Integrar Amazon GuardDuty con Google SecOps
En este documento se explica cómo integrar Amazon GuardDuty con Google Security Operations (Google SecOps).
Versión de la integración: 8.0
Requisitos previos
Si necesitas acceso de solo lectura a la integración, como ejecutar el conector, usa la política AmazonGuardDutyReadOnlyAccess.
Para obtener acceso completo a todas las funciones de integración, usa la política AmazonGuardDutyFullAccess.
Para obtener más información sobre el uso de políticas, consulta Políticas gestionadas por AWS.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de clave de acceso de AWS | Cadena | N/A | Sí | ID de clave de acceso de AWS que se va a usar en la integración. |
| Clave secreta de AWS | Contraseña | N/A | Sí | Clave secreta de AWS que se va a usar en la integración. |
| Región predeterminada de AWS | Cadena | N/A | Sí | Región predeterminada de AWS que se va a usar en la integración (por ejemplo, us-west-1). |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Casos prácticos
- Detecta y gestiona amenazas en el sistema de AWS mediante guías o acciones manuales.
- Ingiere las detecciones de Amazon GuardDuty, que se mueven al archivo de GuardDuty.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Ping
Prueba la conectividad con Amazon GuardDuty.
Parámetros
Ninguno
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se realiza correctamente: "Successfully connected to the AWS GuardDuty server with the provided connection parameters!" ("Te has conectado correctamente al servidor de AWS GuardDuty con los parámetros de conexión proporcionados"). De lo contrario: "No se ha podido conectar a AWS si se ha completado correctamente: "Se ha conectado correctamente al servidor de AWS GuardDuty con los parámetros de conexión proporcionados". De lo contrario: "No se ha podido conectar con el servidor de AWS GuardDuty. Error: {0}" |
General |
Crear un detector
Crea un detector de Amazon GuardDuty. Un detector es un recurso que representa el servicio GuardDuty. Solo puedes tener un detector por cuenta y por región.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Habilitar | Casilla | Desmarcada | Sí | Especifica si se debe habilitar el detector. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Se ha completado correctamente: "Se ha creado el detector <ID del nuevo detector>". Si no se crea el detector (is_success=false): "Action wasn't able to create a detector. Motivo: ya existe un detector para la cuenta actual. Si se informa de "ErrorCode" (is_success=false): "Action wasn't able to create a detector. Error: {}".format (ErrorMessage)" La acción debería fallar y detener la ejecución de la guía: El ID de detector no válido también debería generar una excepción, detener el cuaderno de estrategias y asignar el valor false a is_success. Si se informa de un error crítico o de un error del SDK (por ejemplo, credenciales incorrectas, falta de conexión u otro error): "Error al ejecutar la acción "Crear un detector". Motivo: {0}''.format(error.Stacktrace) |
General |
Eliminar un detector
Elimina un detector de Amazon GuardDuty especificado por el ID del detector.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | El ID único del detector que quieres eliminar. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si el detector no se elimina (is_success=false): "No se ha podido eliminar el detector <detector_ID>. Error: {}".format(ErrorMessage)" Si el detector se elimina correctamente (is_success=true): "El detector <detector ID> se ha eliminado." La acción debería fallar y detener la ejecución de la guía: El ID de detector no válido también debería generar una excepción, detener el cuaderno de estrategias y asignar el valor false a is_success. Si se informa de un error crítico o de un error del SDK (por ejemplo, credenciales incorrectas, falta de conexión u otro error): "Error al ejecutar la acción "Eliminar un detector". Motivo: {0}''.format(error.Stacktrace) |
General |
Actualizar un detector
Actualiza el detector de Amazon GuardDuty especificado por el ID del detector.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | ID único del detector que quieres actualizar. |
| Habilitar | Casilla | Desmarcada | No | Especifica si el detector debe estar habilitado. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa de "ErrorCode" (is_success=false): "Action wasn't able to create a detector. Error: {}".format(ErrorMessage)" Si el detector se actualiza correctamente (is_success=true): "El detector <detector ID> se ha actualizado." La acción debería fallar y detener la ejecución de la guía: El ID de detector no válido también debería generar una excepción, detener el libro de jugadas y asignar el valor false a is_success. Si se informa de un error crítico o de un error del SDK (por ejemplo, credenciales incorrectas, falta de conexión u otro error): "Error al ejecutar la acción "Actualizar un detector". Motivo: {0}''.format(error.Stacktrace) |
General |
Obtener detalles del detector
Recupera un detector de Amazon GuardDuty especificado por el ID del detector.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | El ID único del detector que quieres obtener. Valores separados por comas. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"DetectorId": "DETECTOR_ID",
"CreatedAt": "response['CreatedAt']",
"ServiceRole": "response['ServiceRole']",
"Status": "response['Status']",
"UpdatedAt": "response['UpdatedAt']",
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente: "Se ha obtenido correctamente la información sobre el indicador <Indicator ID>". Nota: Si se encuentran algunos IDs de detectores, pero no todos, muestra ambos mensajes en función del ID del detector correspondiente. La acción debería fallar y detener la ejecución de la guía: El ID de detector no válido también debería generar una excepción, detener el cuaderno de estrategias y asignar el valor false a is_success. Si se informa de un error crítico o del SDK (por ejemplo, credenciales incorrectas, falta de conexión u otro error): "Error al ejecutar la acción "Get a Detector Details". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla CSV | Título de la tabla: Detalles de los detectores Columnas de tabla:
|
General |
Mostrar detectores
Muestra los IDs de detector de todos los recursos de detector de Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número máximo de detectores que se devolverán | Entero | 50 | No | Especifica el número de detectores que se van a devolver. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"detectorIds": ["ID1,ID2"]
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 200 (is_success=true): "Se han enumerado correctamente los detectores disponibles en Amazon GuardDuty. ID de indicador:<value>" Si se devuelve otro código de estado (is_success=false): "Action wasn't able to list available detectors" ("La acción no ha podido enumerar los detectores disponibles") La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico o de un error del SDK (por ejemplo, credenciales incorrectas, no hay conexión con el servidor u otro error): "Error al ejecutar la acción "List Detectors". Motivo: {0}''.format(error.Stacktrace) |
General |
Mostrar resultados de un detector
Enumera todos los resultados de Amazon GuardDuty del ID de detector especificado.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | El ID único del detector que quieres obtener. |
| Número máximo de resultados que se devolverán | Entero | 50 | No | Especifica el número de detectores que se van a devolver. |
| Ordenar por | Cadena | N/A | No | Representa el atributo del hallazgo (por ejemplo, accountId) por el que se deben ordenar los hallazgos. |
| Ordenar por | DDL | Ascendente Posibles valores:
|
No | El orden en el que se deben mostrar los resultados ordenados. |
| Región de AWS | Cadena | N/A | No | Si quiere, puede especificar la región de AWS que se va a usar en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{"FindingIds": ["10ba96ae50733ae38b9cae95431b7558"]}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debería fallar ni detener la ejecución de una guía: Si se informa de "ErrorCode" (is_success=false): "Action wasn't able to get findings for <detector ID> detector. Error: {}".format(ErrorMessage)" Si se completa correctamente: "Successfully retrieved available findings IDs for detector {detector ID}" ("Se han recuperado correctamente los IDs de las detecciones disponibles del detector {detector ID}") La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave o de un error del SDK (por ejemplo, credenciales incorrectas, falta de conexión u otro error): "Error al ejecutar la acción "List Findings for a Detector". Motivo: {0}''.format(error.Stacktrace) |
General |
Archivar resultados
Archiva las detecciones de GuardDuty especificadas por sus IDs.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Buscar IDs | Cadena | N/A | Sí | Los IDs de los resultados que quieres obtener. IDs separados por comas. |
| ID de detector | Cadena | N/A | Sí | ID único del detector. |
| Región de AWS | Cadena | N/A | No | Si quiere, puede especificar la región de AWS que se va a usar en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Permiso de política de gestión de identidades y accesos de AWS:
- Efecto: permitir
- Acción: guardduty:ArchiveFindings
Solo la cuenta de administrador puede archivar resultados. Las cuentas de miembros no tienen permiso para archivar resultados de sus cuentas.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa de "ErrorCode" (is_success=false): "Action wasn't able to archive Findings. Error: {}".format(ErrorMessage). Comprueba que todos los IDs de Finding sean correctos". Si se completa correctamente: "Findings were successfully archived" (Las detecciones se han archivado correctamente) → "The following findings were successfully archived: <ids>" (Las siguientes detecciones se han archivado correctamente: <ids>) Si uno o todos los IDs de resultados no son válidos, la acción no debería fallar, pero is_success debería tener el valor false: "No se han podido archivar los siguientes resultados: <ids>" Nota: El código de error no puede corresponder a uno de los IDs. Si el ID de la detección es incorrecto, se produce una excepción con el siguiente error: "When calling the ArchiveFindings operation (reached max retries: 4): Internal server error." ("Al llamar a la operación ArchiveFindings [se ha alcanzado el número máximo de reintentos: 4]: error interno del servidor"). Lo mismo ocurre aquí:primero comprueba si el resultado es válido. Se han archivado correctamente los siguientes resultados: 88bac20f959084244a2b91778d12e883 No se han podido archivar los siguientes hallazgos: 1abac689941ae6f3e3e24d02ac4cf612 La acción debería fallar y detener la ejecución de la guía: El ID de detector no válido también debería generar una excepción, detener el cuaderno de estrategias y asignar el valor false a is_success. Si se informa de un error crítico o de un error del SDK (por ejemplo, credenciales incorrectas, falta de conexión u otro error): "Error al ejecutar la acción "Archivar resultados". Motivo: {0}''.format(error.Stacktrace)" |
General |
Desarchivar resultados
Extrae las detecciones de GuardDuty especificadas por sus IDs.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Buscar IDs | Cadena | N/A | Sí | Los IDs de los resultados que quieres obtener. Valores separados por comas. |
| ID de detector | Cadena | N/A | Sí | ID único del detector. |
Permiso de política de gestión de identidades y accesos de AWS:
- Efecto: permitir
- Acción: guardduty:UnarchiveFindings
Solo la cuenta de administrador puede archivar resultados. Las cuentas de miembros no tienen permiso para archivar resultados de sus cuentas.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se completa correctamente: "Se han archivado correctamente los siguientes resultados: <ids>" Si uno o todos los IDs de resultados no son válidos, la acción no debería fallar, pero is_success debería tener el valor false: "No se han podido desarchivar los siguientes resultados: <ids>. La acción debería fallar y detener la ejecución de la guía: El ID de detector no válido también debería generar una excepción, detener el cuaderno de estrategias y asignar el valor false a is_success. Si se informa de un error crítico o de un error del SDK (por ejemplo, credenciales incorrectas, falta de conexión u otro error): "Error al ejecutar la acción "Desarchivar resultados". Motivo: {0}''.format(error.Stacktrace)" Nota: El código de error no puede corresponder a uno de los IDs. Si el ID de la detección es incorrecto, se produce una excepción con el siguiente error: "When calling the ArchiveFindings operation (reached max retries: 4): Internal server error." ("Al llamar a la operación ArchiveFindings [se ha alcanzado el número máximo de reintentos: 4]: error interno del servidor"). Lo mismo ocurre aquí: primero comprueba si el resultado es válido. Se han archivado correctamente los siguientes resultados: 88bac20f959084244a2b91778d12e883 No se han podido archivar los siguientes hallazgos: 1abac689941ae6f3e3e24d02ac4cf612 |
General |
Crear resultados de muestra
Genera resultados de ejemplo de los tipos especificados en la lista de resultados.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | ID único del detector para el que se van a crear resultados de muestra. |
| Tipos de resultados | Cadena | N/A | No | Tipos de resultados de muestra que se van a generar. Valores separados por comas. Los tipos se pueden encontrar en la interfaz de usuario, en la sección Resultados, en la columna Tipo de resultado. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa de "ErrorCode" (is_success=false): "Action no ha podido crear resultados de muestra. Error: {}".format(ErrorMessage)" Si la operación se realiza correctamente: "Successfully created sample findings" ("Se han creado correctamente resultados de muestra") Si una de las entradas (Tipos de resultados) no es válida, se producirá la siguiente excepción: "The request is rejected because an invalid or out-of-range value is specified as an input parameter." set, is_sucess=false: "Action wasn't able to create sample findings because an invalid value was found as Finding Types parameter. Actualización: Si el tipo de resultado no es válido, la acción debe fallar y mostrar este mensaje: "No se han podido crear resultados de muestra porque se ha encontrado un valor no válido en el parámetro Finding Types. Error: <traceback>
La acción debería fallar y detener la ejecución de la guía: El ID de detector no válido también debería generar una excepción, detener el cuaderno de estrategias y asignar el valor false a is_success. Si se informa de un error grave o de un error del SDK (por ejemplo, credenciales incorrectas, falta de conexión u otro error): "Error al ejecutar la acción "Create Sample Findings". Motivo: {0}''.format(error.Stacktrace) |
General |
Update Findings Feedback
Marca las detecciones de Amazon GuardDuty especificadas como útiles o no útiles.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | ID único del detector asociado a las detecciones para las que se va a actualizar la información. |
| ¿Te ha resultado útil? | Casilla | Desmarcada | Sí | Comentarios sobre el resultado. |
| IDs de resultados | Cadena | N/A | Sí | Los IDs de los resultados que quieras marcar como útiles o no útiles. Valores separados por comas. |
| Comentario | Cadena | N/A | No | Comentarios adicionales sobre los resultados de GuardDuty. |
| Región de AWS | Cadena | N/A | No | Si quiere, puede especificar la región de AWS que se va a usar en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa de "ErrorCode" (is_success=false): "Action wasn't able to update findings feedback. Error: {}".format(ErrorMessage) Si se realiza correctamente: "Se han actualizado los comentarios sobre los resultados". Si se produce un error o no se encuentra uno de los IDs de búsqueda, el objeto de respuesta sigue devolviendo una respuesta vacía, aunque uno de los IDs no exista. Si no se encuentran resultados:"No se puede actualizar la respuesta. <finding id> no es válido." La acción debería fallar y detener la ejecución de la guía: El ID de detector no válido también debería generar una excepción, detener el cuaderno de estrategias y asignar el valor false a is_success. Si se informa de un error crítico o de un error del SDK (por ejemplo, credenciales incorrectas, falta de conexión u otro error): "Error al ejecutar la acción "Update Findings Feedback". Motivo: {0}''.format(error.Stacktrace)" |
General |
Eliminar una lista de IPs de confianza
Elimina el IPSet especificado por el ID.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | Especifica el ID del detector que se debe usar para eliminar un conjunto de IPs. Este parámetro se encuentra en la pestaña Configuración. |
| IDs de listas de IPs de confianza | Cadena | N/A | Sí | Especifica la lista separada por comas de los IDs de los conjuntos de IPs. Ejemplo: id_1,id_2 |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se completa correctamente (is_success=true): "Successfully deleted the following Trusted IP lists: <ids>" ("Se han eliminado correctamente las siguientes listas de IPs de confianza: <ids>") Si no se ha podido eliminar alguna de las IDs (is_success=true): "No se ha podido eliminar la siguiente lista de IPs de confianza de Amazon GuardDuty:\n{0}.".format(list_of_ids)" La acción debería fallar y detener la ejecución de la guía: El ID de detector no válido también debería generar una excepción, detener el cuaderno de estrategias y asignar el valor false a is_success. Si se informa de un error crítico o del SDK, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Eliminar una lista de IPs de confianza". Motivo: {0}''.format(error.Stacktrace" |
General |
Get Finding Details
Devuelve información detallada sobre una detección de AWS GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Buscar IDs | Cadena | N/A | Sí | Los IDs de los resultados que quieres obtener. IDs separados por comas. |
| ID de detector | Cadena | N/A | Sí | El ID único del detector que quieres obtener. |
| Región de AWS | Cadena | N/A | No | Si quiere, puede especificar la región de AWS que se va a usar en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"Findings": [{
"AccountId": "ACCOUNT_ID",
"Arn": "arn:aws:guardduty:us-east-1:ACCOUNT_ID:detector/DETECTOR_ID/finding/FINDING_ID",
"CreatedAt": "2020-10-06T05:19:50.794Z",
"Description": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.", "Id": "ID",
"Partition": "aws",
"Region": "us-east-1",
"Resource": {
"InstanceDetails": {
"AvailabilityZone": "us-east-1e",
"ImageId": "ami-IMAGE_ID",
"InstanceId": "i-INSTANCE_ID",
"InstanceState": "running",
"InstanceType": "t2.micro",
"LaunchTime": "2020-05-27T08:54:03Z", "NetworkInterfaces": [{
"Ipv6Addresses": [],
"NetworkInterfaceId": "eni-012d9b8a1a3b4e40a",
"PrivateDnsName": "ip-192.0.2.1.ec2.internal",
"PrivateIpAddress": "192.0.2.1",
"PrivateIpAddresses": [{
"PrivateDnsName": "ip-192.0.2.1.ec2.internal",
"PrivateIpAddress": "192.0.2.1"
}],
"PublicDnsName": "ec2-54-234-69-236.compute-1.amazonaws.com",
"PublicIp": "198.51.100.236",
"SecurityGroups": [{
"GroupId": "sg-0fa42e04e9cd15407",
"GroupName": "Windows Server 2016"
}],
"SubnetId": "subnet-2edddf10",
"VpcId": "vpc-48a7ac32"
}],
"Platform": "windows",
"ProductCodes": [],
"Tags": [{
"Key": "Name",
"Value": "CiscoAMP-win2012"
}]},
"ResourceType": "Instance"
},
"SchemaVersion": "2.0",
"Service": {
"Action": {
"ActionType": "NETWORK_CONNECTION", "NetworkConnectionAction": {
"Blocked": false,
"ConnectionDirection": "INBOUND",
"LocalPortDetails": {
"Port": 3389, "PortName": "RDP"
},
"Protocol": "TCP",
"LocalIpDetails": {
"IpAddressV4": "192.0.2.1"
},
"RemoteIpDetails": {
"IpAddressV4": "203.0.113.9",
"Organization": {
"Asn": "24875",
"AsnOrg": "Example Inc.",
"Isp": "Example Inc.",
"Org": "Example Inc."
}},
"RemotePortDetails": {
"Port": 1549,
"PortName": "Unknown"
}}},
"Archived": false,
"Count": 5,
"DetectorId": "DETECTOR_ID",
"EventFirstSeen": "2020-10-06T05:10:58Z",
"EventLastSeen": "2020-10-06T05:46:59Z",
"ResourceRole": "TARGET",
"ServiceName": "guardduty"
},
"Severity": 2,
"Title": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID.",
"Type": "UnauthorizedAccess:EC2/RDPBruteForce",
"UpdatedAt": "2020-10-06T06:01:46.380Z"
}]
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa de "ErrorCode" (is_success=false): "Action wasn't able to get Findings details. Error: {}".format(ErrorMessage)" Si la solicitud se ha completado correctamente: "Successfully retrieved information for the following findings <finding ids that retrieved>" ("Se ha obtenido correctamente la información de los siguientes resultados <finding ids that retrieved>") Si se informa de un error en uno de los IDs, el objeto de respuesta solo tendrá resultados de los IDs correctos. Comprueba si el objeto de respuesta no tenía algunos de los IDs e imprime un mensaje adecuado.
La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico o de un error del SDK (por ejemplo, credenciales incorrectas, falta de conexión u otro error): "Error al ejecutar la acción "Get Findings". Motivo: {0}''.format(error.Stacktrace)" |
General |
| Tabla del panel de casos | Nota: si existe. Columnas de tabla:
|
General |
Obtener todas las listas de IPs de confianza
Descripción
Obtiene todas las listas de IPs de confianza (IPSets) del servicio GuardDuty especificado por el ID de detector.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | Especifica el ID del detector que se debe usar para enumerar los conjuntos de IPs. Este parámetro se encuentra en la pestaña Configuración. |
| Número máximo de listas de IPs de confianza que se devolverán | Entero | 50 | No | Especifica el número de listas de IPs de confianza que se van a devolver. |
| Región de AWS | Cadena | N/A | No | Si quiere, puede especificar la región de AWS que se va a usar en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"IpSetIds": ['', '' , '']
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se han enumerado correctamente los conjuntos disponibles (is_success=true): "Successfully retrieved available Trusted IP lists." ("Se han recuperado correctamente las listas de IPs de confianza disponibles"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave o del SDK (por ejemplo, credenciales incorrectas, no hay conexión con el servidor u otro error): "Error al ejecutar la acción "Obtener todas las listas de IPs de confianza". Motivo: {0}''.format(error.Stacktrace) |
General |
Obtener una lista de IPs de confianza
Descripción
Obtiene detalles sobre una lista de IPs de confianza en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | Especifica el ID del detector que se debe usar para obtener un conjunto de IPs. Este parámetro se encuentra en la pestaña Configuración. |
| IDs de listas de IPs de confianza | CSV | N/A | Sí | Especifica la lista separada por comas de los IDs de los conjuntos de IPs, como
|
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"ip_set_id": {
"Format": "response['Format']",
"Location": "response['Location']",
"Name": "response['Name']",
"Status": "response['Status']"
}
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelven los detalles correctamente (is_success=true):"Se han obtenido correctamente los detalles de las siguientes listas de IPs de confianza de Amazon GuardDuty:\n{0}.".format(list_of_ids)" Si no se ha podido obtener información de algunos de los IDs (is_success=true): "No se ha podido obtener información sobre las siguientes listas de IPs de confianza de Amazon GuardDuty:\n{0}.".format(list_of_ids) Si no se usa ningún ID (is_success=false): "No se ha obtenido ningún detalle sobre las listas de IPs de confianza proporcionadas".format(list_of_ids)" La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico o de un error del SDK (por ejemplo, credenciales incorrectas, no hay conexión con el servidor u otro error): "Error al ejecutar la acción "List Trusted IP Lists". Motivo: {0}''.format(error.Stacktrace) |
General |
| CSV | Nombre de la tabla: Detalles de las listas de IPs de confianza Columnas de tabla:
|
General |
Actualizar una lista de IPs de confianza
Descripción
Actualizar una lista de IPs de confianza en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | Especifica el ID del detector que se debe usar para actualizar una lista de IPs de confianza. Este parámetro se encuentra en la pestaña Configuración. |
| ID de lista de IPs de confianza | Cadena | N/A | Sí | Especifica el ID de la lista de IPs de confianza que se debe actualizar. |
| Nombre | Cadena | N/A | No | Especifica el nuevo nombre de la lista de IPs de confianza. |
| Ubicación del archivo | Cadena | https://s3.amazonaws.com/{bucket-name}/file.txt |
No | Especifica una nueva ubicación de URI donde se encuentre el archivo. |
| Activar | Casilla | Marcada | Sí | Si se habilita, se activará la lista de IPs de confianza. |
| Región de AWS | Cadena | N/A | No | Si quiere, puede especificar la región de AWS que se va a usar en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
N/A
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se actualiza correctamente un conjunto (is_success=true): "Se ha actualizado correctamente la lista de IPs de confianza "{0}" en Amazon GuardDuty.".format(ID de amenaza) Si no se puede actualizar un conjunto (is_success=false): "Action wasn't able to update the trusted IP list '{0}' in Amazon GuardDuty.".format(Threat ID) ("No se ha podido actualizar la lista de IPs de confianza "{0}" en Amazon GuardDuty").format(ID de amenaza) La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico o de un error del SDK (por ejemplo, credenciales incorrectas, no hay conexión con el servidor u otro error): "Error al ejecutar la acción "Actualizar lista de IPs de confianza". Motivo: {0}''.format(error.Stacktrace) |
General |
Crear una lista de IPs de confianza
Crea una lista de direcciones IP de confianza (IPSet) que estaban en la lista dinámica para comunicarse de forma segura con la infraestructura y las aplicaciones de AWS.
GuardDuty no genera detecciones para las direcciones IP que se incluyen en los conjuntos de IPs. Solo los usuarios de la cuenta de administrador pueden usar esta operación.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | Especifique el ID del detector que se debe usar para crear una lista de IPs de confianza. Este parámetro se encuentra en la pestaña Configuración. |
| Nombre | Cadena | N/A | Sí | Especifica el nombre de la lista de IPs de confianza. |
| Formato de archivo | DDL | Texto sin formato | Sí | Selecciona el formato del archivo que se debe usar para crear una lista de IPs de confianza. Posibles valores:
|
| Ubicación del archivo | Cadena | https://s3.amazonaws.com/{bucket-name}/file.txt |
Sí | Especifica la ubicación del URI donde se encuentra el archivo. |
| Activar | Casilla | Marcada | Sí | Si está activada, la lista de IPs de confianza que se acaba de crear se activará. |
| Región de AWS | Cadena | N/A | No | Si quiere, puede especificar la región de AWS que se va a usar en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"TrustedIPID": "TRUSTED_IP_ID"
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha creado correctamente un conjunto (is_success=true): "Successfully created new Trusted IP List '{0}' in Amazon GuardDuty.".format(Name)" ("Se ha creado correctamente la lista de IPs de confianza "{0}" en Amazon GuardDuty"). Si no se puede crear un conjunto (is_success=false): "Action wasn't able to create new Trusted IP List '{0}' in Amazon GuardDuty.".format(name)" ("No se ha podido crear una lista de IPs de confianza con el nombre "{0}" en Amazon GuardDuty"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave o de un error del SDK (por ejemplo, credenciales incorrectas, no hay conexión con el servidor u otro error): "Error al ejecutar la acción "Crear lista de IPs de confianza". Motivo: {0}''.format(error.Stacktrace)" |
General |
Listar conjuntos de inteligencia frente a amenazas
Lista los conjuntos de inteligencia sobre amenazas disponibles en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | Especifica el ID del detector que se debe usar para enumerar los conjuntos de información valiosa sobre amenazas. Este parámetro se encuentra en la pestaña Configuración. |
| Número máximo de conjuntos de inteligencia frente a amenazas que se devolverán | Entero | 50 | No | Especifica el número de conjuntos de inteligencia sobre amenazas que se van a devolver. |
| Región de AWS | Cadena | N/A | No | Si quiere, puede especificar la región de AWS que se va a usar en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"ThreatIntelSetIds": ["14ba8b942b76c1be6d985715eb7443eb",
"32ba8b92e553fe04d06dab543ed57a70",
"8aba8b93ba6e08e8fd5349b2c2b57709"
]
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se han enumerado correctamente los conjuntos disponibles (is_success=true): "Successfully listed available Threat Intelligence Sets" ("Se han enumerado correctamente los conjuntos de inteligencia sobre amenazas disponibles"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico o del SDK, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "List Threat Intelligence Sets". Motivo: {0}''.format(error.Stacktrace) |
General |
Obtener detalles de un conjunto de inteligencia frente a amenazas
Obtiene detalles sobre un conjunto de inteligencia frente a amenazas en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | Especifica el ID del detector que se debe usar para obtener los detalles de los conjuntos de información sobre amenazas. Este parámetro se encuentra en la pestaña Configuración. |
| IDs de conjuntos de inteligencia frente a amenazas | Cadena | 50 | Sí | Especifica la lista separada por comas de los IDs de los conjuntos de información valiosa sobre amenazas. Ejemplo: id_1,id_2 |
| Región de AWS | Cadena | N/A | No | Si quiere, puede especificar la región de AWS que se va a usar en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"Format": "TXT",
"Location": "https: //example.s3.amazonaws.com/test.txt",
"Name": "API Test",
"ResponseMetadata": {
"HTTPHeaders": {
"connection": "keep-alive",
"content-length": "149",
"content-type": "application/json",
"date": "Mon,19 Oct 2020 06: 23: 22 GMT",
"x-amz-apigw-id": "ID",
"x-amzn-requestid": "REQUEST_ID",
"x-amzn-trace-id": "TRACE_ID"
},
"HTTPStatusCode": 200,
"RequestId": "REQUEST_ID",
"RetryAttempts": 0
},
"Status": "ERROR",
"Tags": {}
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelven correctamente los detalles de al menos un conjunto (is_success=true): "Successfully retrieved details about the following Threat Intelligence Sets from Amazon GuardDuty:\n{0}.".format(list_of_ids)" ("Se han obtenido correctamente los detalles de los siguientes conjuntos de inteligencia sobre amenazas de Amazon GuardDuty:\n{0}.".format(list_of_ids)") Si no se ha podido obtener información de algunos de los IDs (is_success=true): "No se ha podido obtener información sobre los siguientes conjuntos de inteligencia de amenazas de Amazon GuardDuty:\n{0}.".format(list_of_ids)" Si no se usa ningún ID: "No se ha obtenido ningún detalle sobre los conjuntos de inteligencia sobre amenazas proporcionados.".format(list_of_ids) La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico o del SDK, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "List Threat Intelligence Sets". Motivo: {0}''.format(error.Stacktrace) |
General |
| CSV | Nombre de la tabla: Detalles del conjunto de inteligencia frente a amenazas Columna de tabla:
|
Crear conjunto de información sobre amenazas
Crea un conjunto de información sobre amenazas en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | Especifica el ID del detector que se debe usar para crear un conjunto de inteligencia sobre amenazas. Este parámetro se encuentra en la pestaña Configuración. |
| Nombre | Cadena | N/A | Sí | Especifica el nombre del conjunto de inteligencia sobre amenazas. |
| Formato de archivo | DDL | Texto sin formato Posibles valores:
|
Sí | Seleccione el formato del archivo que se utiliza para crear un conjunto de inteligencia sobre amenazas. |
| Ubicación del archivo | Cadena | https://s3.amazonaws.com/{bucket-name}/file.txt |
Sí | Especifique la ubicación del URI donde se encuentra el archivo. |
| Activo | Casilla | Marcada | Sí | Si se habilita, se activará el conjunto de inteligencia sobre amenazas recién creado. |
| Etiquetas | CSV | N/A | No | Especifica las etiquetas adicionales que se deben añadir al conjunto de inteligencia sobre amenazas. Formato: clave_1:valor_1,clave_2:valor_1 |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"ThreatIntelSetId": "b6f0c884a54449cc8e29eed3094e9c31"
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha creado correctamente un conjunto (is_success=true): "Successfully created the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(Name) ("Se ha creado correctamente el conjunto de inteligencia sobre amenazas "{0}" en Amazon GuardDuty"). Si no se puede crear un conjunto (is_success=false): "Action wasn't able to create the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(name) ("No se ha podido crear el conjunto de inteligencia sobre amenazas "{0}" en Amazon GuardDuty"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave o del SDK (por ejemplo, credenciales incorrectas, no hay conexión con el servidor u otro error): "Error al ejecutar la acción "Create Threat Intelligence Set". Motivo: {0}''.format(error.Stacktrace) |
General |
Actualizar conjunto de información sobre amenazas
Actualiza un conjunto de inteligencia de amenazas en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de detector | Cadena | N/A | Sí | Especifica el ID del detector que se debe usar para actualizar un conjunto de inteligencia sobre amenazas. Este parámetro se encuentra en la pestaña Configuración. |
| ID | Cadena | N/A | Sí | Especifica el ID del conjunto de inteligencia sobre amenazas que se debe actualizar. |
| Nombre | Cadena | N/A | No | Especifica el nuevo nombre del conjunto de inteligencia sobre amenazas. |
| Ubicación del archivo | Cadena | https://s3.amazonaws.com/{bucket-name}/file.txt |
