Intégrer Amazon GuardDuty à Google SecOps

Ce document explique comment intégrer Amazon GuardDuty à Google Security Operations (Google SecOps).

Version de l'intégration : 8.0

Prérequis

Si vous avez besoin d'un accès en lecture seule à l'intégration, par exemple pour exécuter le connecteur, utilisez la règle AmazonGuardDutyReadOnlyAccess.

Pour bénéficier d'un accès complet à toutes les fonctionnalités d'intégration, utilisez la règle AmazonGuardDutyFullAccess.

Pour en savoir plus sur l'utilisation des règles, consultez Règles gérées par AWS.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom du paramètre Type Valeur par défaut Obligatoire Description
AWS Access Key ID (ID de clé d'accès AWS) Chaîne N/A Oui ID de clé d'accès AWS à utiliser dans l'intégration.
Clé secrète AWS Mot de passe N/A Oui Clé secrète AWS à utiliser dans l'intégration.
Région AWS par défaut Chaîne N/A Oui Région AWS par défaut à utiliser dans l'intégration, par exemple "us-west-1".
Exécuter à distance Case à cocher Décochée Non

Cochez le champ pour exécuter l'intégration configurée à distance.

Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Cas d'utilisation

  1. Détectez et gérez les menaces dans le système AWS à l'aide de playbooks ou d'actions manuelles.
  2. Ingérez les résultats Amazon GuardDuty, qui sont ensuite déplacés vers l'archive GuardDuty.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

Ping

Testez la connectivité à Amazon GuardDuty.

Paramètres

Aucun

Date d'exécution

Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Mur des cas
Type de résultat Description Type
Message de sortie*

Si l'opération réussit  : "Connexion au serveur AWS GuardDuty établie avec les paramètres de connexion fournis !"

Sinon  : "Échec de la connexion à AWS" si la connexion a réussi : "Connexion au serveur AWS GuardDuty établie avec succès avec les paramètres de connexion fournis !"

Else  : "Échec de la connexion au serveur AWS GuardDuty ! Erreur : {0}

 Général

Créer un détecteur

Crée un seul détecteur Amazon GuardDuty. Un détecteur est une ressource qui représente le service GuardDuty. Vous ne pouvez disposer que d'un seul détecteur par compte et par région.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
Activer Case à cocher Décochée Oui Indique si le détecteur doit être activé.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Succès : "Le détecteur <new detector ID> a été créé."

Si le détecteur n'est pas créé (is_success=false) : "L'action n'a pas pu créer de détecteur. Raison : un détecteur existe déjà pour le compte actuel.

Si "ErrorCode" est signalé (is_success=false) : "L'action n'a pas pu créer de détecteur. Erreur : {}".format (ErrorMessage)"

L'action doit échouer et arrêter l'exécution d'un playbook :

Un ID de détecteur non valide doit également générer une exception, arrêter le playbook et définir is_success sur "false".

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion ou autre) est signalée : "Erreur lors de l'exécution de l'action "Créer un détecteur". Raison : {0}''.format(error.Stacktrace)

 Général

Supprimer un détecteur

Supprimez un détecteur Amazon GuardDuty spécifié par son ID.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui ID unique du détecteur que vous souhaitez supprimer.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si le détecteur n'est pas supprimé (is_success=false)  : "L'action n'a pas pu supprimer le détecteur <detector_ID>. Erreur : {}".format(ErrorMessage)"

Si le détecteur a bien été supprimé (is_success=true) : "Le détecteur <ID du détecteur> a été supprimé."

L'action doit échouer et arrêter l'exécution d'un playbook :

Un ID de détecteur non valide doit également générer une exception, arrêter le playbook et définir is_success sur "false".

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion ou autre) est signalée : "Erreur lors de l'exécution de l'action "Supprimer un détecteur". Raison : {0}''.format(error.Stacktrace)

 Général

Mettre à jour un détecteur

Mettez à jour le détecteur Amazon GuardDuty spécifié par l'ID du détecteur.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui ID unique du détecteur que vous souhaitez mettre à jour.
Activer Case à cocher Décochée Non Indique si le détecteur doit être activé.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si "ErrorCode" est signalé (is_success=false) : "L'action n'a pas pu créer de détecteur. Erreur : {}".format(ErrorMessage)"

Si le détecteur a bien été mis à jour (is_success=true) : "Le détecteur <detector ID> a été mis à jour."

L'action doit échouer et arrêter l'exécution d'un playbook :

Un ID de détecteur non valide doit également générer une exception, arrêter le playbook et définir is_success sur "false".

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion ou autre) est signalée : "Erreur lors de l'exécution de l'action "Mettre à jour un détecteur". Raison : {0}''.format(error.Stacktrace)

 Général

Obtenir les détails du détecteur

Récupérez un détecteur Amazon GuardDuty spécifié par son ID.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui ID unique du détecteur que vous souhaitez récupérer. Valeurs séparées par des virgules.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Résultat JSON
{
   "DetectorId": "DETECTOR_ID",
   "CreatedAt": "response['CreatedAt']",
   "ServiceRole": "response['ServiceRole']",
   "Status": "response['Status']",
   "UpdatedAt": "response['UpdatedAt']",
}
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "Informations sur l'indicateur <ID de l'indicateur> récupérées."

