Integra Amazon GuardDuty con Google SecOps
Questo documento spiega come integrare Amazon GuardDuty con Google Security Operations (Google SecOps).
Versione integrazione: 8.0
Prerequisiti
Se hai bisogno dell'accesso in sola lettura all'integrazione, ad esempio per eseguire il
connettore, utilizza il criterio AmazonGuardDutyReadOnlyAccess.
Per ottenere l'accesso completo a tutte le funzionalità di integrazione, utilizza il criterio
AmazonGuardDutyFullAccess.
Per informazioni dettagliate sull'utilizzo dei criteri, vedi Policy gestite da AWS.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID chiave di accesso AWS | Stringa | N/D | Sì | ID chiave di accesso AWS da utilizzare nell'integrazione. |
| Chiave segreta AWS | Password | N/D | Sì | Chiave segreta AWS da utilizzare nell'integrazione. |
| Regione AWS predefinita | Stringa | N/D | Sì | Regione AWS predefinita da utilizzare nell'integrazione, ad esempio us-west-1. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Casi d'uso
- Rileva e gestisci le minacce nel sistema AWS utilizzando playbook o azioni manuali.
- Inserisci i risultati di Amazon GuardDuty, che vengono poi spostati nell'archivio GuardDuty.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Dindin
Testa la connettività ad Amazon GuardDuty.
Parametri
Nessuno.
Pubblica su
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | In caso di esito positivo: "Connessione al server AWS GuardDuty riuscita con i parametri di connessione forniti." Altrimenti: "Failed to connect to the AWS if successful: "Successfully connected to the AWS GuardDuty server with the provided connection parameters!" Altrimenti: "Impossibile connettersi al server AWS GuardDuty. Errore: {0}" |
Generale |
Crea un rilevatore
Crea un singolo rilevatore Amazon GuardDuty. Un rilevatore è una risorsa che rappresenta il servizio GuardDuty. Puoi avere un solo rilevatore per account per regione.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Attiva | Casella di controllo | Deselezionata | Sì | Specifica se il rilevatore deve essere attivato. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Is successful: "The detector <new detector ID> has been created." (Operazione riuscita: "Il rilevatore <new detector ID> è stato creato.") Se il rilevatore non viene creato (is_success=false): "L'azione non è riuscita a creare un rilevatore. Motivo: esiste già un rilevatore per l'account attuale. Se viene segnalato "ErrorCode" (is_success=false): "L'azione non è riuscita a creare un rilevatore. Errore: {}".format (ErrorMessage)" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Anche un ID rilevatore non valido deve generare un'eccezione, interrompere il playbook e impostare is_success su false. Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione o altro: "Errore durante l'esecuzione dell'azione "Crea un rilevatore". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Eliminare un rilevatore
Elimina un rilevatore Amazon GuardDuty specificato dall'ID rilevatore.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | L'ID univoco del rilevatore che vuoi eliminare. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se il rilevatore non viene eliminato (is_success=false): "Action wasn't able to delete <detector_ID> detector. Errore: {}".format(ErrorMessage)" Se il rilevatore viene eliminato correttamente (is_success=true): "Il rilevatore <ID rilevatore> è stato eliminato." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Anche un ID rilevatore non valido deve generare un'eccezione, interrompere il playbook e impostare is_success su false. Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione o altro: "Errore durante l'esecuzione dell'azione "Elimina un rilevatore". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Aggiornamento di un rilevatore
Aggiorna il rilevatore Amazon GuardDuty specificato dall'ID rilevatore.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | L'ID univoco del rilevatore che vuoi aggiornare. |
| Attiva | Casella di controllo | Deselezionata | No | Specifica se il rilevatore deve essere attivato. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato "ErrorCode" (is_success=false): "L'azione non è riuscita a creare un rilevatore. Errore: {}".format(ErrorMessage)" Se il rilevatore viene aggiornato correttamente (is_success=true): "Il rilevatore <detector ID> è stato aggiornato." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Anche un ID rilevatore non valido deve generare un'eccezione, interrompere il playbook e impostare is_success su false. Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione o altro: "Errore durante l'esecuzione dell'azione "Aggiorna un rilevatore". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Recupera dettagli del rilevatore
