Google Cloud Policy Intelligence
Questo documento fornisce indicazioni per aiutarti a configurare e integrare Policy Intelligence con il modulo SOAR di Google Security Operations.
Versione integrazione: 3.0
Casi d'uso
Correzione automatica delle violazioni delle norme:utilizza le funzionalità di Google SecOps per correggere automaticamente i problemi applicando la configurazione corretta, ad esempio quando Policy Intelligence rileva una regola firewall configurata in modo errato che viola le norme aziendali. La correzione della violazione delle norme contribuisce a garantire la conformità continua e riduce il rischio di violazioni della sicurezza.
Risposta agli incidenti con priorità: utilizza le funzionalità di Google SecOps per dare la priorità agli interventi di risposta agli incidenti, concentrandoti sugli asset ad alto rischio e riducendo al minimo i potenziali danni.
Miglioramento proattivo della security posture:utilizza le funzionalità di Google SecOps per consigliare miglioramenti proattivi della security posture, ad esempio l'implementazione di controlli dell'accesso più rigorosi o la distribuzione di strumenti di sicurezza aggiuntivi.
Preparazione automatica dell'audit di sicurezza:utilizza le funzionalità di Google SecOps per compilare automaticamente i report Policy Intelligence in un formato digeribile per gli audit di sicurezza, semplificando la generazione di report di conformità e riducendo l'impegno manuale.
Ricerca e analisi delle minacce:utilizza le funzionalità di Google SecOps per avviare flussi di lavoro automatizzati di ricerca delle minacce, analizzare potenziali minacce e accelerare la risposta agli incidenti ogni volta che Policy Intelligence identifica configurazioni di risorse insolite che potrebbero indicare attività dannose.
Endpoint
L'integrazione interagisce con il singolo endpoint activities:query all'interno dell'API Policy Intelligence utilizzando parametri diversi per azioni diverse. Di seguito è riportato un esempio di endpoint per l'integrazione:
https://policyintelligence.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query
Prima di iniziare
Per utilizzare l'integrazione, devi disporre di un account di servizio Google Cloud . Puoi utilizzare unaccount di serviziot esistente o crearne uno nuovo.
Crea un account di servizio
Per indicazioni sulla creazione di un account di servizio, vedi Creare service account.
Se utilizzi un account di servizio per l'autenticazione a Google Cloud, crea una chiave account di servizio in JSON e fornisci il contenuto del file JSON scaricato durante la configurazione dei parametri di integrazione.
Per motivi di sicurezza, ti consigliamo di utilizzare gli indirizzi email di Workload Identity Federation for GKE anziché una chiave del account di servizio. Per saperne di più sulle identità dei workload, consulta Identità per i workload.
Crea e configura il ruolo IAM
Per configurare i ruoli e le autorizzazioni richiesti da Policy Intelligence, consulta Ruoli e autorizzazioni richiesti.
Per creare e configurare il ruolo IAM richiesto per l'integrazione di Policy Intelligence, completa i seguenti passaggi:
Nella console Google Cloud , vai alla pagina Ruoli IAM.
Fai clic su Crea ruolo per creare un ruolo personalizzato con le autorizzazioni richieste per l'integrazione.
Per un nuovo ruolo personalizzato, fornisci Titolo, Descrizione e un ID univoco.
Imposta Fase di lancio del ruolo su Disponibilità generale.
Aggiungi la seguente autorizzazione al ruolo creato:
policyanalyzer.serviceAccountLastAuthenticationActivities.query
Fai clic su Crea.
Integra Policy Intelligence con Google SecOps
L'integrazione richiede i seguenti parametri:
| Parametri | Descrizione |
|---|---|
API Root |
Obbligatorio
La radice dell'API dell'istanza Policy Intelligence. Il valore predefinito è |
Organization ID |
Optional
L'ID organizzazione da utilizzare nell'integrazione di Policy Intelligence. |
User's Service Account |
Obbligatorio
Il contenuto del file JSON della chiave dell'account di servizio. Puoi configurare questo parametro o il parametro Per configurare questo parametro, fornisci l'intero contenuto del file JSON della chiave dell'account di servizio che hai scaricato durante la creazione di un account di servizio. |
Quota Project ID |
Optional L'ID progetto Google Cloud che utilizzi per
le API e la fatturazione. Google Cloud Questo parametro richiede che tu conceda
il ruolo Se non imposti alcun valore per questo parametro, l'integrazione recupera l'ID progetto dal tuo service account Google Cloud . |
Workload Identity Email |
Optional L'indirizzo email client del tuo account di servizio. Puoi configurare questo parametro o il parametro Se imposti questo parametro, configura
il parametro Per rappresentare service account con l'indirizzo email di Workload Identity Federation for GKE, concedi il ruolo |
Verify SSL |
Obbligatorio
Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al server Policy Intelligence sia valido. Questa opzione è selezionata per impostazione predefinita. |
Per istruzioni sulla configurazione di un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.
Azioni
L'integrazione di Google Policy Intelligence include le seguenti azioni:
Dindin
Utilizza l'azione Ping per testare la connettività a Policy Intelligence.
Questa azione non viene eseguita sulle entità.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
In una bacheca richieste, l'azione Ping fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully connected to the Google Cloud Policy Intelligence server
with the provided connection parameters! |
Azione riuscita. |
Failed to connect to the Google Cloud Policy Intelligence
server! |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Cercare l'attività del service account
Utilizza l'azione Cerca attività del service account per cercare un'attività correlata ai service account in Policy Intelligence.
Questa azione non viene eseguita sulle entità.
Input azione
L'azione Cerca attività del service account richiede i seguenti parametri:
| Parametri | Descrizione |
|---|---|
Project ID |
Optional Il nome del progetto in cui cercare le attività del service account. Se non fornisci alcun valore, l'azione estrae l'ID progetto dalla configurazione dell'integrazione. |
Service Account Resource Name |
Obbligatorio
Un elenco separato da virgole contenente i nomi delle risorse dei service account utilizzati per recuperare le attività. |
Max Activities To Return |
Obbligatorio
Il numero di attività da restituire per un account di servizio. Il numero massimo è 1000. Per impostazione predefinita, l'azione restituisce 50 attività. |
Output dell'azione
L'azione Attività del service account di ricerca fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca attività del service account:
[
{
"Entity": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"EntityResult": [
{
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2023-05-23T07:00:00Z",
"endTime": "2023-08-20T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2023-08-20T07:00:00Z",
"serviceAccount": {
"serviceAccountId": "SERVICE_ACCOUNT_ID",
"projectNumber": "PROJECT_NUMBER",
"fullResourceName": "//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT@ENTITY_ID"
}
}
}
]
}
]
Messaggi di output
In una bacheca richieste, l'azione Cerca attività dell'account di servizio fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
Azione riuscita. |
Error executing action "Search Service Account Activity".
Reason: ERROR_REASON |
Azione non riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella descrive i valori dell'output dei risultati dello script quando utilizzi l'azione Cerca attività dell'account di servizio:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.