Google Formulare in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Google Forms in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 1.0
Hinweise
Bevor Sie die Google Forms-Integration in Google SecOps konfigurieren, müssen Sie dafür sorgen, dass Ihre Google Cloud - und Google Workspace-Umgebungen für den API-Zugriff und die Identitätsübernahme vorbereitet sind.
Damit die Integration richtig funktioniert, müssen drei Elemente für die Verwaltung von Berechtigungen übereinstimmen:
Dienstkonto: Dient als Brücke zwischen Systemen.
Delegierter Nutzer: Die Identität, die das Dienstkonto annimmt, um auf Formulardaten zuzugreifen.
Berechtigungen: Die Bereiche und Rollen, die definieren, was die Identität tun darf.
Wenn der Nutzer, dessen Identität Sie annehmen, bereits die erforderlichen Administratorberechtigungen hat, ist das Erstellen einer benutzerdefinierten Rolle nicht erforderlich. Viele Organisationen ziehen es jedoch vor, einen dedizierten Dienstnutzer mit einer benutzerdefinierten Rolle zu erstellen, um das Prinzip der geringsten Berechtigung einzuhalten.
Führen Sie die folgenden erforderlichen Schritte aus:
- Erstellen Sie ein Dienstkonto.
- JSON-Schlüssel erstellen
- Aktivieren Sie die erforderlichen APIs für Ihr Projekt.
- Optional: Benutzerdefinierte Rolle für die Integration erstellen
- Optional: Benutzerdefinierte Rolle einem Nutzer zuweisen
- Domainweite Befugnisse an Ihr Dienstkonto delegieren
Dienstkonto erstellen
Das Dienstkonto repräsentiert einen nicht menschlichen Nutzer und bietet eine sichere Möglichkeit für die Integration, sich zu authentifizieren und die Autorisierung für den Zugriff auf Ihre Daten zu erhalten.
Rufen Sie in der Google Cloud Console die Seite Anmeldedaten auf.
Wählen Sie add_2Anmeldedaten erstellen > Dienstkonto aus.
Geben Sie unter Dienstkontodetails einen Namen im Feld Name des Dienstkontos ein.
Optional: Bearbeiten Sie die ID des Dienstkontos.
Klicken Sie auf Fertig.
JSON-Schlüssel erstellen
Google SecOps erfordert eine JSON-Schlüsseldatei, um die Identität des Dienstkontos nachzuweisen und eine sichere Verbindung herzustellen.
Wählen Sie Ihr Dienstkonto aus und rufen Sie Schlüssel auf.
Klicken Sie auf Schlüssel hinzufügen > Neuen Schlüssel erstellen.
Wählen Sie als Schlüsseltyp JSON aus und klicken Sie auf Erstellen. Das Dialogfeld Privater Schlüssel auf Ihrem Computer gespeichert wird angezeigt und eine Kopie des privaten Schlüssels wird auf Ihren Computer heruntergeladen.
Erforderliche APIs für Ihr Projekt aktivieren
Sie müssen die spezifischen Google Cloud APIs aktivieren, die es der Integration ermöglichen, mit Google Formulare und dem Google Workspace-Verzeichnis zu interagieren.
Rufen Sie in der Google Cloud Console APIs & Dienste auf.
Klicken Sie auf HinzufügenAPIs und Dienste aktivieren.
Aktivieren Sie die folgenden APIs für Ihr Projekt:
Admin SDK API
Google Forms API
Optional: Benutzerdefinierte Rolle für die Integration erstellen
Wenn das Nutzerkonto, das Sie für die Identitätsübernahme verwenden, nicht bereits die erforderlichen Administratorberechtigungen hat, können Sie eine benutzerdefinierte Rolle mit eingeschränkten Berechtigungen erstellen. Zur Unterstützung der Integration benötigt der Nutzer Admin API-Berechtigungen für Folgendes:
Organisationseinheiten
Nutzer
Gruppen
Klicken Sie in der Admin-Konsole auf Konto > Administratorrollen.
Wählen Sie Neue Rolle erstellen aus.
Geben Sie einen Namen für die neue benutzerdefinierte Rolle ein und klicken Sie auf Weiter.
Suchen Sie unter Berechtigungen auswählen nach dem Abschnitt Admin API-Berechtigungen.
Klicken Sie die Kästchen für Organisationseinheiten, Nutzer und Gruppen an.
Klicken Sie auf Weiter> Rolle erstellen.
Optional: Benutzerdefinierte Rolle einem Nutzer zuweisen
Wenn Sie im vorherigen Schritt eine benutzerdefinierte Rolle erstellt haben, müssen Sie sie jetzt der E‑Mail-Adresse zuweisen, die für die Identitätsübernahme verwendet wird.
Rufen Sie in der Admin-Konsole Verzeichnis > Nutzer auf.
Wählen Sie den Nutzer aus, den Sie für die Integration verwenden möchten (einen vorhandenen Administrator oder einen neuen dedizierten Nutzer).
Öffnen Sie die Einstellungen für den Nutzer und klicken Sie auf Administratorrollen und ‑berechtigungen> Bearbeiten.
Wählen Sie die benutzerdefinierte Rolle aus, die Sie erstellt haben, und stellen Sie den Schalter auf Zugewiesen.
Klicken Sie auf Speichern.
Domainweite Befugnisse an Ihr Dienstkonto delegieren
Mit der domainweiten Delegierung kann Ihr Dienstkonto auf Daten in Ihrer gesamten Google Workspace-Domain zugreifen, indem es die Identität des autorisierten Nutzers annimmt.
Rufen Sie in der Admin-Konsole Ihrer Domain Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung auf.
Wählen Sie im Bereich Domainweite Delegierung die Option Domainweite Delegierung verwalten aus.
Klicken Sie auf Neu hinzufügen.
Geben Sie im Feld Client-ID die Client-ID des im ersten Schritt erstellten Dienstkontos ein.
Geben Sie im Feld OAuth-Bereiche die folgende durch Kommas getrennte Liste der erforderlichen Bereiche ein:
https://mail.google.com/, https://www.googleapis.com/auth/admin.directory.customer.readonly, https://www.googleapis.com/auth/admin.directory.domain.readonly, https://www.googleapis.com/auth/admin.directory.group, https://www.googleapis.com/auth/admin.directory.group.member, https://www.googleapis.com/auth/admin.directory.orgunit, https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly, https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/admin.directory.user.alias, https://www.googleapis.com/auth/apps.groups.settings, https://www.googleapis.com/auth/cloud-platform, https://www.googleapis.com/auth/forms.body.readonly, https://www.googleapis.com/auth/forms.responses.readonlyKlicken Sie auf Autorisieren.
Integrationsparameter
Für die Google Forms-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Delegated Email |
Erforderlich Eine E-Mail-Adresse, die für die Identitätsübernahme und Zugriffssteuerung verwendet werden soll. |
Service Account JSON |
Erforderlich Der Inhalt der JSON-Datei des Dienstkontoschlüssels. |
Verify SSL |
Erforderlich Wenn diese Option ausgewählt ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zu Google Forms gültig ist. Standardmäßig ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen in „Mein Arbeitsbereich“ beantworten und Manuelle Aktion ausführen.
Ping
Verwenden Sie die Aktion „Ping“, um die Verbindung zu Google Forms zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle im Fall-Repository | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabenachrichten
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully connected to the Google Forms server with the
provided connection parameters! |
Die Aktion wurde ausgeführt. |
Failed to connect to the Google Forms server! Error is
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Connectors
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
Google Formulare – Connector für Antworten
Mit dem Google Formulare – Antworten-Connector können Sie Antworten aus Google Formulare abrufen.
Für den Google Forms – Responses Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich Der Name des Felds, in dem der Produktname gespeichert ist. Der Standardwert ist |
Event Field Name |
Erforderlich Der Feldname, der zur Bestimmung des Ereignisnamens (Untertyp) verwendet wird. Der Standardwert ist |
Environment Field Name |
Optional
Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, wird die Umgebung auf die Standardumgebung festgelegt. Der Standardwert ist |
Environment Regex Pattern |
Optional
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. Der Standardwert beträgt 300 Sekunden. |
Delegated Email |
Erforderlich Eine E-Mail-Adresse, die für die Identitätsübernahme und Zugriffssteuerung verwendet werden soll. |
Service Account JSON |
Erforderlich Der Inhalt der JSON-Datei des Dienstkontoschlüssels. |
Form IDs To Track |
Erforderlich Eine durch Kommas getrennte Liste von Google-Formular-IDs, für die Antworten erfasst werden sollen. Wenn Sie die eindeutige ID eines Formulars abrufen möchten, öffnen Sie das Formular im Formular-Editor (nicht über den öffentlichen Antwortlink) und kopieren Sie den String zwischen |
Alert Severity |
Optional Ein Schweregrad, der allen Benachrichtigungen zugewiesen wird, die der Connector basierend auf den aufgenommenen Google Formulare-Antworten erstellt. Folgende Werte sind möglich:
Der Standardwert ist |
Max Hours Backwards |
Erforderlich Anzahl der Stunden vor der ersten Connector-Iteration, aus der Antworten abgerufen werden sollen. Dieser Parameter gilt entweder für den ersten Connector-Durchlauf, nachdem Sie den Connector zum ersten Mal aktiviert haben, oder für den Fallback-Wert für einen abgelaufenen Connector-Zeitstempel. Der Standardwert ist 1 Stunde. |
Max Responses To Fetch |
Erforderlich Die maximale Anzahl von Antworten, die für jede Connector-Iteration verarbeitet werden sollen. Die maximale Anzahl beträgt 100. |
Disable Overflow |
Optional Wenn diese Option ausgewählt ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus beim Erstellen von Benachrichtigungen. Diese Option ist standardmäßig nicht ausgewählt. |
Verify SSL |
Erforderlich Wenn diese Option ausgewählt ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zu Google Forms gültig ist. Nicht standardmäßig ausgewählt. |
Proxy Server Address |
Optional Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional Der Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der Google Formulare – Antworten-Connector unterstützt Proxys.
Connector-Ereignisse
Das folgende Beispiel zeigt die JSON-Ausgabe eines Google SecOps-Ereignisses, das vom Google Forms – Responses Connector generiert wurde:
{
"responseId": "RESPONSE_ID",
"createTime": "2024-09-05T11:43:13.892Z",
"lastSubmittedTime": "2024-09-05T11:43:13.892123Z",
"event_type": "Question",
"questionId": "78099fe3",
"textAnswers": {
"answers": [
{
"value": "Option 1"
}
]
}
}
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten