Google Cloud API

Questo documento fornisce indicazioni per configurare e integrare l'APIGoogle Cloud con Google Security Operations SOAR.

Versione integrazione: 4.0

Integrare l'API Google Cloud con Google SecOps SOAR

L'integrazione richiede i seguenti parametri:

Parametri Descrizione
Test URL Optional

Un URL di test per convalidare l'autenticazione all' Google Cloud API. Questo parametro utilizza una richiesta GET.
Service Account Json File Content Optional

Il contenuto del file JSON della chiave dell'account di servizio.

Puoi configurare questo parametro, il parametro Workload Identity Email o impostare tutti i parametri di integrazione precedenti.

Per configurare questo parametro, fornisci l'intero contenuto del file JSON della chiave dell'account di servizio che hai scaricato durante la creazione di un account di servizio.

Per ulteriori informazioni sull'utilizzo dei service account come metodo di autenticazione, consulta Panoramica dei service account e Simulazione dell'identità dei service account.

In questa integrazione, l'autenticazione con il file JSON della chiave dell'account di servizio ha la priorità sull'email dell'identità del workload.
Organization ID Optional

L'ID organizzazione da utilizzare nell'integrazione.

Per recuperare il valore da questo parametro durante l'esecuzione dell'azione, imposta il seguente segnaposto: {{org_id}}.

Project ID Optional

L'ID progetto da utilizzare nell'integrazione.

Per recuperare il valore da questo parametro durante l'esecuzione dell'azione, imposta il seguente segnaposto: {{project_id}}.
Quota Project ID Optional

L'ID progetto che utilizzi per le API e la fatturazione. Google Cloud Google Cloud Questo parametro richiede che tu conceda il ruolo Service Usage Consumer al tuo account di servizio.

L'integrazione associa questo valore parametro a tutte le richieste API.

Se non imposti un valore per questo parametro, l'integrazione recupera l'ID progetto dal tuo account di servizio Google Cloud .
Workload Identity Email Optional

L'indirizzo email client del tuo service account.

Puoi configurare questo parametro o il parametro Service Account Json File Content.

In questa integrazione, l'autenticazione con il file JSON della chiave dell'account di servizio ha la priorità sull'email dell'identità del workload.

Per rappresentare service account con l'identità del workload, concedi il ruolo Service Account Token Creator al tuo account di serviziont. Per maggiori dettagli sulle identità dei workload e su come utilizzarle, consulta Identità per i workload.
OAuth Scopes Optional

Un elenco separato da virgole degli ambiti OAuth necessari per eseguire le richieste API Google Cloud .
Verify SSL Obbligatorio

Se selezionata, l'integrazione verifica che il certificato SSL per la connessione al servizio Google Cloud sia valido.

Questa opzione è selezionata per impostazione predefinita.

Per istruzioni sulla configurazione di un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.

Azioni

L'integrazione dell'API Google Cloud include le seguenti azioni:

Esegui richiesta HTTP

Utilizza l'azione Esegui richiesta HTTP per eseguire una richiesta HTTP.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Esegui richiesta HTTP richiede i seguenti parametri:

Parametro Descrizione
Method Optional

Un metodo da utilizzare nella richiesta.

Il valore predefinito è GET.

I valori possibili sono:
  • GET
  • POST
  • PUT
  • PATCH
  • DELETE
  • HEAD
  • OPTIONS
URL Path Optional

Un URL da eseguire.

Il valore predefinito è https://.
URL Params Optional

I parametri URL.

L'azione utilizza qualsiasi valore fornito insieme ai valori che hai fornito direttamente nel parametro Percorso URL.

Questo parametro richiede come input il formato dell'oggetto JSON. Il valore predefinito è:

{
    "URL Field Name": "URL_FIELD_VALUE"
    }
Headers Optional

Intestazioni da utilizzare nella richiesta HTTP.

Questo parametro richiede come input il formato dell'oggetto JSON. Il valore predefinito è:

{
    "Content-Type": "application/json; charset=utf-8",
    "Accept": "application/json",
    "User-Agent" : "GoogleSecOps"
    }
Cookie Optional

I parametri da utilizzare nell'intestazione Cookie.

Questo parametro sovrascrive i cookie forniti nel parametro Headers.

Questo parametro richiede come input il formato dell'oggetto JSON. Il valore predefinito è:

{
    "Cookie_1": "COOKIE_1_VALUE"
    }
Body Payload
 Optional

Un corpo per la richiesta HTTP. L'azione crea payload diversi a seconda del valore dell'intestazione Content-Type fornito nel parametro Headers.

Questo parametro richiede il formato oggetto JSON come input, tranne quando un prodotto di terze parti richiede XML o i contenuti multipart/form-data. Se invii o carichi un file utilizzando la richiesta API, fornisci la versione codificata in base64 del file nel parametro Payload del corpo e imposta l'intestazione su "Content-type": "multipart/form-data".

Il valore predefinito è il seguente:

{
    "Body Field Name": "BODY_FIELD_VALUE"
    }
Expected Response Values Optional

I valori di risposta previsti.

Se configuri questo parametro, l'azione funziona in modalità asincrona e viene eseguita fino a quando non riceve i valori previsti o raggiunge un timeout.
Save To Case Wall Optional

Se selezionata, l'azione salva il file e lo allega alla bacheca della richiesta. Il file è archiviato con l'estensione .zip. Il file .zip non è protetto da password.

Non selezionato per impostazione predefinita.
Password Protect Zip Optional

Se selezionata, l'azione aggiunge una password al file .zip creato utilizzando il parametro Save To Case Wall. La password è la seguente: infected.

Utilizza questo parametro quando lavori con file sospetti.

Questa opzione è selezionata per impostazione predefinita.
Follow Redirects Optional

Se selezionata, l'azione segue i reindirizzamenti.

Questa opzione è selezionata per impostazione predefinita.
Fail on 4xx/5xx Optional

Se selezionata, l'azione non va a buon fine se il codice di stato della risposta è un errore 4xx o 5xx.

Questa opzione è selezionata per impostazione predefinita.
Base64 Output Optional

Se selezionata, l'azione converte la risposta nel formato base64.

Utilizza questo parametro durante il download dei file.

Il risultato JSON non può superare i 15 MB.

Non selezionato per impostazione predefinita.
Fields To Return Obbligatorio

I campi da restituire. I valori possibili sono:

  • response_data
  • redirects
  • response_code
  • response_cookies
  • response_headers
  • apparent_encoding
Request Timeout Obbligatorio

Periodo di attesa per l'invio dei dati da parte del server prima che l'azione non vada a buon fine.

Il valore predefinito è 120 secondi.

Output dell'azione

L'azione Esegui richiesta HTTP fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Esegui richiesta HTTP:

{
   "response_data": {
       "data": {
           "relationships": {
               "comment": [
                   {
                       "name": "item",
                       "description": "Object to which the comment belongs to."
                   },
                   {
                       "name": "author",
                       "description": "User who wrote the comment."
                   }
               ]
           }
       }
   },
   "redirects": [],
   "response_code": 200,
   "cookies": {},
   "response_headers": {
       "Content-Type": "application/json",
       "X-Cloud-Trace-Context": "VALUE",
       "Date": "Fri, 03 Nov 2023 16:14:13 GMT",
       "Server": "Google Frontend",
       "Content-Length": "36084"
   },
   "apparent_encoding": "ascii"
}
Messaggi di output

L'azione Esegui richiesta HTTP fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully executed API request.

Successfully executed API request, but the status code {4xx/5xx} was returned. Please check the request or try again later.

 L'azione è riuscita.
Failed to execute API request. Error: ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella descrive i valori dell'output del risultato dello script quando si utilizza l'azione Esegui richiesta HTTP:

Nome del risultato dello script Valore
is_success True o False

Dindin

Utilizza l'azione Ping per testare la connettività a Google Cloud.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Ping:

{
"endpoint": "TEST_URL"
}
Messaggi di output

L'azione Ping fornisce i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio
Successfully tested connectivity. L'azione è riuscita.
Failed to test connectivity.

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script Valore
is_success True o False

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.