Integrar o Amazon GuardDuty ao Google SecOps
Este documento explica como integrar o Amazon GuardDuty ao Google Security Operations (Google SecOps).
Versão da integração: 8.0
Pré-requisitos
Se você precisar de acesso somente leitura à integração, como executar o
conector, use a política AmazonGuardDutyReadOnlyAccess.
Para ter acesso total a todos os recursos de integração, use a política
AmazonGuardDutyFullAccess.
Para detalhes sobre o uso de políticas, consulte Políticas gerenciadas pela AWS.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da chave de acesso da AWS | String | N/A | Sim | ID da chave de acesso da AWS a ser usado na integração. |
| Chave secreta da AWS | Senha | N/A | Sim | Chave secreta da AWS a ser usada na integração. |
| Região padrão da AWS | String | N/A | Sim | Região padrão da AWS a ser usada na integração, por exemplo, us-west-1. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Casos de uso
- Detecte e gerencie ameaças no sistema da AWS usando playbooks ou ações manuais.
- Ingerir descobertas do Amazon GuardDuty, que são movidas para o arquivo do GuardDuty.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Ping
Teste a conectividade com o Amazon GuardDuty.
Parâmetros
Nenhuma.
Data de execução
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | Se a conexão for bem-sucedida : "Conexão bem-sucedida com o servidor do AWS GuardDuty usando os parâmetros fornecidos". Caso contrário : "Falha ao se conectar à AWS se a conexão for bem-sucedida: "Conexão bem-sucedida com o servidor do AWS GuardDuty usando os parâmetros de conexão fornecidos!" Caso contrário : "Não foi possível se conectar ao servidor do AWS GuardDuty. Erro: {0}" |
Geral |
Criar um detector
Cria um único detector do Amazon GuardDuty. Um detector é um recurso que representa o serviço GuardDuty. Só é possível ter um detector por conta e por região.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Ativar | Caixa de seleção | Desmarcado | Sim | Especifica se o detector será ativado. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Sucesso: "O detector <new detector ID> foi criado." Se o detector não for criado (is_success=false): "Não foi possível criar um detector. Motivo: já existe um detector para a conta atual. Se "ErrorCode" for informado (is_success=false): "Não foi possível criar um detector. Erro: {}".format (ErrorMessage)" A ação precisa falhar e interromper a execução de um playbook: Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false". Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão ou outro, for informado: "Erro ao executar a ação "Criar um detector". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Excluir um detector
Exclui um detector do Amazon GuardDuty especificado pelo ID do detector.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | O ID exclusivo do detector que você quer excluir. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o detector não for excluído (is_success=false) : "Não foi possível excluir o detector <detector_ID>. Erro: {}".format(ErrorMessage)" Se o detector for excluído (is_success=true): "O detector <detector ID> foi excluído." A ação precisa falhar e interromper a execução de um playbook: Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false". Se um erro fatal ou de SDK, como credenciais incorretas, sem conexão ou outro, for informado: "Erro ao executar a ação "Excluir um detector". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Atualizar um detector
Atualiza o detector do Amazon GuardDuty especificado pelo ID do detector.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | O ID exclusivo do detector que você quer atualizar. |
| Ativar | Caixa de seleção | Desmarcado | Não | Especifica se o detector deve ser ativado. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se "ErrorCode" for informado (is_success=false): "Não foi possível criar um detector. Erro: {}".format(ErrorMessage)" Se o detector for atualizado (is_success=true): "O detector <ID do detector> foi atualizado." A ação precisa falhar e interromper a execução de um playbook: Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir is_success como "false". Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão ou outro, for informado: "Erro ao executar a ação "Atualizar um detector". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Receber detalhes do detector
Recupera um detector do Amazon GuardDuty especificado pelo ID do detector.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | O ID exclusivo do detector que você quer recuperar. Valores separados por vírgula. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Resultado JSON
{
"DetectorId": "DETECTOR_ID",
"CreatedAt": "response['CreatedAt']",
"ServiceRole": "response['ServiceRole']",
"Status": "response['Status']",
"UpdatedAt": "response['UpdatedAt']",
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido: "As informações sobre o indicador <Indicator ID> foram recuperadas com sucesso". Observação: se alguns IDs de detectores forem encontrados e outros não, mostre as duas mensagens com base no ID do detector relevante. A ação precisa falhar e interromper a execução de um playbook: Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false". Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão ou outro, for informado: "Erro ao executar a ação "Receber detalhes de um detector". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela CSV | Título da tabela:detalhes dos detectores Colunas da tabela:
|
Geral |
Listar detectores
Lista os detectorIds de todos os recursos de detector do Amazon GuardDuty.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Número máximo de detectores a serem retornados | Número inteiro | 50 | Não | Especifique o número de detectores a serem retornados. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Resultado JSON
{
"detectorIds": ["ID1,ID2"]
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success=true): "A listagem dos detectores disponíveis no Amazon GuardDuty foi concluída. Indicator ID:<value>" Se outro código de status for informado (is_success=false): "Não foi possível listar os detectores disponíveis" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Detectors". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Listar descobertas de um detector
Lista todas as descobertas do Amazon GuardDuty para o ID do detector especificado.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | O ID exclusivo do detector que você quer recuperar. |
| Número máximo de descobertas a serem retornadas | Número inteiro | 50 | Não | Especifique o número de detectores a serem retornados. |
| Ordenar por | String | N/A | Não | Representa o atributo da descoberta (por exemplo, "accountId") para classificar as descobertas. |
| Order By: | DDL | ASC Valores possíveis:
|
Não | A ordem em que as descobertas classificadas serão mostradas. |
| Região da AWS | String | N/A | Não | Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Resultado JSON
{"FindingIds": ["10ba96ae50733ae38b9cae95431b7558"]}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar e interromper a execução de um playbook: Se "ErrorCode" for informado (is_success=false): "Não foi possível receber descobertas para o detector <detector ID>. Erro: {}".format(ErrorMessage)" Se for bem-sucedido: "Recuperou com sucesso os IDs de descobertas disponíveis para o detector {detector ID}" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal ou de SDK, como credenciais incorretas, sem conexão ou outro, for informado: "Erro ao executar a ação "List Findings for a Detector". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Arquivar descobertas
Arquiva descobertas do GuardDuty especificadas por IDs.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Como encontrar IDs | String | N/A | Sim | Os IDs das descobertas que você quer recuperar. IDs separados por vírgulas. |
| ID do detector | String | N/A | Sim | O ID exclusivo do detector. |
| Região da AWS | String | N/A | Não | Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração. |
Permissão de política do IAM da AWS:
- Efeito:permitir
- Ação:guardduty:ArchiveFindings
Somente a conta de administrador pode arquivar descobertas. As contas de membros não têm permissão para arquivar descobertas.
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se "ErrorCode" for informado (is_success=false): "Não foi possível arquivar descobertas. Erro: {}".format(ErrorMessage). Verifique se todos os IDs de descoberta estão corretos." Se a ação for concluída: "As descobertas foram arquivadas" → Mudou para: "As seguintes descobertas foram arquivadas: <ids> Se houver um ou todos os IDs de descoberta inválidos, a ação não vai falhar, mas "is_success" será definido como "false": "Não foi possível arquivar as seguintes descobertas: <ids>" Observação:o código de erro não pode ser de um dos IDs. Se o ID da descoberta estiver incorreto, uma exceção será gerada com o seguinte erro: "Ao chamar a operação ArchiveFindings (atingiu o número máximo de novas tentativas: 4): erro interno do servidor". Mesmo aqui:primeiro, verifique se a descoberta é válida. As seguintes descobertas foram arquivadas: 88bac20f959084244a2b91778d12e883 Falha ao arquivar os seguintes indícios: 1abac689941ae6f3e3e24d02ac4cf612 A ação precisa falhar e interromper a execução de um playbook: Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false". Se um erro fatal ou de SDK, como credenciais incorretas, sem conexão ou outro, for informado: "Erro ao executar a ação "Arquivar descobertas". Motivo: {0}''.format(error.Stacktrace)" |
Geral |
Desarquivar descobertas
Extrai descobertas do GuardDuty especificadas por IDs de descoberta.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Como encontrar IDs | String | N/A | Sim | Os IDs das descobertas que você quer recuperar. Valores separados por vírgula. |
| ID do detector | String | N/A | Sim | O ID exclusivo do detector. |
Permissão de política do IAM da AWS:
- Efeito:permitir
- Ação:guardduty:UnarchiveFindings
Somente a conta de administrador pode arquivar descobertas. As contas de membros não têm permissão para arquivar descobertas.
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido: "As seguintes descobertas foram arquivadas: <ids>" Se um ou todos os IDs de descoberta forem inválidos, a ação não vai falhar, mas "is_success" será definido como "false": "Não foi possível desarquivar as seguintes descobertas: <ids> A ação precisa falhar e interromper a execução de um playbook: Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false". Se um erro fatal ou de SDK, como credenciais incorretas, sem conexão ou outro, for informado: "Erro ao executar a ação "Desarquivar descobertas". Motivo: {0}''.format(error.Stacktrace)" Observação:o código de erro não pode ser de um dos IDs. Se o ID da descoberta estiver incorreto, uma exceção será gerada com o seguinte erro: "Ao chamar a operação ArchiveFindings (atingiu o número máximo de novas tentativas: 4): erro interno do servidor". Mesmo aqui: primeiro, verifique se a descoberta é válida. As seguintes descobertas foram arquivadas: 88bac20f959084244a2b91778d12e883 Não foi possível arquivar os seguintes indícios: 1abac689941ae6f3e3e24d02ac4cf612 |
Geral |
Criar descobertas de amostra
Gera exemplos de descobertas dos tipos especificados pela lista.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | O ID exclusivo do detector para criar exemplos de descobertas. |
| Tipos de descobertas | String | N/A | Não | Os tipos de descobertas de amostra a serem geradas. Valores separados por vírgula. Os tipos podem ser encontrados na seção "Descobertas" da interface, na coluna "Tipo de descoberta". |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se "ErrorCode" for informado (is_success=false): "Não foi possível criar exemplos de descobertas. Erro: {}".format(ErrorMessage)" Se for bem-sucedido: "Exemplos de descobertas criados com sucesso" Se uma das entradas (tipos de descobertas) for inválida, capture a seguinte exceção: "A solicitação foi rejeitada porque um valor inválido ou fora do intervalo foi especificado como um parâmetro de entrada". set, is_sucess=false: "Não foi possível criar descobertas de amostra porque um valor inválido foi encontrado como parâmetro de tipos de descobertas. Atualização: em caso de tipo de descoberta inválido, a ação vai falhar com esta mensagem: "Não foi possível criar descobertas de amostra porque um valor inválido foi encontrado como parâmetro "Tipos de descoberta". Erro: <traceback>
A ação precisa falhar e interromper a execução de um playbook: Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false". Se um erro fatal ou de SDK, como credenciais incorretas, sem conexão ou outro, for informado : "Erro ao executar a ação "Criar descobertas de amostra". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Atualizar feedback de descobertas
Marque as descobertas especificadas do Amazon GuardDuty como úteis ou não úteis.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | O ID exclusivo do detector associado às descobertas para atualizar o feedback. |
| Útil? | Caixa de seleção | Desmarcado | Sim | O feedback para a descoberta. |
| IDs de descobertas | String | N/A | Sim | Os IDs das descobertas que você quer marcar como úteis ou não úteis. Valores separados por vírgula. |
| Comentário | String | N/A | Não | Outros comentários sobre as descobertas do GuardDuty. |
| Região da AWS | String | N/A | Não | Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se "ErrorCode" for informado (is_success=false): "A ação não conseguiu atualizar o feedback das descobertas. Error: {}".format(ErrorMessage) Se for bem-sucedido: "O feedback sobre descobertas foi atualizado." Se houver um erro/não encontrado para um dos IDs de descoberta, o objeto de resposta ainda vai retornar uma resposta vazia, mesmo que um dos IDs não exista. Se não houver descobertas: "Não é possível atualizar o feedback. <finding id> não é válido." A ação precisa falhar e interromper a execução de um playbook: Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false". Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão ou outro, for informado: "Erro ao executar a ação "Atualizar feedback de descobertas". Motivo: {0}''.format(error.Stacktrace)" |
Geral |
Excluir uma lista de IPs confiáveis
Exclui o IPSet especificado pelo ID.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | Especifique o ID do detector que será usado para excluir um conjunto de IPs. Esse parâmetro pode ser encontrado na guia Configurações. |
| IDs de lista de IPs confiáveis | String | N/A | Sim | Especifique a lista separada por vírgulas de IDs de conjuntos de IPs. Exemplo: id_1,id_2 |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for bem-sucedida (is_success=true): "As seguintes listas de IPs confiáveis foram excluídas: <ids>" Se não for possível para alguns dos IDs (is_success=true): "Não foi possível excluir as seguintes listas de IPs confiáveis do Amazon GuardDuty:\n{0}.".format(list_of_ids)" A ação precisa falhar e interromper a execução de um playbook: Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false". Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Excluir uma lista de IPs confiáveis". Motivo: {0}''.format(error.Stacktrace" |
Geral |
Receber detalhes da descoberta
Retorna informações detalhadas sobre uma descoberta no AWS Guard Duty.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Como encontrar IDs | String | N/A | Sim | Os IDs das descobertas que você quer recuperar. IDs separados por vírgulas. |
| ID do detector | String | N/A | Sim | O ID exclusivo do detector que você quer recuperar. |
| Região da AWS | String | N/A | Não | Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Resultado JSON
{
"Findings": [{
"AccountId": "ACCOUNT_ID",
"Arn": "arn:aws:guardduty:us-east-1:ACCOUNT_ID:detector/DETECTOR_ID/finding/FINDING_ID",
"CreatedAt": "2020-10-06T05:19:50.794Z",
"Description": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.", "Id": "ID",
"Partition": "aws",
"Region": "us-east-1",
"Resource": {
"InstanceDetails": {
"AvailabilityZone": "us-east-1e",
"ImageId": "ami-IMAGE_ID",
"InstanceId": "i-INSTANCE_ID",
"InstanceState": "running",
"InstanceType": "t2.micro",
"LaunchTime": "2020-05-27T08:54:03Z", "NetworkInterfaces": [{
"Ipv6Addresses": [],
"NetworkInterfaceId": "eni-012d9b8a1a3b4e40a",
"PrivateDnsName": "ip-192.0.2.1.ec2.internal",
"PrivateIpAddress": "192.0.2.1",
"PrivateIpAddresses": [{
"PrivateDnsName": "ip-192.0.2.1.ec2.internal",
"PrivateIpAddress": "192.0.2.1"
}],
"PublicDnsName": "ec2-54-234-69-236.compute-1.amazonaws.com",
"PublicIp": "198.51.100.236",
"SecurityGroups": [{
"GroupId": "sg-0fa42e04e9cd15407",
"GroupName": "Windows Server 2016"
}],
"SubnetId": "subnet-2edddf10",
"VpcId": "vpc-48a7ac32"
}],
"Platform": "windows",
"ProductCodes": [],
"Tags": [{
"Key": "Name",
"Value": "CiscoAMP-win2012"
}]},
"ResourceType": "Instance"
},
"SchemaVersion": "2.0",
"Service": {
"Action": {
"ActionType": "NETWORK_CONNECTION", "NetworkConnectionAction": {
"Blocked": false,
"ConnectionDirection": "INBOUND",
"LocalPortDetails": {
"Port": 3389, "PortName": "RDP"
},
"Protocol": "TCP",
"LocalIpDetails": {
"IpAddressV4": "192.0.2.1"
},
"RemoteIpDetails": {
"IpAddressV4": "203.0.113.9",
"Organization": {
"Asn": "24875",
"AsnOrg": "Example Inc.",
"Isp": "Example Inc.",
"Org": "Example Inc."
}},
"RemotePortDetails": {
"Port": 1549,
"PortName": "Unknown"
}}},
"Archived": false,
"Count": 5,
"DetectorId": "DETECTOR_ID",
"EventFirstSeen": "2020-10-06T05:10:58Z",
"EventLastSeen": "2020-10-06T05:46:59Z",
"ResourceRole": "TARGET",
"ServiceName": "guardduty"
},
"Severity": 2,
"Title": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID.",
"Type": "UnauthorizedAccess:EC2/RDPBruteForce",
"UpdatedAt": "2020-10-06T06:01:46.380Z"
}]
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se "ErrorCode" for informado (is_success=false): "Não foi possível receber detalhes das descobertas. Erro: {}".format(ErrorMessage)" Se for bem-sucedido: "As informações dos seguintes resultados foram recuperadas com sucesso: <IDs dos resultados recuperados>" Se um erro for informado para um dos IDs, o objeto de resposta terá resultados apenas para os IDs válidos. Verifique se o objeto de resposta não tinha alguns dos IDs e imprima uma mensagem adequada.
A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão ou outro, for informado : "Erro ao executar a ação "Get Findings". Motivo: {0}''.format(error.Stacktrace)" |
Geral |
| Tabela do painel de casos | Observação:se existir. Colunas da tabela:
|
Geral |
Receber todas as listas de IPs confiáveis
Descrição
Recebe todas as listas de IPs confiáveis (IPSets) do serviço GuardDuty especificadas pelo ID do detector.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | Especifique o ID do detector que deve ser usado para listar conjuntos de IPs. Esse parâmetro pode ser encontrado na guia "Configurações". |
| Max Trusted IP Lists To Return | Número inteiro | 50 | Não | Especifique o número de listas de IPs confiáveis a serem retornadas. |
| Região da AWS | String | N/A | Não | Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Resultado JSON
{
"IpSetIds": ['', '' , '']
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os conjuntos disponíveis forem listados (is_success=true): "As listas de IPs confiáveis disponíveis foram recuperadas." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal ou do SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber todas as listas de IPs confiáveis". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Receber uma lista de IPs confiáveis
Descrição
Receba detalhes sobre uma lista de IPs confiáveis no Amazon GuardDuty.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | Especifique o ID do detector que deve ser usado para receber um conjunto de IPs. Esse parâmetro pode ser encontrado na guia "Configurações". |
| IDs de lista de IPs confiáveis | CSV | N/A | Sim | Especifique a lista separada por vírgulas de IDs para conjuntos de IPs, como
|
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Resultado JSON
{
"ip_set_id": {
"Format": "response['Format']",
"Location": "response['Location']",
"Name": "response['Name']",
"Status": "response['Status']"
}
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os detalhes forem retornados com sucesso (is_success=true): "Os detalhes das seguintes listas de IPs confiáveis do Amazon GuardDuty foram recuperados:\n{0}.".format(list_of_ids)" Se não for bem-sucedido para alguns dos IDs (is_success=true): "Não foi possível recuperar detalhes sobre as seguintes listas de IPs confiáveis do Amazon GuardDuty:\n{0}.".format(list_of_ids) Se nenhum ID for usado (is_success=false): "Nenhum detalhe foi recuperado sobre as listas de IPs confiáveis fornecidas".format(list_of_ids) A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Trusted IP Lists". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| CSV | Nome da tabela:detalhes das listas de IP confiáveis Colunas da tabela:
|
Geral |
Atualizar uma lista de IPs confiáveis
Descrição
Atualizar uma lista de IPs confiáveis no Amazon GuardDuty.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | Especifique o ID do detector que deve ser usado para atualizar uma lista de IPs confiáveis. Esse parâmetro pode ser encontrado na guia "Configurações". |
| ID da lista de IPs confiáveis | String | N/A | Sim | Especifique o ID da lista de IPs confiáveis que precisa ser atualizada. |
| Nome | String | N/A | Não | Especifique o novo nome da lista de IPs confiáveis. |
| Local do arquivo | String | https://s3.amazonaws.com/{bucket-name}/file.txt |
Não | Especifique um novo local de URI, onde o arquivo está localizado. |
| Ativar | Caixa de seleção | Selecionado | Sim | Se ativada, a lista de IPs confiáveis será ativada. |
| Região da AWS | String | N/A | Não | Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração. |
Data de execução
Essa ação não é executada em entidades.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Resultado JSON
N/A
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se um conjunto for atualizado (is_success=true): "A lista de IPs confiáveis '{0}' foi atualizada no Amazon GuardDuty.".format(ID da ameaça) Se não for possível atualizar um conjunto (is_success=false): "Não foi possível atualizar a lista de IPs confiáveis '{0}' no Amazon GuardDuty.".format(ID da ameaça) A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Atualizar lista de IPs confiáveis". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Criar uma lista de IPs confiáveis
Cria uma nova lista de endereços IP confiáveis (IPSet) que estavam na lista dinâmica para comunicação segura com a infraestrutura e os aplicativos da AWS.
O GuardDuty não gera descobertas para endereços IP incluídos em IPSets. Apenas usuários da conta de administrador podem usar essa operação.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | Especifique o ID do detector que deve ser usado para criar uma lista de IPs confiáveis. Esse parâmetro pode ser encontrado na guia Configurações. |
| Nome | String | N/A | Sim | Especifique o nome da lista de IPs confiáveis. |
| Formato do arquivo | DDL | Texto simples | Sim | Selecione o formato do arquivo que será usado para criar uma lista de IPs confiáveis. Valores possíveis:
|
| Local do arquivo | String | https://s3.amazonaws.com/{bucket-name}/file.txt |
Sim | Especifique o local do URI, onde o arquivo está localizado. |
| Ativar | Caixa de seleção | Selecionado | Sim | Se ativada, a lista de IPs confiáveis recém-criada será ativada. |
| Região da AWS | String | N/A | Não | Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Resultado JSON
{
"TrustedIPID": "TRUSTED_IP_ID"
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se um conjunto for criado com sucesso (is_success=true): "A nova lista de IPs confiáveis '{0}' foi criada com sucesso no Amazon GuardDuty.".format(Name) Se não for possível criar um conjunto (is_success=false): "Não foi possível criar a nova lista de IPs confiáveis "{0}" no Amazon GuardDuty.".format(name)" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Criar lista de IPs confiáveis". Motivo: {0}''.format(error.Stacktrace)" |
Geral |
Listar conjuntos de inteligência contra ameaças
Liste os conjuntos de informações sobre ameaças disponíveis no Amazon GuardDuty.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | Especifique o ID do detector que deve ser usado para listar conjuntos de inteligência de ameaças. Esse parâmetro pode ser encontrado na guia "Configurações". |
| Número máximo de conjuntos de Threat Intelligence a serem retornados | Número inteiro | 50 | Não | Especifique o número de conjuntos de inteligência de ameaças a serem retornados. |
| Região da AWS | String | N/A | Não | Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Resultado JSON
{
"ThreatIntelSetIds": ["14ba8b942b76c1be6d985715eb7443eb",
"32ba8b92e553fe04d06dab543ed57a70",
"8aba8b93ba6e08e8fd5349b2c2b57709"
]
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a listagem dos conjuntos disponíveis for concluída (is_success=true) : "A listagem dos conjuntos de inteligência de ameaças disponíveis foi concluída." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Threat Intelligence Sets". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Receber detalhes do conjunto de inteligência contra ameaças
Recebe detalhes sobre um conjunto de inteligência de ameaças no Amazon GuardDuty.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | Especifique o ID do detector que deve ser usado para receber detalhes dos conjuntos de inteligência de ameaças. Esse parâmetro pode ser encontrado na guia "Configurações". |
| IDs de conjuntos de inteligência contra ameaças | String | 50 | Sim | Especifique a lista separada por vírgulas de IDs dos conjuntos de inteligência de ameaças. Exemplo: id_1,id_2 |
| Região da AWS | String | N/A | Não | Se quiser, especifique a região da AWS a ser usada na ação, que pode ser diferente da região padrão especificada na página de configuração da integração. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Resultado JSON
{
"Format": "TXT",
"Location": "https: //example.s3.amazonaws.com/test.txt",
"Name": "API Test",
"ResponseMetadata": {
"HTTPHeaders": {
"connection": "keep-alive",
"content-length": "149",
"content-type": "application/json",
"date": "Mon,19 Oct 2020 06: 23: 22 GMT",
"x-amz-apigw-id": "ID",
"x-amzn-requestid": "REQUEST_ID",
"x-amzn-trace-id": "TRACE_ID"
},
"HTTPStatusCode": 200,
"RequestId": "REQUEST_ID",
"RetryAttempts": 0
},
"Status": "ERROR",
"Tags": {}
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os detalhes forem retornados com sucesso sobre pelo menos um conjunto (is_success=true): "Os detalhes sobre os seguintes conjuntos de inteligência de ameaças do Amazon GuardDuty foram recuperados com sucesso:\n{0}.".format(list_of_ids)" Se não for possível para alguns dos IDs (is_success=true): "Não foi possível recuperar detalhes sobre os seguintes conjuntos de inteligência de ameaças do Amazon GuardDuty:\n{0}.".format(list_of_ids)" Se nenhum ID for usado: "Nenhum detalhe foi recuperado sobre os conjuntos de inteligência contra ameaças fornecidos.".format(list_of_ids) A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Threat Intelligence Sets". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| CSV | Nome da tabela:detalhes do conjunto de inteligência contra ameaças Coluna da tabela:
|
Criar conjunto de Threat Intelligence
Crie um conjunto de inteligência contra ameaças no Amazon GuardDuty.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | Especifique o ID do detector que deve ser usado para criar um conjunto de inteligência contra ameaças. Esse parâmetro pode ser encontrado na guia "Configurações". |
| Nome | String | N/A | Sim | Especifique o nome do conjunto de inteligência de ameaças. |
| Formato do arquivo | DDL | Texto simples Valores possíveis:
|
Sim | Selecione o formato do arquivo usado para criar um conjunto de inteligência de ameaças. |
| Local do arquivo | String | https://s3.amazonaws.com/{bucket-name}/file.txt |
Sim | Especifique o local do URI, onde o arquivo está localizado. |
| Ativo | Caixa de seleção | Selecionado | Sim | Se ativada, o conjunto de inteligência de ameaças recém-criado será ativado. |
| Tags | CSV | N/A | Não | Especifique outras tags que precisam ser adicionadas ao conjunto de inteligência contra ameaças. Formato: key_1:value_1,key_2:value_1 |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Resultado JSON
{
"ThreatIntelSetId": "b6f0c884a54449cc8e29eed3094e9c31"
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se um conjunto for criado com sucesso (is_success=true): "O conjunto de inteligência contra ameaças '{0}' foi criado com sucesso no Amazon GuardDuty.".format(Name) Se não for possível criar um conjunto (is_success=false): "Não foi possível criar o conjunto de inteligência de ameaças '{0}' no Amazon GuardDuty.".format(name) A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Criar conjunto de inteligência de ameaças". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Atualizar conjunto de inteligência contra ameaças
Atualiza um conjunto de inteligência contra ameaças no Amazon GuardDuty.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do detector | String | N/A | Sim | Especifique o ID do detector que deve ser usado para atualizar um conjunto de inteligência contra ameaças. Esse parâmetro pode ser encontrado na guia Configurações. |
| ID | String | N/A | Sim | Especifique o ID do conjunto de Threat Intelligence que precisa ser atualizado. |
| Nome | String | N/A | Não | Especifique o novo nome do conjunto de inteligência de ameaças. |
| Local do arquivo | String | https://s3.amazonaws.com/{bucket-name}/file.txt |
Não | Especifique um novo local de URI, onde o arquivo está localizado. |
| Ativo | Caixa de seleção | Selecionado | Sim | Se ativada, o conjunto de inteligência de ameaças será ativado. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se um conjunto for atualizado com êxito (is_success=true): "O conjunto de inteligência de ameaças '{0}' foi atualizado no Amazon GuardDuty.".format(Threat ID) Se não for possível atualizar um conjunto (is_success=false): "Não foi possível atualizar o conjunto de inteligência de ameaças '{0}' no Amazon GuardDuty.".format(ID da ameaça) A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal ou de SDK, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Atualizar conjunto de inteligência de ameaças". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Excluir conjunto de Threat Intelligence
Exclui um conjunto de inteligência contra ameaças no Amazon GuardDuty.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | Marca-d'água | É obrigatório | Descrição |
|---|---|---|---|---|---|
| ID do detector | String | N/A | N/A | Sim | Especifique o ID do detector que deve ser usado para receber detalhes dos conjuntos de inteligência de ameaças. Esse parâmetro pode ser encontrado na guia "Configurações". |
| IDs de conjuntos de inteligência contra ameaças | CSV | N/A | N/A | Sim | Especifique a lista separada por vírgulas de IDs dos conjuntos de inteligência de ameaças. Exemplo: id_1,id_2 |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success=False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os detalhes forem retornados com sucesso em pelo menos um conjunto (is_success=true): "Os seguintes conjuntos de inteligência de ameaças foram excluídos com sucesso no Amazon GuardDuty:\n{0}.".format(list_of_ids) Se não for possível excluir alguns dos IDs (is_success=true) : "Não foi possível excluir os seguintes conjuntos de inteligência de ameaças no Amazon GuardDuty:\n{0}.".format(list_of_ids) Se nenhum ID for usado: "Nenhum conjunto de inteligência contra ameaças foi excluído.".format(list_of_ids) A ação precisa falhar e interromper a execução de um playbook: Um ID de detector inválido também precisa gerar uma exceção, interromper o playbook e definir "is_success" como "false". Se for um erro fatal ou de SDK, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Excluir conjuntos de inteligência de ameaças". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Conectores
Para saber mais sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
AWS GuardDuty: conector de descobertas
Extraia descobertas do Amazon GuardDuty.
Entradas do conector
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim |
O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
| Nome do campo de evento | String | Tipo | Sim | O nome do campo que determina o nome do evento (subtipo). |
| Nome do campo de ambiente | String | "" | Não | O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. |
Environment Regex Pattern |
String | .* | Não |
Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. |
| ID da chave de acesso da AWS | String | N/A | Sim | ID da chave de acesso da AWS a ser usado na integração. |
| Chave secreta da AWS | Senha | N/A | Sim | Chave secreta da AWS a ser usada na integração. |
| Região padrão da AWS | String | N/A | Sim | Região padrão da AWS a ser usada na integração. Exemplo: us-west-2 |
| ID do detector | String | N/A | Sim | ID do detector. Ela está na guia Configurações. |
| Menor gravidade a ser buscada | Número inteiro | 1 | Sim | A menor gravidade dos alertas a serem recuperados. Se você não configurar esse parâmetro, o conector vai ingerir alertas com todos os níveis de gravidade. Os valores possíveis estão no intervalo de Observação:o Amazon GuardDuty mapeia o valor inteiro na seguinte ordem:
|
| Buscar horas máximas para trás | Número inteiro | 1 | Não | O número de horas antes do momento atual para recuperar descobertas.
Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. |
| Número máximo de descobertas a serem buscadas | Número inteiro | 50 | Não | Número de descobertas a serem processadas por iteração de conector. Máximo: 50 Essa é uma limitação do GuardDuty. |
Use whitelist as a blacklist |
Caixa de seleção | Desmarcado | Sim | Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras do conector
O conector é compatível com proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.