Recupera un rilevatore Amazon GuardDuty specificato dall'ID rilevatore.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | L'ID univoco del rilevatore che vuoi recuperare. Valori separati da virgole. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Risultato JSON
{
"DetectorId": "DETECTOR_ID",
"CreatedAt": "response['CreatedAt']",
"ServiceRole": "response['ServiceRole']",
"Status": "response['Status']",
"UpdatedAt": "response['UpdatedAt']",
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "Recuperate correttamente le informazioni sull'indicatore <ID indicatore>." Nota: se vengono trovati alcuni ID rilevatori e altri no, visualizza entrambi i messaggi in base all'ID rilevatore pertinente. L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Anche un ID rilevatore non valido deve generare un'eccezione, interrompere il playbook e impostare is_success su false. Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione o altro: "Errore durante l'esecuzione dell'azione "Ottieni dettagli di un rilevatore". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella CSV | Titolo tabella: Dettagli dei rilevatori Colonne della tabella:
|
Generale |
Elenco rilevatori
Elenca i detectorId di tutte le risorse di rilevamento Amazon GuardDuty esistenti.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Numero massimo di rilevatori da restituire | Numero intero | 50 | No | Specifica il numero di rilevatori da restituire. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Risultato JSON
{
"detectorIds": ["ID1,ID2"]
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Successfully listed available detectors in Amazon GuardDuty. ID indicatore:<value>" Se viene segnalato un altro codice di stato (is_success=false): "L'azione non è riuscita a elencare i rilevatori disponibili" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elenca rilevatori". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Elenco esiti per un rilevatore
Elenca tutti i risultati di Amazon GuardDuty per l'ID rilevatore specificato.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | L'ID univoco del rilevatore che vuoi recuperare. |
| Numero massimo di risultati da restituire | Numero intero | 50 | No | Specifica il numero di rilevatori da restituire. |
| Ordina per | Stringa | N/D | No | Rappresenta l'attributo del risultato (ad esempio accountId) in base al quale ordinare i risultati. |
| Ordina per | DDL | CRESC Valori possibili:
|
No | L'ordine in base al quale devono essere visualizzati i risultati ordinati. |
| Regione AWS | Stringa | N/D | No | (Facoltativo) Specifica la regione AWS da utilizzare nell'azione, che può essere diversa dalla regione predefinita specificata nella pagina di configurazione dell'integrazione. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Risultato JSON
{"FindingIds": ["10ba96ae50733ae38b9cae95431b7558"]}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato "ErrorCode" (is_success=false): "L'azione non è riuscita a ottenere i risultati per il rilevatore <detector ID>. Errore: {}".format(ErrorMessage)" In caso di esito positivo: "Successfully retrieved available findings IDs for detector {detector ID}" (Recuperati correttamente gli ID dei risultati disponibili per il rilevatore {detector ID}) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione o altro: "Errore durante l'esecuzione dell'azione "Elenca risultati per un detector". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Archiviare i risultati
Archivia i risultati di GuardDuty specificati dagli ID risultato.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID risultato | Stringa | N/D | Sì | Gli ID dei risultati che vuoi recuperare. ID separati da virgole. |
| ID rilevatore | Stringa | N/D | Sì | L'ID univoco del rilevatore |
| Regione AWS | Stringa | N/D | No | (Facoltativo) Specifica la regione AWS da utilizzare nell'azione, che può essere diversa dalla regione predefinita specificata nella pagina di configurazione dell'integrazione. |
Autorizzazione policy IAM AWS:
- Effetto:Consenti
- Azione: guardduty:ArchiveFindings
Solo l'account amministratore può archiviare i risultati. Gli account dei membri non dispongono dell'autorizzazione per archiviare i risultati dai propri account.
