Integre o Centro de alertas da Google com o Google SecOps

Este documento explica como integrar o Centro de Alertas da Google com o Google Security Operations (Google SecOps).

Versão da integração: 8.0

Na plataforma Google SecOps, a integração para o centro de alertas chama-se Centro de alertas da Google.

Exemplos de utilização

A integração do Centro de alertas com o Google SecOps pode ajudar a resolver os seguintes exemplos de utilização:

  • Deteção de campanhas de phishing: use as capacidades do Google SecOps para carregar as notificações do centro de alertas sobre potenciais emails de phishing dirigidos à sua organização. O Google SecOps pode acionar fluxos de trabalho automatizados para investigar os emails, bloquear URLs maliciosos e colocar em quarentena as contas de utilizador afetadas.

  • Tentativa de exfiltração de dados: use as capacidades do Google SecOps para acionar a resposta a incidentes automatizada, isolar os sistemas afetados, bloquear os autores maliciosos e iniciar a análise forense.

  • Deteção de software malicioso: use as capacidades do Google SecOps para colocar em quarentena os dispositivos infetados, iniciar análises de software malicioso e implementar patches.

  • Identificação de vulnerabilidades: use as capacidades do Google SecOps para processar automaticamente os alertas sobre vulnerabilidades descobertas recentemente que afetam os sistemas da sua organização, dar prioridade aos esforços de aplicação de patches, iniciar análises de vulnerabilidades e informar as equipas relevantes.

Antes de começar

Antes de configurar a integração do Centro de alertas da Google, certifique-se de que tem o seguinte disponível:

  1. Ative a API necessária.
  2. Crie uma conta de serviço e credenciais.
  3. Atribua a função Alert Center Viewer à conta de serviço.
  4. Delegue autoridade ao nível do domínio na sua conta de serviço.

Ative a API Google Workspace Alert Center

Para ativar a API Google Workspace Alert Center, tem de o fazer no seu projeto na Google Cloud consola.

  1. Aceda a APIs e serviços > Biblioteca.

  2. Pesquise e selecione a API Google Workspace Alert Center.

  3. Clique em Ativar.

Criar uma conta de serviço

Para permitir que a integração aceda de forma segura aos seus dados do Centro de alertas da Google, tem de criar uma conta de serviço na consola Google Cloud para servir de identidade.

Para orientações sobre como criar uma conta de serviço, consulte o artigo Crie contas de serviço.

Crie uma chave JSON de conta de serviço

Para criar uma chave JSON, conclua os seguintes passos:

  1. Selecione a conta de serviço que criou e aceda a Chaves.

  2. Clique em Adicionar chave > Criar nova chave.

  3. Selecione JSON como o tipo de chave e clique em Criar. A chave privada é transferida automaticamente para o seu computador e é apresentado um diálogo de confirmação a lembrar que deve armazenar a chave de forma segura.

  4. Localize o client_id no ficheiro JSON e copie-o para utilização posterior quando delegar autoridade ao nível do domínio na sua conta de serviço.

Atribua a função de leitor do Centro de alertas à sua conta de serviço

  1. Na Google Cloud consola, aceda a IAM e administrador > IAM.

  2. Localize a conta de serviço na lista e clique em Editar junto ao respetivo nome.

  3. No menu Função, adicione a função Alert Center Viewer.

  4. Guarde as alterações.

Delegue autoridade ao nível do domínio na sua conta de serviço

Para permitir que a conta de serviço aceda aos dados dos seus utilizadores, tem de lhe conceder autoridade ao nível do domínio na Consola do administrador Google.

  1. Na consola do administrador Google do seu domínio, aceda a Menu principal > Segurança > Acesso e controlo de dados > Controlos de API.

  2. No painel Delegação ao nível do domínio, selecione Gerir delegação ao nível do domínio.

  3. Clique em Adicionar novo.

  4. No campo ID de cliente, introduza o ID de cliente encontrado na chave JSON que criou (client_id).

  5. No campo Âmbitos do OAuth, introduza o seguinte âmbito:

    https://www.googleapis.com/auth/apps.alerts

  6. Clique em Autorizar.

Configure a integração para o centro de alertas no Google SecOps

A integração requer os seguintes parâmetros:

Parâmetro Descrição
Service Account JSON Secret Obrigatório

O conteúdo JSON completo do ficheiro da conta de serviço que usou para a autenticação no centro de alertas.
Impersonation Email Address Obrigatório

O endereço de email para se fazer passar por um utilizador com acesso ao Centro de alertas. Para configurar este parâmetro, introduza o endereço de email do administrador. Os dados do centro de alertas só estão disponíveis para os administradores.
Verify SSL Opcional

Se esta opção estiver selecionada, a integração verifica se o certificado SSL para estabelecer ligação ao centro de alertas é válido.

