Amazon GuardDuty in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Amazon GuardDuty in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 8.0
Vorbereitung
Wenn Sie Lesezugriff auf die Integration benötigen, z. B. zum Ausführen des Connectors, verwenden Sie die AmazonGuardDutyReadOnlyAccess-Richtlinie.
Wenn Sie vollen Zugriff auf alle Integrationsfunktionen haben möchten, verwenden Sie die Richtlinie AmazonGuardDutyFullAccess.
Weitere Informationen zur Verwendung von Richtlinien finden Sie unter Von AWS verwaltete Richtlinien.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| AWS-Zugriffsschlüssel-ID | String | – | Ja | AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll. |
| AWS-Secret-Key | Passwort | – | Ja | Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll. |
| Standardmäßige AWS-Region | String | – | Ja | Die standardmäßige AWS-Region, die in der Integration verwendet werden soll, z. B. „us-west-1“. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Anwendungsfälle
- Bedrohungen im AWS-System mit Playbooks oder manuellen Aktionen erkennen und verwalten.
- Amazon GuardDuty-Ergebnisse werden aufgenommen und dann in das GuardDuty-Archiv verschoben.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Ping
Testen Sie die Verbindung zu Amazon GuardDuty.
Parameter
Keine.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Bei Erfolg : „Successfully connected to the AWS GuardDuty server with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde erfolgreich eine Verbindung zum AWS GuardDuty-Server hergestellt.) Andernfalls : „Failed to connect to the AWS if successful: “Successfully connected to the AWS GuardDuty server with the provided connection parameters!“ (Verbindung zu AWS fehlgeschlagen, falls erfolgreich: „Erfolgreich mit dem AWS GuardDuty-Server mit den angegebenen Verbindungsparametern verbunden!“). Andernfalls : „Failed to connect to the AWS GuardDuty server! Fehler: {0} |
Allgemein |
Detektor erstellen
Erstellt einen einzelnen Amazon GuardDuty-Detektor. Ein Detector ist eine Ressource, die den GuardDuty-Dienst darstellt. Sie können nur einen Detektor pro Konto und Region haben.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Aktivieren | Kästchen | Deaktiviert | Ja | Gibt an, ob der Detector aktiviert werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Erfolgreich: „Der Detektor <new detector ID> wurde erstellt.“ Wenn der Detektor nicht erstellt wurde (is_success=false): „Die Aktion konnte keinen Detektor erstellen. Grund: Für das aktuelle Konto ist bereits ein Detektor vorhanden. Wenn „ErrorCode“ gemeldet wird (is_success=false): „Die Aktion konnte keinen Detektor erstellen. Fehler: {}".format (ErrorMessage) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einer ungültigen Detektor-ID sollte ebenfalls eine Ausnahme ausgelöst, das Playbook beendet und „is_success“ auf „false“ gesetzt werden. Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung oder „Sonstiges“ gemeldet wird: „Fehler beim Ausführen der Aktion ‚Detektor erstellen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Detektor löschen
Löschen Sie einen Amazon GuardDuty-Detektor, der durch die Detektor-ID angegeben wird.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Die eindeutige ID des Detektors, den Sie löschen möchten. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Detektor nicht gelöscht wird (is_success=false): „Die Aktion konnte den Detektor <detector_ID> nicht löschen. Fehler: {}".format(ErrorMessage)" Wenn der Detektor erfolgreich gelöscht wurde (is_success=true): „Der Detektor <detector ID> wurde gelöscht.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einer ungültigen Detektor-ID sollte ebenfalls eine Ausnahme ausgelöst, das Playbook beendet und „is_success“ auf „false“ gesetzt werden. Wenn ein schwerwiegender Fehler oder ein SDK-Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Detektor löschen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Detektor aktualisieren
Aktualisieren Sie den Amazon GuardDuty-Detektor, der durch die Detektor-ID angegeben wird.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Die eindeutige ID des Detektors, den Sie aktualisieren möchten. |
| Aktivieren | Kästchen | Deaktiviert | Nein | Gibt an, ob der Detector aktiviert werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn „ErrorCode“ gemeldet wird (is_success=false): „Die Aktion konnte keinen Detektor erstellen. Fehler: {}".format(ErrorMessage)" Wenn der Detektor erfolgreich aktualisiert wurde (is_success=true): „Der Detektor <detector ID> wurde aktualisiert.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einer ungültigen Detektor-ID sollte ebenfalls eine Ausnahme ausgelöst werden. Das Playbook sollte beendet und is_success auf „false“ gesetzt werden. Wenn ein schwerwiegender Fehler oder ein SDK-Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Detektor aktualisieren‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Detektordetails abrufen
Ruft einen Amazon GuardDuty-Detektor ab, der durch die Detektor-ID angegeben wird.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Die eindeutige ID des Detektors, den Sie abrufen möchten. Durch Kommas getrennte Werte. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
JSON-Ergebnis
{
"DetectorId": "DETECTOR_ID",
"CreatedAt": "response['CreatedAt']",
"ServiceRole": "response['ServiceRole']",
"Status": "response['Status']",
"UpdatedAt": "response['UpdatedAt']",
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Informationen zum Indikator <Indicator ID> wurden abgerufen.“ Hinweis: Wenn einige IDs für Detektoren gefunden wurden und andere nicht, werden beide Meldungen basierend auf der relevanten Detektor-ID angezeigt. Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einer ungültigen Detektor-ID sollte ebenfalls eine Ausnahme ausgelöst, das Playbook beendet und „is_success“ auf „false“ gesetzt werden. Wenn ein schwerwiegender Fehler oder ein SDK-Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Get a Detector Details‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| CSV-Tabelle | Tabellentitel:Detektordetails Tabellenspalten:
|
Allgemein |
Detektoren auflisten
Listet die DetectorIDs aller vorhandenen Amazon GuardDuty-Detektorressourcen auf.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Maximale Anzahl zurückzugebender Detektoren | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Detektoren an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
JSON-Ergebnis
{
"detectorIds": ["ID1,ID2"]
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success=true): „Die verfügbaren Detektoren wurden erfolgreich in Amazon GuardDuty aufgeführt. Indikator-ID:<value>“ Wenn ein anderer Statuscode gemeldet wird (is_success=false): „Action konnte keine verfügbaren Detektoren auflisten.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler gemeldet wird: „Fehler beim Ausführen der Aktion ‚List Detectors‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Befunde für einen Detektor auflisten
Listet alle Amazon GuardDuty-Ergebnisse für die angegebene Detektor-ID auf.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Die eindeutige ID des Detektors, den Sie abrufen möchten. |
| Maximale Anzahl zurückzugebender Ergebnisse | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Detektoren an. |
| Sortieren nach | String | – | Nein | Stellt das Attribut des Ergebnisses dar (z. B. „accountId“), nach dem Ergebnisse sortiert werden sollen. |
| Sortieren nach | DDL | ASC Mögliche Werte:
|
Nein | Die Reihenfolge, in der die sortierten Ergebnisse angezeigt werden sollen. |
| AWS-Region | String | – | Nein | Geben Sie optional die AWS-Region an, die in der Aktion verwendet werden soll. Diese kann sich von der Standardregion unterscheiden, die auf der Seite mit der Integrationskonfiguration angegeben ist. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
JSON-Ergebnis
{"FindingIds": ["10ba96ae50733ae38b9cae95431b7558"]}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion sollte nicht fehlschlagen und eine Playbook-Ausführung stoppen: Wenn „ErrorCode“ gemeldet wird (is_success=false): „Die Aktion konnte keine Ergebnisse für den Detektor <detector ID> abrufen. Fehler: {}".format(ErrorMessage)" Bei Erfolg: „Successfully retrieved available findings IDs for detector {detector ID}“ (Die verfügbaren IDs für Ergebnisse für den Detektor {detector ID} wurden abgerufen) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung oder ein anderer Fehler gemeldet wird: „Fehler beim Ausführen der Aktion ‚Ergebnisse für einen Detector auflisten‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Befunde archivieren
GuardDuty-Ergebnisse archivieren, die durch Ergebnis-IDs angegeben werden.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ergebnis-IDs | String | – | Ja | Die IDs der Ergebnisse, die Sie abrufen möchten. Durch Kommas getrennte IDs. |
| Detektor-ID | String | – | Ja | Die eindeutige ID des Detektors |
| AWS-Region | String | – | Nein | Geben Sie optional die AWS-Region an, die in der Aktion verwendet werden soll. Diese kann sich von der Standardregion unterscheiden, die auf der Seite mit der Integrationskonfiguration angegeben ist. |
AWS IAM-Richtlinienberechtigung:
- Auswirkung:Zulassen
- Aktion:guardduty:ArchiveFindings
Nur mit dem Administratorkonto können Ergebnisse archiviert werden. Mitgliedskonten haben keine Berechtigung, Ergebnisse aus ihren Konten zu archivieren.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Playbook-Ausführung nicht stoppen: Wenn „ErrorCode“ gemeldet wird (is_success=false): „Action wasn't able to archive Findings. Fehler: {}".format(ErrorMessage). Bitte prüfen Sie, ob alle Finding-IDs korrekt sind.“ Bei Erfolg: „Findings were successfully archived“ (Die Ergebnisse wurden archiviert) → geändert in: „The following findings were successfully archived: <ids>“ (Die folgenden Ergebnisse wurden archiviert: <ids>) Bei einer oder allen ungültigen Ergebnis-IDs sollte die Aktion nicht fehlschlagen, aber „is_success“ sollte auf „false“ gesetzt werden: „Die folgenden Ergebnisse konnten nicht archiviert werden: <ids>“ Hinweis:Der Fehlercode darf nicht für eine der IDs gelten. Bei einer falschen Finding-ID wird eine Ausnahme mit dem folgenden Fehler ausgelöst: „When calling the ArchiveFindings operation (reached max retries: 4): Internal server error.