Integre o Amazon GuardDuty com o SecOps da Google

Este documento explica como integrar o Amazon GuardDuty com o Google Security Operations (Google SecOps).

Versão da integração: 8.0

Pré-requisitos

Se precisar de acesso só de leitura à integração, como executar o conector, use a política AmazonGuardDutyReadOnlyAccess.

Para ter acesso total a todas as funcionalidades de integração, use a política AmazonGuardDutyFullAccess.

Para ver detalhes sobre a utilização de políticas, consulte as políticas geridas pela AWS.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID da chave de acesso da AWS String N/A Sim ID da chave de acesso da AWS a usar na integração.
Chave secreta da AWS Palavra-passe N/A Sim Chave secreta da AWS a usar na integração.
Região predefinida da AWS String N/A Sim Região predefinida da AWS a usar na integração, por exemplo, us-west-1.
Executar remotamente Caixa de verificação Desmarcado Não

Selecione o campo para executar a integração configurada remotamente.

Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente).

Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.

Exemplos de utilização

  1. Detete e faça a gestão de ameaças no sistema AWS através de guias interativos ou ações manuais.
  2. Ingerir resultados do Amazon GuardDuty, que são movidos para o arquivo do GuardDuty.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.

Tchim-tchim

Teste a conetividade com o Amazon GuardDuty.

Parâmetros

Nenhum.

É apresentado em

Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

Se tiver êxito: "Ligação bem-sucedida ao servidor do AWS GuardDuty com os parâmetros de ligação fornecidos!"

Caso contrário: "Falha ao estabelecer ligação à AWS se for bem-sucedida: "Ligação estabelecida com êxito ao servidor do AWS GuardDuty com os parâmetros de ligação fornecidos!"

Caso contrário: "Falha ao estabelecer ligação ao servidor do AWS GuardDuty! Erro: {0}"

 Geral

Crie um detetor

Cria um único detetor do Amazon GuardDuty. Um detetor é um recurso que representa o serviço GuardDuty. Só pode ter um detetor por conta por região.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
Ativar Caixa de verificação Desmarcado Sim Especifica se o detetor deve ser ativado.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

É bem-sucedido: "O detetor <new detector ID> foi criado."

Se o detetor não for criado (is_success=false): "Action wasn't able to create a detector. Motivo: já existe um detetor para a conta atual.

Se "ErrorCode" for comunicado (is_success=false): "Não foi possível criar um detetor. Error: {}".format (ErrorMessage)"

A ação deve falhar e parar a execução de um guia interativo:

O ID do detetor inválido também deve gerar uma exceção, parar o playbook e definir is_success como falso.

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ou outro: "Erro ao executar a ação "Criar um detetor". Motivo: {0}''.format(error.Stacktrace)

 Geral

Elimine um detetor

Elimine um detetor do Amazon GuardDuty especificado pelo ID do detetor.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim O ID exclusivo do detetor que quer eliminar.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se o detetor não for eliminado (is_success=false): "Não foi possível eliminar o detetor <detector_ID>. Error: {}".format(ErrorMessage)"

Se o detetor for eliminado com êxito (is_success=true): "O detetor <detector ID> foi eliminado."

A ação deve falhar e parar a execução de um guia interativo:

O ID do detetor inválido também deve gerar uma exceção, parar o playbook e definir is_success como falso.

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ou outro: "Erro ao executar a ação "Eliminar um detetor". Motivo: {0}''.format(error.Stacktrace)

 Geral

Atualize um detetor

Atualize o detetor do Amazon GuardDuty especificado pelo ID do detetor.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim O ID exclusivo do detetor que quer atualizar.
Ativar Caixa de verificação Desmarcado Não Especifica se o detetor deve ser ativado.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se "ErrorCode" for comunicado (is_success=false): "Não foi possível criar um detetor. Error: {}".format(ErrorMessage)"

Se o detetor for atualizado com êxito (is_success=true): "O detetor <detector ID> foi atualizado."

A ação deve falhar e parar a execução de um guia interativo:

Um ID do detetor inválido também deve gerar uma exceção, parar o manual de procedimentos e definir is_success como falso.

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ou outro: "Erro ao executar a ação "Atualizar um detetor". Motivo: {0}''.format(error.Stacktrace)

 Geral

Obtenha detalhes do detetor

Recupere um detetor do Amazon GuardDuty especificado pelo ID do detetor.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim O ID exclusivo do detetor que quer obter. Valores separados por vírgulas.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Resultado JSON
{
   "DetectorId": "DETECTOR_ID",
   "CreatedAt": "response['CreatedAt']",
   "ServiceRole": "response['ServiceRole']",
   "Status": "response['Status']",
   "UpdatedAt": "response['UpdatedAt']",
}
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido: "Successfully retrieved information about <Indicator ID> indicator." (Informações sobre o indicador <Indicator ID> obtidas com êxito.)

Nota: se forem encontrados alguns IDs de detetores e outros não, apresente ambas as mensagens com base no ID do detetor relevante.

A ação deve falhar e parar a execução de um guia interativo:

O ID do detetor inválido também deve gerar uma exceção, parar o playbook e definir is_success como falso.

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ou outro: "Erro ao executar a ação "Obter detalhes de um detetor". Motivo: {0}''.format(error.Stacktrace)

 Geral
Tabela CSV

Título da tabela: detalhes dos detetores

Colunas da tabela:

  • ID do detetor
  • Estado
  • Função de serviço
  • Criada à(s)
  • Atualizado:
 Geral

Listar detetores

Lista os detectorIds de todos os recursos de detetores do Amazon GuardDuty existentes.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
Máximo de detetores a devolver Número inteiro 50 Não Especifique o número de detetores a devolver.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Resultado JSON
{
    "detectorIds": ["ID1,ID2"]
}
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for comunicado o código de estado 200 (is_success=true): "Successfully listed available detectors in Amazon GuardDuty. Indicator ID:<value>"

Se for comunicado outro código de estado (is_success=false): "Não foi possível à ação listar os detetores disponíveis"

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "List Detectors". Motivo: {0}''.format(error.Stacktrace)

 Geral

Liste as deteções de um detetor

Apresenta todas as conclusões do Amazon GuardDuty para o ID do detetor especificado.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim O ID exclusivo do detetor que quer obter.
Max Findings To Return Número inteiro 50 Não Especifique o número de detetores a devolver.
Ordenar Por String N/A Não Representa o atributo de descoberta (por exemplo, accountId) para ordenar as descobertas.
Ordenar por LDD

ASC

Valores possíveis:

  • ASC
  • DESC
 Não A ordem pela qual os resultados ordenados devem ser apresentados.
Região da AWS String N/A Não Opcionalmente, especifique a região da AWS a usar na ação, que pode ser diferente da região predefinida especificada na página de configuração da integração.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Resultado JSON
{"FindingIds": ["10ba96ae50733ae38b9cae95431b7558"]}
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for comunicado "ErrorCode" (is_success=false): "Não foi possível obter resultados para o detetor <detector ID>. Error: {}".format(ErrorMessage)"

Se for bem-sucedido: "Successfully retrieved available findings IDs for detector {detector ID}" (IDs de descobertas disponíveis obtidos com êxito para o detetor {detector ID})

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ou outro: "Erro ao executar a ação "List Findings for a Detector". Motivo: {0}''.format(error.Stacktrace)

 Geral

Arquive resultados

Arquive as conclusões do GuardDuty especificadas pelos IDs das conclusões.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
Encontrar IDs String N/A Sim

Os IDs das descobertas que quer obter.

IDs separados por vírgulas.
ID do detetor String N/A Sim O ID exclusivo do detetor
Região da AWS String N/A Não Opcionalmente, especifique a região da AWS a usar na ação, que pode ser diferente da região predefinida especificada na página de configuração da integração.

Autorização da política de IAM da AWS:

  • Efeito: permitir
  • Ação: guardduty:ArchiveFindings

Apenas a conta de administrador pode arquivar conclusões. As contas de membros não têm autorização para arquivar resultados das respetivas contas.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se "ErrorCode" for comunicado (is_success=false): "Não foi possível arquivar as descobertas. Error: {}".format(ErrorMessage). Verifique se todos os IDs de resultados estão corretos."

Se for bem-sucedido: "As conclusões foram arquivadas com êxito" → Alterado para: "As seguintes conclusões foram arquivadas com êxito: <ids>

No caso de um ou todos os IDs de descobertas inválidos, a ação não deve falhar, mas is_success deve ser definido como falso: "Não foi possível arquivar as seguintes descobertas: <ids>"

Nota: o código de erro não pode ser para um dos IDs. No caso de um ID de descoberta incorreto, é gerada uma exceção com o seguinte erro: "When calling the ArchiveFindings operation (reached max retries: 4): Internal server error." (Ao chamar a operação ArchiveFindings [atingiu o número máximo de novas tentativas: 4]: erro interno do servidor).

O mesmo aqui: verifique primeiro se a descoberta é válida.

As seguintes conclusões foram arquivadas com êxito: 88bac20f959084244a2b91778d12e883

Não foi possível arquivar as seguintes descobertas: 1abac689941ae6f3e3e24d02ac4cf612

A ação deve falhar e parar a execução de um guia interativo:

O ID do detetor inválido também deve gerar uma exceção, parar o playbook e definir is_success como falso.