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato "ErrorCode" (is_success=false): "L'azione non è riuscita ad archiviare i risultati. Errore: {}".format(ErrorMessage). Controlla che tutti gli ID problema siano corretti." Se l'operazione va a buon fine: "I risultati sono stati archiviati correttamente" → Modificato in: "I seguenti risultati sono stati archiviati correttamente: <ids> In caso di uno o più ID risultato non validi, l'azione non deve non riuscire, ma is_success deve essere impostato su false: "Impossibile archiviare i seguenti risultati: <ids>" Nota:il codice di errore non può essere uno degli ID. In caso di ID risultato errato, viene generata un'eccezione con il seguente errore: "When calling the ArchiveFindings operation (reached max retries: 4): Internal server error." (Quando si chiama l'operazione ArchiveFindings (raggiunti i tentativi massimi: 4): errore interno del server). Anche qui:verifica prima che il risultato sia valido. Sono stati archiviati i seguenti risultati: 88bac20f959084244a2b91778d12e883 Impossibile archiviare i seguenti risultati: 1abac689941ae6f3e3e24d02ac4cf612 L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Anche un ID rilevatore non valido deve generare un'eccezione, interrompere il playbook e impostare is_success su false. Se viene segnalato un errore irreversibile o dell'SDK, ad esempio credenziali errate, nessuna connessione o altro: "Errore durante l'esecuzione dell'azione "Archivia risultati". Motivo: {0}''.format(error.Stacktrace)" |
Generale |
Annulla archiviazione risultati
Estrai i risultati di GuardDuty specificati dagli ID risultato.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID risultato | Stringa | N/D | Sì | Gli ID dei risultati che vuoi recuperare. Valori separati da virgole. |
| ID rilevatore | Stringa | N/D | Sì | L'ID univoco del rilevatore. |
Autorizzazione policy IAM AWS:
- Effetto:Consenti
- Azione:guardduty:UnarchiveFindings
Solo l'account amministratore può archiviare i risultati. Gli account dei membri non dispongono dell'autorizzazione per archiviare i risultati dai propri account.
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "I seguenti risultati sono stati archiviati correttamente: <ids>" In caso di uno o più ID risultato non validi, l'azione non deve non riuscire, ma is_success deve essere impostato su false: "Impossibile annullare l'archiviazione dei seguenti risultati: <ids> L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Anche un ID rilevatore non valido deve generare un'eccezione, interrompere il playbook e impostare is_success su false. Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione o altro: "Errore durante l'esecuzione dell'azione "Annulla archiviazione risultati". Motivo: {0}''.format(error.Stacktrace)" Nota:il codice di errore non può essere uno degli ID. In caso di ID risultato errato, viene generata un'eccezione con il seguente errore: "When calling the ArchiveFindings operation (reached max retries: 4): Internal server error." (Quando si chiama l'operazione ArchiveFindings (raggiunti i tentativi massimi: 4): errore interno del server). Anche qui: verifica prima se il risultato è valido. Sono stati archiviati i seguenti risultati: 88bac20f959084244a2b91778d12e883 Impossibile archiviare i seguenti risultati: 1abac689941ae6f3e3e24d02ac4cf612 |
Generale |
Crea risultati di esempio
Genera risultati di esempio dei tipi specificati dall'elenco dei risultati.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | L'ID univoco del rilevatore per cui creare risultati di esempio. |
| Tipi di risultati | Stringa | N/D | No | I tipi di risultati di esempio da generare. Valori separati da virgole. I tipi sono disponibili nell'interfaccia utente nella sezione Risultati, nella colonna Tipo di risultato. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato "ErrorCode" (is_success=false): "L'azione non è riuscita a creare risultati di esempio. Errore: {}".format(ErrorMessage)" In caso di esito positivo: "Successfully created sample findings" (Creazione dei risultati di esempio riuscita) Se uno degli input (tipi di risultati) non è valido, rileva la seguente eccezione: "La richiesta è stata rifiutata perché è stato specificato un valore non valido o fuori intervallo come parametro di input." set, is_sucess=false: "Action wasn't able to create sample findings because an invalid value was found as Finding Types parameter. Aggiornato: in caso di tipo di risultato non valido, l'azione deve non riuscire e viene visualizzato il messaggio: "L'azione non è riuscita a creare risultati di esempio perché è stato trovato un valore non valido come parametro Tipi di risultati. Errore: <traceback>
L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Anche un ID rilevatore non valido deve generare un'eccezione, interrompere il playbook e impostare is_success su false. Se viene segnalato un errore irreversibile o un errore SDK, ad esempio credenziali errate, nessuna connessione o altro: "Errore durante l'esecuzione dell'azione "Crea risultati di esempio". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Aggiorna feedback sui risultati
