Integra Amazon GuardDuty con Google SecOps
En este documento, se explica cómo integrar Amazon GuardDuty con Google Security Operations (Google SecOps).
Versión de integración: 8.0
Requisitos previos
Si necesitas acceso de solo lectura a la integración, como ejecutar el conector, usa la política AmazonGuardDutyReadOnlyAccess.
Para obtener acceso completo a todas las funciones de integración, usa la política AmazonGuardDutyFullAccess.
Para obtener detalles sobre el uso de políticas, consulta Políticas administradas por AWS.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de clave de acceso de AWS | String | N/A | Sí | ID de la clave de acceso de AWS que se usará en la integración. |
| Clave secreta de AWS | Contraseña | N/A | Sí | Clave secreta de AWS que se usará en la integración. |
| Región predeterminada de AWS | String | N/A | Sí | Región predeterminada de AWS que se usará en la integración, por ejemplo, us-west-1. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Casos de uso
- Detectar y administrar amenazas en el sistema de AWS con guías o acciones manuales
- Ingiere los resultados de Amazon GuardDuty, que luego se transfieren al archivo de GuardDuty.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Ping
Prueba la conectividad con Amazon GuardDuty.
Parámetros
Ninguno
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la conexión se realiza correctamente: "Successfully connected to the AWS GuardDuty server with the provided connection parameters!" De lo contrario: "No se pudo conectar a AWS si la conexión se realizó correctamente: "Se conectó correctamente al servidor de AWS GuardDuty con los parámetros de conexión proporcionados". De lo contrario: "No se pudo conectar al servidor de AWS GuardDuty. Error: {0}" |
General |
Crea un detector
Crea un solo detector de Amazon GuardDuty. Un detector es un recurso que representa el servicio de GuardDuty. Solo puedes tener un detector por cuenta y por región.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Habilitar | Casilla de verificación | Desmarcado | Sí | Especifica si se debe habilitar el detector. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Se realizó correctamente: "Se creó el detector <ID del detector nuevo>". Si no se creó el detector (is_success=false): "No se pudo crear un detector. Motivo: Ya existe un detector para la cuenta actual. Si se informa "ErrorCode" (is_success=false): "No se pudo crear un detector. Error: {}".format (ErrorMessage)" La acción debería fallar y detener la ejecución de la guía: La ID de detector no válida también debe generar una excepción, detener el manual y establecer is_success como falso. Si se informa un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión o algún otro problema: "Error al ejecutar la acción "Crear un detector". Reason: {0}''.format(error.Stacktrace) |
General |
Cómo borrar un detector
Borra un detector de Amazon GuardDuty especificado por el ID del detector.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Es el ID único del detector que deseas borrar. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si no se borra el detector (is_success=false): "La acción no pudo borrar el detector <detector_ID>. Error: {}".format(ErrorMessage)" Si el detector se borra correctamente (is_success=true): "Se borró el detector <ID del detector>". La acción debería fallar y detener la ejecución de la guía: La ID de detector no válida también debe generar una excepción, detener el manual y establecer is_success como falso. Si se informa un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión o algún otro error: "Error al ejecutar la acción "Borrar un detector". Reason: {0}''.format(error.Stacktrace) |
General |
Actualiza un detector
Actualiza el detector de Amazon GuardDuty especificado por el ID del detector.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Es el ID único del detector que deseas actualizar. |
| Habilitar | Casilla de verificación | Desmarcado | No | Especifica si se debe habilitar el detector. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa "ErrorCode" (is_success=false): "No se pudo crear un detector. Error: {}".format(ErrorMessage)" Si el detector se actualiza correctamente (is_success=true): "Se actualizó el detector <ID del detector>". La acción debería fallar y detener la ejecución de la guía: La ID de detector no válida también debe generar una excepción, detener el manual y establecer is_success en falso. Si se informa un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Actualizar un detector"". Reason: {0}''.format(error.Stacktrace) |
General |
Obtén detalles del detector
