Integrare Moduli Google con Google SecOps

Questo documento spiega come integrare Google Moduli con Google Security Operations (Google SecOps).

Versione integrazione: 1.0

Prima di iniziare

Prima di configurare l'integrazione di Google Forms in Google SecOps, assicurati che gli ambienti Google Cloud e Google Workspace siano preparati per l'accesso all'API e la rappresentazione.

Affinché l'integrazione funzioni correttamente, tre elementi devono essere allineati per gestire le autorizzazioni:

  1. Service account: funge da ponte tra i sistemi.

  2. Utente delegato: l'identità rappresentata dal account di servizio per accedere ai dati del modulo.

  3. Autorizzazioni: gli ambiti e i ruoli che definiscono le operazioni che l'identità è autorizzata a eseguire.

Se l'utente di cui stai eseguendo l'accesso ha già le autorizzazioni amministrative necessarie, non è necessario creare un ruolo personalizzato. Tuttavia, molte organizzazioni preferiscono creare un utente di servizio dedicato con un ruolo personalizzato per rispettare il principio del privilegio minimo.

Completa i seguenti passaggi preliminari:

  1. Crea un account di servizio.
  2. Crea una chiave JSON.
  3. Abilita le API richieste per il tuo progetto.
  4. (Facoltativo) Crea un ruolo personalizzato per l'integrazione.
  5. (Facoltativo) Assegna il ruolo personalizzato a un utente.
  6. Delega l'autorità a livello di dominio al tuo service account.

Crea un account di servizio

Il account di servizio rappresenta un utente non umano che fornisce un modo sicuro per l'integrazione di autenticarsi ed essere autorizzata ad accedere ai tuoi dati.

  1. Nella console Google Cloud , vai alla pagina Credenziali.

    Vai a credenziali

  2. Seleziona add_2Crea credenziali > Account di servizio.

  3. In Dettagli service account, inserisci un nome nel campo Nome service account.

  4. (Facoltativo) Modifica l'ID account di servizio.

  5. Fai clic su Fine.

Crea una chiave JSON

Google SecOps richiede un file della chiave JSON per dimostrare l'identità dell'account di servizio e stabilire una connessione sicura.

  1. Seleziona il tuo account di servizio e vai a Chiavi.

  2. Fai clic su Aggiungi chiave > Crea nuova chiave.

  3. Per il tipo di chiave, seleziona JSON e fai clic su Crea. Viene visualizzata una finestra di dialogo Chiave privata salvata nel computer e una copia della chiave privata viene scaricata sul computer.

Abilita le API richieste per il progetto

Devi attivare le API Google Cloud specifiche che consentono all'integrazione di interagire con Moduli Google e la directory Google Workspace.

  1. Nella console Google Cloud , vai ad API e servizi.

    Vai su API e servizi

  2. Fai clic su AggiungiAbilita API e servizi.

  3. Abilita le seguenti API per il tuo progetto:

    • API Admin SDK

    • API Google Forms

(Facoltativo) Crea un ruolo personalizzato per l'integrazione

Se l'account utente che utilizzi per la rappresentazione non dispone già delle autorizzazioni amministrative necessarie, puoi creare un ruolo personalizzato con privilegi limitati. Per supportare l'integrazione, l'utente richiede i privilegi dell'API Admin per quanto segue:

  • Unità organizzative

  • Utenti

  • Gruppi

  1. Nella Console di amministrazione Google, vai a Account > Ruoli amministratore.

  2. Seleziona Crea nuovo ruolo.

  3. Fornisci un nome per il nuovo ruolo personalizzato e fai clic su Continua.

  4. In Seleziona privilegi, individua la sezione Privilegi dell'API Admin.

  5. Seleziona le caselle di controllo per Unità organizzative, Utenti e Gruppi.

  6. Fai clic su Continua > Crea ruolo.

(Facoltativo) Assegnare il ruolo personalizzato a un utente

Se hai creato un ruolo personalizzato nel passaggio precedente, ora devi assegnarlo all'indirizzo email specifico utilizzato per la rappresentazione.

  1. Nella Console di amministrazione Google, vai a Directory > Utenti.

  2. Seleziona l'utente che intendi utilizzare per l'integrazione (un amministratore esistente o un nuovo utente dedicato).

  3. Apri le impostazioni dell'utente e fai clic su Ruoli e privilegi di amministratore > Modifica Modifica.

  4. Seleziona il ruolo personalizzato che hai creato e imposta il pulsante di attivazione/disattivazione su Assegnato.

  5. Fai clic su Salva.

Delega l'autorità a livello di dominio al tuo account di servizio

La delega a livello di dominio consente al account di servizio di accedere ai dati di tutto il dominio Google Workspace impersonando l'utente autorizzato.

  1. Dalla Console di amministrazione Google del tuo dominio, vai a Sicurezza > Accesso e controllo dei dati > Controlli API.

  2. Nel riquadro Delega a livello di dominio, seleziona Gestisci delega a livello di dominio.

  3. Fai clic su Aggiungi nuovo.

  4. Nel campo ID client, inserisci l'ID client del account di servizio creato nel primo passaggio.

  5. Nel campo Ambiti OAuth, inserisci il seguente elenco di ambiti obbligatori delimitato da virgole:

    https://mail.google.com/,
https://www.googleapis.com/auth/admin.directory.customer.readonly,
https://www.googleapis.com/auth/admin.directory.domain.readonly,
https://www.googleapis.com/auth/admin.directory.group,
https://www.googleapis.com/auth/admin.directory.group.member,
https://www.googleapis.com/auth/admin.directory.orgunit,
https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly,
https://www.googleapis.com/auth/admin.directory.user,
https://www.googleapis.com/auth/admin.directory.user.alias,
https://www.googleapis.com/auth/apps.groups.settings,
https://www.googleapis.com/auth/cloud-platform,
https://www.googleapis.com/auth/forms.body.readonly,
https://www.googleapis.com/auth/forms.responses.readonly

  6. Fai clic su Autorizza.

Parametri di integrazione

L'integrazione di Google Moduli richiede i seguenti parametri:

Parametro Descrizione
Delegated Email Obbligatorio

Un indirizzo email da utilizzare per la rappresentazione e ilcontrollo dell'accessoo.
Service Account JSON Obbligatorio

Il contenuto del file JSON della chiave dell'account di servizio.

Verify SSL Obbligatorio

Se selezionata, l'integrazione verifica che il certificato SSL per la connessione a Moduli Google sia valido.

Questa opzione è selezionata per impostazione predefinita.

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.

Azioni

Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.

Dindin

Utilizza l'azione Ping per testare la connettività a Moduli Google.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Ping può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Successfully connected to the Google Forms server with the provided connection parameters! L'azione è riuscita.
Failed to connect to the Google Forms server! Error is ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script Valore
is_success True o False

Connettori

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, consulta Importare i dati (connettori).

Connettore per le risposte di Moduli Google

Utilizza il connettore Moduli Google - Risposte per estrarre le risposte da Moduli Google.

Il connettore Moduli Google - Risposte richiede i seguenti parametri:

Parametro Descrizione
Product Field Name Obbligatorio

Il nome del campo in cui è memorizzato il nome del prodotto.

Il valore predefinito è Product Name.
Event Field Name Obbligatorio

Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo).

Il valore predefinito è event_type.
Environment Field Name Optional

Il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo ambiente non viene trovato, l'ambiente viene impostato sull'ambiente predefinito.

Il valore predefinito è "".
Environment Regex Pattern Optional

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Utilizza il valore predefinito .* per recuperare il valore Environment Field Name grezzo richiesto.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito.
Script Timeout (Seconds) Obbligatorio

Il limite di timeout in secondi per il processo Python che esegue lo script corrente.

Il valore predefinito è 300 secondi.

Delegated Email Obbligatorio

Un indirizzo email da utilizzare per la rappresentazione e ilcontrollo dell'accessoo.
Service Account JSON Obbligatorio

Il contenuto del file JSON della chiave dell'account di servizio.

Form IDs To Track Obbligatorio

Un elenco separato da virgole di ID Moduli Google da monitorare per le risposte.

Per recuperare l'ID univoco di un modulo, aprilo nell'editor di Moduli (non il link di risposta pubblico) e copia la stringa che si trova tra /d/ e /edit nell'indirizzo completo visualizzato nella barra del browser.
Alert Severity Optional

Un livello di gravità da assegnare a tutti gli avvisi che il connettore crea in base alla risposta di Moduli Google inserita.

I valori possibili sono:

  • Informational
  • Low
  • Medium
  • High
  • Critical

Il valore predefinito è Low.
Max Hours Backwards Obbligatorio

Numero di ore prima della prima iterazione del connettore da cui recuperare le risposte. Questo parametro si applica all'iterazione iniziale del connettore dopo averlo attivato per la prima volta o al valore di riserva per un timestamp del connettore scaduto.

Il valore predefinito è 1 ora.
Max Responses To Fetch Obbligatorio

Il numero massimo di risposte da elaborare per ogni iterazione del connettore.

Il numero massimo è 100.
Disable Overflow Optional

Se selezionato, il connettore ignora il meccanismo di overflow di Google SecOps durante la creazione degli avvisi.

Non selezionato per impostazione predefinita.
Verify SSL Obbligatorio

Se selezionata, l'integrazione verifica che il certificato SSL per la connessione a Moduli Google sia valido.

Non selezionato per impostazione predefinita.
Proxy Server Address Optional

L'indirizzo del server proxy da utilizzare.
Proxy Username Optional

Il nome utente del proxy con cui eseguire l'autenticazione.
Proxy Password Optional

La password del proxy per l'autenticazione.

Regole del connettore

Il connettore Moduli Google - Risposte supporta i proxy.

Eventi del connettore

L'esempio seguente mostra l'output JSON di un evento Google SecOps generato dal connettore Google Moduli - Risposte:

{
   "responseId": "RESPONSE_ID",
   "createTime": "2024-09-05T11:43:13.892Z",
   "lastSubmittedTime": "2024-09-05T11:43:13.892123Z",
   "event_type": "Question",
   "questionId": "78099fe3",
   "textAnswers": {
       "answers": [
           {
               "value": "Option 1"
           }
       ]
   }
}

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.