Mengintegrasikan Amazon GuardDuty dengan Google SecOps

Dokumen ini menjelaskan cara mengintegrasikan Amazon GuardDuty dengan Google Security Operations (Google SecOps).

Versi integrasi: 8.0

Prasyarat

Jika Anda memerlukan akses hanya baca ke integrasi, seperti menjalankan konektor, gunakan kebijakan AmazonGuardDutyReadOnlyAccess.

Untuk mendapatkan akses penuh ke semua fitur integrasi, gunakan kebijakan AmazonGuardDutyFullAccess.

Untuk mengetahui detail tentang penggunaan kebijakan, lihat Kebijakan yang dikelola AWS.

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID Kunci Akses AWS String T/A Ya ID Kunci Akses AWS yang akan digunakan dalam integrasi.
Kunci Rahasia AWS Sandi T/A Ya Kunci Rahasia AWS yang akan digunakan dalam integrasi.
Region Default AWS String T/A Ya Region default AWS yang akan digunakan dalam integrasi, misalnya us-west-1.
Menjalankan dari Jarak Jauh Kotak centang Tidak dicentang Tidak

Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh.

Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen).

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Kasus penggunaan

  1. Mendeteksi dan mengelola ancaman dalam sistem AWS menggunakan playbook atau tindakan manual.
  2. Menyerap temuan Amazon GuardDuty, yang kemudian dipindahkan ke arsip GuardDuty.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.

Ping

Uji konektivitas ke Amazon GuardDuty.

Parameter

Tidak ada.

Dijalankan pada

Tindakan ini tidak berjalan pada entity, dan tidak memiliki parameter input wajib.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Jika berhasil: "Successfully connected to the AWS GuardDuty server with the provided connection parameters!" (Berhasil terhubung ke server AWS GuardDuty dengan parameter koneksi yang diberikan!)

Lainnya: "Gagal terhubung ke AWS jika berhasil: "Berhasil terhubung ke server AWS GuardDuty dengan parameter koneksi yang diberikan!"

Lainnya: "Gagal terhubung ke server AWS GuardDuty! Error: {0}"

 Umum

Membuat Detektor

Membuat satu detektor Amazon GuardDuty. Detektor adalah resource yang merepresentasikan layanan GuardDuty. Anda hanya dapat memiliki satu detektor per akun per Wilayah.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Aktifkan Kotak centang Tidak dicentang Ya Menentukan apakah detektor akan diaktifkan.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Berhasil: "Detektor <ID detektor baru> telah dibuat."

Jika detektor tidak dibuat (is_success=false): "Action wasn't able to create a detector. Alasan: detektor sudah ada untuk akun saat ini.

Jika "ErrorCode" dilaporkan (is_success=false): "Action wasn't able to create a detector. Error: {}".format (ErrorMessage)"

Tindakan akan gagal dan menghentikan eksekusi playbook:

ID detektor yang tidak valid juga akan memunculkan pengecualian, menghentikan playbook, dan menyetel is_success ke salah (false).

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Buat Detektor". Alasan: {0}''.format(error.Stacktrace)

 Umum

Menghapus Detektor

Menghapus pendeteksi Amazon GuardDuty yang ditentukan oleh ID pendeteksi.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya ID unik pendeteksi yang ingin Anda hapus.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika detektor tidak dihapus (is_success=false): "Tindakan tidak dapat menghapus detektor <detector_ID>. Error: {}".format(ErrorMessage)"

Jika detektor berhasil dihapus (is_success=true): "Detektor <ID detektor> telah dihapus."

Tindakan akan gagal dan menghentikan eksekusi playbook:

ID detektor yang tidak valid juga akan memunculkan pengecualian, menghentikan playbook, dan menyetel is_success ke salah (false).

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Hapus Detektor". Alasan: {0}''.format(error.Stacktrace)

 Umum

Memperbarui Detektor

Memperbarui detektor Amazon GuardDuty yang ditentukan oleh ID detektor.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya ID unik detektor yang ingin Anda perbarui.
Aktifkan Kotak centang Tidak dicentang Tidak Menentukan apakah detektor harus diaktifkan.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika "ErrorCode" dilaporkan (is_success=false): "Action wasn't able to create a detector. Error: {}".format(ErrorMessage)"

Jika detektor berhasil diupdate (is_success=true): "Detektor <ID detektor> telah diupdate."

Tindakan akan gagal dan menghentikan eksekusi playbook:

ID detektor yang tidak valid juga akan memunculkan pengecualian, menghentikan playbook, dan menyetel is_success ke salah (false).

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Update a Detector". Alasan: {0}''.format(error.Stacktrace)

 Umum

Mendapatkan Detail Detektor

Mengambil pendeteksi Amazon GuardDuty yang ditentukan oleh ID pendeteksi.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya ID unik detektor yang ingin Anda ambil. Nilai dipisahkan koma.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Hasil JSON
{
   "DetectorId": "DETECTOR_ID",
   "CreatedAt": "response['CreatedAt']",
   "ServiceRole": "response['ServiceRole']",
   "Status": "response['Status']",
   "UpdatedAt": "response['UpdatedAt']",
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Berhasil mengambil informasi tentang indikator <ID Indikator>."

Catatan: Jika beberapa ID pendeteksi ditemukan, dan beberapa tidak - tampilkan kedua pesan berdasarkan ID pendeteksi yang relevan.

Tindakan akan gagal dan menghentikan eksekusi playbook:

ID detektor yang tidak valid juga akan memunculkan pengecualian, menghentikan playbook, dan menyetel is_success ke salah (false).

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Dapatkan Detail Detektor". Alasan: {0}''.format(error.Stacktrace)

 Umum
Tabel CSV

Judul Tabel: Detail Detektor

Kolom Tabel:

  • ID pendeteksi
  • Status
  • Peran Layanan
  • Dibuat pada
  • Diperbarui pada
 Umum

Mencantumkan Detektor

Mencantumkan detectorId dari semua resource pendeteksi Amazon GuardDuty yang ada.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Jumlah Maksimum Pendeteksi yang Akan Ditampilkan Bilangan bulat 50 Tidak Tentukan jumlah detektor yang akan ditampilkan.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Hasil JSON
{
    "detectorIds": ["ID1,ID2"]
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika kode status 200 dilaporkan (is_success=true): "Successfully listed available detectors in Amazon GuardDuty. ID Indikator:<value>"

Jika kode status lain dilaporkan (is_success=false): "Tindakan tidak dapat mencantumkan detektor yang tersedia"

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "List Detectors". Alasan: {0}''.format(error.Stacktrace)

 Umum

Membuat Daftar Temuan untuk Detektor

Mencantumkan semua temuan Amazon GuardDuty untuk ID pendeteksi yang ditentukan.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya ID unik detektor yang ingin Anda ambil.
Jumlah Temuan Maksimum yang Akan Ditampilkan Bilangan bulat 50 Tidak Tentukan jumlah detektor yang akan ditampilkan.
Urutkan Menurut String T/A Tidak Menampilkan atribut temuan (misalnya, accountId) untuk mengurutkan temuan.
Urutkan Menurut DDL

ASC

Nilai yang memungkinkan:

  • ASC
  • DESC
 Tidak Urutan temuan yang diurutkan akan ditampilkan.
Region AWS String T/A Tidak Secara opsional, tentukan AWS Region yang akan digunakan dalam tindakan yang dapat berbeda dari region default yang ditentukan di halaman konfigurasi integrasi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Hasil JSON
{"FindingIds": ["10ba96ae50733ae38b9cae95431b7558"]}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal dan menghentikan eksekusi playbook:

Jika "ErrorCode" dilaporkan (is_success=false): "Action wasn't able to get findings for <detector ID> detector. Error: {}".format(ErrorMessage)"

Jika berhasil: "Successfully retrieved available findings IDs for detector {detector ID}" (Berhasil mengambil ID temuan yang tersedia untuk detektor {detector ID})

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "List Findings for a Detector". Alasan: {0}''.format(error.Stacktrace)

 Umum

Mengarsipkan Temuan

Mengarsipkan temuan GuardDuty yang ditentukan oleh ID temuan.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Menemukan ID String T/A Ya

ID temuan yang ingin Anda ambil.

ID yang dipisahkan koma.
ID pendeteksi String T/A Ya ID unik detektor
Region AWS String T/A Tidak Secara opsional, tentukan AWS Region yang akan digunakan dalam tindakan yang dapat berbeda dari region default yang ditentukan di halaman konfigurasi integrasi.

Izin Kebijakan IAM AWS:

  • Efek: Izinkan
  • Tindakan: guardduty:ArchiveFindings

Hanya akun administrator yang dapat mengarsipkan temuan. Akun anggota tidak memiliki izin untuk mengarsipkan temuan dari akun mereka.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika "ErrorCode" dilaporkan (is_success=false): "Action wasn't able to archive Findings. Error: {}".format(ErrorMessage). Pastikan semua ID Temuan sudah benar."

Jika berhasil: "Temuan berhasil diarsipkan" → Diubah menjadi: "Temuan berikut berhasil diarsipkan: <ids>

Jika ada satu/semua ID temuan yang tidak valid, tindakan tidak akan gagal, tetapi is_success harus disetel ke salah (false): "Tidak dapat mengarsipkan temuan berikut: <ids>"

Catatan: Kode error tidak boleh untuk salah satu ID. Jika ID temuan salah, pengecualian akan ditampilkan dengan error berikut: "When calling the ArchiveFindings operation (reached max retries: 4): Internal server error."

Sama seperti di sini:Periksa terlebih dahulu apakah temuan valid.

Berhasil mengarsipkan temuan berikut: 88bac20f959084244a2b91778d12e883

Gagal mengarsipkan temuan berikut: 1abac689941ae6f3e3e24d02ac4cf612

Tindakan akan gagal dan menghentikan eksekusi playbook:

ID detektor yang tidak valid juga akan memunculkan pengecualian, menghentikan playbook, dan menyetel is_success ke salah (false).

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Arsipkan Temuan". Alasan: {0}''.format(error.Stacktrace)"

 Umum

Membatalkan Pengarsipan Temuan

Mengekstrak temuan GuardDuty yang ditentukan oleh ID temuan.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Menemukan ID String T/A Ya ID temuan yang ingin Anda ambil. Nilai dipisahkan koma.
ID pendeteksi String T/A Ya ID unik detektor.

Izin Kebijakan IAM AWS:

  • Efek: Izinkan
  • Tindakan: guardduty:UnarchiveFindings

Hanya akun administrator yang dapat mengarsipkan temuan. Akun anggota tidak memiliki izin untuk mengarsipkan temuan dari akun mereka.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Temuan berikut berhasil diarsipkan: <ids>"

Jika ada satu/semua ID temuan yang tidak valid, tindakan tidak akan gagal, tetapi is_success harus disetel ke salah (false): "Tidak dapat mengembalikan arsip temuan berikut: <ids>

Tindakan akan gagal dan menghentikan eksekusi playbook:

ID detektor yang tidak valid juga akan memunculkan pengecualian, menghentikan playbook, dan menyetel is_success ke salah (false).

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Buka Arsip Temuan". Alasan: {0}''.format(error.Stacktrace)"

Catatan: Kode error tidak boleh untuk salah satu ID. Jika ID temuan salah, pengecualian akan ditampilkan dengan error berikut: "When calling the ArchiveFindings operation (reached max retries: 4): Internal server error."

Sama seperti di atas: Periksa terlebih dahulu apakah temuan valid.

Berhasil mengarsipkan temuan berikut: 88bac20f959084244a2b91778d12e883

Gagal mengarsipkan temuan berikut: 1abac689941ae6f3e3e24d02ac4cf612

 Umum

Membuat Temuan Contoh

Membuat contoh temuan dari jenis yang ditentukan oleh daftar temuan.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya ID unik detektor untuk membuat temuan sampel.
Jenis Temuan String T/A Tidak

Jenis temuan sampel yang akan dibuat. Nilai dipisahkan koma.

Jenis dapat ditemukan di UI di bagian Temuan dalam kolom Jenis Temuan.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika "ErrorCode" dilaporkan (is_success=false): "Action wasn't able to create sample findings. Error: {}".format(ErrorMessage)"

Jika berhasil: "Berhasil membuat temuan contoh"

Jika salah satu input (Jenis Temuan) tidak valid, tangkap pengecualian berikut: "Permintaan ditolak karena nilai yang tidak valid atau di luar rentang ditentukan sebagai parameter input." set, is_sucess=false: "Tindakan tidak dapat membuat contoh temuan karena nilai yang tidak valid ditemukan sebagai parameter Jenis Temuan.

Diperbarui: Jika jenis temuan tidak valid, tindakan akan gagal, dengan pesan ini: "Tindakan tidak dapat membuat contoh temuan karena nilai yang tidak valid ditemukan sebagai parameter Jenis Temuan. Error: <traceback>

  • jenis temuan tidak valid + pendeteksi tidak valid → tindakan akan gagal, is_success=false
  • Beberapa temuan - tidak valid + tidak valid - tindakan tetap akan gagal.

Tindakan akan gagal dan menghentikan eksekusi playbook:

ID detektor yang tidak valid juga akan memunculkan pengecualian, menghentikan playbook, dan menyetel is_success ke salah (false).

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Buat Temuan Contoh". Alasan: {0}''.format(error.Stacktrace)

 Umum

Memperbarui Masukan Temuan

Menandai temuan Amazon GuardDuty yang ditentukan sebagai berguna atau tidak berguna.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya ID unik detektor yang terkait dengan temuan untuk memperbarui masukan.
Berguna? Kotak centang Tidak dicentang Ya Masukan untuk temuan.
ID Temuan String T/A Ya ID temuan yang ingin Anda tandai sebagai bermanfaat atau tidak bermanfaat. Nilai dipisahkan koma.
Komentar String T/A Tidak Masukan tambahan tentang temuan GuardDuty.
Region AWS String T/A Tidak Secara opsional, tentukan AWS Region yang akan digunakan dalam tindakan yang dapat berbeda dari region default yang ditentukan di halaman konfigurasi integrasi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika "ErrorCode" dilaporkan (is_success=false): "Action wasn't able to update findings feedback. Error: {}".format(ErrorMessage)

Jika berhasil: "Masukan temuan telah diperbarui".