Remarque : Si certains ID de détecteur sont trouvés et d'autres non, affichez les deux messages en fonction de l'ID de détecteur concerné.

L'action doit échouer et arrêter l'exécution d'un playbook :

Un ID de détecteur non valide doit également générer une exception, arrêter le playbook et définir is_success sur "false".

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Obtenir les détails d'un détecteur". Raison : {0}''.format(error.Stacktrace)

 Général
Table CSV

Titre du tableau : Détails des détecteurs

Colonnes du tableau :

  • ID du détecteur
  • État
  • Rôle de service
  • Création le
  • Mise à jour :
 Général

Lister les détecteurs

Liste les detectorIds de toutes les ressources de détecteur Amazon GuardDuty existantes.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
Nombre maximal de détecteurs à renvoyer Integer 50 Non Spécifiez le nombre de détecteurs à renvoyer.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Résultat JSON
{
    "detectorIds": ["ID1,ID2"]
}
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si le code d'état 200 est signalé (is_success=true) : "La liste des détecteurs disponibles dans Amazon GuardDuty a bien été créée. ID de l'indicateur : <value>"

Si un autre code d'état est signalé (is_success=false) : "L'action n'a pas pu lister les détecteurs disponibles"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Lister les détecteurs". Raison : {0}''.format(error.Stacktrace)

 Général

Répertorier les résultats pour un détecteur

Liste tous les résultats Amazon GuardDuty pour l'ID de détecteur spécifié.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui ID unique du détecteur que vous souhaitez récupérer.
Nombre maximal de résultats à renvoyer Integer 50 Non Spécifiez le nombre de détecteurs à renvoyer.
Trier par Chaîne N/A Non Représente l'attribut de résultat (par exemple, accountId) selon lequel trier les résultats.
Order By (Trier par) LDD

ASC

Valeurs possibles :

  • ASC
  • DESC
 Non Ordre dans lequel les résultats triés doivent être affichés.
Région AWS Chaîne N/A Non Vous pouvez éventuellement spécifier la région AWS à utiliser dans l'action, qui peut être différente de la région par défaut spécifiée sur la page de configuration de l'intégration.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Résultat JSON
{"FindingIds": ["10ba96ae50733ae38b9cae95431b7558"]}
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si "ErrorCode" est signalé (is_success=false) : "L'action n'a pas pu obtenir de résultats pour le détecteur <ID du détecteur>. Erreur : {}".format(ErrorMessage)"

En cas de réussite : "Successfully retrieved available findings IDs for detector {detector ID}" (ID des résultats disponibles récupérés pour le détecteur {detector ID})

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Lister les résultats pour un détecteur". Raison : {0}''.format(error.Stacktrace)

 Général

Archiver les résultats

Archiver les résultats GuardDuty spécifiés par leurs ID

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID des résultats Chaîne N/A Oui

ID des résultats que vous souhaitez récupérer.

ID séparés par une virgule.
ID du détecteur Chaîne N/A Oui ID unique du détecteur
Région AWS Chaîne N/A Non Vous pouvez éventuellement spécifier la région AWS à utiliser dans l'action, qui peut être différente de la région par défaut spécifiée sur la page de configuration de l'intégration.

Autorisation de la stratégie AWS IAM :

  • Effet : autoriser
  • Action : guardduty:ArchiveFindings

Seul le compte administrateur peut archiver les résultats. Les comptes membres n'ont pas l'autorisation d'archiver les résultats de leurs comptes.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si "ErrorCode" est signalé (is_success=false) : "L'action n'a pas pu archiver les résultats. Erreur : {}".format(ErrorMessage). Veuillez vérifier que tous les ID de résultat sont corrects."

Si l'opération réussit : "Les résultats ont bien été archivés" → "Les résultats suivants ont bien été archivés : <ids>"

En cas d'ID de résultat non valides (un ou plusieurs), l'action ne doit pas échouer, mais is_success doit être défini sur "false" : "Impossible d'archiver les résultats suivants : <ids>"

Remarque : Le code d'erreur ne peut pas correspondre à l'un des ID. En cas d'ID de résultat incorrect, une exception est générée avec l'erreur suivante : "Lors de l'appel de l'opération ArchiveFindings (nombre maximal de tentatives atteint : 4) : erreur interne du serveur."

Même chose ici : vérifiez d'abord si le résultat est valide.

Les résultats suivants ont bien été archivés : 88bac20f959084244a2b91778d12e883

Échec de l'archivage des résultats suivants : 1abac689941ae6f3e3e24d02ac4cf612

L'action doit échouer et arrêter l'exécution d'un playbook :

Un ID de détecteur non valide doit également générer une exception, arrêter le playbook et définir is_success sur "false".

