Google Cloud Policy Intelligence
Ce document vous explique comment configurer et intégrer Policy Intelligence au module SOAR de Google Security Operations.
Version de l'intégration : 3.0
Cas d'utilisation
Correction automatique des cas de non-respect des règles : utilisez les fonctionnalités Google SecOps pour corriger automatiquement les problèmes en appliquant la configuration appropriée. Par exemple, lorsque Policy Intelligence détecte une règle de pare-feu mal configurée qui ne respecte pas les règles de votre entreprise. Corriger le non-respect des règles permet d'assurer une conformité continue et de réduire le risque de failles de sécurité.
Réponse aux incidents priorisée : utilisez les fonctionnalités Google SecOps pour prioriser les efforts de réponse aux incidents tout en vous concentrant sur les ressources à haut risque et en minimisant les dommages potentiels.
Amélioration proactive de la posture de sécurité : utilisez les fonctionnalités Google SecOps pour recommander des améliorations proactives de la posture de sécurité, comme l'implémentation de contrôles d'accès plus stricts ou le déploiement d'outils de sécurité supplémentaires.
Préparation automatisée des audits de sécurité : utilisez les fonctionnalités Google SecOps pour compiler automatiquement les rapports Policy Intelligence dans un format facile à lire pour les audits de sécurité, ce qui simplifie les rapports de conformité et réduit l'effort manuel.
Recherche et analyse des menaces : utilisez les fonctionnalités Google SecOps pour lancer des workflows automatisés de recherche des menaces, analyser les menaces potentielles et accélérer la réponse aux incidents chaque fois que Policy Intelligence identifie des configurations de ressources inhabituelles pouvant indiquer une activité malveillante.
Points de terminaison
L'intégration interagit avec le point de terminaison activities:query unique de l'API Policy Intelligence à l'aide de différents paramètres pour différentes actions. Voici un exemple de point de terminaison pour l'intégration :
https://policyintelligence.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query
Avant de commencer
Pour utiliser l'intégration, vous avez besoin d'un compte de service Google Cloud . Vous pouvez utiliser un compte de service existant ou en créer un.
Créer un compte de service
Pour savoir comment créer un compte de service, consultez Créer des comptes de service.
Si vous utilisez un compte de service pour vous authentifier auprès de Google Cloud, créez une clé de compte de service au format JSON et fournissez le contenu du fichier JSON téléchargé lorsque vous configurez les paramètres d'intégration.
Pour des raisons de sécurité, nous vous recommandons d'utiliser des adresses e-mail Workload Identity Federation pour GKE plutôt qu'une clé de compte de service. Pour en savoir plus sur les identités de charge de travail, consultez Identités pour les charges de travail.
Créer et configurer le rôle IAM
Pour configurer les rôles et autorisations requis par Policy Intelligence, consultez Rôles et autorisations requis.
Pour créer et configurer le rôle IAM requis pour l'intégration de Policy Intelligence, procédez comme suit :
Dans la console Google Cloud , accédez à la page Rôles IAM.
Cliquez sur Créer un rôle pour créer un rôle personnalisé avec les autorisations requises pour l'intégration.
Pour un nouveau rôle personnalisé, indiquez le titre, la description et un ID unique.
Définissez l'étape de lancement du rôle sur Disponibilité générale.
Ajoutez l'autorisation suivante au rôle créé :
policyanalyzer.serviceAccountLastAuthenticationActivities.query
Cliquez sur Créer.
Intégrer Policy Intelligence à Google SecOps
L'intégration nécessite les paramètres suivants :
| Paramètres | Description |
|---|---|
API Root |
Obligatoire
Racine de l'API de l'instance Policy Intelligence. La valeur par défaut est |
Organization ID |
Optional
ID de l'organisation à utiliser dans l'intégration Policy Intelligence. |
User's Service Account |
Obligatoire
Contenu du fichier JSON de clé de compte de service. Vous pouvez configurer ce paramètre ou le paramètre Pour configurer ce paramètre, indiquez l'intégralité du contenu du fichier JSON de la clé de compte de service que vous avez téléchargé lors de la création d'un compte de service. |
Quota Project ID |
Optional ID de projet Google Cloud que vous utilisez pour les API Google Cloud et la facturation. Ce paramètre nécessite que vous accordiez le rôle Si vous ne définissez aucune valeur pour ce paramètre, l'intégration récupère l'ID du projet à partir de votre compte de service Google Cloud . |
Workload Identity Email |
Optional Adresse e-mail du client de votre compte de service. Vous pouvez configurer ce paramètre ou le paramètre Si vous définissez ce paramètre, configurez le paramètre Pour emprunter l'identité de comptes de service avec l'adresse e-mail Workload Identity Federation for GKE, accordez le rôle |
Verify SSL |
Obligatoire
Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion au serveur Policy Intelligence est valide. Cette option est sélectionnée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
L'intégration de Google Policy Intelligence inclut les actions suivantes :
Ping
Utilisez l'action Ping pour tester la connectivité à Policy Intelligence.
Cette action ne s'applique pas aux entités.
Entrées d'action
Aucun
Sorties d'action
L'action "Ping" fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
Sur un mur de demandes, l'action "Envoyer un ping" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully connected to the Google Cloud Policy Intelligence server
with the provided connection parameters! |
Action effectuée. |
Failed to connect to the Google Cloud Policy Intelligence
server! |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Rechercher l'activité du compte de service
Utilisez l'action "Rechercher une activité de compte de service" pour rechercher une activité liée aux comptes de service dans Policy Intelligence.
Cette action ne s'applique pas aux entités.
Entrées d'action
L'action "Rechercher l'activité du compte de service" nécessite les paramètres suivants :
| Paramètres | Description |
|---|---|
Project ID |
Optional Nom du projet dans lequel rechercher les activités du compte de service. Si vous ne fournissez aucune valeur, l'action extrait l'ID du projet à partir de la configuration de l'intégration. |
Service Account Resource Name |
Obligatoire
Liste séparée par des virgules contenant les noms de ressources des comptes de service utilisés pour récupérer les activités. |
Max Activities To Return |
Obligatoire
Nombre d'activités à renvoyer pour un compte de service. Le nombre maximal est de 1 000. Par défaut, l'action renvoie 50 activités. |
Sorties d'action
L'action "Rechercher l'activité du compte de service" fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action "Rechercher l'activité du compte de service" :
[
{
"Entity": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"EntityResult": [
{
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2023-05-23T07:00:00Z",
"endTime": "2023-08-20T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2023-08-20T07:00:00Z",
"serviceAccount": {
"serviceAccountId": "SERVICE_ACCOUNT_ID",
"projectNumber": "PROJECT_NUMBER",
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID"
}
}
}
]
}
]
Messages de sortie
Sur un mur des demandes, l'action "Rechercher l'activité du compte de service" fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
Action effectuée. |
Error executing action "Search Service Account Activity".
Reason: ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action "Rechercher l'activité du compte de service" :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.