Jika terjadi error/tidak ditemukan untuk salah satu ID temuan, objek respons tetap menampilkan respons kosong, meskipun salah satu ID tidak ada.

Jika temuan tidak ditemukan:"Tidak dapat memperbarui masukan. <finding id> tidak valid."

Tindakan akan gagal dan menghentikan eksekusi playbook:

ID detektor yang tidak valid juga akan memunculkan pengecualian, menghentikan playbook, dan menyetel is_success ke salah (false).

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Update Findings Feedback". Alasan: {0}''.format(error.Stacktrace)"

 Umum

Menghapus Daftar IP Tepercaya

Menghapus IPSet yang ditentukan oleh ID.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya

Tentukan ID pendeteksi yang harus digunakan untuk menghapus set IP.

Parameter ini dapat ditemukan di tab Setelan.
ID Daftar IP Tepercaya String T/A Ya

Tentukan daftar ID set IP yang dipisahkan koma.

Contoh: id_1,id_2

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil (is_success=true): "Berhasil menghapus daftar IP Tepercaya berikut: <ids>"

Jika tidak berhasil untuk beberapa ID (is_success=true): "Action wasn't able to delete the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids)"

Tindakan akan gagal dan menghentikan eksekusi playbook:

ID detektor yang tidak valid juga akan memunculkan pengecualian, menghentikan playbook, dan menyetel is_success ke salah (false).

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Hapus Daftar IP Tepercaya". Alasan: {0}''.format(error.Stacktrace"

 Umum

Mendapatkan Detail Temuan

Menampilkan informasi mendetail tentang temuan di AWS Guard Duty.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Menemukan ID String T/A Ya

ID temuan yang ingin Anda ambil. ID yang dipisahkan koma.
ID pendeteksi String T/A Ya ID unik detektor yang ingin Anda ambil.
Region AWS String T/A Tidak Secara opsional, tentukan AWS Region yang akan digunakan dalam tindakan yang dapat berbeda dari region default yang ditentukan di halaman konfigurasi integrasi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Hasil JSON
{
    "Findings": [{
        "AccountId": "ACCOUNT_ID",
        "Arn": "arn:aws:guardduty:us-east-1:ACCOUNT_ID:detector/DETECTOR_ID/finding/FINDING_ID",
        "CreatedAt": "2020-10-06T05:19:50.794Z",
        "Description": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.", "Id": "ID",
        "Partition": "aws",
        "Region": "us-east-1",
        "Resource": {
            "InstanceDetails": {
                "AvailabilityZone": "us-east-1e",
                "ImageId": "ami-IMAGE_ID",
                "InstanceId": "i-INSTANCE_ID",
                "InstanceState": "running",
                "InstanceType": "t2.micro",
                "LaunchTime": "2020-05-27T08:54:03Z", "NetworkInterfaces": [{
                    "Ipv6Addresses": [],
                    "NetworkInterfaceId": "eni-012d9b8a1a3b4e40a",
                    "PrivateDnsName": "ip-192.0.2.1.ec2.internal",
                    "PrivateIpAddress": "192.0.2.1",
                    "PrivateIpAddresses": [{
                        "PrivateDnsName": "ip-192.0.2.1.ec2.internal",
                        "PrivateIpAddress": "192.0.2.1"
                    }],
                    "PublicDnsName": "ec2-54-234-69-236.compute-1.amazonaws.com",
                    "PublicIp": "198.51.100.236",
                    "SecurityGroups": [{
                        "GroupId": "sg-0fa42e04e9cd15407",
                        "GroupName": "Windows Server 2016"
                    }],
                    "SubnetId": "subnet-2edddf10",
                    "VpcId": "vpc-48a7ac32"
                }],
                "Platform": "windows",
                "ProductCodes": [],
                "Tags": [{
                    "Key": "Name",
                    "Value": "CiscoAMP-win2012"
                }]},
            "ResourceType": "Instance"
        },
        "SchemaVersion": "2.0",
        "Service": {
            "Action": {
                "ActionType": "NETWORK_CONNECTION", "NetworkConnectionAction": {
                    "Blocked": false,
                    "ConnectionDirection": "INBOUND",
                    "LocalPortDetails": {
                        "Port": 3389, "PortName": "RDP"
                    },
                    "Protocol": "TCP",
                    "LocalIpDetails": {
                        "IpAddressV4": "192.0.2.1"
                    },
                    "RemoteIpDetails": {
                        "IpAddressV4": "203.0.113.9",
                        "Organization": {
                            "Asn": "24875",
                            "AsnOrg": "Example Inc.",
                            "Isp": "Example Inc.",
                            "Org": "Example Inc."
                        }},
                    "RemotePortDetails": {
                            "Port": 1549,
                        "PortName": "Unknown"
                    }}},
            "Archived": false,
            "Count": 5,
            "DetectorId": "DETECTOR_ID",
            "EventFirstSeen": "2020-10-06T05:10:58Z",
            "EventLastSeen": "2020-10-06T05:46:59Z",
            "ResourceRole": "TARGET",
            "ServiceName": "guardduty"
        },
        "Severity": 2,
        "Title": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID.",
        "Type": "UnauthorizedAccess:EC2/RDPBruteForce",
        "UpdatedAt": "2020-10-06T06:01:46.380Z"
    }]
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika "ErrorCode" dilaporkan (is_success=false): "Action wasn't able to get Findings details. Error: {}".format(ErrorMessage)"

Jika berhasil: "Berhasil mengambil informasi untuk temuan berikut <ID temuan yang diambil>"

Jika error untuk salah satu ID dilaporkan, objek respons hanya memiliki hasil untuk ID yang valid. Periksa apakah objek respons tidak memiliki beberapa ID dan cetak pesan yang sesuai.

E.g. data = ['4cba8180b5959ae56a3be24cc722aaaa', '6eba7eae0e24ffe28a4109f2594febff', '24ba6761dc4cf85cfc292bbadd1c2655']

The first ID does not exist, therefore I will not get a result for that one. Output message:

"Successfully retrieved information for the following findings: 6eba7eae0e24ffe28a4109f2594febff,24ba6761dc4cf85cfc292bbadd1c2655. Failed to retrieve information for the following findings: 4cba8180b5959ae56a3be24cc722aaaa

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Findings". Alasan: {0}''.format(error.Stacktrace)"

 Umum
Tabel Repositori Kasus

Catatan: jika ada.

Kolom Tabel:

  • ID temuan
  • Judul
  • Deskripsi
  • Jenis
  • Keparahan
  • Jumlah
  • ID resource
  • Dibuat pada
  • Diperbarui pada
  • ID Akun
 Umum

Mendapatkan semua daftar IP Tepercaya

Deskripsi

Mendapatkan semua daftar IP tepercaya (IPSets) dari layanan GuardDuty yang ditentukan oleh ID detektor.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya

Tentukan ID detektor yang harus digunakan untuk mencantumkan set IP.

Parameter ini dapat ditemukan di tab Setelan.
Jumlah Maksimum Daftar IP Tepercaya yang Akan Ditampilkan Bilangan bulat 50 Tidak Tentukan jumlah daftar IP Tepercaya yang akan ditampilkan.
Region AWS String T/A Tidak Secara opsional, tentukan AWS Region yang akan digunakan dalam tindakan yang dapat berbeda dari region default yang ditentukan di halaman konfigurasi integrasi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Hasil JSON
{
    "IpSetIds": ['', '' , '']
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil mencantumkan set yang tersedia (is_success=true): "Successfully retrieved available Trusted IP lists." (Berhasil mengambil daftar IP Tepercaya yang tersedia.)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Dapatkan semua Daftar IP Tepercaya". Alasan: {0}''.format(error.Stacktrace)

 Umum

Mendapatkan daftar IP Tepercaya

Deskripsi

Mendapatkan detail tentang daftar IP tepercaya di Amazon GuardDuty.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya

Tentukan ID detektor yang harus digunakan untuk mendapatkan kumpulan IP.

Parameter ini dapat ditemukan di tab Setelan.
ID Daftar IP Tepercaya CSV T/A Ya

Tentukan daftar ID yang dipisahkan koma untuk set IP, seperti id_1,id_2.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Hasil JSON
{
    "ip_set_id": {
        "Format": "response['Format']",
        "Location": "response['Location']",
        "Name": "response['Name']",
        "Status": "response['Status']"
        }
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika detail berhasil ditampilkan (is_success=true):"Successfully retrieved details about the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids)"

Jika tidak berhasil untuk beberapa ID (is_success=true): "Action wasn't able to retrieve details about the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids)

Jika tidak ada ID yang digunakan (is_success=false): "No details were retrieved about the provided Trusted IP Lists".format(list_of_ids)"

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "List Trusted IP Lists". Alasan: {0}''.format(error.Stacktrace)

 Umum
CSV

Nama Tabel: Detail Daftar IP Tepercaya

Kolom Tabel:

  • Nama (dipetakan sebagai Nama)
  • ID Daftar IP Tepercaya (dari parameter tindakan)
  • Lokasi (dipetakan sebagai Lokasi)
  • Status (dipetakan sebagai Status)
 Umum

Memperbarui daftar IP Tepercaya

Deskripsi

Perbarui daftar IP tepercaya di Amazon GuardDuty.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya

Tentukan ID detektor yang harus digunakan untuk memperbarui Daftar IP Tepercaya.

Parameter ini dapat ditemukan di tab Setelan.
ID Daftar IP Tepercaya String T/A Ya Tentukan ID Daftar IP Tepercaya yang harus diperbarui.
Nama String T/A Tidak Tentukan nama baru Daftar IP Tepercaya.
Lokasi File String https://s3.amazonaws.com/{bucket-name}/file.txt Tidak Tentukan lokasi URI baru, tempat file berada.
Aktifkan Kotak centang Dicentang Ya Jika diaktifkan, Daftar IP Tepercaya akan diaktifkan.
Region AWS String T/A Tidak Secara opsional, tentukan AWS Region yang akan digunakan dalam tindakan yang dapat berbeda dari region default yang ditentukan di halaman konfigurasi integrasi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Hasil JSON
N/A
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil memperbarui satu set (is_success=true): "Successfully updated the trusted IP list '{0}' in Amazon GuardDuty.".format(Threat ID)

Jika gagal memperbarui satu set (is_success=false): "Action wasn't able to update the trusted IP list '{0}' in Amazon GuardDuty.".format(Threat ID)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui daftar IP Tepercaya". Alasan: {0}''.format(error.Stacktrace)

 Umum

Membuat daftar IP Tepercaya

Membuat daftar baru alamat IP tepercaya (IPSet) yang ada dalam daftar dinamis untuk komunikasi yang aman dengan infrastruktur dan aplikasi AWS.

GuardDuty tidak membuat temuan untuk alamat IP yang disertakan dalam IPSet. Hanya pengguna dari akun administrator yang dapat menggunakan operasi ini.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya

Tentukan ID detektor yang harus digunakan untuk membuat Daftar IP Tepercaya.

Parameter ini dapat ditemukan di tab Setelan.
Nama String T/A Ya Tentukan nama Daftar IP Tepercaya.
Format File DDL Teks biasa Ya

Pilih format file yang akan digunakan untuk membuat Daftar IP Tepercaya.

Nilai yang memungkinkan:

  • Plaintext Structured Threat Information Expression (STIX)
  • CSV Open Threat Exchange (OTX)
  • CSV FireEye iSIGHT Threat Intelligence
  • CSV Feed Intelijen ET Proofpoint
  • Feed Reputasi AlienVault
Lokasi File String https://s3.amazonaws.com/{bucket-name}/file.txt Ya Tentukan lokasi URI tempat file berada
Aktifkan Kotak centang Dicentang Ya Jika diaktifkan, Daftar IP Tepercaya yang baru dibuat akan diaktifkan.
Region AWS String T/A Tidak Secara opsional, tentukan AWS Region yang akan digunakan dalam tindakan yang dapat berbeda dari region default yang ditentukan di halaman konfigurasi integrasi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Hasil JSON
{
    "TrustedIPID": "TRUSTED_IP_ID"
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil membuat set (is_success=true): "Successfully created new Trusted IP List '{0}' in Amazon GuardDuty.".format(Name)"

Jika gagal membuat set (is_success=false): "Action wasn't able to create new Trusted IP List '{0}' in Amazon GuardDuty.".format(name)"

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Buat Daftar IP Tepercaya". Alasan: {0}''.format(error.Stacktrace)"

 Umum

Mencantumkan Set Threat Intelligence

Mencantumkan set data intelijen ancaman yang tersedia di Amazon GuardDuty.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya

Tentukan ID detektor yang harus digunakan untuk mencantumkan kumpulan data intelijen ancaman.

Parameter ini dapat ditemukan di tab Setelan.
Jumlah Maksimum Kumpulan Data Threat Intelligence yang Akan Ditampilkan Bilangan bulat 50 Tidak Tentukan jumlah set data intelijen ancaman yang akan ditampilkan.
Region AWS String T/A Tidak Secara opsional, tentukan AWS Region yang akan digunakan dalam tindakan yang dapat berbeda dari region default yang ditentukan di halaman konfigurasi integrasi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Hasil JSON
{
    "ThreatIntelSetIds": ["14ba8b942b76c1be6d985715eb7443eb",
                       "32ba8b92e553fe04d06dab543ed57a70",
                       "8aba8b93ba6e08e8fd5349b2c2b57709"
                       ]
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil mencantumkan set yang tersedia (is_success=true): "Successfully listed available Threat Intelligence Sets".

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "List Threat Intelligence Sets". Alasan: {0}''.format(error.Stacktrace)

 Umum

Mendapatkan Detail Kumpulan Threat Intelligence

Mendapatkan detail tentang set kecerdasan ancaman di Amazon GuardDuty.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya

Tentukan ID detektor yang harus digunakan untuk mendapatkan detail set informasi ancaman.

Parameter ini dapat ditemukan di tab Setelan.
ID Kumpulan Data Threat Intelligence String 50 Ya

Tentukan daftar ID set intelijen ancaman yang dipisahkan koma.

Contoh: id_1,id_2
Region AWS String T/A Tidak Secara opsional, tentukan AWS Region yang akan digunakan dalam tindakan yang dapat berbeda dari region default yang ditentukan di halaman konfigurasi integrasi.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Hasil JSON
{
    "Format": "TXT",
    "Location": "https: //example.s3.amazonaws.com/test.txt",
    "Name": "API Test",
    "ResponseMetadata": {
        "HTTPHeaders": {
            "connection": "keep-alive",
            "content-length": "149",
            "content-type": "application/json",
            "date": "Mon,19 Oct 2020 06: 23: 22 GMT",
            "x-amz-apigw-id": "ID",
            "x-amzn-requestid": "REQUEST_ID",
            "x-amzn-trace-id": "TRACE_ID"
        },
        "HTTPStatusCode": 200,
        "RequestId": "REQUEST_ID",
        "RetryAttempts": 0
    },
    "Status": "ERROR",
    "Tags": {}
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil menampilkan detail tentang minimal satu set (is_success=true): "Successfully retrieved details about the following Threat Intelligence Sets from Amazon GuardDuty:\n{0}.".format(list_of_ids)"

Jika tidak berhasil untuk beberapa ID (is_success=true): "Action wasn't able to retrieve details about the following Threat Intelligence Sets from Amazon GuardDuty:\n{0}.".format(list_of_ids)"

Jika tidak ada ID yang digunakan: "No details were retrieved about the provided Threat Intelligence Sets.".format(list_of_ids)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "List Threat Intelligence Sets". Alasan: {0}''.format(error.Stacktrace)

 Umum
CSV

Nama Tabel: Detail Kumpulan Threat Intelligence

Kolom Tabel:

  • Nama (dipetakan sebagai Nama)
  • ID (dari parameter tindakan)
  • Lokasi (dipetakan sebagai Lokasi)
  • Status (dipetakan sebagai Status)

Membuat Kumpulan Informasi Ancaman

Buat set data intelijen ancaman di Amazon GuardDuty.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya

Tentukan ID detektor yang harus digunakan untuk membuat Kumpulan Threat Intelligence.

Parameter ini dapat ditemukan di tab Setelan.
Nama String T/A Ya Tentukan nama Threat Intelligence Set.
Format File DDL

Teks biasa

Nilai yang memungkinkan:

  • Teks biasa
  • Structured Threat Information Expression (STIX)
  • CSV Open Threat Exchange (OTX)
  • CSV FireEye iSIGHT Threat Intelligence
  • CSV Feed Intelijen ET Proofpoint
  • Feed Reputasi AlienVault
 Ya Pilih format file yang digunakan untuk membuat set informasi ancaman.
Lokasi File String https://s3.amazonaws.com/{bucket-name}/file.txt Ya Tentukan lokasi URI tempat file berada.
Aktif Kotak centang Dicentang Ya Jika diaktifkan, Threat Intelligence Set yang baru dibuat akan diaktifkan.
Tag CSV T/A Tidak

Tentukan tag tambahan yang harus ditambahkan ke Kumpulan Data Threat Intelligence.

Format: key_1:value_1,key_2:value_1

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Hasil JSON
{
    "ThreatIntelSetId": "b6f0c884a54449cc8e29eed3094e9c31"
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil membuat set (is_success=true): "Successfully created the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(Name)

Jika gagal membuat set (is_success=false):"Action wasn't able to create the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(name)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Buat Kumpulan Informasi Ancaman". Alasan: {0}''.format(error.Stacktrace)

 Umum

Memperbarui Set Threat Intelligence

Memperbarui set kecerdasan ancaman di Amazon GuardDuty.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID pendeteksi String T/A Ya

Tentukan ID detektor yang harus digunakan untuk memperbarui Kumpulan Threat Intelligence.

Parameter ini dapat ditemukan di tab Setelan.
ID String T/A Ya Tentukan ID set Threat Intelligence yang harus diperbarui.
Nama String T/A Tidak Tentukan nama baru Kumpulan Informasi Ancaman.
Lokasi File String https://s3.amazonaws.com/{bucket-name}/file.txt Tidak Tentukan lokasi URI baru, tempat file berada.
Aktif Kotak centang Dicentang Ya Jika diaktifkan, Kumpulan Informasi Ancaman akan diaktifkan.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil memperbarui satu set (is_success=true): "Successfully updated the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(Threat ID)

Jika gagal memperbarui set (is_success=false): "Action wasn't able to update the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(Threat ID)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Update Threat Intelligence Set". Alasan: {0}''.format(error.Stacktrace)

 Umum

Menghapus Kumpulan Threat Intelligence

Menghapus set informasi ancaman di Amazon GuardDuty.

Parameter

Nama parameter Jenis Nilai default Watermark Wajib diisi Deskripsi
ID pendeteksi String T/A T/A Ya

Tentukan ID detektor yang harus digunakan untuk mendapatkan detail set informasi ancaman.

Parameter ini dapat ditemukan di tab Setelan.
ID Kumpulan Data Threat Intelligence CSV T/A T/A Ya

Tentukan daftar ID set intelijen ancaman yang dipisahkan koma.

Contoh: id_1,id_2

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success=False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil menampilkan detail tentang minimal satu set (is_success=true): "Berhasil menghapus Set Informasi Ancaman berikut di Amazon GuardDuty:\n{0}.".format(list_of_ids)

Jika tidak berhasil untuk beberapa ID (is_success=true): "Tindakan tidak dapat menghapus Kumpulan Informasi Ancaman berikut di Amazon GuardDuty:\n{0}.".format(list_of_ids)

Jika tidak ada ID yang digunakan: "No Threat Intelligence Sets were deleted.".format(list_of_ids)

Tindakan akan gagal dan menghentikan eksekusi playbook:

ID detektor yang tidak valid juga akan memunculkan pengecualian, menghentikan playbook, dan menyetel is_success ke salah (false).

Jika error fatal, error SDK, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Hapus Kumpulan Data Informasi Ancaman". Alasan: {0}''.format(error.Stacktrace)

 Umum

Konektor

Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

AWS GuardDuty - Findings Connector

Tarik temuan dari Amazon GuardDuty.

Input konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama Kolom Produk String Nama Produk Ya

Nama kolom tempat nama produk disimpan.

Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default.

Nilai defaultnya adalah Product Name.
Nama Kolom Peristiwa String Jenis Ya

Nama kolom yang menentukan nama peristiwa (subjenis).
Nama Kolom Lingkungan String "" Tidak

Nama kolom tempat nama lingkungan disimpan.

Jika kolom environment tidak ada, konektor akan menggunakan nilai default.
Environment Regex Pattern String .* Tidak

Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom Environment Field Name. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler.

Gunakan nilai default .* untuk mengambil nilai Environment Field Name mentah yang diperlukan.

Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Waktu Tunggu Skrip (Detik) Bilangan bulat 180 Ya

Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini.
ID Kunci Akses AWS String T/A Ya ID Kunci Akses AWS yang akan digunakan dalam integrasi.
Kunci Rahasia AWS Sandi T/A Ya Kunci Rahasia AWS yang akan digunakan dalam integrasi.
Region Default AWS String T/A Ya

Region default AWS yang akan digunakan dalam integrasi.

Contoh: us-west-2
ID pendeteksi String T/A Ya ID pendeteksi. Opsi ini dapat ditemukan di tab Setelan.
Tingkat Keparahan Terendah yang Akan Diambil Bilangan bulat 1 Ya

Tingkat keparahan terendah dari pemberitahuan yang akan diambil.

Jika Anda tidak mengonfigurasi parameter ini, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan.

Nilai yang mungkin berada dalam rentang dari 1 hingga 8.

Catatan: Amazon GuardDuty memetakan nilai bilangan bulat dalam urutan berikut:

  • 1,2,3 - Rendah
  • 4,5,6 - Sedang
  • 7,8 - Tinggi
Mengambil Mundur Jam Maksimum Bilangan bulat 1 Tidak Jumlah jam sebelum saat ini untuk mengambil temuan.

Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir.
Jumlah Temuan Maksimum yang Akan Diambil Bilangan bulat 50 Tidak

Jumlah temuan yang akan diproses per satu iterasi konektor.

Maksimum: 50

Ini adalah batasan GuardDuty.
Use whitelist as a blacklist Kotak centang Tidak dicentang Ya

Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir.
Alamat Server Proxy String T/A Tidak Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy String T/A Tidak Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy Sandi T/A Tidak Sandi proxy untuk mengautentikasi.

Aturan konektor

Konektor mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.