本頁面由 Cloud Translation API 翻譯而成。

Google Cloud Policy Intelligence

本文將提供相關指引，協助您設定 Policy Intelligence，並與 Google Security Operations 的 SOAR 模組整合。

整合版本：3.0

用途

自動修正違規政策：使用 Google SecOps 功能自動修正問題，方法是套用正確的設定，例如當 Policy Intelligence 偵測到違反公司政策的防火牆規則設定錯誤時，修正違規政策有助於確保持續遵守規定，並降低安全漏洞風險。
優先處理事件：運用 Google SecOps 功能優先處理事件，同時著重於高風險資產，盡量減少潛在損害。
主動改善安全防護機制：運用 Google SecOps 功能，建議主動改善安全防護機制，例如實施更嚴格的存取控管措施，或部署額外的安全防護工具。
自動準備安全稽核：運用 Google SecOps 功能自動將政策智慧報表彙整為易於理解的格式，以供安全稽核使用，簡化法規遵循報告作業，並減少手動作業。
威脅搜尋和調查：每當政策智慧功能偵測到可能表示惡意活動的異常資源設定時，您可以使用 Google SecOps 功能啟動自動威脅搜尋工作流程、調查潛在威脅，並加速事件回應。

端點

整合功能會使用不同動作的不同參數，與 Policy Intelligence API 內的單一 activities:query 端點互動。以下是整合端點的範例：

https://policyintelligence.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query

事前準備

如要使用整合功能，您需要 Google Cloud 服務帳戶。你可以使用現有的服務帳戶，也可以建立新的服務帳戶。

建立服務帳戶

如需建立服務帳戶的指引，請參閱「建立服務帳戶」。

如果您使用服務帳戶向 Google Cloud進行驗證，請以 JSON 格式建立服務帳戶金鑰，並在設定整合參數時提供下載的 JSON 檔案內容。

基於安全考量，建議您使用 Workload Identity 聯盟，而非服務帳戶金鑰，做為 GKE 電子郵件地址。如要進一步瞭解工作負載身分，請參閱「工作負載身分」。

建立及設定 IAM 角色

如要設定 Policy Intelligence 要求的角色和權限，請參閱「必要角色和權限」。

如要建立及設定 Policy Intelligence 整合所需的 IAM 角色，請完成下列步驟：

前往 Google Cloud 控制台的「IAM Roles」(IAM 角色) 頁面。

前往「IAM Roles」(身分與存取權管理角色)
按一下「建立角色」，建立具有整合項目所需權限的自訂角色。
如果是新的自訂角色，請提供「名稱」、「說明」和專屬「ID」。
將「角色發布階段」設為「正式發布」。
將下列權限新增至建立的角色：
- policyanalyzer.serviceAccountLastAuthenticationActivities.query
點選「建立」。

將 Policy Intelligence 與 Google SecOps 整合

整合作業需要下列參數：

參數	說明
`API Root`	必要 Policy Intelligence 執行個體的 API 根層級。預設值為 `https://policyanalyzer.googleapis.com`。
`Organization ID`	選填用於 Policy Intelligence 整合的機構 ID。
`User's Service Account`	必要服務帳戶金鑰 JSON 檔案的內容。您可以設定這個參數或 `Workload Identity Email` 參數。如要設定這個參數，請提供您在建立服務帳戶時下載的服務帳戶金鑰 JSON 檔案完整內容。
`Quota Project ID`	選用您用於 Google Cloud API 和帳單的專案 ID。 Google Cloud 如要使用這個參數，您必須將 `Service Usage Consumer` 角色授予服務帳戶。如果未設定這個參數的值，整合服務會從您的 Google Cloud 服務帳戶擷取專案 ID。
`Workload Identity Email`	選用服務帳戶的用戶端電子郵件地址。您可以設定這個參數或 `User's Service Account` 參數。如果設定這個參數，請設定 `Quota Project ID` 參數。如要使用 Workload Identity Federation for GKE 電子郵件地址模擬服務帳戶，請將 `Service Account Token Creator` 角色授予服務帳戶。如要進一步瞭解 Workload Identity，以及如何使用這項功能，請參閱「工作負載的身分」。
`Verify SSL`	必要如果選取這個選項，整合服務會驗證用於連線至 Policy Intelligence 伺服器的 SSL 憑證是否有效。 (此為預設選項)。

如需在 Google SecOps 中設定整合功能的操作說明，請參閱「設定整合功能」。

如有需要，您之後可以變更。設定整合執行個體後，您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體，請參閱「支援多個執行個體」。

動作

Google 政策智慧整合功能包括下列動作：

Ping
搜尋服務帳戶活動

乒乓

使用 Ping 動作測試與 Policy Intelligence 的連線。

這項操作不會對實體執行。

動作輸入內容

無

動作輸出內容

Ping 動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件訊息牆表格	無法使用
補充資訊表格	無法使用
JSON 結果	無法使用
輸出訊息	可用
指令碼結果	可用

輸出訊息

在案件總覽頁面中，「Ping」動作會提供下列輸出訊息：

輸出訊息訊息說明

Successfully connected to the Google Cloud Policy Intelligence server with the provided connection parameters! 動作成功。

輸出訊息	訊息說明
`Successfully connected to the Google Cloud Policy Intelligence server with the provided connection parameters!`	動作成功。
`Failed to connect to the Google Cloud Policy Intelligence server!`	動作失敗。檢查伺服器的連線、輸入參數或憑證。

Failed to connect to the Google Cloud Policy Intelligence
      server!

動作失敗。

檢查伺服器的連線、輸入參數或憑證。

指令碼結果

下表說明使用 Ping 動作時，指令碼結果輸出的值：

指令碼結果名稱	值
`is_success`	`True`或`False`

搜尋服務帳戶活動

使用「搜尋服務帳戶活動」動作，在「政策智慧」中搜尋與服務帳戶相關的活動。

這項操作不會對實體執行。

動作輸入內容

「搜尋服務帳戶活動」動作需要下列參數：

參數說明

參數	說明
`Project ID`	選用要搜尋服務帳戶活動的專案名稱。如果未提供任何值，動作會從整合設定中擷取專案 ID。
`Service Account Resource Name`	必要以半形逗號分隔的清單，內含用於擷取活動的服務帳戶資源名稱。
`Max Activities To Return`	必要要為服務帳戶傳回的活動數量。最多 1000 個。根據預設，這項動作會傳回 50 項活動。

Project ID

選用

要搜尋服務帳戶活動的專案名稱。

如果未提供任何值，動作會從整合設定中擷取專案 ID。

Service Account Resource Name

必要

以半形逗號分隔的清單，內含用於擷取活動的服務帳戶資源名稱。

Max Activities To Return

必要

要為服務帳戶傳回的活動數量。

最多 1000 個。

根據預設，這項動作會傳回 50 項活動。

動作輸出內容

「搜尋服務帳戶活動」動作會提供下列輸出內容：

動作輸出類型	可用性
案件總覽附件	無法使用
案件總覽連結	無法使用
案件訊息牆表格	無法使用
補充資訊表格	無法使用
JSON 結果	可用
輸出訊息	可用
指令碼結果	可用

JSON 結果

以下範例說明使用「搜尋服務帳戶活動」動作時收到的 JSON 結果輸出內容：

[
  {
    "Entity": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
    "EntityResult": [
      {
        "fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
        "activityType": "serviceAccountLastAuthentication",
        "observationPeriod": {
          "startTime": "2023-05-23T07:00:00Z",
          "endTime": "2023-08-20T07:00:00Z"
        },
        "activity": {
          "lastAuthenticatedTime": "2023-08-20T07:00:00Z",
          "serviceAccount": {
            "serviceAccountId": "SERVICE_ACCOUNT_ID",
            "projectNumber": "PROJECT_NUMBER",
            "fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID"
          }
        }
      }
    ]
  }
]

輸出訊息

在案件總覽中，「搜尋服務帳戶活動」動作會提供下列輸出訊息：

輸出訊息訊息說明

輸出訊息	訊息說明
`Successfully found activity for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS` `No activity was found for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS` `No activity was found for the provided service accounts in Google Cloud Policy Intelligence`	動作成功。
`Error executing action "Search Service Account Activity". Reason: ERROR_REASON`	動作失敗。檢查伺服器的連線、輸入參數或憑證。

Successfully found activity for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS

No activity was found for the following service accounts in Google Cloud Policy Intelligence: SERVICE_ACCOUNTS

No activity was found for the provided service accounts in Google Cloud Policy Intelligence

動作成功。

Error executing action "Search Service Account Activity".
      Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。

指令碼結果

下表說明使用「搜尋服務帳戶活動」動作時，指令碼結果輸出的值：

指令碼結果名稱	值
`is_success`	`True`或`False`

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。