“ (Beim Aufrufen des Vorgangs „ArchiveFindings“ (maximale Anzahl von Wiederholungsversuchen erreicht: 4): Interner Serverfehler.) Gleiches gilt hier:Prüfen Sie zuerst, ob der Befund gültig ist. Die folgenden Ergebnisse wurden archiviert: 88bac20f959084244a2b91778d12e883 Die folgenden Ergebnisse konnten nicht archiviert werden: 1abac689941ae6f3e3e24d02ac4cf612 Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einer ungültigen Detektor-ID sollte ebenfalls eine Ausnahme ausgelöst, das Playbook beendet und „is_success“ auf „false“ gesetzt werden. Wenn ein schwerwiegender Fehler oder ein SDK-Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Archive Findings‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Ergebnisse aus dem Archiv wiederherstellen
GuardDuty-Ergebnisse extrahieren, die durch Ergebnis-IDs angegeben werden.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ergebnis-IDs | String | – | Ja | Die IDs der Ergebnisse, die Sie abrufen möchten. Durch Kommas getrennte Werte. |
| Detektor-ID | String | – | Ja | Die eindeutige ID des Detektors. |
AWS IAM-Richtlinienberechtigung:
- Auswirkung:Zulassen
- Aktion:guardduty:UnarchiveFindings
Nur mit dem Administratorkonto können Ergebnisse archiviert werden. Mitgliedskonten haben keine Berechtigung, Ergebnisse aus ihren Konten zu archivieren.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Playbook-Ausführung nicht stoppen: Bei Erfolg: „Die folgenden Ergebnisse wurden archiviert: <ids>“ Bei einer oder allen ungültigen Ergebnis-IDs sollte die Aktion nicht fehlschlagen, aber „is_success“ sollte auf „false“ gesetzt werden: „Die folgenden Ergebnisse konnten nicht entarchiviert werden: <ids> Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einer ungültigen Detektor-ID sollte ebenfalls eine Ausnahme ausgelöst, das Playbook beendet und „is_success“ auf „false“ gesetzt werden. Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung oder „Sonstiges“ gemeldet wird: „Fehler beim Ausführen der Aktion ‚Unarchive Findings‘. Grund: {0}''.format(error.Stacktrace) Hinweis:Der Fehlercode darf nicht für eine der IDs gelten. Bei einer falschen Finding-ID wird eine Ausnahme mit dem folgenden Fehler ausgelöst: „When calling the ArchiveFindings operation (reached max retries: 4): Internal server error.“ (Beim Aufrufen des Vorgangs „ArchiveFindings“ (maximale Anzahl von Wiederholungsversuchen erreicht: 4): Interner Serverfehler.) Gleiches gilt hier: Prüfen Sie zuerst, ob der Befund gültig ist. Die folgenden Ergebnisse wurden archiviert: 88bac20f959084244a2b91778d12e883 Die folgenden Ergebnisse konnten nicht archiviert werden: 1abac689941ae6f3e3e24d02ac4cf612 |
Allgemein |
Beispielbefunde erstellen
Generiert Beispielergebnisse der Typen, die in der Liste der Ergebnisse angegeben sind.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Die eindeutige ID des Detektors, für den Beispielergebnisse erstellt werden sollen. |
| Ergebnistypen | String | – | Nein | Die Arten von Stichprobenergebnissen, die generiert werden sollen. Durch Kommas getrennte Werte. Die Typen finden Sie in der Benutzeroberfläche im Bereich „Ergebnisse“ in der Spalte „Ergebnistyp“. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn „ErrorCode“ gemeldet wird (is_success=false): „Action konnte keine Beispielergebnisse erstellen. Fehler: {}".format(ErrorMessage)" Bei Erfolg: „Successfully created sample findings“ (Beispielfundberichte erfolgreich erstellt) Wenn eine der Eingaben („Findings Types“) ungültig ist, fangen Sie die folgende Ausnahme ab: „The request is rejected because an invalid or out-of-range value is specified as an input parameter.“ (Die Anfrage wird abgelehnt, weil ein ungültiger oder außerhalb des gültigen Bereichs liegender Wert als Eingabeparameter angegeben wurde.) set, is_sucess=false: „Action wasn't able to create sample findings because an invalid value was found as Finding Types parameter. Aktualisiert: Bei einem ungültigen Typ für das Ergebnis sollte die Aktion fehlschlagen und diese Meldung angezeigt werden: „Die Aktion konnte keine Beispielergebnisse erstellen, da ein ungültiger Wert als Parameter für die Ergebnistypen gefunden wurde. Fehler: <traceback>
Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einer ungültigen Detektor-ID sollte ebenfalls eine Ausnahme ausgelöst, das Playbook beendet und „is_success“ auf „false“ gesetzt werden. Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung oder „Sonstiges“ gemeldet wird : „Fehler beim Ausführen der Aktion ‚Beispielfehler erstellen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Feedback zu Ergebnissen aktualisieren
Markieren Sie die angegebenen Amazon GuardDuty-Ergebnisse als hilfreich oder nicht hilfreich.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Die eindeutige ID des Detektors, der mit den Ergebnissen verknüpft ist, für die das Feedback aktualisiert werden soll. |
| Nützlich? | Kästchen | Deaktiviert | Ja | Das Feedback zum Ergebnis. |
| Ergebnis-IDs | String | – | Ja | Die IDs der Ergebnisse, die Sie als nützlich oder nicht nützlich markieren möchten. Durch Kommas getrennte Werte. |
| Kommentar | String | – | Nein | Zusätzliches Feedback zu den GuardDuty-Ergebnissen. |
| AWS-Region | String | – | Nein | Geben Sie optional die AWS-Region an, die in der Aktion verwendet werden soll. Diese kann sich von der Standardregion unterscheiden, die auf der Seite mit der Integrationskonfiguration angegeben ist. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn „ErrorCode“ gemeldet wird (is_success=false): „Die Aktion konnte das Feedback zu den Ergebnissen nicht aktualisieren. Fehler: {}".format(ErrorMessage) Bei Erfolg: „Das Feedback zu den Ergebnissen wurde aktualisiert.“ Wenn für eine der Finding-IDs ein Fehler oder „Nicht gefunden“ zurückgegeben wird, enthält das Antwortobjekt trotzdem eine leere Antwort, obwohl eine der IDs nicht vorhanden ist. Wenn keine Ergebnisse gefunden werden: „Feedback kann nicht aktualisiert werden. <finding id> ist ungültig.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einer ungültigen Detektor-ID sollte ebenfalls eine Ausnahme ausgelöst, das Playbook beendet und „is_success“ auf „false“ gesetzt werden. Wenn ein schwerwiegender Fehler oder ein SDK-Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Update Findings Feedback‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Liste vertrauenswürdiger IP-Adressen löschen
Löscht das durch die ID angegebene IPSet.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Geben Sie die Detektor-ID an, die zum Löschen eines IP-Sets verwendet werden soll. Diesen Parameter finden Sie auf dem Tab Einstellungen. |
| IDs von Listen vertrauenswürdiger IP-Adressen | String | – | Ja | Geben Sie die durch Kommas getrennte Liste der IDs von IP-Sätzen an. Beispiel: id_1,id_2 |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg (is_success=true): „Die folgenden Listen vertrauenswürdiger IP-Adressen wurden gelöscht: <ids>“ Wenn die Aktion für einige der IDs nicht erfolgreich war (is_success=true): „Die Aktion konnte die folgenden Listen vertrauenswürdiger IP-Adressen nicht aus Amazon GuardDuty löschen:\n{0}.“.format(list_of_ids) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einer ungültigen Detektor-ID sollte ebenfalls eine Ausnahme ausgelöst, das Playbook beendet und „is_success“ auf „false“ gesetzt werden. Wenn ein schwerwiegender Fehler oder ein SDK-Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Liste vertrauenswürdiger IP-Adressen löschen‘. Grund: {0}''.format(error.Stacktrace" |
Allgemein |
Ergebnisdetails abrufen
Gibt detaillierte Informationen zu einem Ergebnis in AWS GuardDuty zurück.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ergebnis-IDs | String | – | Ja | Die IDs der Ergebnisse, die Sie abrufen möchten. Durch Kommas getrennte IDs. |
| Detektor-ID | String | – | Ja | Die eindeutige ID des Detektors, den Sie abrufen möchten. |
| AWS-Region | String | – | Nein | Geben Sie optional die AWS-Region an, die in der Aktion verwendet werden soll. Diese kann sich von der Standardregion unterscheiden, die auf der Seite mit der Integrationskonfiguration angegeben ist. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
JSON-Ergebnis
{
"Findings": [{
"AccountId": "ACCOUNT_ID",
"Arn": "arn:aws:guardduty:us-east-1:ACCOUNT_ID:detector/DETECTOR_ID/finding/FINDING_ID",
"CreatedAt": "2020-10-06T05:19:50.794Z",
"Description": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.", "Id": "ID",
"Partition": "aws",
"Region": "us-east-1",
"Resource": {
"InstanceDetails": {
"AvailabilityZone": "us-east-1e",
"ImageId": "ami-IMAGE_ID",
"InstanceId": "i-INSTANCE_ID",
"InstanceState": "running",
"InstanceType": "t2.micro",
"LaunchTime": "2020-05-27T08:54:03Z", "NetworkInterfaces": [{
"Ipv6Addresses": [],
"NetworkInterfaceId": "eni-012d9b8a1a3b4e40a",
"PrivateDnsName": "ip-192.0.2.1.ec2.internal",
"PrivateIpAddress": "192.0.2.1",
"PrivateIpAddresses": [{
"PrivateDnsName": "ip-192.0.2.1.ec2.internal",
"PrivateIpAddress": "192.0.2.1"
}],
"PublicDnsName": "ec2-54-234-69-236.compute-1.amazonaws.com",
"PublicIp": "198.51.100.236",
"SecurityGroups": [{
"GroupId": "sg-0fa42e04e9cd15407",
"GroupName": "Windows Server 2016"
}],
"SubnetId": "subnet-2edddf10",
"VpcId": "vpc-48a7ac32"
}],
"Platform": "windows",
"ProductCodes": [],
"Tags": [{
"Key": "Name",
"Value": "CiscoAMP-win2012"
}]},
"ResourceType": "Instance"
},
"SchemaVersion": "2.0",
"Service": {
"Action": {
"ActionType": "NETWORK_CONNECTION", "NetworkConnectionAction": {
"Blocked": false,
"ConnectionDirection": "INBOUND",
"LocalPortDetails": {
"Port": 3389, "PortName": "RDP"
},
"Protocol": "TCP",
"LocalIpDetails": {
"IpAddressV4": "192.0.2.1"
},
"RemoteIpDetails": {
"IpAddressV4": "203.0.113.9",
"Organization": {
"Asn": "24875",
"AsnOrg": "Example Inc.",
"Isp": "Example Inc.",
"Org": "Example Inc."
