Amazon GuardDuty와 Google SecOps 통합
이 문서에서는 Amazon GuardDuty를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
통합 버전: 8.0
기본 요건
커넥터 실행과 같이 통합에 대한 읽기 전용 액세스가 필요한 경우 AmazonGuardDutyReadOnlyAccess 정책을 사용합니다.
모든 통합 기능을 완전히 이용하려면 AmazonGuardDutyFullAccess 정책을 사용하세요.
정책 사용에 대한 자세한 내용은 AWS 관리형 정책을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| AWS 액세스 키 ID | 문자열 | 해당 사항 없음 | 예 | 통합에 사용할 AWS 액세스 키 ID입니다. |
| AWS 보안 비밀 키 | 비밀번호 | 해당 사항 없음 | 예 | 통합에 사용할 AWS 보안 비밀 키입니다. |
| AWS 기본 리전 | 문자열 | 해당 사항 없음 | 예 | 통합에 사용할 AWS 기본 리전입니다(예: us-west-1). |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
사용 사례
- 플레이북 또는 수동 작업을 사용하여 AWS 시스템의 위협을 감지하고 관리합니다.
- Amazon GuardDuty 발견 항목을 수집한 후 GuardDuty 보관 파일로 이동합니다.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
핑
Amazon GuardDuty 연결을 테스트합니다.
매개변수
없음
실행
이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: '제공된 연결 매개변수를 사용하여 AWS GuardDuty 서버에 성공적으로 연결되었습니다.' 그 외: 'AWS에 연결하지 못했습니다.' 성공한 경우 '제공된 연결 매개변수를 사용하여 AWS GuardDuty 서버에 연결되었습니다.' 그 외: 'AWS GuardDuty 서버에 연결하지 못했습니다. 오류: {0}" |
일반 |
감지기 만들기
단일 Amazon GuardDuty 감지기를 만듭니다. 탐지기는 GuardDuty 서비스를 나타내는 리소스입니다. 지역별 계정당 하나의 감지기만 사용할 수 있습니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 사용 설정 | 체크박스 | 선택 해제 | 예 | 감지기를 사용 설정할지 여부를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공: '감지기 <새 감지기 ID>가 생성되었습니다.' 감지기가 생성되지 않은 경우 (is_success=false): '작업에서 감지기를 생성할 수 없습니다. 이유: 현재 계정에 감지기가 이미 있습니다. 'ErrorCode'가 보고된 경우 (is_success=false): '작업에서 감지기를 만들 수 없습니다. 오류: {}".format (ErrorMessage)" 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 감지기 ID도 예외를 발생시키고 플레이북을 중지하고 is_success를 false로 설정해야 합니다. 잘못된 사용자 인증 정보, 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''감지기 만들기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
검사 프로그램 삭제
검사기 ID로 지정된 Amazon GuardDuty 검사기를 삭제합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 삭제하려는 감지기의 고유 ID입니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 감지기가 삭제되지 않은 경우 (is_success=false): '작업이 <detector_ID> 감지기를 삭제할 수 없습니다. 오류: {}".format(ErrorMessage)" 감지기가 성공적으로 삭제된 경우 (is_success=true): '감지기 <감지기 ID>가 삭제되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 감지기 ID도 예외를 발생시키고 플레이북을 중지하고 is_success를 false로 설정해야 합니다. 잘못된 사용자 인증 정보, 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''감지기 삭제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
감지기 업데이트
감지기 ID로 지정된 Amazon GuardDuty 감지기를 업데이트합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트할 감지기의 고유 ID입니다. |
| 사용 설정 | 체크박스 | 선택 해제 | 아니요 | 감지기를 사용 설정할지 여부를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 'ErrorCode'가 보고된 경우 (is_success=false): '작업에서 감지기를 만들 수 없습니다. 오류: {}".format(ErrorMessage)" 감지기가 성공적으로 업데이트된 경우 (is_success=true): '감지기 <감지기 ID>가 업데이트되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 감지기 ID도 예외를 발생시키고 플레이북을 중지하고 is_success를 false로 설정해야 합니다. 잘못된 사용자 인증 정보, 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''감지기 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
감지기 세부정보 가져오기
감지기 ID로 지정된 Amazon GuardDuty 감지기를 가져옵니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 가져오려는 감지기의 고유 ID입니다. 쉼표로 구분된 값입니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
JSON 결과
{
"DetectorId": "DETECTOR_ID",
"CreatedAt": "response['CreatedAt']",
"ServiceRole": "response['ServiceRole']",
"Status": "response['Status']",
"UpdatedAt": "response['UpdatedAt']",
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '<Indicator ID> 지표에 관한 정보를 가져왔습니다.' 참고: 일부 감지기 ID가 발견되고 일부는 발견되지 않은 경우 관련 감지기 ID에 따라 두 메시지를 모두 표시합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 감지기 ID도 예외를 발생시키고 플레이북을 중지하고 is_success를 false로 설정해야 합니다. 잘못된 사용자 인증 정보, 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''감지기 세부정보 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| CSV 표 | 표 제목: 감지기 세부정보 테이블 열:
|
일반 |
감지기 나열
기존 Amazon GuardDuty 감지기 리소스의 모든 detectorId를 나열합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 반환할 최대 감지기 수 | 정수 | 50 | 아니요 | 반환할 감지기 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
JSON 결과
{
"detectorIds": ["ID1,ID2"]
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200 상태 코드가 보고된 경우 (is_success=true): 'Amazon GuardDuty에서 사용 가능한 감지기를 나열했습니다. Indicator ID:<value>" 다른 상태 코드가 보고된 경우 (is_success=false): '작업에서 사용 가능한 감지기를 나열할 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 치명적인 오류, 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 SDK 오류가 보고되는 경우: ''감지기 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
감지기의 발견 항목 나열
지정된 탐지기 ID의 모든 Amazon GuardDuty 발견 항목을 나열합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 가져오려는 감지기의 고유 ID입니다. |
| 반환할 최대 발견 항목 수 | 정수 | 50 | 아니요 | 반환할 감지기 수를 지정합니다. |
| 정렬 기준 | 문자열 | 해당 사항 없음 | 아니요 | 발견 항목을 정렬할 발견 항목 속성 (예: accountId)을 나타냅니다. |
| 정렬 기준 | DDL | ASC 가능한 값은 다음과 같습니다.
|
아니요 | 정렬된 발견 항목이 표시될 순서입니다. |
| AWS 리전 | 문자열 | 해당 사항 없음 | 아니요 | 통합 구성 페이지에 지정된 기본 리전과 다를 수 있는 작업을 사용할 AWS 리전을 선택적으로 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
JSON 결과
{"FindingIds": ["10ba96ae50733ae38b9cae95431b7558"]}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않고 플레이북 실행을 중지하지 않아야 합니다. 'ErrorCode'가 보고된 경우 (is_success=false): '작업에서 <detector ID> 감지기의 결과를 가져올 수 없습니다. 오류: {}".format(ErrorMessage)" 성공한 경우: '{detector ID} 감지기의 사용 가능한 발견 항목 ID를 가져왔습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 치명적인 오류, 잘못된 사용자 인증 정보, 연결 없음과 같은 SDK 오류가 보고되는 경우: ''탐지기의 결과 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
발견 항목 보관처리
발견 항목 ID로 지정된 GuardDuty 발견 항목을 보관합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| ID 찾기 | 문자열 | 해당 사항 없음 | 예 | 가져올 발견 항목의 ID입니다. 쉼표로 구분된 ID입니다. |
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 감지기의 고유 ID |
| AWS 리전 | 문자열 | 해당 사항 없음 | 아니요 | 통합 구성 페이지에 지정된 기본 리전과 다를 수 있는 작업을 사용할 AWS 리전을 선택적으로 지정합니다. |
AWS IAM 정책 권한:
- 효과: 허용
- 작업: guardduty:ArchiveFindings
관리자 계정만 결과를 보관처리할 수 있습니다. 구성원 계정에는 계정에서 발견 결과를 보관할 권한이 없습니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 'ErrorCode'가 보고된 경우 (is_success=false): '작업이 결과를 보관할 수 없습니다. 오류: {}".format(ErrorMessage) 모든 발견 ID가 올바른지 확인하세요.' 성공한 경우: '결과가 보관처리되었습니다' → '다음 결과가 보관처리되었습니다: <ids> 하나 또는 모든 유효하지 않은 발견 ID의 경우 작업이 실패해서는 안 되지만 is_success는 false로 설정해야 합니다. '다음 발견을 보관할 수 없습니다: <ids>' 참고: 오류 코드는 ID 중 하나에 대한 것일 수 없습니다. 잘못된 결과 ID의 경우 'ArchiveFindings 작업을 호출할 때 (최대 재시도 횟수 4회 도달): 내부 서버 오류'라는 오류와 함께 예외가 발생합니다. 여기에서도 마찬가지입니다.먼저 발견 사항이 유효한지 확인하세요. 다음 결과를 보관처리했습니다. 88bac20f959084244a2b91778d12e883 다음 발견 사항을 보관처리하지 못했습니다. 1abac689941ae6f3e3e24d02ac4cf612 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 감지기 ID도 예외를 발생시키고 플레이북을 중지하고 is_success를 false로 설정해야 합니다. 치명적인 오류, 잘못된 사용자 인증 정보, 연결 없음과 같은 SDK 오류가 보고되는 경우: ''결과 보관' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' |
일반 |
발견 사항 보관 취소
발견 항목 ID로 지정된 GuardDuty 발견 항목을 추출합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| ID 찾기 | 문자열 | 해당 사항 없음 | 예 | 가져올 발견 항목의 ID입니다. 쉼표로 구분된 값입니다. |
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 감지기의 고유 ID입니다. |
AWS IAM 정책 권한:
- 효과: 허용
- 작업: guardduty:UnarchiveFindings
관리자 계정만 결과를 보관처리할 수 있습니다. 구성원 계정에는 계정에서 발견 결과를 보관할 권한이 없습니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '다음 발견 항목이 보관처리되었습니다: <ids>' 하나 또는 모든 무효한 발견 ID의 경우 작업이 실패해서는 안 되지만 is_success는 false로 설정해야 합니다. '다음 발견 항목을 보관 해제할 수 없습니다: <ids> 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 감지기 ID도 예외를 발생시키고 플레이북을 중지하고 is_success를 false로 설정해야 합니다. 잘못된 사용자 인증 정보, 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''결과 보관 해제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' 참고: 오류 코드는 ID 중 하나에 대한 것일 수 없습니다. 잘못된 결과 ID의 경우 'ArchiveFindings 작업을 호출할 때 (최대 재시도 횟수 4회 도달): 내부 서버 오류'라는 오류와 함께 예외가 발생합니다. 여기에서도 마찬가지입니다. 먼저 발견 사항이 유효한지 확인하세요. 다음 결과를 보관처리했습니다. 88bac20f959084244a2b91778d12e883 다음 발견 사항을 보관처리하지 못했습니다. 1abac689941ae6f3e3e24d02ac4cf612 |
일반 |
샘플 발견 항목 만들기
발견 항목 목록에 지정된 유형의 예시 발견 항목을 생성합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 샘플 발견 항목을 생성할 감지기의 고유 ID입니다. |
| 발견 항목 유형 | 문자열 | 해당 사항 없음 | 아니요 | 생성할 샘플 발견 항목의 유형입니다. 쉼표로 구분된 값입니다. 유형은 UI의 '발견 항목' 섹션에 있는 '발견 항목 유형' 열에서 확인할 수 있습니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 'ErrorCode'가 보고된 경우 (is_success=false): '작업에서 샘플 결과를 만들 수 없습니다. 오류: {}".format(ErrorMessage)" 성공한 경우: '샘플 결과가 생성되었습니다.' 입력 (조사 결과 유형) 중 하나가 유효하지 않은 경우 다음 예외를 포착합니다. '입력 매개변수로 잘못된 값 또는 범위를 벗어난 값이 지정되어 요청이 거부되었습니다.' set, is_sucess=false: '조사 결과 유형 매개변수로 잘못된 값이 발견되어 작업에서 샘플 조사 결과를 만들 수 없습니다. 업데이트: 잘못된 발견 유형의 경우 다음과 같은 메시지와 함께 작업이 실패해야 합니다. '발견 유형 매개변수에 잘못된 값이 있어 작업을 통해 샘플 발견 항목을 만들 수 없습니다. 오류: <traceback>
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 감지기 ID도 예외를 발생시키고 플레이북을 중지하고 is_success를 false로 설정해야 합니다. 잘못된 사용자 인증 정보, 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''샘플 결과 만들기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
발견 항목 의견 업데이트
지정된 Amazon GuardDuty 결과를 유용 또는 유용하지 않음으로 표시합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트할 의견과 연결된 감지기의 고유 ID입니다. |
| 유용했나요? | 체크박스 | 선택 해제 | 예 | 발견 항목에 대한 의견입니다. |
| 발견 항목 ID | 문자열 | 해당 사항 없음 | 예 | 유용 또는 유용하지 않음으로 표시할 발견 항목의 ID입니다. 쉼표로 구분된 값입니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 아니요 | GuardDuty 발견 항목에 대한 추가 의견입니다. |
| AWS 리전 | 문자열 | 해당 사항 없음 | 아니요 | 통합 구성 페이지에 지정된 기본 리전과 다를 수 있는 작업을 사용할 AWS 리전을 선택적으로 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 'ErrorCode'가 보고된 경우 (is_success=false): '작업에서 발견 결과 의견을 업데이트할 수 없습니다. 오류: {}".format(ErrorMessage) 성공한 경우: 'Findings feedback was updated.'(결과 의견이 업데이트되었습니다.) 검색 결과 ID 중 하나에 오류/찾을 수 없음이 있는 경우 ID 중 하나가 존재하지 않더라도 응답 객체는 여전히 빈 응답을 반환합니다. 발견 항목을 찾을 수 없는 경우: '의견을 업데이트할 수 없습니다. <finding id>이(가) 유효하지 않습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 감지기 ID도 예외를 발생시키고 플레이북을 중지하고 is_success를 false로 설정해야 합니다. 잘못된 사용자 인증 정보, 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''결과 의견 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' |
일반 |
신뢰할 수 있는 IP 목록 삭제
ID로 지정된 IPSet을 삭제합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | IP 세트를 삭제하는 데 사용해야 하는 감지기 ID를 지정합니다. 이 매개변수는 설정 탭에서 확인할 수 있습니다. |
| 신뢰할 수 있는 IP 목록 ID | 문자열 | 해당 사항 없음 | 예 | 쉼표로 구분된 IP 세트 ID 목록을 지정합니다. 예: id_1,id_2 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우 (is_success=true): '다음 신뢰할 수 있는 IP 목록이 삭제되었습니다: <ids>' 일부 ID에 대해 성공하지 못한 경우 (is_success=true): '작업이 Amazon GuardDuty에서 다음 신뢰할 수 있는 IP 목록을 삭제할 수 없습니다.\n{0}.'.format(list_of_ids)' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 감지기 ID도 예외를 발생시키고 플레이북을 중지하고 is_success를 false로 설정해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''신뢰할 수 있는 IP 목록 삭제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace" |
일반 |
발견 항목 세부정보 가져오기
AWS Guard Duty의 발견 항목에 관한 자세한 정보를 반환합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| ID 찾기 | 문자열 | 해당 사항 없음 | 예 | 가져올 발견 항목의 ID입니다. 쉼표로 구분된 ID입니다. |
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 가져오려는 감지기의 고유 ID입니다. |
| AWS 리전 | 문자열 | 해당 사항 없음 | 아니요 | 통합 구성 페이지에 지정된 기본 리전과 다를 수 있는 작업을 사용할 AWS 리전을 선택적으로 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
JSON 결과
{
"Findings": [{
"AccountId": "ACCOUNT_ID",
"Arn": "arn:aws:guardduty:us-east-1:ACCOUNT_ID:detector/DETECTOR_ID/finding/FINDING_ID",
"CreatedAt": "2020-10-06T05:19:50.794Z",
"Description": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.", "Id": "ID",
"Partition": "aws",
"Region": "us-east-1",
"Resource": {
"InstanceDetails": {
"AvailabilityZone": "us-east-1e",
"ImageId": "ami-IMAGE_ID",
"InstanceId": "i-INSTANCE_ID",
"InstanceState": "running",
"InstanceType": "t2.micro",
"LaunchTime": "2020-05-27T08:54:03Z", "NetworkInterfaces": [{
"Ipv6Addresses": [],
"NetworkInterfaceId": "eni-012d9b8a1a3b4e40a",
"PrivateDnsName": "ip-192.0.2.1.ec2.internal",
"PrivateIpAddress": "192.0.2.1",
"PrivateIpAddresses": [{
"PrivateDnsName": "ip-192.0.2.1.ec2.internal",
"PrivateIpAddress": "192.0.2.1"
}],
"PublicDnsName": "ec2-54-234-69-236.compute-1.amazonaws.com",
"PublicIp": "198.51.100.236",
"SecurityGroups": [{
"GroupId": "sg-0fa42e04e9cd15407",
"GroupName": "Windows Server 2016"
}],
"SubnetId": "subnet-2edddf10",
"VpcId": "vpc-48a7ac32"
}],
"Platform": "windows",
"ProductCodes": [],
"Tags": [{
"Key": "Name",
"Value": "CiscoAMP-win2012"
}]},
"ResourceType": "Instance"
},
"SchemaVersion": "2.0",
"Service": {
"Action": {
"ActionType": "NETWORK_CONNECTION", "NetworkConnectionAction": {
"Blocked": false,
"ConnectionDirection": "INBOUND",
"LocalPortDetails": {
"Port": 3389, "PortName": "RDP"
},
"Protocol": "TCP",
"LocalIpDetails": {
"IpAddressV4": "192.0.2.1"
},
"RemoteIpDetails": {
"IpAddressV4": "203.0.113.9",
"Organization": {
"Asn": "24875",
"AsnOrg": "Example Inc.",
"Isp": "Example Inc.",
"Org": "Example Inc."
}},
"RemotePortDetails": {
"Port": 1549,
"PortName": "Unknown"
}}},
"Archived": false,
"Count": 5,
"DetectorId": "DETECTOR_ID",
"EventFirstSeen": "2020-10-06T05:10:58Z",
"EventLastSeen": "2020-10-06T05:46:59Z",
"ResourceRole": "TARGET",
"ServiceName": "guardduty"
},
"Severity": 2,
"Title": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID.",
"Type": "UnauthorizedAccess:EC2/RDPBruteForce",
"UpdatedAt": "2020-10-06T06:01:46.380Z"
}]
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 'ErrorCode'가 보고된 경우 (is_success=false): '작업에서 발견 세부정보를 가져올 수 없습니다. 오류: {}".format(ErrorMessage)" 성공한 경우: '다음 발견 항목(<가져온 발견 항목 ID>)의 정보를 가져왔습니다.' ID 중 하나의 오류가 보고되면 응답 객체에는 유효한 ID의 결과만 포함됩니다. 응답 객체에 일부 ID가 없는지 확인하고 적절한 메시지를 출력합니다.
작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 연결 없음 등 치명적인 오류, SDK 오류가 보고되는 경우: ''결과 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' |
일반 |
| 케이스 월 테이블 | 참고: 있는 경우 테이블 열:
|
일반 |
모든 신뢰할 수 있는 IP 목록 가져오기
설명
탐지기 ID로 지정된 GuardDuty 서비스의 모든 신뢰할 수 있는 IP 목록 (IPSets)을 가져옵니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | IP 집합을 나열하는 데 사용해야 하는 감지기 ID를 지정합니다. 이 매개변수는 설정 탭에서 확인할 수 있습니다. |
| 반환할 최대 신뢰할 수 있는 IP 목록 수 | 정수 | 50 | 아니요 | 반환할 신뢰할 수 있는 IP 목록의 수를 지정합니다. |
| AWS 리전 | 문자열 | 해당 사항 없음 | 아니요 | 통합 구성 페이지에 지정된 기본 리전과 다를 수 있는 작업을 사용할 AWS 리전을 선택적으로 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
JSON 결과
{
"IpSetIds": ['', '' , '']
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 사용 가능한 세트가 성공적으로 나열된 경우 (is_success=true): '사용 가능한 신뢰할 수 있는 IP 목록을 가져왔습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''모든 신뢰할 수 있는 IP 목록 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
신뢰할 수 있는 IP 목록 가져오기
설명
Amazon GuardDuty의 신뢰할 수 있는 IP 목록에 대한 세부정보를 가져옵니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | IP 세트를 가져오는 데 사용해야 하는 감지기 ID를 지정합니다. 이 매개변수는 설정 탭에서 확인할 수 있습니다. |
| 신뢰할 수 있는 IP 목록 ID | CSV | 해당 사항 없음 | 예 |
|
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
JSON 결과
{
"ip_set_id": {
"Format": "response['Format']",
"Location": "response['Location']",
"Name": "response['Name']",
"Status": "response['Status']"
}
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 세부정보가 성공적으로 반환된 경우 (is_success=true):'Amazon GuardDuty에서 다음 신뢰할 수 있는 IP 목록에 대한 세부정보를 가져왔습니다.\n{0}.'.format(list_of_ids)' 일부 ID에 대해 성공하지 못한 경우 (is_success=true): '작업에서 Amazon GuardDuty의 다음 신뢰할 수 있는 IP 목록에 대한 세부정보를 가져올 수 없습니다.\n{0}.'.format(list_of_ids) ID를 사용하지 않는 경우 (is_success=false): '제공된 신뢰할 수 있는 IP 목록에 대한 세부정보가 검색되지 않았습니다'.format(list_of_ids)' 작업이 실패하고 플레이북 실행을 중지합니다. 치명적인 오류, 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 SDK 오류가 보고되는 경우: ''신뢰할 수 있는 IP 목록 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| CSV | 표 이름: 신뢰할 수 있는 IP 목록 세부정보 테이블 열:
|
일반 |
신뢰할 수 있는 IP 목록 업데이트
설명
Amazon GuardDuty에서 신뢰할 수 있는 IP 목록을 업데이트합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 신뢰할 수 있는 IP 목록을 업데이트하는 데 사용해야 하는 감지기 ID를 지정합니다. 이 매개변수는 설정 탭에서 확인할 수 있습니다. |
| 신뢰할 수 있는 IP 목록 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트할 신뢰할 수 있는 IP 목록의 ID를 지정합니다. |
| 이름 | 문자열 | 해당 사항 없음 | 아니요 | 신뢰할 수 있는 IP 목록의 새 이름을 지정합니다. |
| 파일 위치 | 문자열 | https://s3.amazonaws.com/{bucket-name}/file.txt |
아니요 | 파일이 있는 새 URI 위치를 지정합니다. |
| 활성화 | 체크박스 | 선택 | 예 | 사용 설정하면 신뢰할 수 있는 IP 목록이 활성화됩니다. |
| AWS 리전 | 문자열 | 해당 사항 없음 | 아니요 | 통합 구성 페이지에 지정된 기본 리전과 다를 수 있는 작업을 사용할 AWS 리전을 선택적으로 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
JSON 결과
N/A
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나의 세트가 성공적으로 업데이트된 경우 (is_success=true): 'Amazon GuardDuty에서 신뢰할 수 있는 IP 목록 '{0}'을 업데이트했습니다.'.format(위협 ID) 하나의 세트를 업데이트할 수 없는 경우 (is_success=false): '작업이 Amazon GuardDuty에서 신뢰할 수 있는 IP 목록 '{0}'을 업데이트할 수 없습니다.'.format(위협 ID) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''신뢰할 수 있는 IP 목록 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
신뢰할 수 있는 IP 목록 만들기
AWS 인프라 및 애플리케이션과의 보안 통신을 위해 동적 목록에 있던 신뢰할 수 있는 IP 주소 (IPSet)의 새 목록을 만듭니다.
GuardDuty는 IPSet에 포함된 IP 주소에 대한 발견 항목을 생성하지 않습니다. 관리자 계정의 사용자만 이 작업을 사용할 수 있습니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 신뢰할 수 있는 IP 목록을 만드는 데 사용할 검사기 ID를 지정합니다. 이 매개변수는 설정 탭에서 확인할 수 있습니다. |
| 이름 | 문자열 | 해당 사항 없음 | 예 | 신뢰할 수 있는 IP 목록의 이름을 지정합니다. |
| 파일 형식 | DDL | 일반 텍스트 | 예 | 신뢰할 수 있는 IP 목록을 만드는 데 사용할 파일의 형식을 선택합니다. 가능한 값은 다음과 같습니다.
|
| 파일 위치 | 문자열 | https://s3.amazonaws.com/{bucket-name}/file.txt |
예 | 파일이 있는 URI 위치를 지정합니다. |
| 활성화 | 체크박스 | 선택 | 예 | 사용 설정하면 새로 생성된 신뢰할 수 있는 IP 목록이 활성화됩니다. |
| AWS 리전 | 문자열 | 해당 사항 없음 | 아니요 | 통합 구성 페이지에 지정된 기본 리전과 다를 수 있는 작업을 사용할 AWS 리전을 선택적으로 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
JSON 결과
{
"TrustedIPID": "TRUSTED_IP_ID"
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 세트가 성공적으로 생성된 경우(is_success=true): 'Amazon GuardDuty에서 신뢰할 수 있는 IP 목록 '{0}'을(를) 새로 만들었습니다.'.format(Name) 세트를 만들 수 없는 경우 (is_success=false): '작업에서 Amazon GuardDuty에 신뢰할 수 있는 IP 목록 '{0}'을 만들 수 없습니다.'.format(name)' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''신뢰할 수 있는 IP 목록 만들기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' |
일반 |
위협 인텔리전스 세트 나열
Amazon GuardDuty에서 사용 가능한 위협 인텔리전스 세트를 나열합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 위협 인텔리전스 세트를 나열하는 데 사용해야 하는 감지기 ID를 지정합니다. 이 매개변수는 설정 탭에서 확인할 수 있습니다. |
| 반환할 최대 위협 인텔리전스 세트 수 | 정수 | 50 | 아니요 | 반환할 위협 인텔리전스 세트 수를 지정합니다. |
| AWS 리전 | 문자열 | 해당 사항 없음 | 아니요 | 통합 구성 페이지에 지정된 기본 리전과 다를 수 있는 작업을 사용할 AWS 리전을 선택적으로 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
JSON 결과
{
"ThreatIntelSetIds": ["14ba8b942b76c1be6d985715eb7443eb",
"32ba8b92e553fe04d06dab543ed57a70",
"8aba8b93ba6e08e8fd5349b2c2b57709"
]
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 사용 가능한 세트가 성공적으로 나열된 경우 (is_success=true): '사용 가능한 위협 인텔리전스 세트가 나열되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 치명적인 오류, 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 SDK 오류가 보고되는 경우: ''위협 인텔리전스 세트 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
위협 인텔리전스 세트 세부정보 가져오기
Amazon GuardDuty의 위협 인텔리전스 세트에 대한 세부정보를 가져옵니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 위협 인텔리전스 세트 세부정보를 가져오는 데 사용해야 하는 감지기 ID를 지정합니다. 이 매개변수는 설정 탭에서 확인할 수 있습니다. |
| 위협 인텔리전스 세트 ID | 문자열 | 50 | 예 | 위협 인텔리전스 세트의 ID를 쉼표로 구분된 목록으로 지정합니다. 예: id_1,id_2 |
| AWS 리전 | 문자열 | 해당 사항 없음 | 아니요 | 통합 구성 페이지에 지정된 기본 리전과 다를 수 있는 작업을 사용할 AWS 리전을 선택적으로 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
JSON 결과
{
"Format": "TXT",
"Location": "https: //example.s3.amazonaws.com/test.txt",
"Name": "API Test",
"ResponseMetadata": {
"HTTPHeaders": {
"connection": "keep-alive",
"content-length": "149",
"content-type": "application/json",
"date": "Mon,19 Oct 2020 06: 23: 22 GMT",
"x-amz-apigw-id": "ID",
"x-amzn-requestid": "REQUEST_ID",
"x-amzn-trace-id": "TRACE_ID"
},
"HTTPStatusCode": 200,
"RequestId": "REQUEST_ID",
"RetryAttempts": 0
},
"Status": "ERROR",
"Tags": {}
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상의 세트에 대한 세부정보를 성공적으로 반환한 경우 (is_success=true): 'Amazon GuardDuty에서 다음 위협 인텔리전스 세트에 대한 세부정보를 가져왔습니다.\n{0}.'.format(list_of_ids)' 일부 ID에 대해 실패한 경우 (is_success=true): '작업이 Amazon GuardDuty에서 다음 위협 인텔리전스 세트에 대한 세부정보를 가져올 수 없습니다.\n{0}.'.format(list_of_ids)' ID가 사용되지 않은 경우: '제공된 위협 인텔리전스 세트에 대한 세부정보가 검색되지 않았습니다.'.format(list_of_ids) 작업이 실패하고 플레이북 실행을 중지합니다. 치명적인 오류, 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 SDK 오류가 보고되는 경우: ''위협 인텔리전스 세트 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| CSV | 표 이름: 위협 인텔리전스 세트 세부정보 표 열:
|
위협 인텔리전스 세트 만들기
Amazon GuardDuty에서 위협 인텔리전스 세트를 만듭니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 위협 인텔리전스 세트를 만드는 데 사용해야 하는 감지기 ID를 지정합니다. 이 매개변수는 설정 탭에서 확인할 수 있습니다. |
| 이름 | 문자열 | 해당 사항 없음 | 예 | 위협 인텔리전스 세트의 이름을 지정합니다. |
| 파일 형식 | DDL | 일반 텍스트 가능한 값은 다음과 같습니다.
|
예 | 위협 인텔리전스 세트를 만드는 데 사용되는 파일의 형식을 선택합니다. |
| 파일 위치 | 문자열 | https://s3.amazonaws.com/{bucket-name}/file.txt |
예 | 파일이 있는 URI 위치를 지정합니다. |
| 활성 | 체크박스 | 선택 | 예 | 사용 설정하면 새로 생성된 위협 인텔리전스 세트가 활성화됩니다. |
| 태그 | CSV | 해당 사항 없음 | 아니요 | 위협 인텔리전스 세트에 추가해야 하는 추가 태그를 지정합니다. 형식: key_1:value_1,key_2:value_1 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
JSON 결과
{
"ThreatIntelSetId": "b6f0c884a54449cc8e29eed3094e9c31"
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 세트를 성공적으로 만든 경우 (is_success=true): 'Amazon GuardDuty에서 위협 인텔리전스 세트 '{0}'를 만들었습니다.'.format(Name) 세트를 만들 수 없는 경우 (is_success=false):'작업이 Amazon GuardDuty에서 위협 인텔리전스 세트 '{0}'을 만들 수 없습니다.'.format(name) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''위협 인텔리전스 세트 만들기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
위협 인텔리전스 세트 업데이트
Amazon GuardDuty에서 위협 인텔리전스 세트를 업데이트합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 위협 인텔리전스 세트를 업데이트하는 데 사용해야 하는 감지기 ID를 지정합니다. 이 매개변수는 설정 탭에서 확인할 수 있습니다. |
| ID | 문자열 | 해당 사항 없음 | 예 | 업데이트할 위협 인텔리전스 세트의 ID를 지정합니다. |
| 이름 | 문자열 | 해당 사항 없음 | 아니요 | 위협 인텔리전스 세트의 새 이름을 지정합니다. |
| 파일 위치 | 문자열 | https://s3.amazonaws.com/{bucket-name}/file.txt |
아니요 | 파일이 있는 새 URI 위치를 지정합니다. |
| 활성 | 체크박스 | 선택 | 예 | 사용 설정하면 위협 인텔리전스 세트가 활성화됩니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나의 세트를 성공적으로 업데이트한 경우 (is_success=true): 'Amazon GuardDuty에서 위협 인텔리전스 세트 '{0}'을 업데이트했습니다.'.format(위협 ID) 세트를 업데이트할 수 없는 경우 (is_success=false): 'Amazon GuardDuty에서 위협 인텔리전스 세트 '{0}'을 업데이트할 수 없습니다.'.format(위협 ID) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류, SDK 오류가 보고되는 경우: ''위협 인텔리전스 세트 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
위협 인텔리전스 세트 삭제
Amazon GuardDuty에서 위협 인텔리전스 세트를 삭제합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 워터마크 | 필수 항목 | 설명 |
|---|---|---|---|---|---|
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 해당 사항 없음 | 예 | 위협 인텔리전스 세트 세부정보를 가져오는 데 사용해야 하는 감지기 ID를 지정합니다. 이 매개변수는 설정 탭에서 확인할 수 있습니다. |
| 위협 인텔리전스 세트 ID | CSV | 해당 사항 없음 | 해당 사항 없음 | 예 | 위협 인텔리전스 세트의 ID를 쉼표로 구분된 목록으로 지정합니다. 예: id_1,id_2 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success=False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상의 세트에 대한 세부정보를 성공적으로 반환한 경우 (is_success=true): 'Amazon GuardDuty에서 다음 위협 인텔리전스 세트를 삭제했습니다.\n{0}.'.format(list_of_ids) 일부 ID에 대해 실패한 경우 (is_success=true): '작업이 Amazon GuardDuty에서 다음 위협 인텔리전스 세트를 삭제할 수 없습니다.\n{0}.'.format(list_of_ids) ID가 사용되지 않는 경우: 'No Threat Intelligence Sets were deleted.'.format(list_of_ids) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 감지기 ID도 예외를 발생시키고 플레이북을 중지하고 is_success를 false로 설정해야 합니다. 치명적인 오류, 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 SDK 오류인 경우: ''위협 인텔리전스 세트 삭제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.
AWS GuardDuty - 발견 항목 커넥터
Amazon GuardDuty에서 발견 항목을 가져옵니다.
커넥터 입력
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 |
제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 |
| 이벤트 필드 이름 | 문자열 | 유형 | 예 | 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. |
Environment Regex Pattern |
문자열 | .* | 아니요 |
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. |
| AWS 액세스 키 ID | 문자열 | 해당 사항 없음 | 예 | 통합에 사용할 AWS 액세스 키 ID입니다. |
| AWS 보안 비밀 키 | 비밀번호 | 해당 사항 없음 | 예 | 통합에 사용할 AWS 보안 비밀 키입니다. |
| AWS 기본 리전 | 문자열 | 해당 사항 없음 | 예 | 통합에서 사용할 AWS 기본 리전입니다. 예: us-west-2 |
| 검사 프로그램 ID | 문자열 | 해당 사항 없음 | 예 | 감지기의 ID입니다. 이 기능은 설정 탭에서 확인할 수 있습니다. |
| 가져올 가장 낮은 심각도 | 정수 | 1 | 예 | 가져올 알림의 가장 낮은 심각도입니다. 이 매개변수를 구성하지 않으면 커넥터가 모든 심각도 수준의 알림을 수집합니다. 가능한 값은 참고: Amazon GuardDuty는 다음 순서로 정수 값을 매핑합니다.
|
| 최대 시간을 뒤로 가져오기 | 정수 | 1 | 아니요 | 현재로부터 몇 시간 전의 발견 항목을 가져올지 나타냅니다.
이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. |
| 가져올 최대 발견 항목 수 | 정수 | 50 | 아니요 | 커넥터 반복당 처리할 발견 항목 수입니다. 최대: 50 이는 GuardDuty 제한사항입니다. |
Use whitelist as a blacklist |
체크박스 | 선택 해제 | 예 | 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.