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion ou autre) est signalée : "Erreur lors de l'exécution de l'action "Archiver les résultats". Raison : {0}''.format(error.Stacktrace)"

 Général

Désarchiver les résultats

Extrayez les résultats GuardDuty spécifiés par les ID de résultat.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID des résultats Chaîne N/A Oui ID des résultats que vous souhaitez récupérer. Valeurs séparées par des virgules.
ID du détecteur Chaîne N/A Oui Identifiant unique du détecteur.

Autorisation de la stratégie AWS IAM :

  • Effet : autoriser
  • Action : guardduty:UnarchiveFindings

Seul le compte administrateur peut archiver les résultats. Les comptes membres n'ont pas l'autorisation d'archiver les résultats de leurs comptes.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "Les résultats suivants ont bien été archivés : <ids>"

En cas d'ID de résultat non valides (un ou plusieurs), l'action ne doit pas échouer, mais is_success doit être défini sur "false" : "Impossible de désarchiver les résultats suivants : <ids>

L'action doit échouer et arrêter l'exécution d'un playbook :

Un ID de détecteur non valide doit également générer une exception, arrêter le playbook et définir is_success sur "false".

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion ou autre) est signalée : "Erreur lors de l'exécution de l'action "Désarchiver les résultats". Raison : {0}''.format(error.Stacktrace)"

Remarque : Le code d'erreur ne peut pas correspondre à l'un des ID. En cas d'ID de résultat incorrect, une exception est générée avec l'erreur suivante : "Lors de l'appel de l'opération ArchiveFindings (nombre maximal de tentatives atteint : 4) : erreur interne du serveur."

Même chose ici : vérifiez d'abord si le résultat est valide.

Les résultats suivants ont bien été archivés : 88bac20f959084244a2b91778d12e883

Échec de l'archivage des résultats suivants : 1abac689941ae6f3e3e24d02ac4cf612

 Général

Créer des exemples de résultats

Génère des exemples de résultats des types spécifiés par la liste des résultats.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui ID unique du détecteur pour lequel créer des exemples de résultats.
Types de résultats Chaîne N/A Non

Types de résultats d'échantillon à générer. Valeurs séparées par des virgules.

Les types sont disponibles dans l'UI, dans la section "Résultats", sous la colonne "Type de résultat".

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si "ErrorCode" est signalé (is_success=false) : "L'action n'a pas pu créer d'exemples de résultats. Erreur : {}".format(ErrorMessage)"

Si l'opération réussit : "Exemples de résultats créés"

Si l'une des entrées (Types de résultats) n'est pas valide, capturez l'exception suivante : "La requête est refusée, car une valeur non valide ou hors plage est spécifiée comme paramètre d'entrée." set, is_sucess=false: "L'action n'a pas pu créer d'exemples de résultats, car une valeur non valide a été trouvée comme paramètre "Types de résultats".

Mise à jour : en cas de type de résultat non valide, l'action doit échouer et le message suivant s'afficher : "L'action n'a pas pu créer d'exemples de résultats, car une valeur non valide a été trouvée dans le paramètre "Types de résultats". Erreur : <traceback>

  • Type de résultat non valide + détecteur non valide → l'action doit échouer, is_success=false
  • Plusieurs résultats : non valide + non valide : l'action échouera quand même.

L'action doit échouer et arrêter l'exécution d'un playbook :

Un ID de détecteur non valide doit également générer une exception, arrêter le playbook et définir is_success sur "false".

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion ou autre) est signalée  : "Erreur lors de l'exécution de l'action "Créer des exemples de résultats". Raison : {0}''.format(error.Stacktrace)

 Général

Mettre à jour les commentaires sur les résultats

Marquez les résultats Amazon GuardDuty spécifiés comme utiles ou inutiles.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui ID unique du détecteur associé aux résultats pour lesquels mettre à jour les commentaires.
Utile ? Case à cocher Décochée Oui Commentaires sur le résultat.
ID des résultats Chaîne N/A Oui ID des résultats que vous souhaitez marquer comme utiles ou non utiles. Valeurs séparées par des virgules.
Commentaire Chaîne N/A Non Commentaires supplémentaires sur les résultats GuardDuty.
Région AWS Chaîne N/A Non Vous pouvez éventuellement spécifier la région AWS à utiliser dans l'action, qui peut être différente de la région par défaut spécifiée sur la page de configuration de l'intégration.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si "ErrorCode" est signalé (is_success=false) : "L'action n'a pas pu mettre à jour les commentaires sur les résultats. Error: {}".format(ErrorMessage)

En cas de succès : "Les commentaires sur les résultats ont été mis à jour."

Si une erreur/un élément introuvable est renvoyé pour l'un des ID de résultat, l'objet de réponse renvoie toujours une réponse vide, même si l'un des ID n'existe pas.

Si aucun résultat n'est trouvé : "Impossible de mettre à jour les commentaires. <finding id> n'est pas valide."

L'action doit échouer et arrêter l'exécution d'un playbook :

Un ID de détecteur non valide doit également générer une exception, arrêter le playbook et définir is_success sur "false".