No | Especifica una nueva ubicación de URI donde se encuentre el archivo. |
| Activo | Casilla | Marcada | Sí | Si está habilitada, se activa el conjunto de inteligencia sobre amenazas. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se actualiza correctamente un conjunto (is_success=true): "Se ha actualizado correctamente el conjunto de inteligencia sobre amenazas "{0}" en Amazon GuardDuty.".format(ID de amenaza) Si no se puede actualizar un conjunto (is_success=false): "Action wasn't able to update the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(Threat ID) ("No se ha podido actualizar el conjunto de inteligencia sobre amenazas "{0}" en Amazon GuardDuty").format(ID de amenaza) La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave o del SDK (por ejemplo, credenciales incorrectas, no hay conexión con el servidor u otro error): "Error al ejecutar la acción "Update Threat Intelligence Set". Motivo: {0}''.format(error.Stacktrace) |
General |
Eliminar conjunto de información sobre amenazas
Eliminar un conjunto de información sobre amenazas en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Marca de agua | Es obligatorio | Descripción |
|---|---|---|---|---|---|
| ID de detector | Cadena | N/A | N/A | Sí | Especifica el ID del detector que se debe usar para obtener los detalles de los conjuntos de información sobre amenazas. Este parámetro se encuentra en la pestaña Configuración. |
| IDs de conjuntos de inteligencia frente a amenazas | CSV | N/A | N/A | Sí | Especifica la lista separada por comas de los IDs de los conjuntos de información valiosa sobre amenazas. Ejemplo: id_1,id_2 |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelven correctamente los detalles de al menos un conjunto (is_success=true): "Se han eliminado correctamente los siguientes conjuntos de información sobre amenazas en Amazon GuardDuty:\n{0}.".format(list_of_ids) ("Successfully deleted the following Threat Intelligence Sets in Amazon GuardDuty:\n{0}.".format(list_of_ids)) Si no se ha podido eliminar alguno de los IDs (is_success=true): "Action wasn't able to delete the following Threat Intelligence Sets in Amazon GuardDuty:\n{0}.".format(list_of_ids) ("No se han podido eliminar los siguientes conjuntos de inteligencia sobre amenazas en Amazon GuardDuty:\n{0}.".format(list_of_ids)) Si no se usa ningún ID: "No se ha eliminado ningún conjunto de inteligencia sobre amenazas.".format(list_of_ids) La acción debería fallar y detener la ejecución de la guía: El ID de detector no válido también debería generar una excepción, detener el cuaderno de estrategias y asignar el valor false a is_success. Si se produce un error crítico o un error del SDK (por ejemplo, si las credenciales son incorrectas o no hay conexión con el servidor) u otro error: "Error al ejecutar la acción "Eliminar conjuntos de inteligencia sobre amenazas". Motivo: {0}''.format(error.Stacktrace) |
General |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
AWS GuardDuty - Findings Connector
Extrae resultados de Amazon GuardDuty.
Entradas de conectores
Utiliza los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí |
Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
| Nombre del campo de evento | Cadena | Tipo | Sí | Nombre del campo que determina el nombre del evento (subtipo). |
| Nombre del campo de entorno | Cadena | "" | No | Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. |
Environment Regex Pattern |
Cadena | .* | No |
Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. |
| ID de clave de acceso de AWS | Cadena | N/A | Sí | ID de clave de acceso de AWS que se va a usar en la integración. |
| Clave secreta de AWS | Contraseña | N/A | Sí | Clave secreta de AWS que se va a usar en la integración. |
| Región predeterminada de AWS | Cadena | N/A | Sí | Región predeterminada de AWS que se usará en la integración. Ejemplo: us-west-2 |
| ID de detector | Cadena | N/A | Sí | ID del detector. Puedes encontrarla en la pestaña Configuración. |
| Gravedad mínima que se va a obtener | Entero | 1 | Sí | La gravedad más baja de las alertas que se van a obtener. Si no configura este parámetro, el conector ingiere alertas con todos los niveles de gravedad. Los valores posibles están comprendidos entre Nota: Amazon GuardDuty asigna el valor entero en el siguiente orden:
|
| Fetch Max Hours Backwards | Entero | 1 | No | Número de horas anteriores a la hora actual para obtener resultados.
Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada. |
| Número máximo de resultados que se van a obtener | Entero | 50 | No | Número de resultados que se procesarán por iteración de conector. Máximo: 50 Esta es una limitación de GuardDuty. |
Use whitelist as a blacklist |
Casilla | Desmarcada | Sí | Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.