Integra Amazon Macie con Google SecOps
Questo documento descrive come integrare Amazon Macie con Google Security Operations (Google SecOps).
Versione integrazione: 7.0
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| ID chiave di accesso AWS | Stringa | N/D | Sì | ID chiave di accesso AWS da utilizzare nell'integrazione. |
| Chiave segreta AWS | Password | N/D | Sì | Chiave segreta AWS da utilizzare nell'integrazione. |
| Regione AWS predefinita | Stringa | N/D | Sì | Regione AWS predefinita da utilizzare nell'integrazione, ad esempio us-west-1. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona la casella di controllo per eseguire l'integrazione configurata da remoto. Una volta selezionata, l'opzione consente di selezionare l'utente remoto (agente). |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Dindin
Testa la connettività.
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success:False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al servizio Amazon Macie riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività: "Impossibile connettersi al servizio Amazon Macie. Error is {0}".format(exception.stacktrace) |
Genera |
Elenco esiti
Elenca i risultati di Amazon Macie in base ai parametri di input dell'azione specificati.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Tipo di risultato | Stringa | N/D | No | Tipo di ricerca da eseguire, ad esempio SensitiveData:S3Object/Credentials o SensitiveData:S3Object/Multiple. Il parametro accetta più valori come stringa separata da virgole. Se non viene specificato nulla, l'azione restituisce tutti i tipi di risultati. |
| Gravità | Stringa | 4 | No | Gravità del risultato da cercare: Elevata, Media o Bassa. Il parametro accetta più valori come stringa separata da virgole. Se non viene specificato nulla, l'azione restituisce tutti i risultati indipendentemente dalla gravità. |
| Includere i risultati archiviati? | Casella di controllo | Deselezionata | No | Specifica se includere o meno i risultati archiviati nei risultati. |
| Intervallo di tempo | Numero intero | 4 | No | Specifica un periodo di tempo in ore per recuperare i risultati. |
| Limite di record | Numero intero | 20 | No | Specifica quanti record possono essere restituiti dall'azione. |
| Ordina per | Stringa | N/D | No | Specifica un parametro per ordinare i dati. Esempio: updatedAt |
| Ordinamento | DDL | CRESC | No | Ordinamento. |
Casi d'uso
Elenca i risultati di Amazon Macie per vedere quali sono disponibili.
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success:False |
Risultato JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "Amazon Macie findings found" (Risultati di Amazon Macie trovati) Se is_success=False, ad esempio non sono stati trovati risultati: "Non sono stati restituiti risultati." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività: "Impossibile connettersi al servizio Amazon Macie. Error is {0}".format(exception.stacktrace) |
Generale |
| Tabella | Nome tabella: Amazon Macie Findings Colonne della tabella:
|
Generale |
Recupero dei risultati
Ottieni i risultati di Amazon Macie in base all'ID risultato specificato.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID risultato | Stringa | N/D | Sì | Ricerca dell'ID per visualizzare i dettagli. Il parametro può accettare più valori come stringa separata da virgole. |
Casi d'uso
Visualizza i dettagli dei risultati durante l'analisi dell'avviso. In questo caso, la ricerca non sarà "piatta" come se provenisse dal connettore e l'elaborazione dei dati potrebbe essere più semplice.
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success:False |
Risultato JSON
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "Amazon Macie findings found" (Risultati di Amazon Macie trovati) Se is_success=False, ad esempio non sono stati trovati risultati: "Non sono stati restituiti risultati." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività: "Impossibile connettersi al servizio Amazon Macie. Error is {0}".format(exception.stacktrace) |
Generale |
| Tabella | Nome tabella: Amazon Macie Findings Colonne della tabella: |
Generale |
Crea identificatore di dati personalizzati
Crea un identificatore di dati personalizzato di Amazon Macie.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome identificatore dati personalizzato | Stringa | N/D | Sì | Nuovo nome dell'identificatore di dati personalizzato di Amazon Macie. |
| Descrizione dell'identificatore dati personalizzato | Stringa | N/D | No | Nuova descrizione dell'identificatore di dati personalizzato di Amazon Macie. |
| Espressione regolare identificatore di dati personalizzati | Stringa | N/D | Sì | Nuova espressione regolare dell'identificatore di dati personalizzato di Amazon Macie. Esempio: I[a@]mAB[a@]dRequest |
| Parole chiave dell'identificatore di dati personalizzato | Stringa | N/D | No | Nuove parole chiave dell'identificatore di dati personalizzato di Amazon Macie. |
| Custom Data Identifier Ignore Words | Stringa | N/D | No | Amazon Macie new custom data identifier ignore words. |
| Distanza massima di corrispondenza dell'identificatore di dati personalizzato | Numero intero | 50 | No | Nuova distanza massima di corrispondenza dell'identificatore di dati personalizzato di Amazon Macie. |
Casi d'uso
Crea un identificatore di dati personalizzato Amazon Macie in base ai dati osservati, in modo che in un secondo momento il nuovo identificatore di dati personalizzato possa essere utilizzato nei job di classificazione.
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success:False |
Risultato JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "New Amazon Macie custom data identifier created: {0}".format(new identifier_id from response) Se is_success=False, ad esempio non sono stati trovati risultati: "Failed to create Amazon Macie Identifier. Errore: {0}".format(error from response) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività: "Impossibile connettersi al servizio Amazon Macie. Error is {0}".format(exception.stacktrace) |
Generale |
Elimina identificatore di dati personalizzati
Elimina l'identificatore di dati personalizzati di Amazon Macie.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID identificatore dati personalizzato | Stringa | N/D | No | ID identificatore di dati personalizzato di Amazon Macie da eliminare. |
Casi d'uso
Elimina l'identificatore di dati personalizzati di Amazon Macie.
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success:False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "Amazon Macie custom data identifier {0} deleted".format(custom data identifier id) Se is_success=False, ad esempio non sono stati trovati risultati: "Failed to delete Amazon Macie Identifier {0}. Error is: {1}".format(custom data identifier id, error from response) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività: "Impossibile connettersi al servizio Amazon Macie. Error is {0}".format(exception.stacktrace) |
Generale |
Attiva Macie
Attiva il servizio Amazon Macie.
Parametri
N/D
Casi d'uso
Attiva Amazon Macie al termine della finestra di servizio.
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success:False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "Servizio Amazon Macie attivato correttamente" Se is_success=False: "Failed to enable Amazon Macie service. Errore: {0}".format(error from response) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività:"Failed to connect to the Amazon Macie service! Error is {0}".format(exception.stacktrace) |
Generale |
Disattivare Macie
Disattiva il servizio Amazon Macie.
Casi d'uso
Disattiva Amazon Macie per la finestra di servizio per apportare alcune modifiche ai bucket AWS e non causare molti falsi positivi.
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success:False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "Successfully disabled Amazon Macie service" (Servizio Amazon Macie disattivato correttamente) Se is_success=False: "Failed to disable Amazon Macie service. Errore: {0}".format(error from response) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore critico, ad esempio credenziali errate o perdita di connettività: "Impossibile connettersi al servizio Amazon Macie. Error is {0}".format(exception.stacktrace) |
Generale |
Connettori
Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
Amazon Macie - Findings Connector
Importa i risultati di Amazon Macie.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | N/D | Sì |
Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è |
| Nome campo evento | Stringa | N/D | Sì | Il nome del campo che determina il nome (sottotipo) dell'evento. |
| Nome campo ambiente | Stringa | N/D | No | Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. |
Environment Regex Pattern |
Stringa | N/D | No |
Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. |
| ID chiave di accesso AWS | Stringa | N/D | Vero | ID chiave di accesso AWS da utilizzare nell'integrazione. |
| Chiave segreta AWS | Password | N/D | Vero | Chiave segreta AWS da utilizzare nell'integrazione. |
| Regione AWS predefinita | Stringa | N/D | Vero | Regione AWS predefinita da utilizzare nell'integrazione, ad esempio us-west-2. |
| Gravità del risultato da importare | Stringa | N/D | No | Gravità del risultato da importare: Il parametro accetta più valori come stringa separata da virgole. Se non viene specificato nulla, il connettore acquisisce tutti i risultati indipendentemente dalla gravità. |
| Numero massimo di risultati da recuperare | Numero intero | 50 | No | Numero di risultati da elaborare per un'iterazione del connettore. |
| Recupero ore massime a ritroso | Numero intero | 1 | No | Il numero di ore prima di ora per recuperare gli avvisi. Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto. |
Use whitelist as a blacklist |
Casella di controllo | Deselezionata | Sì | Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
La lista bloccata è disattivata per impostazione predefinita.
Il connettore supporta l'elenco dinamico che acquisisce solo i risultati di un tipo specifico.
Il connettore supporta i proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.