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion ou autre) est signalée : "Erreur lors de l'exécution de l'action "Mettre à jour les commentaires sur les résultats". Raison : {0}''.format(error.Stacktrace)"

 Général

Supprimer une liste d'adresses IP de confiance

Supprime l'ensemble d'adresses IP spécifié par l'ID.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui

Spécifiez l'ID du détecteur à utiliser pour supprimer un ensemble d'adresses IP.

Ce paramètre se trouve dans l'onglet Paramètres.
ID de listes d'adresses IP approuvées Chaîne N/A Oui

Spécifiez la liste des ID des ensembles d'adresses IP, séparés par une virgule.

Exemple : id_1,id_2

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit (is_success=true) : "Les listes d'adresses IP de confiance suivantes ont bien été supprimées : <ids>"

Si l'opération n'a pas réussi pour certains ID (is_success=true) : "L'action n'a pas pu supprimer les listes d'adresses IP approuvées suivantes d'Amazon GuardDuty :\n{0}.".format(list_of_ids)"

L'action doit échouer et arrêter l'exécution d'un playbook :

Un ID de détecteur non valide doit également générer une exception, arrêter le playbook et définir is_success sur "false".

Si une erreur fatale ou de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Supprimer une liste d'adresses IP approuvées". Raison : {0}''.format(error.Stacktrace"

 Général

Obtenir les détails d'un résultat

Renvoie des informations détaillées sur un résultat dans AWS GuardDuty.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID des résultats Chaîne N/A Oui

ID des résultats que vous souhaitez récupérer. ID séparés par une virgule.
ID du détecteur Chaîne N/A Oui ID unique du détecteur que vous souhaitez récupérer.
Région AWS Chaîne N/A Non Vous pouvez éventuellement spécifier la région AWS à utiliser dans l'action, qui peut être différente de la région par défaut spécifiée sur la page de configuration de l'intégration.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Résultat JSON
{
    "Findings": [{
        "AccountId": "ACCOUNT_ID",
        "Arn": "arn:aws:guardduty:us-east-1:ACCOUNT_ID:detector/DETECTOR_ID/finding/FINDING_ID",
        "CreatedAt": "2020-10-06T05:19:50.794Z",
        "Description": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.", "Id": "ID",
        "Partition": "aws",
        "Region": "us-east-1",
        "Resource": {
            "InstanceDetails": {
                "AvailabilityZone": "us-east-1e",
                "ImageId": "ami-IMAGE_ID",
                "InstanceId": "i-INSTANCE_ID",
                "InstanceState": "running",
                "InstanceType": "t2.micro",
                "LaunchTime": "2020-05-27T08:54:03Z", "NetworkInterfaces": [{
                    "Ipv6Addresses": [],
                    "NetworkInterfaceId": "eni-012d9b8a1a3b4e40a",
                    "PrivateDnsName": "ip-192.0.2.1.ec2.internal",
                    "PrivateIpAddress": "192.0.2.1",
                    "PrivateIpAddresses": [{
                        "PrivateDnsName": "ip-192.0.2.1.ec2.internal",
                        "PrivateIpAddress": "192.0.2.1"
                    }],
                    "PublicDnsName": "ec2-54-234-69-236.compute-1.amazonaws.com",
                    "PublicIp": "198.51.100.236",
                    "SecurityGroups": [{
                        "GroupId": "sg-0fa42e04e9cd15407",
                        "GroupName": "Windows Server 2016"
                    }],
                    "SubnetId": "subnet-2edddf10",
                    "VpcId": "vpc-48a7ac32"
                }],
                "Platform": "windows",
                "ProductCodes": [],
                "Tags": [{
                    "Key": "Name",
                    "Value": "CiscoAMP-win2012"
                }]},
            "ResourceType": "Instance"
        },
        "SchemaVersion": "2.0",
        "Service": {
            "Action": {
                "ActionType": "NETWORK_CONNECTION", "NetworkConnectionAction": {
                    "Blocked": false,
                    "ConnectionDirection": "INBOUND",
                    "LocalPortDetails": {
                        "Port": 3389, "PortName": "RDP"
                    },
                    "Protocol": "TCP",
                    "LocalIpDetails": {
                        "IpAddressV4": "192.0.2.1"
                    },
                    "RemoteIpDetails": {
                        "IpAddressV4": "203.0.113.9",
                        "Organization": {
                            "Asn": "24875",
                            "AsnOrg": "Example Inc.",
                            "Isp": "Example Inc.",
                            "Org": "Example Inc."
                        }},
                    "RemotePortDetails": {
                            "Port": 1549,
                        "PortName": "Unknown"
                    }}},
            "Archived": false,
            "Count": 5,
            "DetectorId": "DETECTOR_ID",
            "EventFirstSeen": "2020-10-06T05:10:58Z",
            "EventLastSeen": "2020-10-06T05:46:59Z",
            "ResourceRole": "TARGET",
            "ServiceName": "guardduty"
        },
        "Severity": 2,
        "Title": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID.",
        "Type": "UnauthorizedAccess:EC2/RDPBruteForce",
        "UpdatedAt": "2020-10-06T06:01:46.380Z"
    }]
}
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si "ErrorCode" est signalé (is_success=false) : "L'action n'a pas pu obtenir les détails des résultats. Erreur : {}".format(ErrorMessage)"

Si l'opération réussit : "Informations récupérées pour les résultats suivants : <ID des résultats récupérés>"

Si une erreur est signalée pour l'un des ID, l'objet de réponse ne contient de résultats que pour les ID valides. Vérifiez si l'objet de réponse ne contient pas certains ID et affichez un message approprié.