Contrassegna i risultati di Amazon GuardDuty specificati come utili o non utili.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | L'ID univoco del rilevatore associato ai risultati per cui aggiornare il feedback. |
| È utile? | Casella di controllo | Deselezionata | Sì | Il feedback per il risultato. |
| ID risultati | Stringa | N/D | Sì | Gli ID dei risultati che vuoi contrassegnare come utili o non utili. Valori separati da virgole. |
| Commento | Stringa | N/D | No | Feedback aggiuntivo sui risultati di GuardDuty. |
| Regione AWS | Stringa | N/D | No | (Facoltativo) Specifica la regione AWS da utilizzare nell'azione, che può essere diversa dalla regione predefinita specificata nella pagina di configurazione dell'integrazione. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato "ErrorCode" (is_success=false): "Action wasn't able to update findings feedback. Errore: {}".format(ErrorMessage) In caso di esito positivo: "Il feedback sui risultati è stato aggiornato." Se viene visualizzato un errore/non trovato per uno degli ID risultato, l'oggetto risposta restituisce comunque una risposta vuota, anche se uno degli ID non esiste. Se non vengono trovati risultati: "Impossibile aggiornare il feedback. "<finding id> non è valido." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Anche un ID rilevatore non valido deve generare un'eccezione, interrompere il playbook e impostare is_success su false. Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione o altro: "Errore durante l'esecuzione dell'azione "Aggiorna feedback sui risultati". Motivo: {0}''.format(error.Stacktrace)" |
Generale |
Eliminare un elenco di IP attendibili
Elimina l'IPSet specificato dall'ID.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | Specifica l'ID del rilevatore da utilizzare per eliminare un set di indirizzi IP. Questo parametro si trova nella scheda Impostazioni. |
| ID elenco di IP attendibili | Stringa | N/D | Sì | Specifica l'elenco separato da virgole degli ID dei set di indirizzi IP. Esempio: id_1,id_2 |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine (is_success=true): "Successfully deleted the following Trusted IP lists: <ids>" (Elenco degli IP attendibili eliminato correttamente: <ids>) Se l'operazione non è riuscita per alcuni ID (is_success=true): "Action wasn't able to delete the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids)" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Anche un ID rilevatore non valido deve generare un'eccezione, interrompere il playbook e impostare is_success su false. Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elimina un elenco di indirizzi IP attendibili". Motivo: {0}''.format(error.Stacktrace" |
Generale |
Recupero dettagli del risultato
Restituisce informazioni dettagliate su un risultato in AWS Guard Duty.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID risultato | Stringa | N/D | Sì | Gli ID dei risultati che vuoi recuperare. ID separati da virgole. |
| ID rilevatore | Stringa | N/D | Sì | L'ID univoco del rilevatore che vuoi recuperare. |
| Regione AWS | Stringa | N/D | No | (Facoltativo) Specifica la regione AWS da utilizzare nell'azione, che può essere diversa dalla regione predefinita specificata nella pagina di configurazione dell'integrazione. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Risultato JSON
{
"Findings": [{
"AccountId": "ACCOUNT_ID",
"Arn": "arn:aws:guardduty:us-east-1:ACCOUNT_ID:detector/DETECTOR_ID/finding/FINDING_ID",
"CreatedAt": "2020-10-06T05:19:50.794Z",
"Description": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.", "Id": "ID",
"Partition": "aws",
"Region": "us-east-1",
"Resource": {
"InstanceDetails": {
"AvailabilityZone": "us-east-1e",
"ImageId": "ami-IMAGE_ID",
"InstanceId": "i-INSTANCE_ID",
"InstanceState": "running",
"InstanceType": "t2.micro",
"LaunchTime": "2020-05-27T08:54:03Z", "NetworkInterfaces": [{
"Ipv6Addresses": [],
"NetworkInterfaceId": "eni-012d9b8a1a3b4e40a",
"PrivateDnsName": "ip-192.0.2.1.ec2.internal",
"PrivateIpAddress": "192.0.2.1",
"PrivateIpAddresses": [{
"PrivateDnsName": "ip-192.0.2.1.ec2.internal",
"PrivateIpAddress": "192.0.2.1"
}],
"PublicDnsName": "ec2-54-234-69-236.compute-1.amazonaws.com",
"PublicIp": "198.51.100.236",
"SecurityGroups": [{
"GroupId": "sg-0fa42e04e9cd15407",
"GroupName": "Windows Server 2016"
}],
"SubnetId": "subnet-2edddf10",
"VpcId": "vpc-48a7ac32"
}],
"Platform": "windows",
"ProductCodes": [],
"Tags": [{
"Key": "Name",
"Value": "CiscoAMP-win2012"
}]},
"ResourceType": "Instance"
},
"SchemaVersion": "2.0",
"Service": {
"Action": {
"ActionType": "NETWORK_CONNECTION", "NetworkConnectionAction": {
"Blocked": false,
"ConnectionDirection": "INBOUND",
"LocalPortDetails": {
"Port": 3389, "PortName": "RDP"
},
"Protocol": "TCP",
"LocalIpDetails": {
"IpAddressV4": "192.0.2.1"
},
"RemoteIpDetails": {
"IpAddressV4": "203.0.113.9",
"Organization": {
"Asn": "24875",
"AsnOrg": "Example Inc.",
"Isp": "Example Inc.",
"Org": "Example Inc."
}},
"RemotePortDetails": {
"Port": 1549,
"PortName": "Unknown"
}}},
"Archived": false,
"Count": 5,
"DetectorId": "DETECTOR_ID",
"EventFirstSeen": "2020-10-06T05:10:58Z",
"EventLastSeen": "2020-10-06T05:46:59Z",
"ResourceRole": "TARGET",
"ServiceName": "guardduty"
},
"Severity": 2,
"Title": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID.",
"Type": "UnauthorizedAccess:EC2/RDPBruteForce",
"UpdatedAt": "2020-10-06T06:01:46.380Z"
}]
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato "ErrorCode" (is_success=false): "Action non è riuscito a ottenere i dettagli dei risultati. Errore: {}".format(ErrorMessage)" In caso di esito positivo: "Successfully retrieved information for the following findings <finding ids that retrieved>" (Informazioni recuperate correttamente per i seguenti risultati <finding ids that retrieved>) Se viene segnalato un errore per uno degli ID, l'oggetto della risposta contiene risultati solo per gli ID validi. Controlla se l'oggetto della risposta non contiene alcuni ID e stampa un messaggio appropriato.
L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione o altro: "Errore durante l'esecuzione dell'azione "Recupera risultati". Motivo: {0}''.format(error.Stacktrace)" |
Generale |
| Tabella Bacheca casi | Nota:se esiste. Colonne della tabella:
|
Generale |
Ottieni tutti gli elenchi di IP attendibili
Descrizione
Recupera tutti gli elenchi di IP attendibili (IPSets) del servizio GuardDuty specificato dall'ID rilevatore.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | Specifica l'ID del rilevatore da utilizzare per elencare i set di indirizzi IP. Questo parametro si trova nella scheda Impostazioni. |
| Numero massimo di elenchi di IP attendibili da restituire | Numero intero | 50 | No | Specifica il numero di elenchi di indirizzi IP attendibili da restituire. |
| Regione AWS | Stringa | N/D | No | (Facoltativo) Specifica la regione AWS da utilizzare nell'azione, che può essere diversa dalla regione predefinita specificata nella pagina di configurazione dell'integrazione. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Risultato JSON
{
"IpSetIds": ['', '' , '']
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se gli insiemi disponibili sono stati elencati correttamente (is_success=true): "Successfully retrieved available Trusted IP lists." (Elenchi di indirizzi IP attendibili disponibili recuperati correttamente). L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera tutti gli elenchi di indirizzi IP attendibili". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Ottenere un elenco di indirizzi IP attendibili
Descrizione
Visualizza i dettagli di un elenco di IP attendibili in Amazon GuardDuty.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | Specifica l'ID del rilevatore da utilizzare per ottenere un insieme di indirizzi IP. Questo parametro si trova nella scheda Impostazioni. |
| ID elenco di IP attendibili | CSV | N/D | Sì | Specifica l'elenco separato da virgole di ID per i set di indirizzi IP, ad esempio
|
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Risultato JSON
{
"ip_set_id": {
"Format": "response['Format']",
"Location": "response['Location']",
"Name": "response['Name']",
"Status": "response['Status']"
}
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dettagli sono stati restituiti correttamente (is_success=true):"Successfully retrieved details about the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids)" Se l'operazione non è riuscita per alcuni ID (is_success=true): "Action wasn't able to retrieve details about the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids) Se non vengono utilizzati ID (is_success=false): "Non sono stati recuperati dettagli sugli elenchi di indirizzi IP attendibili forniti".format(list_of_ids)" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elenca elenchi di IP attendibili". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| CSV | Nome tabella:Dettagli elenchi di IP attendibili Colonne della tabella:
|
Generale |
Aggiornare un elenco di indirizzi IP attendibili
Descrizione
Aggiorna un elenco di indirizzi IP attendibili in Amazon GuardDuty.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | Specifica l'ID del rilevatore da utilizzare per aggiornare un elenco di indirizzi IP attendibili. Questo parametro si trova nella scheda Impostazioni. |
| ID elenco IP attendibili | Stringa | N/D | Sì | Specifica l'ID dell'elenco di indirizzi IP attendibili da aggiornare. |
| Nome | Stringa | N/D | No | Specifica il nuovo nome della lista di indirizzi IP attendibili. |
| Posizione file | Stringa | https://s3.amazonaws.com/{bucket-name}/file.txt |
No | Specifica una nuova posizione URI in cui si trova il file. |
| Attiva | Casella di controllo | Selezionata | Sì | Se abilitata, la lista consentita di indirizzi IP verrà attivata. |
| Regione AWS | Stringa | N/D | No | (Facoltativo) Specifica la regione AWS da utilizzare nell'azione, che può essere diversa dalla regione predefinita specificata nella pagina di configurazione dell'integrazione. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Risultato JSON
N/A
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se un set è stato aggiornato correttamente (is_success=true): "Successfully updated the trusted IP list '{0}' in Amazon GuardDuty.".format(Threat ID) Se l'aggiornamento di un set non riesce (is_success=false): "L'azione non è riuscita ad aggiornare l'elenco degli IP attendibili "{0}" in Amazon GuardDuty.".format(ID minaccia) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna elenco IP attendibili". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Creare un elenco di IP attendibili
Crea un nuovo elenco di indirizzi IP attendibili (IPSet) che si trovavano nell'elenco dinamico per la comunicazione sicura con l'infrastruttura e le applicazioni AWS.
GuardDuty non genera risultati per gli indirizzi IP inclusi negli IPSet. Solo gli utenti dell'account amministratore possono utilizzare questa operazione.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | Specifica l'ID rilevatore da utilizzare per creare un elenco di indirizzi IP attendibili. Questo parametro si trova nella scheda Impostazioni. |
| Nome | Stringa | N/D | Sì | Specifica il nome della lista di indirizzi IP attendibili. |
| Formato file | DDL | Testo normale | Sì | Seleziona il formato del file da utilizzare per creare un elenco di indirizzi IP attendibili. Valori possibili:
|
| Posizione file | Stringa | https://s3.amazonaws.com/{bucket-name}/file.txt |
Sì | Specifica la posizione URI in cui si trova il file. |
| Attiva | Casella di controllo | Selezionata | Sì | Se attivato, l'elenco degli IP attendibili appena creato viene attivato. |
| Regione AWS | Stringa | N/D | No | (Facoltativo) Specifica la regione AWS da utilizzare nell'azione, che può essere diversa dalla regione predefinita specificata nella pagina di configurazione dell'integrazione. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Risultato JSON
{
"TrustedIPID": "TRUSTED_IP_ID"
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se è stato creato correttamente un set (is_success=true): "Successfully created new Trusted IP List '{0}' in Amazon GuardDuty.".format(Name)" Se la creazione di un set non va a buon fine (is_success=false): "Action wasn't able to create new Trusted IP List '{0}' in Amazon GuardDuty.".format(name)" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Crea elenco di indirizzi IP attendibili". Motivo: {0}''.format(error.Stacktrace)" |
Generale |
Elenca insiemi di Threat Intelligence
Elenca i set di informazioni sulle minacce disponibili in Amazon GuardDuty.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | Specifica l'ID del rilevatore da utilizzare per elencare i set di informazioni sulle minacce. Questo parametro si trova nella scheda Impostazioni. |
| Numero massimo di set di Threat Intelligence da restituire | Numero intero | 50 | No | Specifica il numero di set di threat intelligence da restituire. |
| Regione AWS | Stringa | N/D | No | (Facoltativo) Specifica la regione AWS da utilizzare nell'azione, che può essere diversa dalla regione predefinita specificata nella pagina di configurazione dell'integrazione. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Risultato JSON
{
"ThreatIntelSetIds": ["14ba8b942b76c1be6d985715eb7443eb",
"32ba8b92e553fe04d06dab543ed57a70",
"8aba8b93ba6e08e8fd5349b2c2b57709"
]
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'elenco dei set disponibili è stato creato correttamente (is_success=true): "Successfully listed available Threat Intelligence Sets." (Elenco dei set di Threat Intelligence disponibili creato correttamente). L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elenca set di Threat Intelligence". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Ottieni i dettagli del set di Threat Intelligence
Visualizza i dettagli di un set di threat intelligence in Amazon GuardDuty.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | Specifica l'ID del rilevatore da utilizzare per ottenere i dettagli dei set di informazioni sulle minacce. Questo parametro si trova nella scheda Impostazioni. |
| ID set di Threat Intelligence | Stringa | 50 | Sì | Specifica l'elenco separato da virgole degli ID dei set di threat intelligence. Esempio: id_1,id_2 |
| Regione AWS | Stringa | N/D | No | (Facoltativo) Specifica la regione AWS da utilizzare nell'azione, che può essere diversa dalla regione predefinita specificata nella pagina di configurazione dell'integrazione. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Risultato JSON
{
"Format": "TXT",
"Location": "https: //example.s3.amazonaws.com/test.txt",
"Name": "API Test",
"ResponseMetadata": {
"HTTPHeaders": {
"connection": "keep-alive",
"content-length": "149",
"content-type": "application/json",
"date": "Mon,19 Oct 2020 06: 23: 22 GMT",
"x-amz-apigw-id": "ID",
"x-amzn-requestid": "REQUEST_ID",
"x-amzn-trace-id": "TRACE_ID"
},
"HTTPStatusCode": 200,
"RequestId": "REQUEST_ID",
"RetryAttempts": 0
},
"Status": "ERROR",
"Tags": {}
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dettagli restituiti correttamente riguardano almeno un set (is_success=true): "Successfully retrieved details about the following Threat Intelligence Sets from Amazon GuardDuty:\n{0}.".format(list_of_ids)" Se l'operazione non va a buon fine per alcuni ID (is_success=true): "L'azione non è riuscita a recuperare i dettagli dei seguenti set di Threat Intelligence da Amazon GuardDuty:\n{0}.".format(list_of_ids)" Se non vengono utilizzati ID: "Non sono stati recuperati dettagli sui set di indicatori di minaccia forniti.".format(list_of_ids) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elenca set di Threat Intelligence". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| CSV | Nome tabella: Dettagli del set di Threat Intelligence Colonna della tabella:
|
Crea un set di threat intelligence
Crea un set di threat intelligence in Amazon GuardDuty.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | Specifica l'ID del rilevatore da utilizzare per creare un Threat Intelligence Set. Questo parametro si trova nella scheda Impostazioni. |
| Nome | Stringa | N/D | Sì | Specifica il nome del set di indicatori di compromissione. |
| Formato file | DDL | Testo normale Valori possibili:
|
Sì | Seleziona il formato del file utilizzato per creare un insieme di informazioni sulle minacce. |
| Posizione file | Stringa | https://s3.amazonaws.com/{bucket-name}/file.txt |
Sì | Specifica la posizione dell'URI in cui si trova il file. |
| Attivo | Casella di controllo | Selezionata | Sì | Se abilitato, il nuovo set di indicatori di minaccia viene attivato. |
| Tag | CSV | N/D | No | Specifica altri tag da aggiungere al set di indicatori di minaccia. Formato: key_1:value_1,key_2:value_1 |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Risultato JSON
{
"ThreatIntelSetId": "b6f0c884a54449cc8e29eed3094e9c31"
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se la creazione di un set è riuscita (is_success=true): "Successfully created the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(Name) Se la creazione di un set non va a buon fine (is_success=false):"L'azione non è riuscita a creare il set di Threat Intelligence "{0}" in Amazon GuardDuty.".format(name) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Crea set di Threat Intelligence". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Aggiorna il set di Threat Intelligence
Aggiorna un insieme di indicatori di compromissione in Amazon GuardDuty.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | Sì | Specifica l'ID del rilevatore da utilizzare per aggiornare un Threat Intelligence Set. Questo parametro si trova nella scheda Impostazioni. |
| ID | Stringa | N/D | Sì | Specifica l'ID del set di Threat Intelligence da aggiornare. |
| Nome | Stringa | N/D | No | Specifica il nuovo nome del Threat Intelligence Set. |
| Posizione file | Stringa | https://s3.amazonaws.com/{bucket-name}/file.txt |
No | Specifica una nuova posizione URI in cui si trova il file. |
| Attivo | Casella di controllo | Selezionata | Sì | Se abilitato, il set di indicatori di minaccia viene attivato. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se un set è stato aggiornato correttamente (is_success=true): "Aggiornamento del set di Threat Intelligence "{0}" in Amazon GuardDuty riuscito.".format(ID minaccia) Se l'aggiornamento di un set non è riuscito (is_success=false): "Action wasn't able to update the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(Threat ID) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna set di informazioni sulle minacce". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Elimina set di threat intelligence
Elimina un set di informazioni sulle minacce in Amazon GuardDuty.
Parametri
| Nome parametro | Tipo | Valore predefinito | Filigrana | È obbligatorio | Descrizione |
|---|---|---|---|---|---|
| ID rilevatore | Stringa | N/D | N/D | Sì | Specifica l'ID del rilevatore da utilizzare per ottenere i dettagli dei set di informazioni sulle minacce. Questo parametro si trova nella scheda Impostazioni. |
| ID set di Threat Intelligence | CSV | N/D | N/D | Sì | Specifica l'elenco separato da virgole degli ID dei set di threat intelligence. Esempio: id_1,id_2 |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success=False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dettagli di almeno un set sono stati restituiti correttamente (is_success=true): "Successfully deleted the following Threat Intelligence Sets in Amazon GuardDuty:\n{0}.".format(list_of_ids) Se l'operazione non è riuscita per alcuni ID (is_success=true): "Action wasn't able to delete the following Threat Intelligence Sets in Amazon GuardDuty:\n{0}.".format(list_of_ids) Se non vengono utilizzati ID: "Nessun insieme di indicatori di minaccia è stato eliminato.".format(list_of_ids) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Anche un ID rilevatore non valido deve generare un'eccezione, interrompere il playbook e impostare is_success su false. Se si verifica un errore irreversibile, un errore SDK, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Elimina set di Threat Intelligence". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Connettori
Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
Connettore AWS GuardDuty - Findings
Estrai i risultati da Amazon GuardDuty.
Input del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì |
Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è |
| Nome campo evento | Stringa | Tipo | Sì | Il nome del campo che determina il nome (sottotipo) dell'evento. |
| Nome campo ambiente | Stringa | "" | No | Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. |
Environment Regex Pattern |
Stringa | .* | No |
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. |
| ID chiave di accesso AWS | Stringa | N/D | Sì | ID chiave di accesso AWS da utilizzare nell'integrazione. |
| Chiave segreta AWS | Password | N/D | Sì | Chiave segreta AWS da utilizzare nell'integrazione. |
| Regione AWS predefinita | Stringa | N/D | Sì | Regione AWS predefinita da utilizzare nell'integrazione. Esempio: us-west-2 |
| ID rilevatore | Stringa | N/D | Sì | ID del rilevatore. Puoi trovarlo nella scheda Impostazioni. |
| Gravità minima da recuperare | Numero intero | 1 | Sì | La gravità minima degli avvisi da recuperare. Se non configuri questo parametro, il connettore acquisisce gli avvisi con tutti i livelli di gravità. I valori possibili sono compresi tra Nota:Amazon GuardDuty mappa il valore intero nel seguente ordine:
|
| Recupero ore massime a ritroso | Numero intero | 1 | No | Il numero di ore prima di ora per recuperare i risultati.
Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto. |
| Numero massimo di risultati da recuperare | Numero intero | 50 | No | Numero di risultati da elaborare per un'iterazione del connettore. Massimo: 50 Si tratta di una limitazione di GuardDuty. |
Use whitelist as a blacklist |
Casella di controllo | Deselezionata | Sì | Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Il connettore supporta i proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.