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ou outro: "Erro ao executar a ação "Arquivar resultados". Motivo: {0}''.format(error.Stacktrace)"

 Geral

Retire acessórios de joalharia do arquivo

Extraia resultados do GuardDuty especificados por IDs de resultados.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
Encontrar IDs String N/A Sim Os IDs das descobertas que quer obter. Valores separados por vírgulas.
ID do detetor String N/A Sim O ID exclusivo do detetor.

Autorização da política de IAM da AWS:

  • Efeito: permitir
  • Ação: guardduty:UnarchiveFindings

Apenas a conta de administrador pode arquivar conclusões. As contas de membros não têm autorização para arquivar resultados das respetivas contas.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido: "As seguintes descobertas foram arquivadas com êxito: <ids>"

No caso de um ou todos os IDs de descobertas inválidos, a ação não deve falhar, mas is_success deve ser definido como falso: "Não foi possível anular o arquivo das seguintes descobertas: <ids>

A ação deve falhar e parar a execução de um guia interativo:

O ID do detetor inválido também deve gerar uma exceção, parar o playbook e definir is_success como falso.

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ou outro: "Erro ao executar a ação "Desarquivar resultados". Motivo: {0}''.format(error.Stacktrace)"

Nota: o código de erro não pode ser para um dos IDs. No caso de um ID de descoberta incorreto, é gerada uma exceção com o seguinte erro: "When calling the ArchiveFindings operation (reached max retries: 4): Internal server error." (Ao chamar a operação ArchiveFindings [atingiu o número máximo de novas tentativas: 4]: erro interno do servidor).

O mesmo aqui: verifique primeiro se a descoberta é válida.

As seguintes conclusões foram arquivadas com êxito: 88bac20f959084244a2b91778d12e883

Não foi possível arquivar as seguintes descobertas: 1abac689941ae6f3e3e24d02ac4cf612

 Geral

Crie resultados de amostra

Gera exemplos de resultados dos tipos especificados pela lista de resultados.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim O ID exclusivo do detetor para o qual criar resultados de amostra.
Tipos de resultados String N/A Não

Os tipos de resultados de amostra a gerar. Valores separados por vírgulas.

Pode encontrar os tipos na IU, na secção Resultados, na coluna Tipo de resultado.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se "ErrorCode" for comunicado (is_success=false): "Não foi possível criar resultados de amostra para a ação. Error: {}".format(ErrorMessage)"

Se for bem-sucedido: "Successfully created sample findings" (Foram criadas amostras de resultados com êxito)

Se uma das entradas (Tipos de descobertas) for inválida, detete a seguinte exceção: "O pedido é rejeitado porque foi especificado um valor inválido ou fora do intervalo como um parâmetro de entrada." set, is_sucess=false: "Não foi possível criar descobertas de amostra porque foi encontrado um valor inválido como parâmetro de tipos de descobertas.

Atualizado: no caso de um tipo de descoberta inválido, a ação deve falhar com esta mensagem: "Não foi possível criar resultados de amostra porque foi encontrado um valor inválido como parâmetro de tipos de descobertas. Erro: <traceback>

  • invalid finding type + invalid detector → action should fail, is_success=false
  • Vários resultados: inválido + inválido. A ação continua a falhar!

A ação deve falhar e parar a execução de um guia interativo:

O ID do detetor inválido também deve gerar uma exceção, parar o playbook e definir is_success como falso.

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ou outro: "Erro ao executar a ação "Criar resultados de exemplo". Motivo: {0}''.format(error.Stacktrace)

 Geral

Atualizar feedback de resultados

Marque as descobertas do Amazon GuardDuty especificadas como úteis ou inúteis.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim O ID exclusivo do detetor associado aos resultados para os quais quer atualizar o feedback.
É útil? Caixa de verificação Desmarcado Sim O feedback para a descoberta.
IDs das descobertas String N/A Sim Os IDs das descobertas que quer marcar como úteis ou não úteis. Valores separados por vírgulas.
Comentário String N/A Não Feedback adicional sobre as conclusões do GuardDuty.
Região da AWS String N/A Não Opcionalmente, especifique a região da AWS a usar na ação, que pode ser diferente da região predefinida especificada na página de configuração da integração.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se "ErrorCode" for comunicado (is_success=false): "Não foi possível atualizar o feedback das descobertas. Error: {}".format(ErrorMessage)

Se for bem-sucedido: "O feedback das conclusões foi atualizado."

Se ocorrer um erro/não for encontrado um dos IDs de localização, o objeto de resposta continua a devolver uma resposta vazia, embora um dos IDs não exista.

Se não forem encontrados resultados:"Não é possível atualizar o feedback. <finding id> não é válido."

A ação deve falhar e parar a execução de um guia interativo:

O ID do detetor inválido também deve gerar uma exceção, parar o playbook e definir is_success como falso.

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ou outro: "Erro ao executar a ação "Atualizar feedback de resultados". Motivo: {0}''.format(error.Stacktrace)"

 Geral

Elimine uma lista de IPs fidedignos

Elimine o IPSet especificado pelo ID.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim

Especifique o ID do detetor que deve ser usado para eliminar um conjunto de IPs.

Pode encontrar este parâmetro no separador Definições.
IDs da lista de IPs fidedignos String N/A Sim

Especifique a lista de IDs de conjuntos de IPs separados por vírgulas.

Exemplo: id_1,id_2

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for bem-sucedido (is_success=true): "Successfully deleted the following Trusted IP lists: <ids>" (As seguintes listas de IPs fidedignos foram eliminadas com êxito: <ids>)

Se não for bem-sucedido para alguns dos IDs (is_success=true): "Não foi possível eliminar as seguintes listas de IPs fidedignos do Amazon GuardDuty:\n{0}.".format(list_of_ids)"

A ação deve falhar e parar a execução de um guia interativo:

O ID do detetor inválido também deve gerar uma exceção, parar o playbook e definir is_success como falso.

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Eliminar uma lista de IPs fidedignos". Motivo: {0}''.format(error.Stacktrace"

 Geral

Obtenha detalhes da descoberta

Devolve informações detalhadas sobre uma descoberta no AWS Guard Duty.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
Encontrar IDs String N/A Sim

Os IDs das descobertas que quer obter. IDs separados por vírgulas.
ID do detetor String N/A Sim O ID exclusivo do detetor que quer obter.
Região da AWS String N/A Não Opcionalmente, especifique a região da AWS a usar na ação, que pode ser diferente da região predefinida especificada na página de configuração da integração.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Resultado JSON
{
    "Findings": [{
        "AccountId": "ACCOUNT_ID",
        "Arn": "arn:aws:guardduty:us-east-1:ACCOUNT_ID:detector/DETECTOR_ID/finding/FINDING_ID",
        "CreatedAt": "2020-10-06T05:19:50.794Z",
        "Description": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.", "Id": "ID",
        "Partition": "aws",
        "Region": "us-east-1",
        "Resource": {
            "InstanceDetails": {
                "AvailabilityZone": "us-east-1e",
                "ImageId": "ami-IMAGE_ID",
                "InstanceId": "i-INSTANCE_ID",
                "InstanceState": "running",
                "InstanceType": "t2.micro",
                "LaunchTime": "2020-05-27T08:54:03Z", "NetworkInterfaces": [{
                    "Ipv6Addresses": [],
                    "NetworkInterfaceId": "eni-012d9b8a1a3b4e40a",
                    "PrivateDnsName": "ip-192.0.2.1.ec2.internal",
                    "PrivateIpAddress": "192.0.2.1",
                    "PrivateIpAddresses": [{
                        "PrivateDnsName": "ip-192.0.2.1.ec2.internal",
                        "PrivateIpAddress": "192.0.2.1"
                    }],
                    "PublicDnsName": "ec2-54-234-69-236.compute-1.amazonaws.com",
                    "PublicIp": "198.51.100.236",
                    "SecurityGroups": [{
                        "GroupId": "sg-0fa42e04e9cd15407",
                        "GroupName": "Windows Server 2016"
                    }],
                    "SubnetId": "subnet-2edddf10",
                    "VpcId": "vpc-48a7ac32"
                }],
                "Platform": "windows",
                "ProductCodes": [],
                "Tags": [{
                    "Key": "Name",
                    "Value": "CiscoAMP-win2012"
                }]},
            "ResourceType": "Instance"
        },
        "SchemaVersion": "2.0",
        "Service": {
            "Action": {
                "ActionType": "NETWORK_CONNECTION", "NetworkConnectionAction": {
                    "Blocked": false,
                    "ConnectionDirection": "INBOUND",
                    "LocalPortDetails": {
                        "Port": 3389, "PortName": "RDP"
                    },
                    "Protocol": "TCP",
                    "LocalIpDetails": {
                        "IpAddressV4": "192.0.2.1"
                    },
                    "RemoteIpDetails": {
                        "IpAddressV4": "203.0.113.9",
                        "Organization": {
                            "Asn": "24875",
                            "AsnOrg": "Example Inc.",
                            "Isp": "Example Inc.",
                            "Org": "Example Inc."
                        }},
                    "RemotePortDetails": {
                            "Port": 1549,
                        "PortName": "Unknown"
                    }}},
            "Archived": false,
            "Count": 5,
            "DetectorId": "DETECTOR_ID",
            "EventFirstSeen": "2020-10-06T05:10:58Z",
            "EventLastSeen": "2020-10-06T05:46:59Z",
            "ResourceRole": "TARGET",
            "ServiceName": "guardduty"
        },
        "Severity": 2,
        "Title": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID.",
        "Type": "UnauthorizedAccess:EC2/RDPBruteForce",
        "UpdatedAt": "2020-10-06T06:01:46.380Z"
    }]
}
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se for comunicado o "ErrorCode" (is_success=false): "Action wasn't able to get Findings details. Error: {}".format(ErrorMessage)"

Se for bem-sucedido: "Successfully retrieved information for the following findings <finding ids that retrieved>" (Informações obtidas com êxito para as seguintes descobertas <finding ids that retrieved>)

Se for comunicado um erro para um dos IDs, o objeto de resposta tem resultados apenas para os IDs válidos. Verifique se o objeto de resposta não tinha alguns dos IDs e imprima uma mensagem adequada.

E.g. data = ['4cba8180b5959ae56a3be24cc722aaaa', '6eba7eae0e24ffe28a4109f2594febff', '24ba6761dc4cf85cfc292bbadd1c2655']

The first ID does not exist, therefore I will not get a result for that one. Output message:

"Successfully retrieved information for the following findings: 6eba7eae0e24ffe28a4109f2594febff,24ba6761dc4cf85cfc292bbadd1c2655. Failed to retrieve information for the following findings: 4cba8180b5959ae56a3be24cc722aaaa

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ou outro: "Erro ao executar a ação "Get Findings". Motivo: {0}''.format(error.Stacktrace)"

 Geral
Tabela de parede da caixa

Nota: se existir.

Colunas da tabela:

  • Encontrar o ID
  • Título
  • Descrição
  • Tipo
  • Gravidade
  • Contagem
  • ID do recurso
  • Criada à(s)
  • Atualizado:
  • ID da conta
 Geral

Obtenha todas as listas de IPs fidedignos

Descrição

Obtenha todas as listas de IPs fidedignos (IPSets) do serviço GuardDuty especificado pelo ID do detetor.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim

Especifique o ID do detetor que deve ser usado para listar conjuntos de IPs.

Pode encontrar este parâmetro no separador Definições.
Número máximo de listas de IPs fidedignos a devolver Número inteiro 50 Não Especifique o número de listas de IPs fidedignos a devolver.
Região da AWS String N/A Não Opcionalmente, especifique a região da AWS a usar na ação, que pode ser diferente da região predefinida especificada na página de configuração da integração.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Resultado JSON
{
    "IpSetIds": ['', '' , '']
}
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se a listagem dos conjuntos disponíveis for bem-sucedida (is_success=true): "Successfully retrieved available Trusted IP lists." (Foram obtidas com êxito as listas de IPs fidedignos disponíveis.)

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Obter todas as listas de IPs fidedignos". Motivo: {0}''.format(error.Stacktrace)

 Geral

Obtenha uma lista de IPs fidedignos

Descrição

Obtenha detalhes sobre uma lista de IPs fidedignos no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim

Especifique o ID do detetor que deve ser usado para obter um conjunto de IPs.

Pode encontrar este parâmetro no separador Definições.
IDs da lista de IPs fidedignos CSV N/A Sim

Especifique a lista de IDs separados por vírgulas para conjuntos de IPs, como id_1,id_2.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Resultado JSON
{
    "ip_set_id": {
        "Format": "response['Format']",
        "Location": "response['Location']",
        "Name": "response['Name']",
        "Status": "response['Status']"
        }
}
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se os detalhes forem devolvidos com êxito (is_success=true):"Successfully retrieved details about the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids)"

Se não for bem-sucedido para alguns dos IDs (is_success=true): "Não foi possível obter detalhes sobre as seguintes listas de IPs fidedignos do Amazon GuardDuty:\n{0}.".format(list_of_ids)

Se não forem usados IDs (is_success=false): "No details were retrieved about the provided Trusted IP Lists".format(list_of_ids)"

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "List Trusted IP Lists". Motivo: {0}''.format(error.Stacktrace)

 Geral
CSV

Nome da tabela: detalhes das listas de IPs fidedignos

Colunas da tabela:

  • Nome (mapeado como Nome)
  • ID da lista de IPs fidedignos (do parâmetro de ação)
  • Localização (mapeada como Localização)
  • Estado (mapeado como Estado)
 Geral

Atualize uma lista de IPs fidedignos

Descrição

Atualize uma lista de IPs fidedignos no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim

Especifique o ID do detetor que deve ser usado para atualizar uma lista de IPs fidedignos.

Pode encontrar este parâmetro no separador Definições.
ID da lista de IPs fidedignos String N/A Sim Especifique o ID da lista de IPs fidedignos que deve ser atualizada.
Nome String N/A Não Especifique o novo nome da lista de IPs fidedignos.
Localização do ficheiro String https://s3.amazonaws.com/{bucket-name}/file.txt Não Especifique uma nova localização do URI, onde o ficheiro se encontra.
Ativar Caixa de verificação Marcado Sim Se estiver ativada, a lista de IPs fidedignos é ativada.
Região da AWS String N/A Não Opcionalmente, especifique a região da AWS a usar na ação, que pode ser diferente da região predefinida especificada na página de configuração da integração.

É apresentado em

Esta ação não é executada em entidades.

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Resultado JSON
N/A
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se um conjunto for atualizado com êxito (is_success=true): "A lista de IPs fidedignos "{0}" foi atualizada com êxito no Amazon GuardDuty.".format(ID da ameaça)

Se não for possível atualizar um conjunto (is_success=false): "Action wasn't able to update the trusted IP list '{0}' in Amazon GuardDuty.".format(Threat ID)

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar lista de IPs fidedignos". Motivo: {0}''.format(error.Stacktrace)

 Geral

Crie uma lista de IPs fidedignos

Cria uma nova lista de endereços IP fidedignos (IPSet) que estavam na lista dinâmica para comunicação segura com a infraestrutura e as aplicações da AWS.

O GuardDuty não gera resultados para endereços IP incluídos em IPSets. Apenas os utilizadores da conta de administrador podem usar esta operação.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim

Especifique o ID do detetor que deve ser usado para criar uma lista de IPs fidedignos.

Pode encontrar este parâmetro no separador Definições.
Nome String N/A Sim Especifique o nome da lista de IPs fidedignos.
Formato de ficheiro LDD Texto simples Sim

Selecione o formato do ficheiro que deve ser usado para criar uma lista de IPs fidedignos.

Valores possíveis:

  • Expressão de informações sobre ameaças estruturadas (STIX) em texto simples
  • CSV do Open Threat Exchange (OTX)
  • CSV do FireEye iSIGHT Threat Intelligence
  • CSV do feed de informações de inteligência da Proofpoint ET
  • Feed de reputação do AlienVault
Localização do ficheiro String https://s3.amazonaws.com/{bucket-name}/file.txt Sim Especifique a localização do URI onde o ficheiro se encontra
Ativar Caixa de verificação Marcado Sim Se estiver ativada, a lista de IPs fidedignos recém-criada é ativada.
Região da AWS String N/A Não Opcionalmente, especifique a região da AWS a usar na ação, que pode ser diferente da região predefinida especificada na página de configuração da integração.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Resultado JSON
{
    "TrustedIPID": "TRUSTED_IP_ID"
}
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se um conjunto for criado com êxito (is_success=true): "Successfully created new Trusted IP List '{0}' in Amazon GuardDuty.".format(Name)"

Se não for possível criar um conjunto (is_success=false): "Não foi possível criar a nova lista de IPs fidedignos "{0}" no Amazon GuardDuty.".format(name)"

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Criar lista de IPs fidedignos". Motivo: {0}''.format(error.Stacktrace)"

 Geral

Apresentar conjuntos de informações sobre ameaças

Liste os conjuntos de informações sobre ameaças disponíveis no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim

Especifique o ID do detetor que deve ser usado para listar conjuntos de informações sobre ameaças.

Pode encontrar este parâmetro no separador Definições.
Máximo de conjuntos de informações sobre ameaças a devolver Número inteiro 50 Não Especifique o número de conjuntos de informações sobre ameaças a devolver.
Região da AWS String N/A Não Opcionalmente, especifique a região da AWS a usar na ação, que pode ser diferente da região predefinida especificada na página de configuração da integração.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Resultado JSON
{
    "ThreatIntelSetIds": ["14ba8b942b76c1be6d985715eb7443eb",
                       "32ba8b92e553fe04d06dab543ed57a70",
                       "8aba8b93ba6e08e8fd5349b2c2b57709"
                       ]
}
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se a listagem dos conjuntos disponíveis for bem-sucedida (is_success=true): "Successfully listed available Threat Intelligence Sets." (Listagem dos conjuntos de informações sobre ameaças disponíveis bem-sucedida.)

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "List Threat Intelligence Sets". Motivo: {0}''.format(error.Stacktrace)

 Geral

Obtenha detalhes do conjunto de informações sobre ameaças

Obtenha detalhes sobre um conjunto de informações sobre ameaças no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim

Especifique o ID do detetor que deve ser usado para obter detalhes dos conjuntos de informações sobre ameaças.

Pode encontrar este parâmetro no separador Definições.
IDs de conjuntos de informações sobre ameaças String 50 Sim

Especifique a lista de IDs de conjuntos de informações sobre ameaças separados por vírgulas.

Exemplo: id_1,id_2
Região da AWS String N/A Não Opcionalmente, especifique a região da AWS a usar na ação, que pode ser diferente da região predefinida especificada na página de configuração da integração.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Resultado JSON
{
    "Format": "TXT",
    "Location": "https: //example.s3.amazonaws.com/test.txt",
    "Name": "API Test",
    "ResponseMetadata": {
        "HTTPHeaders": {
            "connection": "keep-alive",
            "content-length": "149",
            "content-type": "application/json",
            "date": "Mon,19 Oct 2020 06: 23: 22 GMT",
            "x-amz-apigw-id": "ID",
            "x-amzn-requestid": "REQUEST_ID",
            "x-amzn-trace-id": "TRACE_ID"
        },
        "HTTPStatusCode": 200,
        "RequestId": "REQUEST_ID",
        "RetryAttempts": 0
    },
    "Status": "ERROR",
    "Tags": {}
}
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se os detalhes forem devolvidos com êxito sobre, pelo menos, um conjunto (is_success=true): "Successfully retrieved details about the following Threat Intelligence Sets from Amazon GuardDuty:\n{0}.".format(list_of_ids)"

Se não for bem-sucedido para alguns dos IDs (is_success=true): "Action wasn't able to retrieve details about the following Threat Intelligence Sets from Amazon GuardDuty:\n{0}.".format(list_of_ids)"

Se não forem usados IDs: "No details were retrieved about the provided Threat Intelligence Sets.".format(list_of_ids)

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "List Threat Intelligence Sets". Motivo: {0}''.format(error.Stacktrace)

 Geral
CSV

Nome da tabela: detalhes do conjunto de informações sobre ameaças

Coluna da tabela:

  • Nome (mapeado como Nome)
  • ID (do parâmetro da ação)
  • Localização (mapeada como Localização)
  • Estado (mapeado como Estado)

Criar conjunto de informações sobre ameaças

Crie um conjunto de informações sobre ameaças no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim

Especifique o ID do detetor que deve ser usado para criar um conjunto de informações sobre ameaças.

Pode encontrar este parâmetro no separador Definições.
Nome String N/A Sim Especifique o nome do conjunto de informações sobre ameaças.
Formato de ficheiro LDD

Texto simples

Valores possíveis:

  • Texto simples
  • Structured Threat Information Expression (STIX)
  • CSV do Open Threat Exchange (OTX)
  • CSV do FireEye iSIGHT Threat Intelligence
  • CSV do feed de informações de inteligência da Proofpoint ET
  • Feed de reputação do AlienVault
 Sim Selecione o formato do ficheiro usado para criar um conjunto de informações sobre ameaças.
Localização do ficheiro String https://s3.amazonaws.com/{bucket-name}/file.txt Sim Especifique a localização do URI onde o ficheiro se encontra.
Ativo Caixa de verificação Marcado Sim Se estiver ativada, o conjunto de informações sobre ameaças recém-criado é ativado.
Etiquetas CSV N/A Não

Especifique etiquetas adicionais que devem ser adicionadas ao conjunto de informações sobre ameaças.

Formato: key_1:value_1,key_2:value_1

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Resultado JSON
{
    "ThreatIntelSetId": "b6f0c884a54449cc8e29eed3094e9c31"
}
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se um conjunto tiver sido criado com êxito (is_success=true): "O conjunto de informações sobre ameaças "{0}" foi criado com êxito no Amazon GuardDuty.".format(Name)

Se não for possível criar um conjunto (is_success=false):"Não foi possível criar o conjunto de informações sobre ameaças "{0}" no Amazon GuardDuty.".format(name)

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Criar conjunto de informações sobre ameaças". Motivo: {0}''.format(error.Stacktrace)

 Geral

Atualize o conjunto de informações sobre ameaças

Atualize um conjunto de informações sobre ameaças no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID do detetor String N/A Sim

Especifique o ID do detetor que deve ser usado para atualizar um conjunto de informações sobre ameaças.

Pode encontrar este parâmetro no separador Definições.
ID String N/A Sim Especifique o ID do conjunto de informações sobre ameaças que deve ser atualizado.
Nome String N/A Não Especifique o novo nome do conjunto de informações sobre ameaças.
Localização do ficheiro String https://s3.amazonaws.com/{bucket-name}/file.txt Não Especifique uma nova localização do URI, onde o ficheiro se encontra.
Ativo Caixa de verificação Marcado Sim Se estiver ativada, o conjunto de informações sobre ameaças é ativado.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se um conjunto for atualizado com êxito (is_success=true): "Successfully updated the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(Threat ID)

Se não for possível atualizar um conjunto (is_success=false): "Action wasn't able to update the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(Threat ID)

A ação deve falhar e parar a execução de um guia interativo:

Se for comunicado um erro fatal ou um erro do SDK, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar conjunto de informações sobre ameaças". Motivo: {0}''.format(error.Stacktrace)

 Geral

Elimine o conjunto de informações sobre ameaças

Elimine um conjunto de informações sobre ameaças no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor predefinido Marca de água É obrigatório Descrição
ID do detetor String N/A N/A Sim

Especifique o ID do detetor que deve ser usado para obter detalhes dos conjuntos de informações sobre ameaças.

Pode encontrar este parâmetro no separador Definições.
IDs de conjuntos de informações sobre ameaças CSV N/A N/A Sim

Especifique a lista de IDs de conjuntos de informações sobre ameaças separados por vírgulas.

Exemplo: id_1,id_2

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores Exemplo
is_success Verdadeiro ou falso is_success=False
Parede da caixa
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se forem devolvidos com êxito detalhes sobre, pelo menos, um conjunto (is_success=true): "Os seguintes conjuntos de informações sobre ameaças foram eliminados com êxito no Amazon GuardDuty:\n{0}.".format(list_of_ids)

Se não for bem-sucedido para alguns dos IDs (is_success=true): "Não foi possível eliminar os seguintes conjuntos de informações sobre ameaças no Amazon GuardDuty:\n{0}.".format(list_of_ids)

Se não forem usados IDs: "No Threat Intelligence Sets were deleted.".format(list_of_ids)

A ação deve falhar e parar a execução de um guia interativo:

O ID do detetor inválido também deve gerar uma exceção, parar o playbook e definir is_success como falso.

Se ocorrer um erro fatal ou um erro do SDK, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Eliminar conjuntos de informações sobre ameaças". Motivo: {0}''.format(error.Stacktrace)

 Geral

Conetores

Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).

AWS GuardDuty – Findings Connector

Extraia conclusões do Amazon GuardDuty.

Entradas do conetor

Use os seguintes parâmetros para configurar o conector:

Nome do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do campo do produto String Nome do produto Sim

O nome do campo onde o nome do produto está armazenado.

O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição.

O valor predefinido é Product Name.
Nome do campo de evento String Tipo Sim

O nome do campo que determina o nome do evento (subtipo).
Nome do campo do ambiente String "" Não

O nome do campo onde o nome do ambiente está armazenado.

Se o campo de ambiente estiver em falta, o conector usa o valor predefinido.
Environment Regex Pattern String .* Não

Um padrão de expressão regular a executar no valor encontrado no campo Environment Field Name. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular.

Use o valor predefinido .* para obter o valor bruto Environment Field Name necessário.

Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido.
Limite de tempo do script (segundos) Número inteiro 180 Sim

O limite de tempo limite, em segundos, para o processo Python que executa o script atual.
ID da chave de acesso da AWS String N/A Sim ID da chave de acesso da AWS a usar na integração.
Chave secreta da AWS Palavra-passe N/A Sim Chave secreta da AWS a usar na integração.
Região predefinida da AWS String N/A Sim

Região predefinida da AWS a usar na integração.

Exemplo: us-west-2
ID do detetor String N/A Sim ID do detetor. Pode encontrá-la no separador Definições.
Gravidade mais baixa a obter Número inteiro 1 Sim

A gravidade mais baixa dos alertas a obter.

Se não configurar este parâmetro, o conector carrega alertas com todos os níveis de gravidade.

Os valores possíveis estão no intervalo de 1 a 8.

Nota: o Amazon GuardDuty mapeia o valor inteiro pela seguinte ordem:

  • 1,2,3 - Baixo
  • 4,5,6 – Médio
  • 7,8 - Alta
Fetch Max Hours Backwards Número inteiro 1 Não O número de horas anteriores ao momento atual para obter resultados.

Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada.
Max Findings To Fetch Número inteiro 50 Não

Número de resultados a processar por iteração de conetor.

Máximo: 50

Esta é uma limitação do GuardDuty.
Use whitelist as a blacklist Caixa de verificação Desmarcado Sim

Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios.
Endereço do servidor proxy String N/A Não O endereço do servidor proxy a usar.
Nome de utilizador do proxy String N/A Não O nome de utilizador do proxy para autenticação.
Palavra-passe do proxy Palavra-passe N/A Não A palavra-passe do proxy para autenticação.

Regras de conector

O conetor suporta proxies.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.