E.g. data = ['4cba8180b5959ae56a3be24cc722aaaa', '6eba7eae0e24ffe28a4109f2594febff', '24ba6761dc4cf85cfc292bbadd1c2655']

The first ID does not exist, therefore I will not get a result for that one. Output message:

"Successfully retrieved information for the following findings: 6eba7eae0e24ffe28a4109f2594febff,24ba6761dc4cf85cfc292bbadd1c2655. Failed to retrieve information for the following findings: 4cba8180b5959ae56a3be24cc722aaaa

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion ou autre) est signalée  : "Erreur lors de l'exécution de l'action "Obtenir les résultats". Raison : {0}''.format(error.Stacktrace)"

 Général
Tableau du mur des cas

Remarque : si elle existe.

Colonnes du tableau :

  • ID du résultat
  • Titre
  • Description
  • Type
  • Gravité
  • Nombre
  • ID de ressource
  • Création le
  • Mise à jour :
  • ID de compte
 Général

Obtenir toutes les listes d'adresses IP approuvées

Description

Obtenez toutes les listes d'adresses IP approuvées (IPSets) du service GuardDuty spécifié par l'ID du détecteur.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui

Spécifiez l'ID du détecteur à utiliser pour lister les ensembles d'adresses IP.

Ce paramètre se trouve dans l'onglet "Paramètres".
Nombre maximal de listes d'adresses IP approuvées à renvoyer Integer 50 Non Spécifiez le nombre de listes d'adresses IP approuvées à renvoyer.
Région AWS Chaîne N/A Non Vous pouvez éventuellement spécifier la région AWS à utiliser dans l'action, qui peut être différente de la région par défaut spécifiée sur la page de configuration de l'intégration.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Résultat JSON
{
    "IpSetIds": ['', '' , '']
}
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si la liste des ensembles disponibles a été récupérée (is_success=true) : "Successfully retrieved available Trusted IP lists." (La liste des adresses IP approuvées disponibles a été récupérée.)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Obtenir toutes les listes d'adresses IP approuvées". Raison : {0}''.format(error.Stacktrace)

 Général

Obtenir une liste d'adresses IP approuvées

Description

Obtenez des informations sur une liste d'adresses IP de confiance dans Amazon GuardDuty.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui

Spécifiez l'ID du détecteur à utiliser pour obtenir un ensemble d'adresses IP.

Ce paramètre se trouve dans l'onglet "Paramètres".
ID de listes d'adresses IP approuvées CSV N/A Oui

Spécifiez la liste d'ID des ensembles d'adresses IP séparés par une virgule, par exemple id_1,id_2.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Résultat JSON
{
    "ip_set_id": {
        "Format": "response['Format']",
        "Location": "response['Location']",
        "Name": "response['Name']",
        "Status": "response['Status']"
        }
}
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si les détails sont renvoyés avec succès (is_success=true) : "Les détails concernant les listes d'adresses IP approuvées suivantes ont été récupérés avec succès depuis Amazon GuardDuty :\n{0}.".format(list_of_ids)"

Si l'opération n'a pas abouti pour certains ID (is_success=true) : "L'action n'a pas pu récupérer les détails des listes d'adresses IP approuvées suivantes à partir d'Amazon GuardDuty : {0}.".format(list_of_ids)

Si aucun ID n'est utilisé (is_success=false) : "Aucun détail n'a été récupéré concernant les listes d'adresses IP approuvées fournies".format(list_of_ids)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Lister les listes d'adresses IP approuvées". Raison : {0}''.format(error.Stacktrace)

 Général
CSV

Nom de la table : Détails des listes d'adresses IP fiables

Colonnes du tableau :

  • Nom (mappé en tant que "Nom")
  • ID de la liste d'adresses IP approuvées (à partir du paramètre d'action)
  • Emplacement (mappé en tant qu'emplacement)
  • État (mappé en tant qu'état)
 Général

Mettre à jour une liste d'adresses IP approuvées

Description

Mettez à jour une liste d'adresses IP de confiance dans Amazon GuardDuty.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui

Spécifiez l'ID du détecteur à utiliser pour mettre à jour une liste d'adresses IP fiables.

Ce paramètre se trouve dans l'onglet "Paramètres".
ID de la liste d'adresses IP approuvées Chaîne N/A Oui Spécifiez l'ID de la liste d'adresses IP de confiance à mettre à jour.
Nom Chaîne N/A Non Spécifiez le nouveau nom de la liste d'adresses IP approuvées.
Emplacement du fichier Chaîne https://s3.amazonaws.com/{bucket-name}/file.txt Non Spécifiez un nouvel URI d'emplacement où se trouve le fichier.
Activer Case à cocher Cochée Oui Si cette option est activée, la liste des adresses IP de confiance sera activée.
Région AWS Chaîne N/A Non Vous pouvez éventuellement spécifier la région AWS à utiliser dans l'action, qui peut être différente de la région par défaut spécifiée sur la page de configuration de l'intégration.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Résultat JSON
N/A
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si un ensemble a été mis à jour (is_success=true) : "La liste d'adresses IP de confiance '{0}' a bien été mise à jour dans Amazon GuardDuty.".format(Threat ID)

Si la mise à jour d'un ensemble échoue (is_success=false) : "L'action n'a pas pu mettre à jour la liste des adresses IP de confiance '{0}' dans Amazon GuardDuty.".format(ID de la menace)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Mettre à jour la liste des adresses IP approuvées". Raison : {0}''.format(error.Stacktrace)

 Général

Créer une liste d'adresses IP de confiance

Crée une liste d'adresses IP approuvées (IPSet) qui figuraient dans la liste dynamique pour une communication sécurisée avec l'infrastructure et les applications AWS.

GuardDuty ne génère pas de résultats pour les adresses IP incluses dans les ensembles d'adresses IP. Seuls les utilisateurs du compte administrateur peuvent effectuer cette opération.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui

Spécifiez l'ID du détecteur à utiliser pour créer une liste d'adresses IP approuvées.

Ce paramètre se trouve dans l'onglet Paramètres.
Nom Chaîne N/A Oui Spécifiez le nom de la liste d'adresses IP de confiance.
Format de fichier LDD Texte brut Oui

Sélectionnez le format du fichier à utiliser pour créer une liste d'adresses IP fiables.

Valeurs possibles :

  • Expression d'informations structurées sur les menaces en texte brut (STIX, Structured Threat Information Expression)
  • CSV Open Threat Exchange (OTX)
  • CSV FireEye iSIGHT Threat Intelligence
  • CSV du flux d'informations Proofpoint ET Intelligence
  • Flux de réputation AlienVault
Emplacement du fichier Chaîne https://s3.amazonaws.com/{bucket-name}/file.txt Oui Spécifiez l'URI où se trouve le fichier.
Activer Case à cocher Cochée Oui Si cette option est activée, la liste d'adresses IP approuvées nouvellement créée est activée.
Région AWS Chaîne N/A Non Vous pouvez éventuellement spécifier la région AWS à utiliser dans l'action, qui peut être différente de la région par défaut spécifiée sur la page de configuration de l'intégration.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Résultat JSON
{
    "TrustedIPID": "TRUSTED_IP_ID"
}
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si un ensemble a été créé (is_success=true) : "Successfully created new Trusted IP List '{0}' in Amazon GuardDuty.".format(Name)"

Si la création d'un ensemble échoue (is_success=false) : "Action wasn't able to create new Trusted IP List '{0}' in Amazon GuardDuty.".format(name)"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Créer une liste d'adresses IP approuvées". Raison : {0}''.format(error.Stacktrace)"

 Général

Lister les ensembles de renseignements sur les menaces

Répertorie les ensembles de renseignements sur les menaces disponibles dans Amazon GuardDuty.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui

Spécifiez l'ID du détecteur à utiliser pour lister les ensembles d'informations sur les menaces.

Ce paramètre se trouve dans l'onglet "Paramètres".
Nombre maximal d'ensembles de renseignements sur les menaces à renvoyer Integer 50 Non Spécifiez le nombre d'ensembles d'informations sur les menaces à renvoyer.
Région AWS Chaîne N/A Non Vous pouvez éventuellement spécifier la région AWS à utiliser dans l'action, qui peut être différente de la région par défaut spécifiée sur la page de configuration de l'intégration.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Résultat JSON
{
    "ThreatIntelSetIds": ["14ba8b942b76c1be6d985715eb7443eb",
                       "32ba8b92e553fe04d06dab543ed57a70",
                       "8aba8b93ba6e08e8fd5349b2c2b57709"
                       ]
}
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si la liste des ensembles disponibles a été établie avec succès (is_success=true)  : "La liste des ensembles de renseignements sur les menaces disponibles a été établie avec succès."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Lister les ensembles d'informations sur les menaces". Raison : {0}''.format(error.Stacktrace)

 Général

Obtenir les détails d'un ensemble de renseignements sur les menaces

Obtenez des informations sur un ensemble de renseignements sur les menaces dans Amazon GuardDuty.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui

Spécifiez l'ID du détecteur à utiliser pour obtenir les détails des ensembles de renseignements sur les menaces.

Ce paramètre se trouve dans l'onglet "Paramètres".
ID des ensembles de renseignements sur les menaces Chaîne 50 Oui

Spécifiez la liste d'ID des ensembles de renseignements sur les menaces, séparés par une virgule.

Exemple : id_1,id_2
Région AWS Chaîne N/A Non Vous pouvez éventuellement spécifier la région AWS à utiliser dans l'action, qui peut être différente de la région par défaut spécifiée sur la page de configuration de l'intégration.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Résultat JSON
{
    "Format": "TXT",
    "Location": "https: //example.s3.amazonaws.com/test.txt",
    "Name": "API Test",
    "ResponseMetadata": {
        "HTTPHeaders": {
            "connection": "keep-alive",
            "content-length": "149",
            "content-type": "application/json",
            "date": "Mon,19 Oct 2020 06: 23: 22 GMT",
            "x-amz-apigw-id": "ID",
            "x-amzn-requestid": "REQUEST_ID",
            "x-amzn-trace-id": "TRACE_ID"
        },
        "HTTPStatusCode": 200,
        "RequestId": "REQUEST_ID",
        "RetryAttempts": 0
    },
    "Status": "ERROR",
    "Tags": {}
}
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si les informations sur au moins un ensemble sont renvoyées (is_success=true)  : "Informations récupérées sur les ensembles de renseignements sur les menaces suivants d'Amazon GuardDuty :\n{0}.".format(list_of_ids)"

Si l'opération a échoué pour certains ID (is_success=true)  : "L'action n'a pas pu récupérer les détails des ensembles de renseignements sur les menaces suivants à partir d'Amazon GuardDuty : {0}.".format(list_of_ids)"

Si aucun ID n'est utilisé : "Aucun détail n'a été récupéré concernant les ensembles de renseignements sur les menaces fournis.".format(list_of_ids)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Lister les ensembles d'informations sur les menaces". Raison : {0}''.format(error.Stacktrace)

 Général
CSV

Nom de la table : détails de l'ensemble Threat Intelligence

Colonne de tableau :

  • Nom (mappé en tant que "Nom")
  • ID (à partir du paramètre d'action)
  • Emplacement (mappé en tant qu'emplacement)
  • État (mappé en tant qu'état)

Créer un ensemble de renseignements sur les menaces

Créez un ensemble de renseignements sur les menaces dans Amazon GuardDuty.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui

Spécifiez l'ID du détecteur à utiliser pour créer un ensemble de renseignements sur les menaces.

Ce paramètre se trouve dans l'onglet "Paramètres".
Nom Chaîne N/A Oui Spécifiez le nom de l'ensemble de renseignements sur les menaces.
Format de fichier LDD

Texte brut

Valeurs possibles :

  • Texte brut
  • Structured Threat Information Expression (STIX)
  • CSV Open Threat Exchange (OTX)
  • CSV FireEye iSIGHT Threat Intelligence
  • CSV du flux d'informations Proofpoint ET Intelligence
  • Flux de réputation AlienVault
 Oui Sélectionnez le format du fichier utilisé pour créer un ensemble d'informations sur les menaces.
Emplacement du fichier Chaîne https://s3.amazonaws.com/{bucket-name}/file.txt Oui Spécifiez l'URI de l'emplacement du fichier.
Actif Case à cocher Cochée Oui Si cette option est activée, l'ensemble de renseignements sur les menaces nouvellement créé est activé.
Tags CSV N/A Non

Spécifiez les tags supplémentaires à ajouter à l'ensemble Threat Intelligence.

Format : key_1:value_1,key_2:value_1

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Résultat JSON
{
    "ThreatIntelSetId": "b6f0c884a54449cc8e29eed3094e9c31"
}
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si un ensemble a été créé (is_success=true) : "L'ensemble Threat Intelligence '{0}' a bien été créé dans Amazon GuardDuty.".format(Name)

Si la création d'un ensemble échoue (is_success=false) : "L'action n'a pas pu créer l'ensemble de renseignements sur les menaces '{0}' dans Amazon GuardDuty.".format(name)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Créer un ensemble d'informations sur les menaces". Raison : {0}''.format(error.Stacktrace)

 Général

Mettre à jour l'ensemble de renseignements sur les menaces

Mettez à jour un ensemble d'informations sur les menaces dans Amazon GuardDuty.

.

Paramètres

Nom du paramètre Type Valeur par défaut Obligatoire Description
ID du détecteur Chaîne N/A Oui

Spécifiez l'ID du détecteur à utiliser pour mettre à jour un ensemble de renseignements sur les menaces.