Recupera un detector de Amazon GuardDuty especificado por el ID del detector.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Es el ID único del detector que deseas recuperar. Valores separados por comas |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"DetectorId": "DETECTOR_ID",
"CreatedAt": "response['CreatedAt']",
"ServiceRole": "response['ServiceRole']",
"Status": "response['Status']",
"UpdatedAt": "response['UpdatedAt']",
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente: "Se recuperó correctamente la información sobre el indicador <ID del indicador>". Nota: Si se encuentran algunos IDs de detectores y otros no, muestra ambos mensajes según el ID del detector correspondiente. La acción debería fallar y detener la ejecución de la guía: La ID de detector no válida también debe generar una excepción, detener el manual y establecer is_success como falso. Si se informa un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión o algún otro error, se mostrará el mensaje "Error al ejecutar la acción "Obtener detalles del detector". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla CSV | Título de la tabla: Detalles de los detectores Columnas de la tabla:
|
General |
Enumera detectores
Enumera los detectorIds de todos los recursos de detector de Amazon GuardDuty existentes.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Cantidad máxima de detectores que se pueden devolver | Número entero | 50 | No | Especifica la cantidad de detectores que se devolverán. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"detectorIds": ["ID1,ID2"]
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 200 (is_success=true): "Se enumeraron correctamente los detectores disponibles en Amazon GuardDuty. ID del indicador:"<value>" Si se informa otro código de estado (is_success=false): "No se pudieron enumerar los detectores disponibles" La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal o del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "List Detectors". Reason: {0}''.format(error.Stacktrace) |
General |
Enumera los hallazgos de un detector
Enumera todos los hallazgos de Amazon GuardDuty para el ID de detector especificado.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Es el ID único del detector que deseas recuperar. |
| Cantidad máxima de hallazgos que se devolverán | Número entero | 50 | No | Especifica la cantidad de detectores que se devolverán. |
| Ordenar por | String | N/A | No | Representa el atributo del hallazgo (por ejemplo, accountId) por el que se ordenan los hallazgos. |
| Order By | DDL | ASC Valores posibles:
|
No | Orden en que se mostrarán los resultados ordenados. |
| Región de AWS | String | N/A | No | De manera opcional, especifica la región de AWS que se usará en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{"FindingIds": ["10ba96ae50733ae38b9cae95431b7558"]}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa "ErrorCode" (is_success=false): "Action wasn't able to get findings for <detector ID> detector. Error: {}".format(ErrorMessage)" Si la operación se realiza correctamente: "Se recuperaron correctamente los IDs de los hallazgos disponibles para el detector {ID del detector}" La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión o algún otro error, se mostrará el mensaje "Error al ejecutar la acción "List Findings for a Detector". Reason: {0}''.format(error.Stacktrace) |
General |
Archiva los hallazgos
Archiva los hallazgos de GuardDuty que se especifican por IDs de hallazgos.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| IDs de hallazgos | String | N/A | Sí | Son los IDs de los hallazgos que deseas recuperar. Son los IDs separados por comas. |
| ID de detector | String | N/A | Sí | ID único del detector |
| Región de AWS | String | N/A | No | De manera opcional, especifica la región de AWS que se usará en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Permiso de política de IAM de AWS:
- Efecto: Permitir
- Acción: guardduty:ArchiveFindings
