成，请参阅配置集成。

如果需要，您可以在稍后阶段进行更改。配置集成实例后，您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例，请参阅支持多个实例。

操作

Google Policy Intelligence 集成包括以下操作：

Ping
搜索服务账号活动

Ping

使用 Ping 操作测试与 Policy Intelligence 的连接。

此操作不会在实体上运行。

操作输入

无。

操作输出

Ping 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

在“支持请求墙”上，“Ping”操作会提供以下输出消息：

输出消息消息说明

Successfully connected to the Google Cloud Policy Intelligence server with the provided connection parameters! 操作成功。

输出消息	消息说明
`Successfully connected to the Google Cloud Policy Intelligence server with the provided connection parameters!`	操作成功。
`Failed to connect to the Google Cloud Policy Intelligence server!`	操作失败。检查与服务器的连接、输入参数或凭据。

Failed to connect to the Google Cloud Policy Intelligence
      server!

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表介绍了使用 Ping 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

搜索服务账号活动记录

使用“搜索服务账号活动”操作在“政策智能”中搜索与服务账号相关的活动。

此操作不会在实体上运行。

操作输入

“搜索服务账号活动记录”操作需要以下参数：

参数说明

参数	说明
`Project ID`	可选要在其中搜索服务账号活动的项目名称。如果您未提供任何值，该操作会从集成配置中提取项目 ID。
`Service Account Resource Name`	必需一个逗号分隔的列表，其中包含用于检索活动的服务账号的资源名称。
`Max Activities To Return`	必需要为服务账号返回的活动数量。上限为 1000。默认情况下，该操作会返回 50 个 activity。

Project ID

可选

要在其中搜索服务账号活动的项目名称。

如果您未提供任何值，该操作会从集成配置中提取项目 ID。

Service Account Resource Name

必需

一个逗号分隔的列表，其中包含用于检索活动的服务账号的资源名称。

Max Activities To Return

必需

要为服务账号返回的活动数量。

上限为 1000。

默认情况下，该操作会返回 50 个 activity。

操作输出

“搜索服务账号活动”操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例介绍了使用“搜索服务账号活动”操作时收到的 JSON 结果输出：

[
  {
    "Entity": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
    "EntityResult": [
      {
        "fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
        "activityType": "serviceAccountLastAuthentication",
        "observationPeriod": {
          "startTime": "2023-05-23T07:00:00Z",
          "endTime": "2023-08-20T07:00:00Z"
        },
        "activity": {
          "lastAuthenticatedTime": "2023-08-20T07:00:00Z",
          "serviceAccount": {
            "serviceAccountId": "SERVICE_ACCOUNT_ID",
            "projectNumber": "PROJECT_NUMBER",
            "fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID"
          }
        }
      }
    ]
  }
]

输出消息

在案例墙上，“搜索服务账号活动”操作会提供以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully found activity for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS` `No activity was found for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS` `No activity was found for the provided service accounts in Google Cloud Policy Intelligence`	操作成功。
`Error executing action "Search Service Account Activity". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully found activity for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS

No activity was found for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS

No activity was found for the provided service accounts in Google Cloud Policy Intelligence

操作成功。

Error executing action "Search Service Account Activity".
      Reason: ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表介绍了使用“搜索服务账号活动”操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`