Ce paramètre se trouve dans l'onglet Paramètres.
ID Chaîne N/A Oui Spécifiez l'ID de l'ensemble de renseignements sur les menaces à mettre à jour.
Nom Chaîne N/A Non Spécifiez le nouveau nom de l'ensemble de renseignements sur les menaces.
Emplacement du fichier Chaîne https://s3.amazonaws.com/{bucket-name}/file.txt Non Spécifiez un nouvel URI d'emplacement où se trouve le fichier.
Actif Case à cocher Cochée Oui Si elle est activée, l'ensemble d'informations sur les menaces est activé.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si un ensemble a été mis à jour (is_success=true)  : "L'ensemble de renseignements sur les menaces '{0}' a bien été mis à jour dans Amazon GuardDuty.".format(Threat ID)

Si la mise à jour d'un ensemble échoue (is_success=false) : "L'action n'a pas pu mettre à jour l'ensemble Threat Intelligence '{0}' dans Amazon GuardDuty.".format(Threat ID)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale ou une erreur de SDK (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) est signalée : "Erreur lors de l'exécution de l'action "Mettre à jour l'ensemble de renseignements sur les menaces". Raison : {0}''.format(error.Stacktrace)

 Général

Supprimer un ensemble de renseignements sur les menaces

Supprimez un ensemble de renseignements sur les menaces dans Amazon GuardDuty.

Paramètres

Nom du paramètre Type Valeur par défaut Filigrane Obligatoire Description
ID du détecteur Chaîne N/A N/A Oui

Spécifiez l'ID du détecteur à utiliser pour obtenir les détails des ensembles de renseignements sur les menaces.

Ce paramètre se trouve dans l'onglet "Paramètres".
ID des ensembles de renseignements sur les menaces CSV N/A N/A Oui

Spécifiez la liste d'ID des ensembles de renseignements sur les menaces, séparés par une virgule.

Exemple : id_1,id_2

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai ou faux is_success=False
Mur des cas
Type de résultat Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si les informations sur au moins un ensemble sont renvoyées (is_success=true) : "Successfully deleted the following Threat Intelligence Sets in Amazon GuardDuty:\n{0}.".format(list_of_ids)

Si l'opération a échoué pour certains ID (is_success=true)  : "L'action n'a pas pu supprimer les ensembles de renseignements sur les menaces suivants dans Amazon GuardDuty :\n{0}.".format(list_of_ids)

Si aucun ID n'est utilisé : "Aucun ensemble d'informations sur les menaces n'a été supprimé.".format(list_of_ids)

L'action doit échouer et arrêter l'exécution d'un playbook :

Un ID de détecteur non valide doit également générer une exception, arrêter le playbook et définir is_success sur "false".

Si une erreur fatale ou de SDK se produit (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : "Erreur lors de l'exécution de l'action "Supprimer les ensembles de renseignements sur les menaces". Raison : {0}''.format(error.Stacktrace)

 Général

Connecteurs

Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).

Connecteur AWS GuardDuty – Findings

Extrayez les résultats d'Amazon GuardDuty.

Entrées du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom du paramètre Type Valeur par défaut Obligatoire Description
Nom du champ de produit Chaîne Nom du produit Oui

Nom du champ dans lequel le nom du produit est stocké.

Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut.

La valeur par défaut est Product Name.
Nom du champ d'événement Chaîne Type Oui

Nom du champ qui détermine le nom (sous-type) de l'événement.
Nom du champ "Environnement" Chaîne "" Non

Nom du champ dans lequel le nom de l'environnement est stocké.

Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut.
Environment Regex Pattern Chaîne .* Non

Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Environment Field Name. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière.

Utilisez la valeur par défaut .* pour récupérer la valeur Environment Field Name brute requise.

Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut.
Délai avant expiration du script (en secondes) Integer 180 Oui

Délai limite, en secondes, pour le processus Python qui exécute le script actuel.
AWS Access Key ID (ID de clé d'accès AWS) Chaîne N/A Oui ID de clé d'accès AWS à utiliser dans l'intégration.
Clé secrète AWS Mot de passe N/A Oui Clé secrète AWS à utiliser dans l'intégration.
Région AWS par défaut Chaîne N/A Oui

Région AWS par défaut à utiliser dans l'intégration.

Exemple : us-west-2
ID du détecteur Chaîne N/A Oui ID du détecteur. Vous le trouverez dans l'onglet Paramètres.
Gravité la plus faible à récupérer Integer 1 Oui

Gravité la plus faible des alertes à récupérer.

Si vous ne configurez pas ce paramètre, le connecteur ingère les alertes de tous les niveaux de gravité.

Les valeurs possibles sont comprises entre 1 et 8.

Remarque : Amazon GuardDuty mappe la valeur entière dans l'ordre suivant :

  • 1,2,3 – Faible
  • 4,5,6 : moyen
  • 7,8 : élevée
Récupérer les heures Max en arrière Integer 1 Non Nombre d'heures avant l'heure actuelle pour récupérer les résultats.

Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré.
Nombre maximal de résultats à récupérer Integer 50 Non

Nombre de résultats à traiter par itération de connecteur.

Maximum : 50

Il s'agit d'une limitation de GuardDuty.
Use whitelist as a blacklist Case à cocher Décochée Oui

Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage.
Adresse du serveur proxy Chaîne N/A Non Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy Chaîne N/A Non Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy Mot de passe N/A Non Mot de passe du proxy pour l'authentification.

Règles du connecteur

Le connecteur est compatible avec les proxys.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.