Solo la cuenta de administrador puede archivar hallazgos. Las cuentas de miembros no tienen permiso para archivar hallazgos de sus cuentas.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa "ErrorCode" (is_success=false): "No se pudieron archivar los hallazgos de la acción. Error: {}".format(ErrorMessage). Verifica que todos los IDs de Finding sean correctos". Si se realiza correctamente: "Se archivaron correctamente los hallazgos" → Se cambió a: "Se archivaron correctamente los siguientes hallazgos: <ids>". En caso de que uno o todos los IDs de hallazgos sean no válidos, la acción no debería fallar, pero is_success debería establecerse en falso: "No se pudieron archivar los siguientes hallazgos: <ids>". Nota: El código de error no puede corresponder a uno de los IDs. En caso de que el ID del hallazgo sea incorrecto, se arroja una excepción con el siguiente error: "When calling the ArchiveFindings operation (reached max retries: 4): Internal server error". Same here:Check first if finding is valid. Se archivaron correctamente los siguientes hallazgos: 88bac20f959084244a2b91778d12e883 No se pudieron archivar los siguientes hallazgos: 1abac689941ae6f3e3e24d02ac4cf612 La acción debería fallar y detener la ejecución de la guía: La ID de detector no válida también debe generar una excepción, detener el manual y establecer is_success como falso. Si se informa un error grave o un error del SDK, como credenciales incorrectas, sin conexión o algún otro: "Error al ejecutar la acción "Archive Findings". Reason: {0}''.format(error.Stacktrace)" |
General |
Desarchivar hallazgos
Extrae los resultados de GuardDuty que se especifican por IDs de resultados.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| IDs de hallazgos | String | N/A | Sí | Son los IDs de los hallazgos que deseas recuperar. Valores separados por comas |
| ID de detector | String | N/A | Sí | Es el ID único del detector. |
Permiso de política de IAM de AWS:
- Efecto: Permitir
- Acción: guardduty:UnarchiveFindings
Solo la cuenta de administrador puede archivar hallazgos. Las cuentas de miembros no tienen permiso para archivar hallazgos de sus cuentas.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ejecuta correctamente: "Los siguientes hallazgos se archivaron correctamente: <ids>" En caso de que uno o todos los IDs de hallazgos sean no válidos, la acción no debería fallar, pero is_success debería establecerse en falso: "No se pudieron deshacer los siguientes hallazgos: <ids>". La acción debería fallar y detener la ejecución de la guía: La ID de detector no válida también debe generar una excepción, detener el manual y establecer is_success como falso. Si se informa un error fatal o un error del SDK, como credenciales incorrectas, sin conexión o algún otro: "Error al ejecutar la acción "Desarchivar hallazgos". Reason: {0}''.format(error.Stacktrace)" Nota: El código de error no puede corresponder a uno de los IDs. En caso de que el ID del hallazgo sea incorrecto, se arroja una excepción con el siguiente error: "When calling the ArchiveFindings operation (reached max retries: 4): Internal server error". Same here: Check first if finding is valid. Se archivaron correctamente los siguientes hallazgos: 88bac20f959084244a2b91778d12e883 No se pudieron archivar los siguientes hallazgos: 1abac689941ae6f3e3e24d02ac4cf612 |
General |
Crea muestras de hallazgos
Genera ejemplos de hallazgos de los tipos especificados por la lista de hallazgos.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Es el ID único del detector para el que se crearán muestras de hallazgos. |
| Tipos de resultados | String | N/A | No | Son los tipos de hallazgos de muestras que se generarán. Valores separados por comas Los tipos se pueden encontrar en la IU, en la sección Findings, en la columna Finding Type. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa "ErrorCode" (is_success=false): "La acción no pudo crear muestras de hallazgos. Error: {}".format(ErrorMessage)" Si la operación se realiza correctamente: "Se crearon correctamente los resultados de muestra" Si una de las entradas (Tipos de hallazgos) no es válida, detecta la siguiente excepción: "Se rechazó la solicitud porque se especificó un valor no válido o fuera de rango como parámetro de entrada". set, is_sucess=false: "No se pudieron crear hallazgos de muestra porque se encontró un valor no válido como parámetro de Tipos de hallazgos. Actualización: En caso de que el tipo de hallazgo no sea válido, la acción debería fallar y mostrar este mensaje: "Action wasn't able to create sample findings because an invalid value was found as Finding Types parameter. Error: <traceback>
La acción debería fallar y detener la ejecución de la guía: La ID de detector no válida también debe generar una excepción, detener el manual y establecer is_success como falso. Si se informa un error grave o un error del SDK, como credenciales incorrectas, falta de conexión o algún otro problema, se mostrará el mensaje"Error al ejecutar la acción "Create Sample Findings". Reason: {0}''.format(error.Stacktrace) |
General |
Actualiza los comentarios sobre los hallazgos
Marque los hallazgos especificados de Amazon GuardDuty como útiles o no útiles.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Es el ID único del detector asociado a los resultados para los que se actualizará la opinión. |
| ¿Te resultó útil? | Casilla de verificación | Desmarcado | Sí | Son los comentarios sobre el hallazgo. |
| IDs de los hallazgos | String | N/A | Sí | Son los IDs de los hallazgos que deseas marcar como útiles o no útiles. Valores separados por comas |
| Comentario | String | N/A | No | Comentarios adicionales sobre los hallazgos de GuardDuty. |
| Región de AWS | String | N/A | No | De manera opcional, especifica la región de AWS que se usará en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa "ErrorCode" (is_success=false): "No se pudo actualizar los comentarios sobre los hallazgos. Error: {}".format(ErrorMessage) Si se realiza correctamente: "Se actualizó la opinión sobre los hallazgos". Si se produce un error o no se encuentra uno de los IDs de la búsqueda, el objeto de respuesta aún devuelve una respuesta vacía, aunque uno de los IDs no exista. Si no se encuentran hallazgos:"No se puede actualizar el comentario. "<finding id> no es válido". La acción debería fallar y detener la ejecución de la guía: La ID de detector no válida también debe generar una excepción, detener el manual y establecer is_success como falso. Si se informa un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Update Findings Feedback"". Reason: {0}''.format(error.Stacktrace)" |
General |
Cómo borrar una lista de IPs de confianza
Borra el IPSet especificado por el ID.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Especifica el ID del detector que se debe usar para borrar un conjunto de IPs. Este parámetro se encuentra en la pestaña Configuración. |
| IDs de la lista de IPs de confianza | String | N/A | Sí | Especifica la lista de IDs de conjuntos de IPs separados por comas. Ejemplo: id_1,id_2 |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente (is_success=true): "Se borraron correctamente las siguientes listas de IPs de confianza: <ids>" Si no se completó correctamente para algunos de los IDs (is_success=true): "No se pudo borrar la siguiente lista de IPs de confianza de Amazon GuardDuty:\n{0}.".format(list_of_ids)" La acción debería fallar y detener la ejecución de la guía: La ID de detector no válida también debe generar una excepción, detener el manual y establecer is_success como falso. Si se informa un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "Borrar una lista de IPs de confianza". Motivo: {0}''.format(error.Stacktrace" |
General |
Obtén detalles del hallazgo
Devuelve información detallada sobre un hallazgo en AWS GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| IDs de hallazgos | String | N/A | Sí | Son los IDs de los hallazgos que deseas recuperar. Son los IDs separados por comas. |
| ID de detector | String | N/A | Sí | Es el ID único del detector que deseas recuperar. |
| Región de AWS | String | N/A | No | De manera opcional, especifica la región de AWS que se usará en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"Findings": [{
"AccountId": "ACCOUNT_ID",
"Arn": "arn:aws:guardduty:us-east-1:ACCOUNT_ID:detector/DETECTOR_ID/finding/FINDING_ID",
"CreatedAt": "2020-10-06T05:19:50.794Z",
"Description": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.", "Id": "ID",
"Partition": "aws",
"Region": "us-east-1",
"Resource": {
"InstanceDetails": {
"AvailabilityZone": "us-east-1e",
"ImageId": "ami-IMAGE_ID",
"InstanceId": "i-INSTANCE_ID",
"InstanceState": "running",
"InstanceType": "t2.micro",
"LaunchTime": "2020-05-27T08:54:03Z", "NetworkInterfaces": [{
"Ipv6Addresses": [],
"NetworkInterfaceId": "eni-012d9b8a1a3b4e40a",
"PrivateDnsName": "ip-192.0.2.1.ec2.internal",
"PrivateIpAddress": "192.0.2.1",
"PrivateIpAddresses": [{
"PrivateDnsName": "ip-192.0.2.1.ec2.internal",
"PrivateIpAddress": "192.0.2.1"
}],
"PublicDnsName": "ec2-54-234-69-236.compute-1.amazonaws.com",
"PublicIp": "198.51.100.236",
"SecurityGroups": [{
"GroupId": "sg-0fa42e04e9cd15407",
"GroupName": "Windows Server 2016"
}],
"SubnetId": "subnet-2edddf10",
"VpcId": "vpc-48a7ac32"
}],
"Platform": "windows",
"ProductCodes": [],
"Tags": [{
"Key": "Name",
"Value": "CiscoAMP-win2012"
}]},
"ResourceType": "Instance"
},
"SchemaVersion": "2.0",
"Service": {
"Action": {
"ActionType": "NETWORK_CONNECTION", "NetworkConnectionAction": {
"Blocked": false,
"ConnectionDirection": "INBOUND",
"LocalPortDetails": {
"Port": 3389, "PortName": "RDP"
},
"Protocol": "TCP",
"LocalIpDetails": {
"IpAddressV4": "192.0.2.1"
},
"RemoteIpDetails": {
"IpAddressV4": "203.0.113.9",
"Organization": {
"Asn": "24875",
"AsnOrg": "Example Inc.",
"Isp": "Example Inc.",
"Org": "Example Inc."
}},
"RemotePortDetails": {
"Port": 1549,
"PortName": "Unknown"
}}},
"Archived": false,
"Count": 5,
"DetectorId": "DETECTOR_ID",
"EventFirstSeen": "2020-10-06T05:10:58Z",
"EventLastSeen": "2020-10-06T05:46:59Z",
"ResourceRole": "TARGET",
"ServiceName": "guardduty"
},
"Severity": 2,
"Title": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID.",
"Type": "UnauthorizedAccess:EC2/RDPBruteForce",
"UpdatedAt": "2020-10-06T06:01:46.380Z"
}]
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa "ErrorCode" (is_success=false): "La acción no pudo obtener detalles de los hallazgos. Error: {}".format(ErrorMessage)" Si se ejecuta correctamente: "Se recuperó correctamente la información de los siguientes hallazgos <IDs de los hallazgos recuperados>" Si se informa un error para uno de los IDs, el objeto de respuesta solo tendrá resultados para los IDs correctos. Verifica si el objeto de respuesta no tenía algunos de los IDs y, luego, imprime un mensaje adecuado.
La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión o algún otro error: "Error al ejecutar la acción "Get Findings". Reason: {0}''.format(error.Stacktrace)" |
General |
| Tabla del muro de casos | Nota: Si existe. Columnas de la tabla:
|
General |
Obtén todas las listas de IPs de confianza
Descripción
Obtiene todas las listas de IPs de confianza (IPSets) del servicio de GuardDuty especificado por el ID del detector.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Especifica el ID del detector que se debe usar para enumerar los conjuntos de IPs. Este parámetro se encuentra en la pestaña Configuración. |
| Cantidad máxima de listas de IPs de confianza que se pueden devolver | Número entero | 50 | No | Especifica la cantidad de listas de IPs de confianza que se devolverán. |
| Región de AWS | String | N/A | No | De manera opcional, especifica la región de AWS que se usará en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"IpSetIds": ['', '' , '']
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: If successfully listed available sets (is_success=true): "Successfully retrieved available Trusted IP lists." La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal o del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Obtener todas las listas de IPs de confianza". Reason: {0}''.format(error.Stacktrace) |
General |
Obtén una lista de IPs de confianza
Descripción
Obtiene detalles sobre una lista de IPs de confianza en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Especifica el ID del detector que se debe usar para obtener un conjunto de IPs. Este parámetro se encuentra en la pestaña Configuración. |
| IDs de la lista de IPs de confianza | CSV | N/A | Sí | Especifica la lista de IDs separados por comas para los conjuntos de IPs, como |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"ip_set_id": {
"Format": "response['Format']",
"Location": "response['Location']",
"Name": "response['Name']",
"Status": "response['Status']"
}
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devolvieron los detalles correctamente (is_success=true):"Se recuperaron correctamente los detalles de las siguientes listas de IPs de confianza de Amazon GuardDuty:\n{0}.".format(list_of_ids)" Si no se completó correctamente para algunos de los IDs (is_success=true): "No se pudo recuperar información sobre las siguientes listas de IPs de confianza de Amazon GuardDuty:\n{0}.".format(list_of_ids) Si no se usan IDs (is_success=false): "No se recuperaron detalles sobre las listas de IPs de confianza proporcionadas".format(list_of_ids)" La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "List Trusted IP Lists". Reason: {0}''.format(error.Stacktrace) |
General |
| CSV | Nombre de la tabla: Detalles de las listas de IPs de confianza Columnas de la tabla:
|
General |
Actualiza una lista de IPs de confianza
Descripción
Actualizar una lista de IPs de confianza en Amazon GuardDuty
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Especifica el ID del detector que se debe usar para actualizar una lista de IPs de confianza. Este parámetro se encuentra en la pestaña Configuración. |
| ID de la lista de IPs de confianza | String | N/A | Sí | Especifica el ID de la lista de IPs de confianza que se debe actualizar. |
| Nombre | String | N/A | No | Especifica el nuevo nombre de la lista de IPs de confianza. |
| Ubicación del archivo | String | https://s3.amazonaws.com/{bucket-name}/file.txt |
No | Especifica una nueva ubicación del URI en la que se encuentra el archivo. |
| Activar | Casilla de verificación | Marcado | Sí | Si está habilitada, se activará la lista de IPs de confianza. |
| Región de AWS | String | N/A | No | De manera opcional, especifica la región de AWS que se usará en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
N/A
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se actualizó correctamente un conjunto (is_success=true): "Se actualizó correctamente la lista de IPs de confianza "{0}" en Amazon GuardDuty".format(ID de amenaza) Si no se pudo actualizar un conjunto (is_success=false): "Action wasn't able to update the trusted IP list '{0}' in Amazon GuardDuty.".format(Threat ID) La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "Actualizar lista de IPs de confianza". Reason: {0}''.format(error.Stacktrace) |
General |
Crea una lista de IPs de confianza
Crea una lista nueva de direcciones IP de confianza (IPSet) que estaban en la lista dinámica para la comunicación segura con la infraestructura y las aplicaciones de AWS.
GuardDuty no genera hallazgos para las direcciones IP que se incluyen en los IPSets. Solo los usuarios de la cuenta de administrador pueden usar esta operación.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Especifica el ID del detector que se debe usar para crear una lista de IPs de confianza. Este parámetro se encuentra en la pestaña Configuración. |
| Nombre | String | N/A | Sí | Especifica el nombre de la lista de IPs de confianza. |
| Formato de archivo | DDL | Texto sin formato | Sí | Selecciona el formato del archivo que se debe usar para crear una lista de IPs de confianza. Valores posibles:
|
| Ubicación del archivo | String | https://s3.amazonaws.com/{bucket-name}/file.txt |
Sí | Especifica la ubicación del URI en la que se encuentra el archivo. |
| Activar | Casilla de verificación | Marcado | Sí | Si está habilitada, se activa la lista de IPs de confianza recién creada. |
| Región de AWS | String | N/A | No | De manera opcional, especifica la región de AWS que se usará en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"TrustedIPID": "TRUSTED_IP_ID"
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se creó correctamente un conjunto (is_success=true): "Se creó correctamente la nueva lista de IPs de confianza "{0}" en Amazon GuardDuty.".format(Name)" Si no se pudo crear un conjunto (is_success=false): "Action wasn't able to create new Trusted IP List '{0}' in Amazon GuardDuty.".format(name)" La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave o un error del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "Create Trusted IP List". Reason: {0}''.format(error.Stacktrace)" |
General |
Enumera los conjuntos de Threat Intelligence
Enumera los conjuntos de inteligencia sobre amenazas disponibles en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Especifica el ID del detector que se debe usar para enumerar los conjuntos de inteligencia sobre amenazas. Este parámetro se encuentra en la pestaña Configuración. |
| Cantidad máxima de conjuntos de inteligencia sobre amenazas que se pueden devolver | Número entero | 50 | No | Especifica la cantidad de conjuntos de inteligencia sobre amenazas que se devolverán. |
| Región de AWS | String | N/A | No | De manera opcional, especifica la región de AWS que se usará en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"ThreatIntelSetIds": ["14ba8b942b76c1be6d985715eb7443eb",
"32ba8b92e553fe04d06dab543ed57a70",
"8aba8b93ba6e08e8fd5349b2c2b57709"
]
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: If successfully listed available sets (is_success=true): "Successfully listed available Threat Intelligence Sets." La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal o del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro error, se mostrará el mensaje "Error al ejecutar la acción "List Threat Intelligence Sets". Reason: {0}''.format(error.Stacktrace) |
General |
Obtén detalles del conjunto de Threat Intelligence
Obtiene detalles sobre un conjunto de inteligencia sobre amenazas en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Especifica el ID del detector que se debe usar para obtener detalles de los conjuntos de inteligencia sobre amenazas. Este parámetro se encuentra en la pestaña Configuración. |
