Google Cloud API

Este documento fornece orientações para ajudar a configurar e integrar a Google Cloud API com o SOAR do Google Security Operations.

Versão da integração: 4.0

Integre a Google Cloud API com o SOAR do Google SecOps

A integração requer os seguintes parâmetros:

Parâmetros Descrição
Test URL Opcional

Um URL de teste para validar a autenticação na API Google Cloud . Este parâmetro usa um pedido GET.
Service Account Json File Content Opcional

O conteúdo do ficheiro JSON da chave da conta de serviço.

Pode configurar este parâmetro, o parâmetro Workload Identity Email ou definir todos os parâmetros de integração anteriores.

Para configurar este parâmetro, faculte o conteúdo completo do ficheiro JSON da chave da conta de serviço que transferiu quando criou uma conta de serviço.

Para mais informações sobre a utilização de contas de serviço como método de autenticação, consulte os artigos Vista geral das contas de serviço e Simulação de contas de serviço.

Nesta integração, a autenticação com o ficheiro JSON da chave da conta de serviço tem prioridade sobre o email da identidade da carga de trabalho.
Organization ID Opcional

O ID da organização a usar na integração.

Para obter o valor deste parâmetro durante a execução da ação, defina o seguinte marcador de posição: {{org_id}}.

Project ID Opcional

O ID do projeto a usar na integração.

Para obter o valor deste parâmetro durante a execução da ação, defina o seguinte marcador de posição: {{project_id}}.
Quota Project ID Opcional

O Google Cloud ID do projeto que usa para Google Cloud APIs e faturação. Este parâmetro requer que conceda a função Service Usage Consumer à sua conta de serviço.

A integração anexa este valor de parâmetro a todos os pedidos da API.

Se não definir um valor para este parâmetro, a integração obtém o ID do projeto da sua Google Cloud conta de serviço.
Workload Identity Email Opcional

O endereço de email do cliente da sua conta de serviço.

Pode configurar este parâmetro ou o parâmetro Service Account Json File Content.

Nesta integração, a autenticação com o ficheiro JSON da chave da conta de serviço tem prioridade sobre o email da identidade da carga de trabalho.

Para usar a identidade de contas de serviço com o Workload Identity, conceda a função Service Account Token Creator à sua conta de serviço. Para mais detalhes sobre as identidades de cargas de trabalho e como trabalhar com elas, consulte Identidades para cargas de trabalho.
OAuth Scopes Opcional

Uma lista separada por vírgulas de âmbitos do OAuth que são necessários para executar os pedidos da API Google Cloud .
Verify SSL Obrigatório

Se esta opção estiver selecionada, a integração verifica se o certificado SSL para estabelecer ligação ao serviço Google Cloud é válido.

Selecionado por predefinição.

Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

A Google Cloud integração da API inclui as seguintes ações:

Executar pedido HTTP

Use a ação Executar pedido HTTP para executar um pedido HTTP.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Executar pedido HTTP requer os seguintes parâmetros:

Parâmetro Descrição
Method Opcional

Um método a usar no pedido.

O valor predefinido é GET.

Os valores possíveis são:
  • GET
  • POST
  • PUT
  • PATCH
  • DELETE
  • HEAD
  • OPTIONS
URL Path Opcional

Um URL a executar.

O valor predefinido é https://.
URL Params Opcional

Os parâmetros de URL.

A ação usa qualquer valor fornecido juntamente com os valores que forneceu diretamente no parâmetro Caminho do URL.

Este parâmetro requer o formato de objeto JSON como entrada. O valor predefinido é o seguinte:

{
    "URL Field Name": "URL_FIELD_VALUE"
    }
Headers Opcional

Cabeçalhos a usar no pedido HTTP.

Este parâmetro requer o formato de objeto JSON como entrada. O valor predefinido é o seguinte:

{
    "Content-Type": "application/json; charset=utf-8",
    "Accept": "application/json",
    "User-Agent" : "GoogleSecOps"
    }
Cookie Opcional

Os parâmetros a usar no cabeçalho Cookie.

