Google Cloud API

Ce document vous explique comment configurer et intégrer l'APIGoogle Cloud à Google Security Operations SOAR.

Version de l'intégration : 4.0

Intégrer l'API Google Cloud à Google SecOps SOAR

L'intégration nécessite les paramètres suivants :

Paramètres Description
Test URL Optional

URL de test permettant de valider l'authentification auprès de l'API  Google Cloud . Ce paramètre utilise une requête GET.
Service Account Json File Content Optional

Contenu du fichier JSON de clé de compte de service.

Vous pouvez configurer ce paramètre ou le paramètre Workload Identity Email, ou définir tous les paramètres d'intégration précédents.

Pour configurer ce paramètre, indiquez l'intégralité du contenu du fichier JSON de la clé de compte de service que vous avez téléchargé lors de la création d'un compte de service.

Pour en savoir plus sur l'utilisation des comptes de service comme méthode d'authentification, consultez Présentation des comptes de service et Emprunter l'identité d'un compte de service.

Dans cette intégration, l'authentification avec le fichier JSON de clé de compte de service est prioritaire par rapport à l'adresse e-mail de l'identité de charge de travail.
Organization ID Optional

ID d'organisation à utiliser dans l'intégration.

Pour récupérer la valeur de ce paramètre lors de l'exécution de l'action, définissez l'espace réservé suivant : {{org_id}}.

Project ID Optional

ID du projet à utiliser dans l'intégration.

Pour récupérer la valeur de ce paramètre lors de l'exécution de l'action, définissez l'espace réservé suivant : {{project_id}}.
Quota Project ID Optional

ID du projet Google Cloud que vous utilisez pour les API Google Cloud et la facturation. Ce paramètre nécessite que vous accordiez le rôle Service Usage Consumer à votre compte de service.

L'intégration associe cette valeur de paramètre à toutes les requêtes API.

Si vous ne définissez pas de valeur pour ce paramètre, l'intégration récupère l'ID du projet à partir de votre compte de service Google Cloud .
Workload Identity Email Optional

Adresse e-mail du client de votre compte de service.

Vous pouvez configurer ce paramètre ou le paramètre Service Account Json File Content.

Dans cette intégration, l'authentification avec le fichier JSON de clé de compte de service est prioritaire par rapport à l'adresse e-mail de l'identité de charge de travail.

Pour emprunter l'identité de comptes de service avec Workload Identity, accordez le rôle Service Account Token Creator à votre compte de service. Pour en savoir plus sur les identités de charge de travail et sur la façon de les utiliser, consultez Identités pour les charges de travail.
OAuth Scopes Optional

Liste des champs d'application OAuth séparés par une virgule et requis pour exécuter les requêtes d'API Google Cloud .
Verify SSL Obligatoire

Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL permettant de se connecter au service Google Cloud est valide.

Cette option est sélectionnée par défaut.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

L'intégration de l'API Google Cloud inclut les actions suivantes :

Exécuter une requête HTTP

Utilisez l'action Exécuter une requête HTTP pour exécuter une requête HTTP.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Exécuter la requête HTTP nécessite les paramètres suivants :

Paramètre Description
Method Optional

Méthode à utiliser dans la requête.

La valeur par défaut est GET.

Les valeurs possibles sont les suivantes :
  • GET
  • POST
  • PUT
  • PATCH
  • DELETE
  • HEAD
  • OPTIONS
URL Path Optional

URL à exécuter.

La valeur par défaut est https://.
URL Params Optional

Paramètres d'URL.

L'action utilise toute valeur fournie en plus de celles que vous avez directement indiquées dans le paramètre Chemin d'URL.

Ce paramètre nécessite le format d'objet JSON comme entrée. La valeur par défaut est la suivante :

{
    "URL Field Name": "URL_FIELD_VALUE"
    }
Headers Optional

En-têtes à utiliser dans la requête HTTP.

Ce paramètre nécessite le format d'objet JSON comme entrée. La valeur par défaut est la suivante :

{
    "Content-Type": "application/json; charset=utf-8",
    "Accept": "application/json",
    "User-Agent" : "GoogleSecOps"
    }
Cookie Optional

Paramètres à utiliser dans l'en-tête Cookie.

Ce paramètre remplace les cookies fournis dans le paramètre Headers.

Ce paramètre nécessite le format d'objet JSON comme entrée. La valeur par défaut est la suivante :

{
    "Cookie_1": "COOKIE_1_VALUE"
    }
Body Payload
 Optional

Corps de la requête HTTP. L'action construit différentes charges utiles en fonction de la valeur de l'en-tête Content-Type fournie dans le paramètre Headers.

Ce paramètre nécessite le format d'objet JSON comme entrée, sauf lorsqu'un produit tiers nécessite du contenu XML ou multipart/form-data. Si vous envoyez ou importez un fichier à l'aide de la requête API, fournissez la version encodée en base64 du fichier dans le paramètre Body Payload et définissez l'en-tête sur "Content-type": "multipart/form-data".

La valeur par défaut est la suivante :

{
    "Body Field Name": "BODY_FIELD_VALUE"
    }
Expected Response Values Optional

Valeurs de réponse attendues.

Si vous configurez ce paramètre, l'action fonctionne en mode asynchrone et s'exécute jusqu'à ce qu'elle reçoive les valeurs attendues ou qu'elle atteigne un délai d'expiration.
Save To Case Wall Optional

Si cette option est sélectionnée, l'action enregistre le fichier et le joint au mur des cas. Le fichier est archivé avec l'extension .zip. Le fichier .zip n'est pas protégé par un mot de passe.

(non sélectionnée par défaut).
Password Protect Zip Optional

Si cette option est sélectionnée, l'action ajoute un mot de passe au fichier .zip créé à l'aide du paramètre Save To Case Wall. Le mot de passe est le suivant : infected.

Utilisez ce paramètre lorsque vous travaillez avec des fichiers suspects.

Cette option est sélectionnée par défaut.
Follow Redirects Optional

Si cette option est sélectionnée, l'action suit les redirections.

Cette option est sélectionnée par défaut.
Fail on 4xx/5xx Optional

Si cette option est sélectionnée, l'action échoue si le code d'état de la réponse est une erreur 4xx ou 5xx.

Cette option est sélectionnée par défaut.
Base64 Output Optional

Si cette option est sélectionnée, l'action convertit la réponse au format base64.

Utilisez ce paramètre lorsque vous téléchargez des fichiers.

Le résultat JSON ne peut pas dépasser 15 Mo.

(non sélectionnée par défaut).
Fields To Return Obligatoire

Champs à renvoyer. Les valeurs possibles sont les suivantes :

  • response_data
  • redirects
  • response_code
  • response_cookies
  • response_headers
  • apparent_encoding
Request Timeout Obligatoire

Période d'attente avant l'échec de l'action, pendant laquelle le serveur doit envoyer des données.

La valeur par défaut est de 120 secondes.

Sorties d'action

L'action Exécuter la requête HTTP fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Exécuter une requête HTTP :

{
   "response_data": {
       "data": {
           "relationships": {
               "comment": [
                   {
                       "name": "item",
                       "description": "Object to which the comment belongs to."
                   },
                   {
                       "name": "author",
                       "description": "User who wrote the comment."
                   }
               ]
           }
       }
   },
   "redirects": [],
   "response_code": 200,
   "cookies": {},
   "response_headers": {
       "Content-Type": "application/json",
       "X-Cloud-Trace-Context": "VALUE",
       "Date": "Fri, 03 Nov 2023 16:14:13 GMT",
       "Server": "Google Frontend",
       "Content-Length": "36084"
   },
   "apparent_encoding": "ascii"
}
Messages de sortie

L'action Exécuter la requête HTTP fournit les messages de sortie suivants :

Message affiché Description du message

Successfully executed API request.

Successfully executed API request, but the status code {4xx/5xx} was returned. Please check the request or try again later.

 L'action a réussi.
Failed to execute API request. Error: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Exécuter une requête HTTP :

Nom du résultat du script Valeur
is_success True ou False

Ping

Utilisez l'action Ping pour tester la connectivité à Google Cloud.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Table du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Ping :

{
"endpoint": "TEST_URL"
}
Messages de sortie

L'action Ping fournit les messages de sortie suivants :

Message affiché Description du message
Successfully tested connectivity. L'action a réussi.
Failed to test connectivity.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :

Nom du résultat du script Valeur
is_success True ou False

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.