| IDs de conjuntos de Threat Intelligence | String | 50 | Sí | Especifica la lista separada por comas de los IDs de los conjuntos de inteligencia sobre amenazas. Ejemplo: id_1,id_2 |
| Región de AWS | String | N/A | No | De manera opcional, especifica la región de AWS que se usará en la acción, que puede ser diferente de la región predeterminada especificada en la página de configuración de la integración. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"Format": "TXT",
"Location": "https: //example.s3.amazonaws.com/test.txt",
"Name": "API Test",
"ResponseMetadata": {
"HTTPHeaders": {
"connection": "keep-alive",
"content-length": "149",
"content-type": "application/json",
"date": "Mon,19 Oct 2020 06: 23: 22 GMT",
"x-amz-apigw-id": "ID",
"x-amzn-requestid": "REQUEST_ID",
"x-amzn-trace-id": "TRACE_ID"
},
"HTTPStatusCode": 200,
"RequestId": "REQUEST_ID",
"RetryAttempts": 0
},
"Status": "ERROR",
"Tags": {}
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devolvieron correctamente detalles sobre al menos un conjunto (is_success=true): "Se recuperaron correctamente los detalles sobre los siguientes conjuntos de inteligencia sobre amenazas de Amazon GuardDuty:\n{0}.".format(list_of_ids)" Si no se pudo recuperar información sobre algunos de los IDs (is_success=true): "No se pudo recuperar información sobre los siguientes conjuntos de inteligencia sobre amenazas de Amazon GuardDuty:\n{0}.".format(list_of_ids)" Si no se usan IDs: "No se recuperaron detalles sobre los conjuntos de inteligencia sobre amenazas proporcionados".format(list_of_ids) La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal o del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro error, se mostrará el mensaje "Error al ejecutar la acción "List Threat Intelligence Sets". Reason: {0}''.format(error.Stacktrace) |
General |
| CSV | Nombre de la tabla: Detalles del conjunto de Threat Intelligence Columna de la tabla:
|
Crea un conjunto de inteligencia sobre amenazas
Crea un conjunto de inteligencia sobre amenazas en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Especifica el ID del detector que se debe usar para crear un conjunto de inteligencia sobre amenazas. Este parámetro se encuentra en la pestaña Configuración. |
| Nombre | String | N/A | Sí | Especifica el nombre del conjunto de datos de Threat Intelligence. |
| Formato de archivo | DDL | Texto sin formato Valores posibles:
|
Sí | Selecciona el formato del archivo que se usa para crear un conjunto de inteligencia sobre amenazas. |
| Ubicación del archivo | String | https://s3.amazonaws.com/{bucket-name}/file.txt |
Sí | Especifica la ubicación del URI en la que se encuentra el archivo. |
| Activa | Casilla de verificación | Marcado | Sí | Si se habilita, se activará el conjunto de inteligencia sobre amenazas recién creado. |
| Etiquetas | CSV | N/A | No | Especifica etiquetas adicionales que se deben agregar al conjunto de Threat Intelligence. Formato: key_1:value_1,key_2:value_1 |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Resultado de JSON
{
"ThreatIntelSetId": "b6f0c884a54449cc8e29eed3094e9c31"
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se creó correctamente un conjunto (is_success=true): "Se creó correctamente el conjunto de inteligencia sobre amenazas "{0}" en Amazon GuardDuty.".format(Name) Si no se pudo crear un conjunto (is_success=false): "No se pudo crear el conjunto de inteligencia sobre amenazas "{0}" en Amazon GuardDuty".format(name) La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro error, se mostrará el mensaje "Error al ejecutar la acción "Create Threat Intelligence Set". Reason: {0}''.format(error.Stacktrace) |
General |
Actualiza el conjunto de Threat Intelligence
Actualiza un conjunto de inteligencia contra amenazas en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de detector | String | N/A | Sí | Especifica el ID del detector que se debe usar para actualizar un conjunto de inteligencia sobre amenazas. Este parámetro se encuentra en la pestaña Configuración. |
| ID | String | N/A | Sí | Especifica el ID del conjunto de Threat Intelligence que se debe actualizar. |
| Nombre | String | N/A | No | Especifica el nuevo nombre del conjunto de datos de Threat Intelligence. |
| Ubicación del archivo | String | https://s3.amazonaws.com/{bucket-name}/file.txt |
No | Especifica una nueva ubicación del URI en la que se encuentra el archivo. |
| Activa | Casilla de verificación | Marcado | Sí | Si está habilitado, se activa el conjunto de inteligencia sobre amenazas. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se actualizó correctamente un conjunto (is_success=true): "Successfully updated the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(Threat ID) Si no se pudo actualizar un conjunto (is_success=false): "La acción no pudo actualizar el conjunto de inteligencia sobre amenazas "{0}" en Amazon GuardDuty".format(ID de amenaza) La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro error, se mostrará el mensaje "Error executing action "Update Threat Intelligence Set". Reason: {0}''.format(error.Stacktrace) |
General |
Borra el conjunto de Threat Intelligence
Borra un conjunto de inteligencia contra amenazas en Amazon GuardDuty.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Marca de agua | Es obligatorio. | Descripción |
|---|---|---|---|---|---|
| ID de detector | String | N/A | N/A | Sí | Especifica el ID del detector que se debe usar para obtener detalles de los conjuntos de inteligencia sobre amenazas. Este parámetro se encuentra en la pestaña Configuración. |
| IDs de conjuntos de Threat Intelligence | CSV | N/A | N/A | Sí | Especifica la lista separada por comas de los IDs de los conjuntos de inteligencia sobre amenazas. Ejemplo: id_1,id_2 |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success=False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devolvieron correctamente detalles sobre al menos un conjunto (is_success=true): "Se borraron correctamente los siguientes conjuntos de Inteligencia sobre amenazas en Amazon GuardDuty:\n{0}.".format(list_of_ids) Si no se pudo borrar alguno de los IDs (is_success=true): "No se pudieron borrar los siguientes conjuntos de inteligencia sobre amenazas en Amazon GuardDuty:\n{0}.".format(list_of_ids) Si no se usaron IDs: "No se borró ningún conjunto de inteligencia sobre amenazas".format(list_of_ids) La acción debería fallar y detener la ejecución de la guía: La ID de detector no válida también debe generar una excepción, detener el manual y establecer is_success como falso. Si se trata de un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Delete Threat Intelligence Sets"". Reason: {0}''.format(error.Stacktrace) |
General |
Conectores
Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
AWS GuardDuty: conector de hallazgos
Extrae hallazgos de Amazon GuardDuty.
Entradas del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí |
Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
| Nombre del campo del evento | String | Tipo | Sí | Es el nombre del campo que determina el nombre del evento (subtipo). |
| Nombre del campo del entorno | String | "" | No | Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. |
Environment Regex Pattern |
String | .* | No |
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. |
| ID de clave de acceso de AWS | String | N/A | Sí | ID de la clave de acceso de AWS que se usará en la integración. |
| Clave secreta de AWS | Contraseña | N/A | Sí | Clave secreta de AWS que se usará en la integración. |
| Región predeterminada de AWS | String | N/A | Sí | Región predeterminada de AWS que se usará en la integración. Ejemplo: us-west-2 |
| ID de detector | String | N/A | Sí | Es el ID del detector. Se encuentra en la pestaña Configuración. |
| Gravedad más baja que se recuperará | Número entero | 1 | Sí | Es la gravedad más baja de las alertas que se recuperarán. Si no configuras este parámetro, el conector transferirá alertas con todos los niveles de gravedad. Los valores posibles están en el rango de Nota: Amazon GuardDuty asigna el valor entero en el siguiente orden:
|
| Recuperar horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas previas al momento actual para recuperar los hallazgos.
Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para una marca de tiempo del conector vencida. |
| Cantidad máxima de hallazgos que se pueden recuperar | Número entero | 50 | No | Cantidad de hallazgos que se procesarán en cada iteración del conector. Máximo: 50 Esta es una limitación de GuardDuty. |
Use whitelist as a blacklist |
Casilla de verificación | Desmarcado | Sí | Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
El conector admite proxies.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.