Este parâmetro substitui os cookies fornecidos no parâmetro Headers.

Este parâmetro requer o formato de objeto JSON como entrada. O valor predefinido é o seguinte:

{
    "Cookie_1": "COOKIE_1_VALUE"
    }
Body Payload
 Opcional

Um corpo para o pedido HTTP. A ação cria payloads diferentes consoante o valor do cabeçalho Content-Type fornecido no parâmetro Headers.

Este parâmetro requer o formato de objeto JSON como entrada, exceto quando um produto de terceiros requer XML ou o multipart/form-data conteúdo. Se enviar ou carregar um ficheiro através do pedido da API, forneça a versão codificada em base64 do ficheiro no parâmetro Body Payload e defina o cabeçalho como "Content-type": "multipart/form-data".

O valor predefinido é o seguinte:

{
    "Body Field Name": "BODY_FIELD_VALUE"
    }
Expected Response Values Opcional

Os valores de resposta esperados.

Se configurar este parâmetro, a ação funciona num modo assíncrono e é executada até receber os valores esperados ou atingir um limite de tempo.
Save To Case Wall Opcional

Se selecionada, a ação guarda o ficheiro e anexa-o ao mural do registo. O ficheiro está arquivado com a extensão .zip. O ficheiro .zip não está protegido por palavra-passe.

Não selecionado por predefinição.
Password Protect Zip Opcional

Se estiver selecionada, a ação adiciona uma palavra-passe ao ficheiro .zip criado através do parâmetro Save To Case Wall. A palavra-passe é a seguinte: infected.

Use este parâmetro quando trabalhar com ficheiros suspeitos.

Selecionado por predefinição.
Follow Redirects Opcional

Se estiver selecionada, a ação segue os redirecionamentos.

Selecionado por predefinição.
Fail on 4xx/5xx Opcional

Se selecionada, a ação falha se o código de estado da resposta for 4xx ou 5xx erros.

Selecionado por predefinição.
Base64 Output Opcional

Se selecionada, a ação converte a resposta para o formato base64.

Use este parâmetro quando transferir ficheiros.

O resultado JSON não pode exceder 15 MB.

Não selecionado por predefinição.
Fields To Return Obrigatório

Os campos a devolver. Os valores possíveis são os seguintes:

  • response_data
  • redirects
  • response_code
  • response_cookies
  • response_headers
  • apparent_encoding
Request Timeout Obrigatório

Um período de espera para que o servidor envie dados antes de a ação falhar.

O valor predefinido é 120 segundos.

Resultados da ação

A ação Executar pedido HTTP fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Execute HTTP Request:

{
   "response_data": {
       "data": {
           "relationships": {
               "comment": [
                   {
                       "name": "item",
                       "description": "Object to which the comment belongs to."
                   },
                   {
                       "name": "author",
                       "description": "User who wrote the comment."
                   }
               ]
           }
       }
   },
   "redirects": [],
   "response_code": 200,
   "cookies": {},
   "response_headers": {
       "Content-Type": "application/json",
       "X-Cloud-Trace-Context": "VALUE",
       "Date": "Fri, 03 Nov 2023 16:14:13 GMT",
       "Server": "Google Frontend",
       "Content-Length": "36084"
   },
   "apparent_encoding": "ascii"
}
Mensagens de saída

A ação Execute HTTP Request fornece as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully executed API request.

Successfully executed API request, but the status code {4xx/5xx} was returned. Please check the request or try again later.

 A ação foi bem-sucedida.
Failed to execute API request. Error: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte descreve os valores do resultado do script quando usa a ação Executar pedido HTTP:

Nome do resultado do script Valor
is_success True ou False

Tchim-tchim

Use a ação Ping para testar a conetividade com Google Cloud.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Ping:

{
"endpoint": "TEST_URL"
}
Mensagens de saída

A ação Ping apresenta as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully tested connectivity. A ação foi bem-sucedida.
Failed to test connectivity.

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte descreve os valores para o resultado do script quando usa a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.