Integrar o Amazon GuardDuty ao Google SecOps

Este documento explica como integrar o Amazon GuardDuty ao Google Security Operations (Google SecOps).

Versão da integração: 8.0

Pré-requisitos

Se você precisar de acesso somente leitura à integração, como executar o conector, use a política AmazonGuardDutyReadOnlyAccess.

Para ter acesso total a todos os recursos de integração, use a política AmazonGuardDutyFullAccess.

Para detalhes sobre o uso de políticas, consulte Políticas gerenciadas pela AWS.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID da chave de acesso da AWS String N/A Sim ID da chave de acesso da AWS a ser usado na integração.
Chave secreta da AWS Senha N/A Sim Chave secreta da AWS a ser usada na integração.
Região padrão da AWS String N/A Sim Região padrão da AWS a ser usada na integração, por exemplo, us-west-1.
Executar remotamente Caixa de seleção Desmarcado Não

Marque a caixa para executar a integração configurada remotamente.

Depois de marcada, a opção aparece para selecionar o usuário remoto (agente).

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Casos de uso

  1. Detecte e gerencie ameaças no sistema da AWS usando playbooks ou ações manuais.
  2. Ingerir descobertas do Amazon GuardDuty, que são movidas para o arquivo do GuardDuty.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

Ping

Teste a conectividade com o Amazon GuardDuty.

Parâmetros

Nenhuma.

Data de execução

Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

Se a conexão for bem-sucedida : "Conexão bem-sucedida com o servidor do AWS GuardDuty usando os parâmetros fornecidos"

Caso contrário : "Falha ao se conectar à AWS se a conexão for bem-sucedida: "Conexão bem-sucedida com o servidor do AWS GuardDuty usando os parâmetros de conexão fornecidos!"

Caso contrário : "Não foi possível se conectar ao servidor do AWS GuardDuty. Erro: {0}"

 Geral

Criar um detector

Cria um único detector do Amazon GuardDuty. Um detector é um recurso que representa o serviço GuardDuty. Só é possível ter um detector por conta e por região.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
Ativar Caixa de seleção Desmarcado Sim Especifica se o detector será ativado.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Sucesso: "O detector <new detector ID> foi criado."

Se o detector não for criado (is_success=false): "Não foi possível criar um detector. Motivo: já existe um detector para a conta atual.

Se "ErrorCode" for informado (is_success=false): "Não foi possível criar um detector. Erro: {}".format (ErrorMessage)"

A ação precisa falhar e interromper a execução de um playbook:

Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false".

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão ou outro, for informado: "Erro ao executar a ação "Criar um detector". Motivo: {0}''.format(error.Stacktrace)

 Geral

Excluir um detector

Exclui um detector do Amazon GuardDuty especificado pelo ID do detector.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim O ID exclusivo do detector que você quer excluir.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se o detector não for excluído (is_success=false) : "Não foi possível excluir o detector <detector_ID>. Erro: {}".format(ErrorMessage)"

Se o detector for excluído (is_success=true): "O detector <detector ID> foi excluído."

A ação precisa falhar e interromper a execução de um playbook:

Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false".

Se um erro fatal ou de SDK, como credenciais incorretas, sem conexão ou outro, for informado: "Erro ao executar a ação "Excluir um detector". Motivo: {0}''.format(error.Stacktrace)

 Geral

Atualizar um detector

Atualiza o detector do Amazon GuardDuty especificado pelo ID do detector.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim O ID exclusivo do detector que você quer atualizar.
Ativar Caixa de seleção Desmarcado Não Especifica se o detector deve ser ativado.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se "ErrorCode" for informado (is_success=false): "Não foi possível criar um detector. Erro: {}".format(ErrorMessage)"

Se o detector for atualizado (is_success=true): "O detector <ID do detector> foi atualizado."

A ação precisa falhar e interromper a execução de um playbook:

Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir is_success como "false".

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão ou outro, for informado: "Erro ao executar a ação "Atualizar um detector". Motivo: {0}''.format(error.Stacktrace)

 Geral

Receber detalhes do detector

Recupera um detector do Amazon GuardDuty especificado pelo ID do detector.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim O ID exclusivo do detector que você quer recuperar. Valores separados por vírgula.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Resultado JSON
{
   "DetectorId": "DETECTOR_ID",
   "CreatedAt": "response['CreatedAt']",
   "ServiceRole": "response['ServiceRole']",
   "Status": "response['Status']",
   "UpdatedAt": "response['UpdatedAt']",
}
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se for bem-sucedido: "As informações sobre o indicador <Indicator ID> foram recuperadas com sucesso".

Observação: se alguns IDs de detectores forem encontrados e outros não, mostre as duas mensagens com base no ID do detector relevante.

A ação precisa falhar e interromper a execução de um playbook:

Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false".

Se um erro fatal ou de SDK, como credenciais incorretas, sem conexão ou outro, for informado: "Erro ao executar a ação "Receber detalhes de um detector". Motivo: {0}''.format(error.Stacktrace)

 Geral
Tabela CSV

Título da tabela:detalhes dos detectores

Colunas da tabela:

  • ID do detector
  • Status
  • Função de serviço
  • Criado em
  • Data de atualização
 Geral

Listar detectores

Lista os detectorIds de todos os recursos de detector do Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
Número máximo de detectores a serem retornados Número inteiro 50 Não Especifique o número de detectores a serem retornados.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Resultado JSON
{
    "detectorIds": ["ID1,ID2"]
}
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se o código de status 200 for informado (is_success=true): "Listagem dos detectores disponíveis no Amazon GuardDuty concluída. Indicator ID:<value>"

Se outro código de status for informado (is_success=false): "Não foi possível listar os detectores disponíveis"

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Detectors". Motivo: {0}''.format(error.Stacktrace)

 Geral

Listar descobertas de um detector

Lista todas as descobertas do Amazon GuardDuty para o ID do detector especificado.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim O ID exclusivo do detector que você quer recuperar.
Número máximo de descobertas a serem retornadas Número inteiro 50 Não Especifique o número de detectores a serem retornados.
Ordenar por String N/A Não Representa o atributo da descoberta (por exemplo, accountId) para classificar as descobertas.
Order By: DDL

ASC

Valores possíveis:

  • ASC
  • DESC
 Não A ordem em que as descobertas classificadas serão mostradas.
Região da AWS String N/A Não Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Resultado JSON
{"FindingIds": ["10ba96ae50733ae38b9cae95431b7558"]}
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar e interromper a execução de um playbook:

Se "ErrorCode" for informado (is_success=false): "Não foi possível receber descobertas para o detector <detector ID>. Erro: {}".format(ErrorMessage)"

Se for bem-sucedido: "Recuperou com sucesso os IDs de descobertas disponíveis para o detector {detector ID}"

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou de SDK, como credenciais incorretas, sem conexão ou outro, for informado: "Erro ao executar a ação "List Findings for a Detector". Motivo: {0}''.format(error.Stacktrace)

 Geral

Arquivar descobertas

Arquiva descobertas do GuardDuty especificadas por IDs.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
Como encontrar IDs String N/A Sim

Os IDs das descobertas que você quer recuperar.

IDs separados por vírgulas.
ID do detector String N/A Sim O ID exclusivo do detector.
Região da AWS String N/A Não Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração.

Permissão de política do IAM da AWS:

  • Efeito:permitir
  • Ação:guardduty:ArchiveFindings

Somente a conta de administrador pode arquivar descobertas. As contas de membros não têm permissão para arquivar descobertas.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se "ErrorCode" for informado (is_success=false): "Não foi possível arquivar os resultados da ação. Erro: {}".format(ErrorMessage). Verifique se todos os IDs de descoberta estão corretos."

Se a ação for concluída: "As descobertas foram arquivadas" → Mudou para: "As seguintes descobertas foram arquivadas: <ids>

Se houver um ou todos os IDs de descoberta inválidos, a ação não vai falhar, mas "is_success" será definido como "false": "Não foi possível arquivar as seguintes descobertas: <ids>"

Observação:o código de erro não pode ser de um dos IDs. Se o ID da descoberta estiver incorreto, uma exceção será gerada com o seguinte erro: "Ao chamar a operação ArchiveFindings (atingiu o número máximo de novas tentativas: 4): erro interno do servidor".

Mesmo aqui:primeiro verifique se a descoberta é válida.

As seguintes descobertas foram arquivadas: 88bac20f959084244a2b91778d12e883

Falha ao arquivar os seguintes indícios: 1abac689941ae6f3e3e24d02ac4cf612

A ação precisa falhar e interromper a execução de um playbook:

Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false".

Se um erro fatal ou de SDK, como credenciais incorretas, sem conexão ou outro, for informado: "Erro ao executar a ação "Arquivar descobertas". Motivo: {0}''.format(error.Stacktrace)"

 Geral

Desarquivar descobertas

Extrai descobertas do GuardDuty especificadas por IDs de descoberta.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
Como encontrar IDs String N/A Sim Os IDs das descobertas que você quer recuperar. Valores separados por vírgula.
ID do detector String N/A Sim O ID exclusivo do detector.

Permissão de política do IAM da AWS:

  • Efeito:permitir
  • Ação:guardduty:UnarchiveFindings

Somente a conta de administrador pode arquivar descobertas. As contas de membros não têm permissão para arquivar descobertas.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se for bem-sucedido: "As seguintes descobertas foram arquivadas: <ids>"

Caso um ou todos os IDs de descoberta sejam inválidos, a ação não vai falhar, mas "is_success" será definido como "false": "Não foi possível desarquivar as seguintes descobertas: <ids>

A ação precisa falhar e interromper a execução de um playbook:

Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false".

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão ou outro, for informado: "Erro ao executar a ação "Desarquivar descobertas". Motivo: {0}''.format(error.Stacktrace)"

Observação:o código de erro não pode ser de um dos IDs. Se o ID da descoberta estiver incorreto, uma exceção será gerada com o seguinte erro: "Ao chamar a operação ArchiveFindings (atingiu o número máximo de novas tentativas: 4): erro interno do servidor".

Mesmo aqui: primeiro verifique se a descoberta é válida.

As seguintes descobertas foram arquivadas: 88bac20f959084244a2b91778d12e883

Não foi possível arquivar os seguintes indícios: 1abac689941ae6f3e3e24d02ac4cf612

 Geral

Criar descobertas de amostra

Gera exemplos de descobertas dos tipos especificados pela lista.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim O ID exclusivo do detector para criar exemplos de descobertas.
Tipos de descobertas String N/A Não

Os tipos de descobertas de amostra a serem geradas. Valores separados por vírgula.

Os tipos podem ser encontrados na seção "Descobertas" da interface, na coluna "Tipo de descoberta".

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se "ErrorCode" for informado (is_success=false): "Não foi possível criar exemplos de descobertas. Erro: {}".format(ErrorMessage)"

Se for bem-sucedido: "Exemplos de descobertas criados com sucesso"

Se uma das entradas (tipos de descobertas) for inválida, capture a seguinte exceção: "A solicitação foi rejeitada porque um valor inválido ou fora do intervalo foi especificado como um parâmetro de entrada". set, is_sucess=false: "Não foi possível criar descobertas de amostra porque um valor inválido foi encontrado como parâmetro de tipos de descobertas.

Atualização: em caso de tipo de descoberta inválido, a ação vai falhar com esta mensagem: "Não foi possível criar descobertas de amostra porque um valor inválido foi encontrado como parâmetro "Tipos de descoberta". Erro: <traceback>

  • tipo de descoberta inválido + detector inválido → a ação precisa falhar, is_success=false
  • Várias descobertas: inválida + inválida. A ação ainda vai falhar.

A ação precisa falhar e interromper a execução de um playbook:

Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false".

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão ou outro, for informado : "Erro ao executar a ação "Criar descobertas de amostra". Motivo: {0}''.format(error.Stacktrace)

 Geral

Atualizar feedback de descobertas

Marque as descobertas especificadas do Amazon GuardDuty como úteis ou não úteis.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim O ID exclusivo do detector associado às descobertas para atualizar o feedback.
Útil? Caixa de seleção Desmarcado Sim O feedback para a descoberta.
IDs de descobertas String N/A Sim Os IDs das descobertas que você quer marcar como úteis ou não úteis. Valores separados por vírgula.
Comentário String N/A Não Feedback adicional sobre as descobertas do GuardDuty.
Região da AWS String N/A Não Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se "ErrorCode" for informado (is_success=false): "Não foi possível atualizar o feedback das descobertas. Erro: {}".format(ErrorMessage)

Se for bem-sucedido: "O feedback sobre descobertas foi atualizado".

Se houver um erro/não encontrado para um dos IDs de descoberta, o objeto de resposta ainda vai retornar uma resposta vazia, mesmo que um dos IDs não exista.

Se não houver descobertas: "Não é possível atualizar o feedback. <finding id> não é válido."

A ação precisa falhar e interromper a execução de um playbook:

Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false".

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão ou outro, for informado: "Erro ao executar a ação "Atualizar feedback de descobertas". Motivo: {0}''.format(error.Stacktrace)"

 Geral

Excluir uma lista de IPs confiáveis

Exclui o IPSet especificado pelo ID.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim

Especifique o ID do detector que será usado para excluir um conjunto de IPs.

Esse parâmetro pode ser encontrado na guia Configurações.
IDs de lista de IPs confiáveis String N/A Sim

Especifique a lista separada por vírgulas de IDs de conjuntos de IPs.

Exemplo: id_1,id_2

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se a operação for bem-sucedida (is_success=true): "As seguintes listas de IPs confiáveis foram excluídas: <ids>"

Se não for possível para alguns dos IDs (is_success=true): "Não foi possível excluir as seguintes listas de IPs confiáveis do Amazon GuardDuty:\n{0}.".format(list_of_ids)"

A ação precisa falhar e interromper a execução de um playbook:

Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false".

Se um erro fatal ou de SDK, como credenciais incorretas, sem conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Excluir uma lista de IPs confiáveis". Motivo: {0}''.format(error.Stacktrace"

 Geral

Receber detalhes da descoberta

Retorna informações detalhadas sobre uma descoberta no AWS Guard Duty.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
Como encontrar IDs String N/A Sim

Os IDs das descobertas que você quer recuperar. IDs separados por vírgulas.
ID do detector String N/A Sim O ID exclusivo do detector que você quer recuperar.
Região da AWS String N/A Não Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Resultado JSON
{
    "Findings": [{
        "AccountId": "ACCOUNT_ID",
        "Arn": "arn:aws:guardduty:us-east-1:ACCOUNT_ID:detector/DETECTOR_ID/finding/FINDING_ID",
        "CreatedAt": "2020-10-06T05:19:50.794Z",
        "Description": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.", "Id": "ID",
        "Partition": "aws",
        "Region": "us-east-1",
        "Resource": {
            "InstanceDetails": {
                "AvailabilityZone": "us-east-1e",
                "ImageId": "ami-IMAGE_ID",
                "InstanceId": "i-INSTANCE_ID",
                "InstanceState": "running",
                "InstanceType": "t2.micro",
                "LaunchTime": "2020-05-27T08:54:03Z", "NetworkInterfaces": [{
                    "Ipv6Addresses": [],
                    "NetworkInterfaceId": "eni-012d9b8a1a3b4e40a",
                    "PrivateDnsName": "ip-192.0.2.1.ec2.internal",
                    "PrivateIpAddress": "192.0.2.1",
                    "PrivateIpAddresses": [{
                        "PrivateDnsName": "ip-192.0.2.1.ec2.internal",
                        "PrivateIpAddress": "192.0.2.1"
                    }],
                    "PublicDnsName": "ec2-54-234-69-236.compute-1.amazonaws.com",
                    "PublicIp": "198.51.100.236",
                    "SecurityGroups": [{
                        "GroupId": "sg-0fa42e04e9cd15407",
                        "GroupName": "Windows Server 2016"
                    }],
                    "SubnetId": "subnet-2edddf10",
                    "VpcId": "vpc-48a7ac32"
                }],
                "Platform": "windows",
                "ProductCodes": [],
                "Tags": [{
                    "Key": "Name",
                    "Value": "CiscoAMP-win2012"
                }]},
            "ResourceType": "Instance"
        },
        "SchemaVersion": "2.0",
        "Service": {
            "Action": {
                "ActionType": "NETWORK_CONNECTION", "NetworkConnectionAction": {
                    "Blocked": false,
                    "ConnectionDirection": "INBOUND",
                    "LocalPortDetails": {
                        "Port": 3389, "PortName": "RDP"
                    },
                    "Protocol": "TCP",
                    "LocalIpDetails": {
                        "IpAddressV4": "192.0.2.1"
                    },
                    "RemoteIpDetails": {
                        "IpAddressV4": "203.0.113.9",
                        "Organization": {
                            "Asn": "24875",
                            "AsnOrg": "Example Inc.",
                            "Isp": "Example Inc.",
                            "Org": "Example Inc."
                        }},
                    "RemotePortDetails": {
                            "Port": 1549,
                        "PortName": "Unknown"
                    }}},
            "Archived": false,
            "Count": 5,
            "DetectorId": "DETECTOR_ID",
            "EventFirstSeen": "2020-10-06T05:10:58Z",
            "EventLastSeen": "2020-10-06T05:46:59Z",
            "ResourceRole": "TARGET",
            "ServiceName": "guardduty"
        },
        "Severity": 2,
        "Title": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID.",
        "Type": "UnauthorizedAccess:EC2/RDPBruteForce",
        "UpdatedAt": "2020-10-06T06:01:46.380Z"
    }]
}
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se "ErrorCode" for informado (is_success=false): "Não foi possível receber os detalhes das descobertas. Erro: {}".format(ErrorMessage)"

Se for bem-sucedido: "As informações dos seguintes resultados foram recuperadas com sucesso <IDs dos resultados recuperados>"

Se um erro for informado para um dos IDs, o objeto de resposta terá resultados apenas para os IDs válidos. Verifique se o objeto de resposta não tinha alguns dos IDs e imprima uma mensagem adequada.

E.g. data = ['4cba8180b5959ae56a3be24cc722aaaa', '6eba7eae0e24ffe28a4109f2594febff', '24ba6761dc4cf85cfc292bbadd1c2655']

The first ID does not exist, therefore I will not get a result for that one. Output message:

"Successfully retrieved information for the following findings: 6eba7eae0e24ffe28a4109f2594febff,24ba6761dc4cf85cfc292bbadd1c2655. Failed to retrieve information for the following findings: 4cba8180b5959ae56a3be24cc722aaaa

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão ou outro, for informado : "Erro ao executar a ação "Get Findings". Motivo: {0}''.format(error.Stacktrace)"

 Geral
Tabela do painel de casos

Observação:se existir.

Colunas da tabela:

  • ID da descoberta
  • Título
  • Descrição
  • Tipo
  • Gravidade
  • Contagem
  • ID do recurso
  • Criado em
  • Data de atualização
  • ID da conta
 Geral

Receber todas as listas de IPs confiáveis

Descrição

Recebe todas as listas de IPs confiáveis (IPSets) do serviço GuardDuty especificadas pelo ID do detector.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim

Especifique o ID do detector que deve ser usado para listar conjuntos de IPs.

Esse parâmetro pode ser encontrado na guia "Configurações".
Número máximo de listas de IP confiáveis a serem retornadas Número inteiro 50 Não Especifique o número de listas de IPs confiáveis a serem retornadas.
Região da AWS String N/A Não Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Resultado JSON
{
    "IpSetIds": ['', '' , '']
}
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se os conjuntos disponíveis forem listados (is_success=true): "As listas de IPs confiáveis disponíveis foram recuperadas."

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou do SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber todas as listas de IPs confiáveis". Motivo: {0}''.format(error.Stacktrace)

 Geral

Receber uma lista de IPs confiáveis

Descrição

Receba detalhes sobre uma lista de IPs confiáveis no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim

Especifique o ID do detector que deve ser usado para receber um conjunto de IPs.

Esse parâmetro pode ser encontrado na guia "Configurações".
IDs de lista de IPs confiáveis CSV N/A Sim

Especifique a lista separada por vírgulas de IDs para conjuntos de IPs, como id_1,id_2.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Resultado JSON
{
    "ip_set_id": {
        "Format": "response['Format']",
        "Location": "response['Location']",
        "Name": "response['Name']",
        "Status": "response['Status']"
        }
}
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se os detalhes forem retornados com sucesso (is_success=true): "Os detalhes das seguintes listas de IPs confiáveis do Amazon GuardDuty foram recuperados:\n{0}.".format(list_of_ids)"

Se não for bem-sucedido para alguns dos IDs (is_success=true): "Não foi possível recuperar detalhes sobre as seguintes listas de IPs confiáveis do Amazon GuardDuty:\n{0}.".format(list_of_ids)

Se nenhum ID for usado (is_success=false): "Nenhum detalhe foi recuperado sobre as listas de IPs confiáveis fornecidas".format(list_of_ids)

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Trusted IP Lists". Motivo: {0}''.format(error.Stacktrace)

 Geral
CSV

Nome da tabela:detalhes das listas de IP confiáveis

Colunas da tabela:

  • Nome (mapeado como Nome)
  • ID da lista de IPs confiáveis (do parâmetro de ação)
  • Local (mapeado como "Localização")
  • Status (mapeado como "Status")
 Geral

Atualizar uma lista de IPs confiáveis

Descrição

Atualizar uma lista de IPs confiáveis no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim

Especifique o ID do detector que deve ser usado para atualizar uma lista de IPs confiáveis.

Esse parâmetro pode ser encontrado na guia "Configurações".
ID da lista de IPs confiáveis String N/A Sim Especifique o ID da lista de IPs confiáveis que precisa ser atualizada.
Nome String N/A Não Especifique o novo nome da lista de IPs confiáveis.
Local do arquivo String https://s3.amazonaws.com/{bucket-name}/file.txt Não Especifique um novo local de URI, onde o arquivo está localizado.
Ativar Caixa de seleção Selecionado Sim Se ativada, a lista de IPs confiáveis será ativada.
Região da AWS String N/A Não Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração.

Data de execução

Essa ação não é executada em entidades.

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Resultado JSON
N/A
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se um conjunto for atualizado (is_success=true): "A lista de IPs confiáveis '{0}' foi atualizada no Amazon GuardDuty.".format(ID da ameaça)

Se não for possível atualizar um conjunto (is_success=false): "Não foi possível atualizar a lista de IPs confiáveis '{0}' no Amazon GuardDuty.".format(ID da ameaça)

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Atualizar lista de IPs confiáveis". Motivo: {0}''.format(error.Stacktrace)

 Geral

Criar uma lista de IPs confiáveis

Cria uma nova lista de endereços IP confiáveis (IPSet) que estavam na lista dinâmica para comunicação segura com a infraestrutura e os aplicativos da AWS.

O GuardDuty não gera descobertas para endereços IP incluídos em IPSets. Apenas usuários da conta de administrador podem usar essa operação.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim

Especifique o ID do detector que deve ser usado para criar uma lista de IPs confiáveis.

Esse parâmetro pode ser encontrado na guia Configurações.
Nome String N/A Sim Especifique o nome da lista de IPs confiáveis.
Formato do arquivo DDL Texto simples Sim

Selecione o formato do arquivo que será usado para criar uma lista de IPs confiáveis.

Valores possíveis:

  • Expressão de informações de ameaças estruturadas (STIX) em texto simples
  • CSV do Open Threat Exchange (OTX)
  • CSV do FireEye iSIGHT Threat Intelligence
  • CSV do feed de inteligência da Proofpoint ET
  • Feed de reputação do AlienVault
Local do arquivo String https://s3.amazonaws.com/{bucket-name}/file.txt Sim Especifique o local do URI, onde o arquivo está localizado.
Ativar Caixa de seleção Selecionado Sim Se ativada, a lista de IPs confiáveis recém-criada será ativada.
Região da AWS String N/A Não Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Resultado JSON
{
    "TrustedIPID": "TRUSTED_IP_ID"
}
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se um conjunto for criado com sucesso (is_success=true): "A nova lista de IPs confiáveis "{0}" foi criada com sucesso no Amazon GuardDuty.".format(Name)

Se não for possível criar um conjunto (is_success=false): "Não foi possível criar a nova lista de IPs confiáveis "{0}" no Amazon GuardDuty.".format(name)"

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Criar lista de IPs confiáveis". Motivo: {0}''.format(error.Stacktrace)"

 Geral

Listar conjuntos de Threat Intelligence

Liste os conjuntos de inteligência de ameaças disponíveis no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim

Especifique o ID do detector que deve ser usado para listar conjuntos de inteligência de ameaças.

Esse parâmetro pode ser encontrado na guia "Configurações".
Número máximo de conjuntos de Threat Intelligence a serem retornados Número inteiro 50 Não Especifique o número de conjuntos de inteligência de ameaças a serem retornados.
Região da AWS String N/A Não Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Resultado JSON
{
    "ThreatIntelSetIds": ["14ba8b942b76c1be6d985715eb7443eb",
                       "32ba8b92e553fe04d06dab543ed57a70",
                       "8aba8b93ba6e08e8fd5349b2c2b57709"
                       ]
}
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se os conjuntos disponíveis forem listados com sucesso (is_success=true) : "Os conjuntos de inteligência contra ameaças disponíveis foram listados com sucesso".

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Threat Intelligence Sets". Motivo: {0}''.format(error.Stacktrace)

 Geral

Receber detalhes do conjunto de inteligência contra ameaças

Recebe detalhes sobre um conjunto de inteligência de ameaças no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim

Especifique o ID do detector que deve ser usado para receber detalhes dos conjuntos de inteligência de ameaças.

Esse parâmetro pode ser encontrado na guia "Configurações".
IDs de conjuntos de inteligência contra ameaças String 50 Sim

Especifique a lista separada por vírgulas de IDs de conjuntos de inteligência de ameaças.

Exemplo: id_1,id_2
Região da AWS String N/A Não Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Resultado JSON
{
    "Format": "TXT",
    "Location": "https: //example.s3.amazonaws.com/test.txt",
    "Name": "API Test",
    "ResponseMetadata": {
        "HTTPHeaders": {
            "connection": "keep-alive",
            "content-length": "149",
            "content-type": "application/json",
            "date": "Mon,19 Oct 2020 06: 23: 22 GMT",
            "x-amz-apigw-id": "ID",
            "x-amzn-requestid": "REQUEST_ID",
            "x-amzn-trace-id": "TRACE_ID"
        },
        "HTTPStatusCode": 200,
        "RequestId": "REQUEST_ID",
        "RetryAttempts": 0
    },
    "Status": "ERROR",
    "Tags": {}
}
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se os detalhes forem retornados com sucesso sobre pelo menos um conjunto (is_success=true): "Os detalhes sobre os seguintes conjuntos de inteligência de ameaças do Amazon GuardDuty foram recuperados:\n{0}.".format(list_of_ids)"

Se não for possível para alguns dos IDs (is_success=true): "Não foi possível recuperar detalhes sobre os seguintes conjuntos de inteligência de ameaças do Amazon GuardDuty:\n{0}.".format(list_of_ids)"

Se nenhum ID for usado: "Nenhum detalhe foi recuperado sobre os conjuntos de inteligência contra ameaças fornecidos.".format(list_of_ids)

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Threat Intelligence Sets". Motivo: {0}''.format(error.Stacktrace)

 Geral
CSV

Nome da tabela:detalhes do conjunto de inteligência contra ameaças

Coluna da tabela:

  • Nome (mapeado como Nome)
  • ID (do parâmetro de ação)
  • Local (mapeado como "Localização")
  • Status (mapeado como "Status")

Criar conjunto de Threat Intelligence

Crie um conjunto de inteligência contra ameaças no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim

Especifique o ID do detector que deve ser usado para criar um conjunto de inteligência contra ameaças.

Esse parâmetro pode ser encontrado na guia "Configurações".
Nome String N/A Sim Especifique o nome do conjunto de inteligência de ameaças.
Formato do arquivo DDL

Texto simples

Valores possíveis:

  • Texto simples
  • Structured Threat Information Expression (STIX)
  • CSV do Open Threat Exchange (OTX)
  • CSV do FireEye iSIGHT Threat Intelligence
  • CSV do feed de inteligência da Proofpoint ET
  • Feed de reputação do AlienVault
 Sim Selecione o formato do arquivo usado para criar um conjunto de inteligência de ameaças.
Local do arquivo String https://s3.amazonaws.com/{bucket-name}/file.txt Sim Especifique o local do URI, onde o arquivo está localizado.
Ativo Caixa de seleção Selecionado Sim Se ativada, o conjunto de inteligência de ameaças recém-criado será ativado.
Tags CSV N/A Não

Especifique outras tags que precisam ser adicionadas ao conjunto de inteligência de ameaças.

Formato: key_1:value_1,key_2:value_1

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Resultado JSON
{
    "ThreatIntelSetId": "b6f0c884a54449cc8e29eed3094e9c31"
}
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se um conjunto for criado com sucesso (is_success=true): "O conjunto de inteligência de ameaças '{0}' foi criado com sucesso no Amazon GuardDuty.".format(Name)

Se não for possível criar um conjunto (is_success=false): "Não foi possível criar o conjunto de inteligência de ameaças '{0}' no Amazon GuardDuty.".format(name)

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Criar conjunto de inteligência de ameaças". Motivo: {0}''.format(error.Stacktrace)

 Geral

Atualizar conjunto de inteligência contra ameaças

Atualiza um conjunto de inteligência contra ameaças no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do detector String N/A Sim

Especifique o ID do detector que deve ser usado para atualizar um conjunto de inteligência contra ameaças.

Esse parâmetro pode ser encontrado na guia Configurações.
ID String N/A Sim Especifique o ID do conjunto de Threat Intelligence que precisa ser atualizado.
Nome String N/A Não Especifique o novo nome do conjunto de inteligência de ameaças.
Local do arquivo String https://s3.amazonaws.com/{bucket-name}/file.txt Não Especifique um novo local de URI, onde o arquivo está localizado.
Ativo Caixa de seleção Selecionado Sim Se ativada, o conjunto de inteligência sobre ameaças será ativado.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se um conjunto for atualizado com êxito (is_success=true): "O conjunto de inteligência de ameaças '{0}' foi atualizado no Amazon GuardDuty.".format(ID da ameaça)

Se não for possível atualizar um conjunto (is_success=false): "Não foi possível atualizar o conjunto de inteligência de ameaças '{0}' no Amazon GuardDuty.".format(ID da ameaça)

A ação precisa falhar e interromper a execução de um playbook:

Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Atualizar conjunto de inteligência de ameaças". Motivo: {0}''.format(error.Stacktrace)

 Geral

Excluir conjunto de Threat Intelligence

Exclui um conjunto de inteligência contra ameaças no Amazon GuardDuty.

Parâmetros

Nome do parâmetro Tipo Valor padrão Marca-d'água É obrigatório Descrição
ID do detector String N/A N/A Sim

Especifique o ID do detector que deve ser usado para receber detalhes dos conjuntos de inteligência de ameaças.

Esse parâmetro pode ser encontrado na guia "Configurações".
IDs de conjuntos de inteligência contra ameaças CSV N/A N/A Sim

Especifique a lista separada por vírgulas de IDs de conjuntos de inteligência de ameaças.

Exemplo: id_1,id_2

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success=False
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se os detalhes forem retornados com sucesso sobre pelo menos um conjunto (is_success=true): "Os seguintes conjuntos de inteligência contra ameaças foram excluídos com sucesso no Amazon GuardDuty:\n{0}.".format(list_of_ids)

Se não for possível excluir alguns dos IDs (is_success=true) : "Não foi possível excluir os seguintes conjuntos de inteligência de ameaças no Amazon GuardDuty:\n{0}.".format(list_of_ids)

Se nenhum ID for usado: "Nenhum conjunto de inteligência contra ameaças foi excluído.".format(list_of_ids)

A ação precisa falhar e interromper a execução de um playbook:

Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false".

Se for um erro fatal ou de SDK, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Excluir conjuntos de inteligência de ameaças". Motivo: {0}''.format(error.Stacktrace)

 Geral

Conectores

Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).

AWS GuardDuty: conector de descobertas

Extraia descobertas do Amazon GuardDuty.

Entradas do conector

Use os seguintes parâmetros para configurar o conector:

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome do campo do produto String Nome do produto Sim

O nome do campo em que o nome do produto é armazenado.

O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão.

O valor padrão é Product Name.
Nome do campo do evento String Tipo Sim

O nome do campo que determina o nome do evento (subtipo).
Nome do campo de ambiente String "" Não

O nome do campo em que o nome do ambiente é armazenado.

Se o campo "environment" estiver ausente, o conector usará o valor padrão.
Environment Regex Pattern String .* Não

Um padrão de expressão regular a ser executado no valor encontrado no campo Environment Field Name. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular.

Use o valor padrão .* para extrair o valor Environment Field Name bruto necessário.

Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Tempo limite do script (segundos) Número inteiro 180 Sim

O limite de tempo limite, em segundos, para o processo do Python que executa o script atual.
ID da chave de acesso da AWS String N/A Sim ID da chave de acesso da AWS a ser usado na integração.
Chave secreta da AWS Senha N/A Sim Chave secreta da AWS a ser usada na integração.
Região padrão da AWS String N/A Sim

Região padrão da AWS a ser usada na integração.

Exemplo: us-west-2
ID do detector String N/A Sim ID do detector. Ela está na guia Configurações.
Menor gravidade a ser buscada Número inteiro 1 Sim

A menor gravidade dos alertas a serem recuperados.

Se você não configurar esse parâmetro, o conector vai ingerir alertas com todos os níveis de gravidade.

Os valores possíveis estão no intervalo de 1 a 8.

Observação:o Amazon GuardDuty mapeia o valor inteiro na seguinte ordem:

  • 1,2,3: baixa
  • 4,5,6: média
  • 7,8: alta
Voltar o tempo máximo Número inteiro 1 Não O número de horas antes do momento atual para recuperar descobertas.

Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector.
Número máximo de descobertas a serem buscadas Número inteiro 50 Não

Número de descobertas a serem processadas por iteração de conector.

Máximo: 50

Essa é uma limitação do GuardDuty.
Use whitelist as a blacklist Caixa de seleção Desmarcado Sim

Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio.
Endereço do servidor proxy String N/A Não O endereço do servidor proxy a ser usado.
Nome de usuário do proxy String N/A Não O nome de usuário do proxy para autenticação.
Senha do proxy Senha N/A Não A senha do proxy para autenticação.

Regras do conector

O conector é compatível com proxies.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.