Selecionado por predefinição.

Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes a partir do seu espaço de trabalho e Execute uma ação manual.

Eliminar alerta

Use a ação Eliminar alerta para eliminar um alerta no centro de alertas.

Após eliminar um alerta, pode recuperá-lo durante os 30 dias seguintes. Não pode recuperar um alerta que eliminou há mais de 30 dias.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Delete Alert requer os seguintes parâmetros:

Parâmetro Descrição
Alert ID Obrigatório

O ID do alerta a eliminar.

Resultados da ação

A ação Eliminar alerta fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Delete Alert pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully deleted alert with ID RECORD_ID in the alert center.

Alert with ID RECORD_ID doesn't exist in the alert center.

 A ação foi bem-sucedida.
Error executing action "Delete Alert". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte indica o valor do resultado do script quando usa a ação Delete Alert:

Nome do resultado do script Valor
is_success True ou False

Tchim-tchim

Use a ação Ping para testar a conetividade ao centro de alertas.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Ping pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully connected to the alert center server with the provided connection parameters! A ação foi bem-sucedida.
Failed to connect to the alert center server! Error is ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Conetores

Para ver instruções detalhadas sobre como configurar um conector no Google SecOps, consulte o artigo Carregue os seus dados (conectores).

Centro de alertas do Google – Conector de alertas

Use o conetor de alertas do Centro de alertas da Google para obter informações sobre alertas do centro de alertas.

O filtro de listas dinâmicas funciona com o parâmetro type.

O conector de alertas do Centro de alertas da Google requer os seguintes parâmetros:

Parâmetro Descrição
Product Field Name Obrigatório

O nome do campo onde o nome do produto está armazenado.

O valor predefinido é source.
Event Field Name Obrigatório

O nome do campo usado para determinar o nome do evento (subtipo).

O valor predefinido é type.
Environment Field Name Opcional

O nome do campo onde o nome do ambiente está armazenado.

Se o campo de ambiente não for encontrado, o ambiente é definido como o ambiente predefinido.

O valor predefinido é "".
Environment Regex Pattern Opcional

Um padrão de expressão regular a executar no valor encontrado no campo Environment Field Name. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular.

Use o valor predefinido .* para obter o valor bruto Environment Field Name necessário.

Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
PythonProcessTimeout Obrigatório

O limite de tempo limite em segundos para o processo Python que executa o script atual.

O valor predefinido é 180.
Service Account JSON Secret Obrigatório

O conteúdo JSON completo do ficheiro da conta de serviço que usou para a autenticação no centro de alertas.
Impersonation Email Address Obrigatório

O endereço de email para se fazer passar por um utilizador com acesso ao Centro de alertas. Para configurar este parâmetro, introduza o endereço de email do administrador. Os dados do centro de alertas só estão disponíveis para os administradores.
Verify SSL Opcional

Se esta opção estiver selecionada, a integração verifica se o certificado SSL para estabelecer ligação ao centro de alertas é válido.

Selecionado por predefinição.
Max Hours Backwards Opcional

Um número de horas antes da primeira iteração do conector para obter respostas. Este parâmetro aplica-se à iteração inicial do conector depois de o ativar pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada.

O valor predefinido é 1 hora.
Max Alerts To Fetch Opcional

O número máximo de alertas a obter para cada iteração do conector.

O número máximo é 100.
Lowest Severity To Fetch Opcional

A gravidade mais baixa dos alertas a obter.
Use whitelist as a blacklist Opcional

Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios.

Não selecionado por predefinição.
Proxy Server Address Opcional

O endereço do servidor proxy a usar.
Proxy Username Opcional

O nome de utilizador do proxy para autenticação.
Proxy Password Opcional

A palavra-passe do proxy para autenticação.

Regras de conector

O conetor suporta proxies.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.