}},
"RemotePortDetails": {
"Port": 1549,
"PortName": "Unknown"
}}},
"Archived": false,
"Count": 5,
"DetectorId": "DETECTOR_ID",
"EventFirstSeen": "2020-10-06T05:10:58Z",
"EventLastSeen": "2020-10-06T05:46:59Z",
"ResourceRole": "TARGET",
"ServiceName": "guardduty"
},
"Severity": 2,
"Title": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID.",
"Type": "UnauthorizedAccess:EC2/RDPBruteForce",
"UpdatedAt": "2020-10-06T06:01:46.380Z"
}]
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn „ErrorCode“ gemeldet wird (is_success=false): „Die Aktion konnte keine Details zu den Ergebnissen abrufen. Fehler: {}".format(ErrorMessage)" Bei Erfolg: „Successfully retrieved information for the following findings <finding ids that retrieved >“ (Informationen für die folgenden Ergebnisse wurden abgerufen: <abgerufene Ergebnis-IDs>) Wenn für eine der IDs ein Fehler gemeldet wird, enthält das Antwortobjekt nur Ergebnisse für die gültigen IDs. Prüfen Sie, ob das Antwortobjekt einige der IDs nicht enthält, und geben Sie eine entsprechende Meldung aus.
Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung oder ein anderer Fehler gemeldet wird : „Fehler beim Ausführen der Aktion ‚Ergebnisse abrufen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Hinweis:Falls vorhanden. Tabellenspalten:
|
Allgemein |
Alle Listen mit vertrauenswürdigen IP-Adressen abrufen
Beschreibung
Rufen Sie alle vertrauenswürdigen IP-Listen (IPSets) des GuardDuty-Dienstes ab, der durch die Detector-ID angegeben wird.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Geben Sie die Detektor-ID an, die zum Auflisten von IP-Sets verwendet werden soll. Diesen Parameter finden Sie auf dem Tab „Einstellungen“. |
| Maximale Anzahl zurückzugebender vertrauenswürdiger IP-Listen | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Listen vertrauenswürdiger IP-Adressen an. |
| AWS-Region | String | – | Nein | Geben Sie optional die AWS-Region an, die in der Aktion verwendet werden soll. Diese kann sich von der Standardregion unterscheiden, die auf der Seite mit der Integrationskonfiguration angegeben ist. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
JSON-Ergebnis
{
"IpSetIds": ['', '' , '']
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn verfügbare Sets erfolgreich aufgeführt wurden (is_success=true): „Successfully retrieved available Trusted IP lists.“ (Verfügbare Listen vertrauenswürdiger IP-Adressen wurden erfolgreich abgerufen.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler oder ein SDK-Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Alle Listen vertrauenswürdiger IP-Adressen abrufen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Liste vertrauenswürdiger IP-Adressen abrufen
Beschreibung
Details zu einer Liste vertrauenswürdiger IP-Adressen in Amazon GuardDuty abrufen.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Geben Sie die Detector-ID an, die zum Abrufen eines IP-Sets verwendet werden soll. Diesen Parameter finden Sie auf dem Tab „Einstellungen“. |
| IDs von Listen vertrauenswürdiger IP-Adressen | CSV | – | Ja | Geben Sie die durch Kommas getrennte Liste der IDs für IP-Sets an, z. B. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
JSON-Ergebnis
{
"ip_set_id": {
"Format": "response['Format']",
"Location": "response['Location']",
"Name": "response['Name']",
"Status": "response['Status']"
}
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Details erfolgreich zurückgegeben wurden (is_success=true): „Successfully retrieved details about the following Trusted IP Lists from Amazon GuardDuty:\n{0}.“.format(list_of_ids) Wenn die Aktion für einige der IDs nicht erfolgreich ist (is_success=true): „Action wasn't able to retrieve details about the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids) Wenn keine IDs verwendet werden (is_success=false): „No details were retrieved about the provided Trusted IP Lists“.format(list_of_ids) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“ gemeldet wird: „Fehler beim Ausführen der Aktion ‚Vertrauenswürdige IP-Listen auflisten‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| CSV | Tabellenname:Details zu Listen vertrauenswürdiger IP-Adressen Tabellenspalten:
|
Allgemein |
Liste vertrauenswürdiger IP-Adressen aktualisieren
Beschreibung
Aktualisieren Sie eine Liste vertrauenswürdiger IP-Adressen in Amazon GuardDuty.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Geben Sie die Detector-ID an, die zum Aktualisieren einer Liste vertrauenswürdiger IP-Adressen verwendet werden soll. Diesen Parameter finden Sie auf dem Tab „Einstellungen“. |
| ID der Liste vertrauenswürdiger IP-Adressen | String | – | Ja | Geben Sie die ID der Liste vertrauenswürdiger IP-Adressen an, die aktualisiert werden soll. |
| Name | String | – | Nein | Geben Sie den neuen Namen der Liste vertrauenswürdiger IP-Adressen an. |
| Dateispeicherort | String | https://s3.amazonaws.com/{bucket-name}/file.txt |
Nein | Geben Sie einen neuen URI-Speicherort an, an dem sich die Datei befindet. |
| Aktivieren | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird die Liste vertrauenswürdiger IP-Adressen aktiviert. |
| AWS-Region | String | – | Nein | Geben Sie optional die AWS-Region an, die in der Aktion verwendet werden soll. Diese kann sich von der Standardregion unterscheiden, die auf der Seite mit der Integrationskonfiguration angegeben ist. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn ein Satz erfolgreich aktualisiert wurde (is_success=true): „Die Liste der vertrauenswürdigen IP-Adressen ‚{0}‘ in Amazon GuardDuty wurde aktualisiert.“ (format(Threat ID)) Wenn die Aktualisierung eines Satzes nicht erfolgreich ist (is_success=false): „Action wasn't able to update the trusted IP list '{0}' in Amazon GuardDuty.“ (Die Aktion konnte die Liste der vertrauenswürdigen IP-Adressen „{0}“ in Amazon GuardDuty nicht aktualisieren.)“.format(Threat ID) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler gemeldet wird: „Fehler beim Ausführen der Aktion ‚Liste vertrauenswürdiger IP-Adressen aktualisieren‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Liste vertrauenswürdiger IP-Adressen erstellen
Erstellt eine neue Liste vertrauenswürdiger IP-Adressen (IPSet), die sich in der dynamischen Liste für die sichere Kommunikation mit der AWS-Infrastruktur und den Anwendungen befanden.
GuardDuty generiert keine Findings für IP-Adressen, die in IP-Sets enthalten sind. Nur Nutzer mit dem Administratorkonto können diesen Vorgang ausführen.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Geben Sie die Detektor-ID an, die zum Erstellen einer Liste vertrauenswürdiger IP-Adressen verwendet werden soll. Diesen Parameter finden Sie auf dem Tab Einstellungen. |
| Name | String | – | Ja | Geben Sie den Namen der Liste vertrauenswürdiger IP-Adressen an. |
| Dateiformat | DDL | Klartext | Ja | Wählen Sie das Format der Datei aus, die zum Erstellen einer Liste vertrauenswürdiger IP-Adressen verwendet werden soll. Mögliche Werte:
|
| Dateispeicherort | String | https://s3.amazonaws.com/{bucket-name}/file.txt |
Ja | Geben Sie den URI-Speicherort an, an dem sich die Datei befindet. |
| Aktivieren | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird die neu erstellte Liste vertrauenswürdiger IP-Adressen aktiviert. |
| AWS-Region | String | – | Nein | Geben Sie optional die AWS-Region an, die in der Aktion verwendet werden soll. Diese kann sich von der Standardregion unterscheiden, die auf der Seite mit der Integrationskonfiguration angegeben ist. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
JSON-Ergebnis
{
"TrustedIPID": "TRUSTED_IP_ID"
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn ein Set erfolgreich erstellt wurde (is_success=true): „Successfully created new Trusted IP List '{0}' in Amazon GuardDuty.“ (Die neue Liste vertrauenswürdiger IP-Adressen „{0}“ wurde in Amazon GuardDuty erstellt.)“.format(Name) Wenn das Erstellen eines Sets nicht erfolgreich ist (is_success=false): „Action wasn't able to create new Trusted IP List '{0}' in Amazon GuardDuty.“ (Die Aktion konnte in Amazon GuardDuty keine neue Liste vertrauenswürdiger IP-Adressen „{0}“ erstellen.)“.format(name) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler gemeldet wird: „Fehler beim Ausführen der Aktion ‚Liste vertrauenswürdiger IP-Adressen erstellen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Threat Intelligence-Sets auflisten
Listet die verfügbaren Threat Intelligence-Sets in Amazon GuardDuty auf.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Geben Sie die Detector-ID an, die zum Auflisten von Threat Intelligence-Sets verwendet werden soll. Diesen Parameter finden Sie auf dem Tab „Einstellungen“. |
| Maximale Anzahl zurückzugebender Threat Intelligence-Sets | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Threat Intelligence-Sets an. |
| AWS-Region | String | – | Nein | Geben Sie optional die AWS-Region an, die in der Aktion verwendet werden soll. Diese kann sich von der Standardregion unterscheiden, die auf der Seite mit der Integrationskonfiguration angegeben ist. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
JSON-Ergebnis
{
"ThreatIntelSetIds": ["14ba8b942b76c1be6d985715eb7443eb",
"32ba8b92e553fe04d06dab543ed57a70",
"8aba8b93ba6e08e8fd5349b2c2b57709"
]
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn verfügbare Sets erfolgreich aufgeführt wurden (is_success=true) : „Successfully listed available Threat Intelligence Sets.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler gemeldet wird: „Fehler beim Ausführen der Aktion ‚Threat Intelligence-Sets auflisten‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Details zu Threat Intelligence-Sets abrufen
Details zu einem Threat Intelligence-Set in Amazon GuardDuty abrufen.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Geben Sie die Detector-ID an, die zum Abrufen von Details zu Threat Intelligence-Sets verwendet werden soll. Diesen Parameter finden Sie auf dem Tab „Einstellungen“. |
| Threat Intelligence-Set-IDs | String | 50 | Ja | Geben Sie die durch Kommas getrennte Liste der IDs von Threat Intelligence-Sets an. Beispiel: id_1,id_2 |
| AWS-Region | String | – | Nein | Geben Sie optional die AWS-Region an, die in der Aktion verwendet werden soll. Diese kann sich von der Standardregion unterscheiden, die auf der Seite mit der Integrationskonfiguration angegeben ist. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
JSON-Ergebnis
{
"Format": "TXT",
"Location": "https: //example.s3.amazonaws.com/test.txt",
"Name": "API Test",
"ResponseMetadata": {
"HTTPHeaders": {
"connection": "keep-alive",
"content-length": "149",
"content-type": "application/json",
"date": "Mon,19 Oct 2020 06: 23: 22 GMT",
"x-amz-apigw-id": "ID",
"x-amzn-requestid": "REQUEST_ID",
"x-amzn-trace-id": "TRACE_ID"
},
"HTTPStatusCode": 200,
"RequestId": "REQUEST_ID",
"RetryAttempts": 0
},
"Status": "ERROR",
"Tags": {}
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Details zu mindestens einem Set erfolgreich zurückgegeben wurden (is_success=true) : „Details zu den folgenden Threat Intelligence-Sets wurden erfolgreich von Amazon GuardDuty abgerufen:\n{0}.“.format(list_of_ids) Wenn der Vorgang für einige der IDs nicht erfolgreich war (is_success=true) : „Action wasn't able to retrieve details about the following Threat Intelligence Sets from Amazon GuardDuty:\n{0}.".format(list_of_ids)“ Wenn keine IDs verwendet werden: „Es wurden keine Details zu den angegebenen Threat Intelligence-Sets abgerufen.“format(list_of_ids) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler gemeldet wird: „Fehler beim Ausführen der Aktion ‚Threat Intelligence-Sets auflisten‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| CSV | Tabellenname:Threat Intelligence-Set-Details Tabellenspalte:
|
Threat Intelligence-Set erstellen
Erstellen Sie einen Threat Intelligence-Satz in Amazon GuardDuty.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Geben Sie die Detector-ID an, die zum Erstellen eines Threat Intelligence-Sets verwendet werden soll. Diesen Parameter finden Sie auf dem Tab „Einstellungen“. |
| Name | String | – | Ja | Geben Sie den Namen des Threat Intelligence-Sets an. |
| Dateiformat | DDL | Klartext Mögliche Werte:
|
Ja | Wählen Sie das Format der Datei aus, die zum Erstellen eines Threat Intelligence-Sets verwendet wird. |
| Dateispeicherort | String | https://s3.amazonaws.com/{bucket-name}/file.txt |
Ja | Geben Sie den URI-Speicherort an, an dem sich die Datei befindet. |
| Aktiv | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird das neu erstellte Threat Intelligence-Set aktiviert. |
| Tags | CSV | – | Nein | Geben Sie zusätzliche Tags an, die dem Threat Intelligence-Set hinzugefügt werden sollen. Format: key_1:value_1,key_2:value_1 |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
JSON-Ergebnis
{
"ThreatIntelSetId": "b6f0c884a54449cc8e29eed3094e9c31"
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn ein Set erfolgreich erstellt wurde (is_success=true): „Successfully created the Threat Intelligence Set '{0}' in Amazon GuardDuty.“ (Das Threat Intelligence Set „{0}“ wurde in Amazon GuardDuty erstellt.)“.format(Name) Wenn das Erstellen eines Sets nicht erfolgreich ist (is_success=false): „Action wasn't able to create the Threat Intelligence Set '{0}' in Amazon GuardDuty.“ (Die Aktion konnte das Threat Intelligence Set „{0}“ in Amazon GuardDuty nicht erstellen.).format(name) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler oder ein SDK-Fehler wie falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“ gemeldet wird: „Fehler beim Ausführen der Aktion ‚Threat Intelligence-Set erstellen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Threat Intelligence-Set aktualisieren
Aktualisieren Sie einen Threat Intelligence-Satz in Amazon GuardDuty.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Detektor-ID | String | – | Ja | Geben Sie die Detector-ID an, die zum Aktualisieren eines Threat Intelligence-Sets verwendet werden soll. Diesen Parameter finden Sie auf dem Tab Einstellungen. |
| ID | String | – | Ja | Geben Sie die ID des Threat Intelligence-Sets an, das aktualisiert werden soll. |
| Name | String | – | Nein | Geben Sie den neuen Namen des Threat Intelligence-Sets an. |
| Dateispeicherort | String | https://s3.amazonaws.com/{bucket-name}/file.txt |
Nein | Geben Sie einen neuen URI-Speicherort an, an dem sich die Datei befindet. |
| Aktiv | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird das Threat Intelligence-Set aktiviert. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn ein Set erfolgreich aktualisiert wurde (is_success=true): „Successfully updated the Threat Intelligence Set '{0}' in Amazon GuardDuty.“ (Die Threat Intelligence-Gruppe „{0}“ wurde in Amazon GuardDuty aktualisiert.)“.format(Threat ID) Wenn das Aktualisieren eines Sets nicht erfolgreich ist (is_success=false): „Action wasn't able to update the Threat Intelligence Set '{0}' in Amazon GuardDuty.“ (Die Aktion konnte das Threat Intelligence Set „{0}“ in Amazon GuardDuty nicht aktualisieren.).format(Threat ID) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler oder ein SDK-Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Threat Intelligence-Set aktualisieren‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Threat Intelligence-Set löschen
Löschen Sie einen Threat Intelligence-Satz in Amazon GuardDuty.
Parameter
| Parametername | Typ | Standardwert | Wasserzeichen | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|---|
| Detektor-ID | String | – | – | Ja | Geben Sie die Detector-ID an, die zum Abrufen von Details zu Threat Intelligence-Sets verwendet werden soll. Diesen Parameter finden Sie auf dem Tab „Einstellungen“. |
| Threat Intelligence-Set-IDs | CSV | – | – | Ja | Geben Sie die durch Kommas getrennte Liste der IDs von Threat Intelligence-Sets an. Beispiel: id_1,id_2 |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success=False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Details zu mindestens einem Set erfolgreich zurückgegeben wurden (is_success=true): „Die folgenden Threat Intelligence-Sets wurden in Amazon GuardDuty gelöscht:\n{0}.“.format(list_of_ids) Wenn der Vorgang für einige der IDs nicht erfolgreich war (is_success=true) : „Die Aktion konnte die folgenden Threat Intelligence-Sets in Amazon GuardDuty nicht löschen:\n{0}.“.format(list_of_ids) Wenn keine IDs verwendet werden: „No Threat Intelligence Sets were deleted.“ (Es wurden keine Threat Intelligence-Sets gelöscht.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einer ungültigen Detektor-ID sollte ebenfalls eine Ausnahme ausgelöst, das Playbook beendet und „is_success“ auf „false“ gesetzt werden. Bei einem schwerwiegenden Fehler oder SDK-Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Threat Intelligence-Sets löschen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
AWS GuardDuty – Findings Connector
Ergebnisse aus Amazon GuardDuty abrufen.
Connector-Eingaben
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja |
Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
| Name des Ereignisfelds | String | Typ | Ja | Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. |
| Name des Umgebungsfelds | String | "" | Nein | Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. |
Environment Regex Pattern |
String | .* | Nein |
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. |
| AWS-Zugriffsschlüssel-ID | String | – | Ja | AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll. |
| AWS-Secret-Key | Passwort | – | Ja | Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll. |
| Standardmäßige AWS-Region | String | – | Ja | AWS-Standardregion, die in der Integration verwendet werden soll. Beispiel: us-west-2 |
| Detektor-ID | String | – | Ja | ID des Detektors. Sie finden sie auf dem Tab Einstellungen. |
| Niedrigster abzurufender Schweregrad | Ganzzahl | 1 | Ja | Der niedrigste Schweregrad der abzurufenden Benachrichtigungen. Wenn Sie diesen Parameter nicht konfigurieren, werden Warnungen mit allen Schweregraden aufgenommen. Mögliche Werte liegen im Bereich von Hinweis:Amazon GuardDuty ordnet den ganzzahligen Wert in der folgenden Reihenfolge zu:
|
| Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, für die Ergebnisse abgerufen werden sollen.
Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten. |
| Maximale Anzahl abzurufender Ergebnisse | Ganzzahl | 50 | Nein | Anzahl der Ergebnisse, die pro Connector-Iteration verarbeitet werden sollen. Maximum: 50 Dies ist eine GuardDuty-Einschränkung. |
Use whitelist as a blacklist |
Kästchen | Deaktiviert | Ja | Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten