本頁面由 Cloud Translation API 翻譯而成。

整合 Amazon GuardDuty 與 Google SecOps

本文說明如何將 Amazon GuardDuty 與 Google Security Operations (Google SecOps) 整合。

整合版本：8.0

必要條件

如果您需要整合功能的唯讀存取權 (例如執行連接器)，請使用 AmazonGuardDutyReadOnlyAccess 政策。

如要完整存取所有整合功能，請使用 AmazonGuardDutyFullAccess 政策。

如要瞭解如何使用政策，請參閱「AWS 受管理政策」。

整合參數

請使用下列參數設定整合：

參數名稱	類型	預設值	為必填項目	說明
AWS 存取金鑰 ID	字串	不適用	是	用於整合的 AWS 存取金鑰 ID。
AWS 密鑰	密碼	不適用	是	用於整合的 AWS 私密金鑰。
AWS 預設區域	字串	不適用	是	要在整合中使用的 AWS 預設區域，例如 us-west-1。
遠端執行	核取方塊	已取消勾選	否	勾選這個欄位，即可遠端執行設定的整合項目。勾選後，系統會顯示選取遠端使用者 (服務專員) 的選項。

如需在 Google SecOps 中設定整合功能的操作說明，請參閱「設定整合功能」。

如有需要，您可以在稍後階段進行變更。設定整合執行個體後，您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體，請參閱「支援多個執行個體」。

用途

使用應對手冊或手動動作，偵測及管理 AWS 系統中的威脅。
擷取 Amazon GuardDuty 發現項目，然後移至 GuardDuty 封存。

動作

如要進一步瞭解動作，請參閱「從工作台回覆待處理動作」和「執行手動動作」。

乒乓

測試與 Amazon GuardDuty 的連線。

參數

無

執行日期

這項動作不會在實體上執行，也沒有強制輸入參數。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

案件總覽

結果類型	說明	類型
輸出訊息*	如果成功：「Successfully connected to the AWS GuardDuty server with the provided connection parameters!」(已使用提供的連線參數，成功連線至 AWS GuardDuty 伺服器！) 否則：「Failed to connect to the AWS if successful: "Successfully connected to the AWS GuardDuty server with the provided connection parameters!"」(連線至 AWS 失敗，如果成功則會顯示：「Successfully connected to the AWS GuardDuty server with the provided connection parameters!」(已使用提供的連線參數成功連線至 AWS GuardDuty 伺服器！)) 否則：「Failed to connect to the AWS GuardDuty server! 錯誤：{0}	一般

結果類型

說明

類型

輸出訊息*

如果成功： 「Successfully connected to the AWS GuardDuty server with the provided connection parameters!」(已使用提供的連線參數，成功連線至 AWS GuardDuty 伺服器！)

否則： 「Failed to connect to the AWS if successful: "Successfully connected to the AWS GuardDuty server with the provided connection parameters!"」(連線至 AWS 失敗，如果成功則會顯示：「Successfully connected to the AWS GuardDuty server with the provided connection parameters!」(已使用提供的連線參數成功連線至 AWS GuardDuty 伺服器！))

否則： 「Failed to connect to the AWS GuardDuty server! 錯誤：{0}

一般

建立偵測器

建立單一 Amazon GuardDuty 偵測器。偵測器是代表 GuardDuty 服務的資源。每個帳戶在每個區域只能有一個偵測器。

參數

參數名稱	類型	預設值	為必填項目	說明
啟用	核取方塊	已取消勾選	是	指定是否要啟用偵測器。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：成功：「已建立偵測器 <新偵測器 ID>。」如果偵測器未建立 (is_success=false)：「Action wasn't able to create a detector. 原因：目前帳戶已有偵測器。如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to create a detector. Error: {}".format (ErrorMessage)" 動作應會失敗並停止執行應對手冊：無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線或其他錯誤)：「執行『建立偵測器』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

成功：「已建立偵測器 <新偵測器 ID>。」

如果偵測器未建立 (is_success=false)：「Action wasn't able to create a detector. 原因：目前帳戶已有偵測器。

如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to create a detector. Error: {}".format (ErrorMessage)"

動作應會失敗並停止執行應對手冊：

無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線或其他錯誤)：「執行『建立偵測器』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)

一般

刪除偵測工具

刪除偵測工具 ID 指定的 Amazon GuardDuty 偵測工具。

參數

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	要刪除的偵測工具專屬 ID。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果偵測工具未刪除 (is_success=false)：「Action wasn't able to delete <detector_ID> detector. Error: {}".format(ErrorMessage)" 如果偵測器已成功刪除 (is_success=true)：「已刪除偵測器 <偵測器 ID>。」動作應會失敗並停止執行應對手冊：無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線、其他錯誤)：「Error executing action "Delete a Detector" (執行「刪除偵測器」動作時發生錯誤)。原因：{0}''.format(error.Stacktrace)	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果偵測工具未刪除 (is_success=false)： 「Action wasn't able to delete <detector_ID> detector. Error: {}".format(ErrorMessage)"

如果偵測器已成功刪除 (is_success=true)：「已刪除偵測器 <偵測器 ID>。」

動作應會失敗並停止執行應對手冊：

無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線、其他錯誤)：「Error executing action "Delete a Detector" (執行「刪除偵測器」動作時發生錯誤)。原因：{0}''.format(error.Stacktrace)

一般

更新偵測器

更新偵測工具 ID 指定的 Amazon GuardDuty 偵測工具。

參數

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	要更新的偵測器專屬 ID。
啟用	核取方塊	已取消勾選	否	指定是否要啟用偵測器。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to create a detector. Error: {}".format(ErrorMessage)" 如果偵測器已成功更新 (is_success=true)：「偵測器 <偵測器 ID> 已更新。」動作應會失敗並停止執行應對手冊：無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線、其他錯誤)：「執行『更新偵測器』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to create a detector. Error: {}".format(ErrorMessage)"

如果偵測器已成功更新 (is_success=true)：「偵測器 <偵測器 ID> 已更新。」

動作應會失敗並停止執行應對手冊：

無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線、其他錯誤)：「執行『更新偵測器』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)

一般

取得偵測工具詳細資料

擷取偵測工具 ID 指定的 Amazon GuardDuty 偵測工具。

參數

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	要擷取的偵測器專屬 ID。逗號分隔值。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

JSON 結果

{
   "DetectorId": "DETECTOR_ID",
   "CreatedAt": "response['CreatedAt']",
   "ServiceRole": "response['ServiceRole']",
   "Status": "response['Status']",
   "UpdatedAt": "response['UpdatedAt']",
}

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功：「Successfully retrieved information about <Indicator ID > indicator.」(已成功擷取<指標 ID> 指標的相關資訊)。注意：如果系統找到部分偵測工具 ID，但未找到其他 ID，則會根據相關偵測工具 ID 顯示這兩則訊息。動作應會失敗並停止執行應對手冊：無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。如果系統回報致命錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線或發生其他錯誤)：「執行『取得偵測器詳細資料』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)	一般
CSV 表格	表格標題：偵測器詳細資料資料表資料欄：偵測工具 ID 狀態服務角色建立時間更新時間	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：「Successfully retrieved information about <Indicator ID > indicator.」(已成功擷取<指標 ID> 指標的相關資訊)。

注意：如果系統找到部分偵測工具 ID，但未找到其他 ID，則會根據相關偵測工具 ID 顯示這兩則訊息。

動作應會失敗並停止執行應對手冊：

無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。

如果系統回報致命錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線或發生其他錯誤)：「執行『取得偵測器詳細資料』動作時發生錯誤。原因：{0}''.format(error.Stacktrace)

一般

CSV 表格

表格標題：偵測器詳細資料

資料表資料欄：

偵測工具 ID
狀態
服務角色
建立時間
更新時間

一般

列出偵測工具

列出所有現有 Amazon GuardDuty 偵測器資源的 detectorId。

參數

參數名稱	類型	預設值	為必填項目	說明
要傳回的偵測工具數量上限	整數	50	否	指定要傳回的偵測器數量。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

JSON 結果

{
    "detectorIds": ["ID1,ID2"]
}

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果系統回報 200 狀態碼 (is_success=true)：「Successfully listed available detectors in Amazon GuardDuty. 指標 ID：<value>」如果回報其他狀態碼 (is_success=false)：「動作無法列出可用的偵測器」動作應會失敗並停止執行應對手冊：如果系統回報致命錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「執行動作『列出偵測器』時發生錯誤。原因：{0}''.format(error.Stacktrace)	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果系統回報 200 狀態碼 (is_success=true)：「Successfully listed available detectors in Amazon GuardDuty. 指標 ID：<value>」

如果回報其他狀態碼 (is_success=false)：「動作無法列出可用的偵測器」

動作應會失敗並停止執行應對手冊：

如果系統回報致命錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「執行動作『列出偵測器』時發生錯誤。原因：{0}''.format(error.Stacktrace)

一般

列出偵測工具的發現項目

列出指定偵測工具 ID 的所有 Amazon GuardDuty 發現項目。

參數

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	要擷取的偵測器專屬 ID。
要傳回的調查結果數量上限	整數	50	否	指定要傳回的偵測器數量。
排序依據	字串	不適用	否	代表要用來排序發現項目的發現項目屬性 (例如 accountId)。
排序依據	DDL	遞增可能的值包括：遞增遞減	否	顯示排序後結果的順序。
AWS 區域	字串	不適用	否	您可以選擇在動作中指定要使用的 AWS 區域，這與整合設定頁面中指定的預設區域不同。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

JSON 結果

{"FindingIds": ["10ba96ae50733ae38b9cae95431b7558"]}

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗並停止應對手冊執行作業：如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to get findings for <detector ID> detector. Error: {}".format(ErrorMessage)" 如果成功：「Successfully retrieved available findings IDs for detector {detector ID}」(已成功擷取偵測器 {detector ID} 的可用發現項目 ID) 動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線、其他錯誤)：「Error executing action "List Findings for a Detector". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗並停止應對手冊執行作業：

如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to get findings for <detector ID> detector. Error: {}".format(ErrorMessage)"

如果成功：「Successfully retrieved available findings IDs for detector {detector ID}」(已成功擷取偵測器 {detector ID} 的可用發現項目 ID)

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線、其他錯誤)：「Error executing action "List Findings for a Detector". 原因：{0}''.format(error.Stacktrace)

一般

封存發現項目

封存以發現項目 ID 指定的 GuardDuty 發現項目。

參數

參數名稱	類型	預設值	為必填項目	說明
發現項目 ID	字串	不適用	是	要擷取的發現項目 ID。以半形逗號分隔的 ID。
偵測工具 ID	字串	不適用	是	偵測器的專屬 ID
AWS 區域	字串	不適用	否	您可以選擇在動作中指定要使用的 AWS 區域，這與整合設定頁面中指定的預設區域不同。

參數名稱

類型

預設值

為必填項目

說明

發現項目 ID

字串

不適用

是

要擷取的發現項目 ID。

以半形逗號分隔的 ID。

偵測工具 ID

字串

不適用

是

偵測器的專屬 ID

AWS 區域

字串

不適用

否

您可以選擇在動作中指定要使用的 AWS 區域，這與整合設定頁面中指定的預設區域不同。

AWS IAM 政策權限：

效果：允許
動作：guardduty:ArchiveFindings

只有管理員帳戶可以封存調查結果。成員帳戶沒有權限從自己的帳戶封存調查結果。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to archive Findings. Error: {}".format(ErrorMessage). 請確認所有發現 ID 皆正確無誤。」如果成功：「已成功封存發現項目」→ 改為「已成功封存下列發現項目：<ID>」如果發現一或多個無效的 ID，動作不應失敗，但 is_success 應設為 false：「Couldn't archive the following findings: <ids>」(無法封存下列發現事項：<ids>) 注意：錯誤代碼不得為其中一個 ID。如果發現 ID 錯誤，系統會擲回例外狀況，並顯示以下錯誤：「When calling the ArchiveFindings operation (reached max retries: 4): Internal server error.」(呼叫 ArchiveFindings 作業時 (已達重試次數上限：4)：發生內部伺服器錯誤。) 同樣地：請先檢查發現項目是否有效。已成功封存下列發現項目： 88bac20f959084244a2b91778d12e883 無法封存下列發現項目： 1abac689941ae6f3e3e24d02ac4cf612 動作應會失敗並停止執行應對手冊：無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線或其他錯誤)：「執行『封存結果』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace)"	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to archive Findings. Error: {}".format(ErrorMessage). 請確認所有發現 ID 皆正確無誤。」

如果成功：「已成功封存發現項目」→ 改為「已成功封存下列發現項目：<ID>」

如果發現一或多個無效的 ID，動作不應失敗，但 is_success 應設為 false：「Couldn't archive the following findings: <ids>」(無法封存下列發現事項：<ids>)

注意：錯誤代碼不得為其中一個 ID。如果發現 ID 錯誤，系統會擲回例外狀況，並顯示以下錯誤：「When calling the ArchiveFindings operation (reached max retries: 4): Internal server error.」(呼叫 ArchiveFindings 作業時 (已達重試次數上限：4)：發生內部伺服器錯誤。)

同樣地：請先檢查發現項目是否有效。

已成功封存下列發現項目： 88bac20f959084244a2b91778d12e883

無法封存下列發現項目： 1abac689941ae6f3e3e24d02ac4cf612

動作應會失敗並停止執行應對手冊：

無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線或其他錯誤)：「執行『封存結果』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace)"

一般

取消封存發現項目

擷取由發現項目 ID 指定的 GuardDuty 發現項目。

參數

參數名稱	類型	預設值	為必填項目	說明
發現項目 ID	字串	不適用	是	要擷取的發現項目 ID。逗號分隔值。
偵測工具 ID	字串	不適用	是	偵測器的專屬 ID。

AWS IAM 政策權限：

效果：允許
動作：guardduty:UnarchiveFindings

只有管理員帳戶可以封存調查結果。成員帳戶沒有權限從自己的帳戶封存調查結果。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功：「已成功封存下列發現項目：<ids>」如果發現一或多個無效的 ID，動作不應失敗，但 is_success 應設為 false：「Couldn't unarchive the following findings: <ids>」動作應會失敗並停止執行應對手冊：無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線或其他錯誤)：「Error executing action "Unarchive Findings". Reason: {0}''.format(error.Stacktrace)" 注意：錯誤代碼不得為其中一個 ID。如果發現 ID 錯誤，系統會擲回例外狀況，並顯示以下錯誤：「When calling the ArchiveFindings operation (reached max retries: 4): Internal server error.」(呼叫 ArchiveFindings 作業時 (已達重試次數上限：4)：發生內部伺服器錯誤。) 同樣地：請先檢查發現項目是否有效。已成功封存下列發現項目： 88bac20f959084244a2b91778d12e883 無法封存下列發現項目： 1abac689941ae6f3e3e24d02ac4cf612	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：「已成功封存下列發現項目：<ids>」

如果發現一或多個無效的 ID，動作不應失敗，但 is_success 應設為 false：「Couldn't unarchive the following findings: <ids>」

動作應會失敗並停止執行應對手冊：

無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線或其他錯誤)：「Error executing action "Unarchive Findings". Reason: {0}''.format(error.Stacktrace)"

同樣地：請先檢查發現項目是否有效。

已成功封存下列發現項目： 88bac20f959084244a2b91778d12e883

無法封存下列發現項目： 1abac689941ae6f3e3e24d02ac4cf612

一般

建立範例發現項目

根據發現項目清單，產生指定類型的範例發現項目。

參數

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	偵測器的專屬 ID，用於建立樣本結果。
發現項目類型	字串	不適用	否	要產生的樣本發現項目類型。逗號分隔值。您可以在 UI 的「發現項目」部分，查看「發現項目類型」資料欄中的類型。

參數名稱

類型

預設值

為必填項目

說明

偵測工具 ID

字串

不適用

是

偵測器的專屬 ID，用於建立樣本結果。

發現項目類型

字串

不適用

否

要產生的樣本發現項目類型。逗號分隔值。

您可以在 UI 的「發現項目」部分，查看「發現項目類型」資料欄中的類型。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to create sample findings. Error: {}".format(ErrorMessage)" 如果成功：「Successfully created sample findings」(已成功建立範例結果) 如果其中一個輸入內容 (發現類型) 無效，請擷取下列例外狀況：「The request is rejected because an invalid or out-of-range value is specified as an input parameter.」(要求遭拒，因為輸入參數指定的值無效或超出範圍)。set, is_sucess=false:「Action wasn't able to create sample findings because an invalid value was found as Finding Types parameter.」(動作無法建立樣本發現，因為發現類型參數的值無效)。更新：如果發現類型無效，動作應會失敗，並顯示以下訊息：「Action wasn't able to create sample findings because an invalid value was found as Finding Types parameter. 錯誤：<traceback> 無效的發現類型 + 無效的偵測工具 → 動作應會失敗，is_success=false 多個發現項目 - 無效 + 無效 - 動作仍會失敗！動作應會失敗並停止執行應對手冊：無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線、其他錯誤)：「執行動作『建立範例結果』時發生錯誤。原因：{0}''.format(error.Stacktrace)	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to create sample findings. Error: {}".format(ErrorMessage)"

如果成功：「Successfully created sample findings」(已成功建立範例結果)

如果其中一個輸入內容 (發現類型) 無效，請擷取下列例外狀況：「The request is rejected because an invalid or out-of-range value is specified as an input parameter.」(要求遭拒，因為輸入參數指定的值無效或超出範圍)。set, is_sucess=false:「Action wasn't able to create sample findings because an invalid value was found as Finding Types parameter.」(動作無法建立樣本發現，因為發現類型參數的值無效)。

更新：如果發現類型無效，動作應會失敗，並顯示以下訊息：「Action wasn't able to create sample findings because an invalid value was found as Finding Types parameter. 錯誤：<traceback>

無效的發現類型 + 無效的偵測工具 → 動作應會失敗，is_success=false
多個發現項目 - 無效 + 無效 - 動作仍會失敗！

動作應會失敗並停止執行應對手冊：

無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線、其他錯誤)： 「執行動作『建立範例結果』時發生錯誤。原因：{0}''.format(error.Stacktrace)

一般

更新發現項目意見回饋

將指定的 Amazon GuardDuty 發現項目標示為實用或不實用。

參數

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	與要更新意見回饋的發現項目相關聯的偵測器專屬 ID。
實用嗎？	核取方塊	已取消勾選	是	調查結果的意見回饋。
發現項目 ID	字串	不適用	是	要標示為實用或不實用的發現項目 ID。逗號分隔值。
註解	字串	不適用	否	有關 GuardDuty 發現項目的其他意見。
AWS 區域	字串	不適用	否	您可以選擇在動作中指定要使用的 AWS 區域，這與整合設定頁面中指定的預設區域不同。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to update findings feedback. Error: {}".format(ErrorMessage) 如果成功：「Findings feedback was updated.」(已更新調查結果意見回饋)。如果其中一個發現項目 ID 發生錯誤/找不到，回應物件仍會傳回空白回應，即使其中一個 ID 不存在也一樣。如果找不到發現項目：「無法更新意見回饋。<finding id> 無效。」動作應會失敗並停止執行應對手冊：無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。如果系統回報致命錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線、其他錯誤)：「執行動作『更新調查結果意見回饋』時發生錯誤。Reason: {0}''.format(error.Stacktrace)"	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to update findings feedback. Error: {}".format(ErrorMessage)

如果成功：「Findings feedback was updated.」(已更新調查結果意見回饋)。

如果其中一個發現項目 ID 發生錯誤/找不到，回應物件仍會傳回空白回應，即使其中一個 ID 不存在也一樣。

如果找不到發現項目：「無法更新意見回饋。<finding id> 無效。」

動作應會失敗並停止執行應對手冊：

無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。

如果系統回報致命錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線、其他錯誤)：「執行動作『更新調查結果意見回饋』時發生錯誤。Reason: {0}''.format(error.Stacktrace)"

一般

刪除信任的 IP 清單

刪除 ID 指定的 IPSet。

參數

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	指定用於刪除 IP 集的偵測工具 ID。這個參數位於「設定」分頁。
信任的 IP 清單 ID	字串	不適用	是	指定以半形逗號分隔的 IP 集 ID 清單。範例：id_1,id_2

參數名稱

類型

預設值

為必填項目

說明

偵測工具 ID

字串

不適用

是

指定用於刪除 IP 集的偵測工具 ID。

這個參數位於「設定」分頁。

信任的 IP 清單 ID

字串

不適用

是

指定以半形逗號分隔的 IP 集 ID 清單。

範例：id_1,id_2

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功 (is_success=true)：「Successfully deleted the following Trusted IP lists: <ids>」(已成功刪除下列信任的 IP 清單：<ID>) 如果部分 ID 未成功 (is_success=true)：「Action wasn't able to delete the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids)" 動作應會失敗並停止執行應對手冊：無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「執行『刪除信任的 IP 位址清單』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace"	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功 (is_success=true)：「Successfully deleted the following Trusted IP lists: <ids>」(已成功刪除下列信任的 IP 清單：<ID>)

如果部分 ID 未成功 (is_success=true)：「Action wasn't able to delete the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids)"

動作應會失敗並停止執行應對手冊：

無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「執行『刪除信任的 IP 位址清單』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace"

一般

取得發現項目詳細資料

傳回 AWS Guard Duty 中發現項目的詳細資訊。

參數

參數名稱	類型	預設值	為必填項目	說明
發現項目 ID	字串	不適用	是	要擷取的發現項目 ID。以半形逗號分隔的 ID。
偵測工具 ID	字串	不適用	是	要擷取的偵測器專屬 ID。
AWS 區域	字串	不適用	否	您可以選擇在動作中指定要使用的 AWS 區域，這與整合設定頁面中指定的預設區域不同。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

JSON 結果

{
    "Findings": [{
        "AccountId": "ACCOUNT_ID",
        "Arn": "arn:aws:guardduty:us-east-1:ACCOUNT_ID:detector/DETECTOR_ID/finding/FINDING_ID",
        "CreatedAt": "2020-10-06T05:19:50.794Z",
        "Description": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.", "Id": "ID",
        "Partition": "aws",
        "Region": "us-east-1",
        "Resource": {
            "InstanceDetails": {
                "AvailabilityZone": "us-east-1e",
                "ImageId": "ami-IMAGE_ID",
                "InstanceId": "i-INSTANCE_ID",
                "InstanceState": "running",
                "InstanceType": "t2.micro",
                "LaunchTime": "2020-05-27T08:54:03Z", "NetworkInterfaces": [{
                    "Ipv6Addresses": [],
                    "NetworkInterfaceId": "eni-012d9b8a1a3b4e40a",
                    "PrivateDnsName": "ip-192.0.2.1.ec2.internal",
                    "PrivateIpAddress": "192.0.2.1",
                    "PrivateIpAddresses": [{
                        "PrivateDnsName": "ip-192.0.2.1.ec2.internal",
                        "PrivateIpAddress": "192.0.2.1"
                    }],
                    "PublicDnsName": "ec2-54-234-69-236.compute-1.amazonaws.com",
                    "PublicIp": "198.51.100.236",
                    "SecurityGroups": [{
                        "GroupId": "sg-0fa42e04e9cd15407",
                        "GroupName": "Windows Server 2016"
                    }],
                    "SubnetId": "subnet-2edddf10",
                    "VpcId": "vpc-48a7ac32"
                }],
                "Platform": "windows",
                "ProductCodes": [],
                "Tags": [{
                    "Key": "Name",
                    "Value": "CiscoAMP-win2012"
                }]},
            "ResourceType": "Instance"
        },
        "SchemaVersion": "2.0",
        "Service": {
            "Action": {
                "ActionType": "NETWORK_CONNECTION", "NetworkConnectionAction": {
                    "Blocked": false,
                    "ConnectionDirection": "INBOUND",
                    "LocalPortDetails": {
                        "Port": 3389, "PortName": "RDP"
                    },
                    "Protocol": "TCP",
                    "LocalIpDetails": {
                        "IpAddressV4": "192.0.2.1"
                    },
                    "RemoteIpDetails": {
                        "IpAddressV4": "203.0.113.9",
                        "Organization": {
                            "Asn": "24875",
                            "AsnOrg": "Example Inc.",
                            "Isp": "Example Inc.",
                            "Org": "Example Inc."
                        }},
                    "RemotePortDetails": {
                            "Port": 1549,
                        "PortName": "Unknown"
                    }}},
            "Archived": false,
            "Count": 5,
            "DetectorId": "DETECTOR_ID",
            "EventFirstSeen": "2020-10-06T05:10:58Z",
            "EventLastSeen": "2020-10-06T05:46:59Z",
            "ResourceRole": "TARGET",
            "ServiceName": "guardduty"
        },
        "Severity": 2,
        "Title": "203.0.113.9 is performing RDP brute force attacks against i-INSTANCE_ID.",
        "Type": "UnauthorizedAccess:EC2/RDPBruteForce",
        "UpdatedAt": "2020-10-06T06:01:46.380Z"
    }]
}

案件總覽

結果類型說明類型

輸出訊息*

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to get Findings details. Error: {}".format(ErrorMessage)" 如果成功：「Successfully retrieved information for the following findings <finding ids that retrieved >」(已成功擷取下列發現項目的資訊<擷取的發現項目 ID>) 如果系統回報其中一個 ID 發生錯誤，回應物件只會顯示有效 ID 的結果。檢查回應物件是否缺少部分 ID，並列印適當的訊息。 `E.g. data = ['4cba8180b5959ae56a3be24cc722aaaa', '6eba7eae0e24ffe28a4109f2594febff', '24ba6761dc4cf85cfc292bbadd1c2655']` `The first ID does not exist, therefore I will not get a result for that one. Output message:` `"Successfully retrieved information for the following findings: 6eba7eae0e24ffe28a4109f2594febff,24ba6761dc4cf85cfc292bbadd1c2655. Failed to retrieve information for the following findings: 4cba8180b5959ae56a3be24cc722aaaa` 動作應會失敗並停止執行應對手冊：如果系統回報致命錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線、其他錯誤)：「Error executing action "Get Findings". Reason: {0}''.format(error.Stacktrace)"	一般
案件總覽表格	注意：如有。資料表資料欄：發現項目 ID 標題說明類型嚴重性數量資源 ID 建立時間更新時間帳戶 ID	一般

動作不應失敗，也不應停止執行應對手冊：

如果系統回報「ErrorCode」(is_success=false)：「Action wasn't able to get Findings details. Error: {}".format(ErrorMessage)"

如果成功：「Successfully retrieved information for the following findings <finding ids that retrieved >」(已成功擷取下列發現項目的資訊<擷取的發現項目 ID>)

如果系統回報其中一個 ID 發生錯誤，回應物件只會顯示有效 ID 的結果。檢查回應物件是否缺少部分 ID，並列印適當的訊息。

E.g. data = ['4cba8180b5959ae56a3be24cc722aaaa', '6eba7eae0e24ffe28a4109f2594febff', '24ba6761dc4cf85cfc292bbadd1c2655']

The first ID does not exist, therefore I will not get a result for that one. Output message:

"Successfully retrieved information for the following findings: 6eba7eae0e24ffe28a4109f2594febff,24ba6761dc4cf85cfc292bbadd1c2655. Failed to retrieve information for the following findings: 4cba8180b5959ae56a3be24cc722aaaa

動作應會失敗並停止執行應對手冊：

如果系統回報致命錯誤或 SDK 錯誤 (例如憑證錯誤、沒有連線、其他錯誤)： 「Error executing action "Get Findings". Reason: {0}''.format(error.Stacktrace)"

一般

案件總覽表格

注意：如有。

資料表資料欄：

發現項目 ID
標題
說明
類型
嚴重性
數量
資源 ID
建立時間
更新時間
帳戶 ID

一般

取得所有受信任的 IP 清單

說明

取得偵測器 ID 指定的 GuardDuty 服務所有受信任 IP 清單 (IPSet)。

參數

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	指定用於列出 IP 集的偵測器 ID。這個參數位於「設定」分頁。
要傳回的信任 IP 清單數量上限	整數	50	否	指定要傳回的信任 IP 清單數量。
AWS 區域	字串	不適用	否	您可以選擇在動作中指定要使用的 AWS 區域，這與整合設定頁面中指定的預設區域不同。

參數名稱

類型

預設值

為必填項目

說明

偵測工具 ID

字串

不適用

是

指定用於列出 IP 集的偵測器 ID。

這個參數位於「設定」分頁。

要傳回的信任 IP 清單數量上限

整數

否

指定要傳回的信任 IP 清單數量。

AWS 區域

字串

不適用

否

您可以選擇在動作中指定要使用的 AWS 區域，這與整合設定頁面中指定的預設區域不同。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

JSON 結果

{
    "IpSetIds": ['', '' , '']
}

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功列出可用集合 (is_success=true)：「Successfully retrieved available Trusted IP lists」(已成功擷取可用的受信任 IP 清單)。動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「執行動作『取得所有信任的 IP 位址清單』時發生錯誤。原因：{0}''.format(error.Stacktrace)	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功列出可用集合 (is_success=true)：「Successfully retrieved available Trusted IP lists」(已成功擷取可用的受信任 IP 清單)。

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「執行動作『取得所有信任的 IP 位址清單』時發生錯誤。原因：{0}''.format(error.Stacktrace)

一般

取得信任的 IP 清單

說明

在 Amazon GuardDuty 中取得信任 IP 清單的詳細資料。

參數

參數名稱類型預設值為必填項目說明

偵測工具 ID

字串

不適用

是

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	指定要用於取得 IP 集的偵測器 ID。這個參數位於「設定」分頁。
信任的 IP 清單 ID	CSV	不適用	是	指定以逗號分隔的 IP 集 ID 清單，例如 `id_1,id_2`。

指定要用於取得 IP 集的偵測器 ID。

這個參數位於「設定」分頁。

信任的 IP 清單 ID

CSV

不適用

是

指定以逗號分隔的 IP 集 ID 清單，例如 id_1,id_2。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

JSON 結果

{
    "ip_set_id": {
        "Format": "response['Format']",
        "Location": "response['Location']",
        "Name": "response['Name']",
        "Status": "response['Status']"
        }
}

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功傳回詳細資料 (is_success=true)：「Successfully retrieved details about the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids)" 如果部分 ID 未成功 (is_success=true)：「Action wasn't able to retrieve details about the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids) 如果未使用任何 ID (is_success=false)：「No details were retrieved about the provided Trusted IP Lists」。format(list_of_ids) 動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「Error executing action "List Trusted IP Lists". 原因：{0}''.format(error.Stacktrace)	一般
CSV	表格名稱：受信任 IP 清單詳細資料資料表資料欄：名稱 (對應為「名稱」) 信任的 IP 清單 ID (來自動作參數) 位置 (對應為「位置」) 狀態 (對應為「狀態」)	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功傳回詳細資料 (is_success=true)：「Successfully retrieved details about the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids)"

如果部分 ID 未成功 (is_success=true)：「Action wasn't able to retrieve details about the following Trusted IP Lists from Amazon GuardDuty:\n{0}.".format(list_of_ids)

如果未使用任何 ID (is_success=false)：「No details were retrieved about the provided Trusted IP Lists」。format(list_of_ids)

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「Error executing action "List Trusted IP Lists". 原因：{0}''.format(error.Stacktrace)

一般

CSV

表格名稱：受信任 IP 清單詳細資料

資料表資料欄：

名稱 (對應為「名稱」)
信任的 IP 清單 ID (來自動作參數)
位置 (對應為「位置」)
狀態 (對應為「狀態」)

一般

更新信任的 IP 清單

說明

在 Amazon GuardDuty 中更新信任的 IP 清單。

參數

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	指定要用來更新信任的 IP 位址清單的偵測器 ID。這個參數位於「設定」分頁。
信任的 IP 清單 ID	字串	不適用	是	指定要更新的「信任的 IP 位址清單」ID。
名稱	字串	不適用	否	指定信任的 IP 清單的新名稱。
檔案位置	字串	`https://s3.amazonaws.com/{bucket-name}/file.txt`	否	指定檔案所在的新 URI 位置。
啟用	核取方塊	已勾選	是	啟用後，系統就會啟動「信任的 IP 清單」。
AWS 區域	字串	不適用	否	您可以選擇在動作中指定要使用的 AWS 區域，這與整合設定頁面中指定的預設區域不同。

執行日期

這項操作不會對實體執行。

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

JSON 結果

N/A

案件總覽

結果類型	說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功更新一組 (is_success=true)：「Successfully updated the trusted IP list '{0}' in Amazon GuardDuty.」。format(威脅 ID) 如果無法更新一組 (is_success=false)：「Action wasn't able to update the trusted IP list '{0}' in Amazon GuardDuty.」。format(威脅 ID) 動作應會失敗並停止執行應對手冊：如果系統回報致命錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「Error executing action "Update Trusted IP list"」(執行「更新信任的 IP 位址清單」動作時發生錯誤)。原因：{0}''.format(error.Stacktrace)	一般

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功更新一組 (is_success=true)：「Successfully updated the trusted IP list '{0}' in Amazon GuardDuty.」。format(威脅 ID)

如果無法更新一組 (is_success=false)：「Action wasn't able to update the trusted IP list '{0}' in Amazon GuardDuty.」。format(威脅 ID)

動作應會失敗並停止執行應對手冊：

如果系統回報致命錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「Error executing action "Update Trusted IP list"」(執行「更新信任的 IP 位址清單」動作時發生錯誤)。原因：{0}''.format(error.Stacktrace)

一般

建立信任的 IP 清單

建立新的信任 IP 位址清單 (IPSet)，該清單位於動態清單中，可與 AWS 基礎架構和應用程式進行安全通訊。

GuardDuty 不會針對 IPSets 中包含的 IP 位址產生發現項目。只有管理員帳戶的使用者可以執行這項操作。

參數

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	指定用於建立信任的 IP 位址清單的偵測工具 ID。這個參數位於「設定」分頁。
名稱	字串	不適用	是	指定信任的 IP 清單名稱。
檔案格式	DDL	純文字	是	選取要用來建立信任的 IP 位址清單的檔案格式。可能的值包括：純文字結構化威脅資訊表示 (STIX) 開啟 Open Threat Exchange (OTX) CSV 檔案 FireEye iSIGHT Threat Intelligence CSV Proofpoint ET Intelligence Feed CSV AlienVault Reputation Feed
檔案位置	字串	`https://s3.amazonaws.com/{bucket-name}/file.txt`	是	指定檔案所在的 URI 位置
啟用	核取方塊	已勾選	是	啟用後，系統會啟用新建立的「信任的 IP 清單」。
AWS 區域	字串	不適用	否	您可以選擇在動作中指定要使用的 AWS 區域，這與整合設定頁面中指定的預設區域不同。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

JSON 結果

{
    "TrustedIPID": "TRUSTED_IP_ID"
}

案件總覽

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功建立集合 (is_success=true)：「Successfully created new Trusted IP List '{0}' in Amazon GuardDuty.」。format(Name)

如果無法建立集合 (is_success=false)：「Action wasn't able to create new Trusted IP List '{0}' in Amazon GuardDuty.」。format(name)

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器或其他錯誤)：「執行動作『建立信任的 IP 位址清單』時發生錯誤。Reason: {0}''.format(error.Stacktrace)"

一般

列出威脅情報集

列出 Amazon GuardDuty 中可用的威脅情報集。

參數

參數名稱

類型

預設值

為必填項目

說明

偵測工具 ID

字串

不適用

是

指定用於列出威脅情報集的偵測器 ID。

這個參數位於「設定」分頁。

要傳回的威脅情報集數量上限

整數

否

指定要傳回的威脅情資集數量。

AWS 區域

字串

不適用

否

您可以選擇在動作中指定要使用的 AWS 區域，這與整合設定頁面中指定的預設區域不同。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

JSON 結果

{
    "ThreatIntelSetIds": ["14ba8b942b76c1be6d985715eb7443eb",
                       "32ba8b92e553fe04d06dab543ed57a70",
                       "8aba8b93ba6e08e8fd5349b2c2b57709"
                       ]
}

案件總覽

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功列出可用集合 (is_success=true)： 「Successfully listed available Threat Intelligence Sets.」(已成功列出可用的威脅情報集合)。

動作應會失敗並停止執行應對手冊：

如果系統回報致命錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「Error executing action "List Threat Intelligence Sets". 原因：{0}''.format(error.Stacktrace)

一般

取得威脅情報集詳細資料

取得 Amazon GuardDuty 中威脅情報集的詳細資料。

參數

參數名稱

類型

預設值

為必填項目

說明

偵測工具 ID

字串

不適用

是

指定用於取得威脅情報集詳細資料的偵測器 ID。

這個參數位於「設定」分頁。

威脅情報集 ID

字串

是

指定以半形逗號分隔的威脅情資集 ID 清單。

範例：id_1,id_2

AWS 區域

字串

不適用

否

您可以選擇在動作中指定要使用的 AWS 區域，這與整合設定頁面中指定的預設區域不同。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

JSON 結果

{
    "Format": "TXT",
    "Location": "https: //example.s3.amazonaws.com/test.txt",
    "Name": "API Test",
    "ResponseMetadata": {
        "HTTPHeaders": {
            "connection": "keep-alive",
            "content-length": "149",
            "content-type": "application/json",
            "date": "Mon,19 Oct 2020 06: 23: 22 GMT",
            "x-amz-apigw-id": "ID",
            "x-amzn-requestid": "REQUEST_ID",
            "x-amzn-trace-id": "TRACE_ID"
        },
        "HTTPStatusCode": 200,
        "RequestId": "REQUEST_ID",
        "RetryAttempts": 0
    },
    "Status": "ERROR",
    "Tags": {}
}

案件總覽

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功傳回至少一組的詳細資料 (is_success=true)： 「Successfully retrieved details about the following Threat Intelligence Sets from Amazon GuardDuty:\n{0}.".format(list_of_ids)"

如果部分 ID 失敗 (is_success=true)： 「Action wasn't able to retrieve details about the following Threat Intelligence Sets from Amazon GuardDuty:\n{0}.".format(list_of_ids)"

如果未使用任何 ID：「No details were retrieved about the provided Threat Intelligence Sets.」(未擷取所提供威脅情資集的詳細資料。)。format(list_of_ids)

動作應會失敗並停止執行應對手冊：

如果系統回報致命錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「Error executing action "List Threat Intelligence Sets". 原因：{0}''.format(error.Stacktrace)

一般

CSV

表格名稱：威脅情報集詳細資料

資料表欄：

名稱 (對應為「名稱」)
ID (來自動作參數)
位置 (對應為「位置」)
狀態 (對應為「狀態」)

建立威脅情報集

在 Amazon GuardDuty 中建立威脅情報集。

參數

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	指定用來建立威脅情報集的偵測器 ID。這個參數位於「設定」分頁。
名稱	字串	不適用	是	指定威脅情報集的名稱。
檔案格式	DDL	純文字可能的值包括：純文字結構化威脅資訊表示 (STIX) 開啟 Open Threat Exchange (OTX) CSV 檔案 FireEye iSIGHT Threat Intelligence CSV Proofpoint ET Intelligence Feed CSV AlienVault Reputation Feed	是	選取用於建立威脅情資集的檔案格式。
檔案位置	字串	`https://s3.amazonaws.com/{bucket-name}/file.txt`	是	指定檔案所在的 URI 位置。
有效	核取方塊	已勾選	是	啟用後，系統會啟動新建立的威脅情報集。
標記	CSV	不適用	否	指定要新增至威脅情報集的其他標記。格式：key_1:value_1,key_2:value_1

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

JSON 結果

{
    "ThreatIntelSetId": "b6f0c884a54449cc8e29eed3094e9c31"
}

案件總覽

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功建立集合 (is_success=true)：「Successfully created the Threat Intelligence Set '{0}' in Amazon GuardDuty.」(已在 Amazon GuardDuty 中成功建立威脅情報集「{0}」)。format(Name)

如果無法建立集合 (is_success=false)："Action wasn't able to create the Threat Intelligence Set '{0}' in Amazon GuardDuty.".format(name)

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器等)：「Error executing action "Create Threat Intelligence Set". 原因：{0}''.format(error.Stacktrace)

一般

更新威脅情報集

在 Amazon GuardDuty 中更新威脅情報集。

參數

參數名稱	類型	預設值	為必填項目	說明
偵測工具 ID	字串	不適用	是	指定用於更新威脅情報集的偵測器 ID。這個參數位於「設定」分頁。
ID	字串	不適用	是	指定要更新的威脅情報集 ID。
名稱	字串	不適用	否	指定威脅情報集的名稱。
檔案位置	字串	`https://s3.amazonaws.com/{bucket-name}/file.txt`	否	指定檔案所在的新 URI 位置。
有效	核取方塊	已勾選	是	啟用後，威脅情報集就會啟動。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

案件總覽

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功更新一組 (is_success=true)： 「Successfully updated the Threat Intelligence Set '{0}' in Amazon GuardDuty.」。format(Threat ID)

如果更新集合失敗 (is_success=false)：「Action wasn't able to update the Threat Intelligence Set '{0}' in Amazon GuardDuty.」。format(威脅 ID)

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器或其他錯誤)：「Error executing action "Update Threat Intelligence Set" (執行「更新威脅情資集」動作時發生錯誤)。原因：{0}''.format(error.Stacktrace)

一般

刪除威脅情報集

在 Amazon GuardDuty 中刪除威脅情報集。

參數

參數名稱

類型

預設值

浮水印

為必填項目

說明

偵測工具 ID

字串

不適用

是

指定用於取得威脅情報集詳細資料的偵測器 ID。

這個參數位於「設定」分頁。

威脅情報集 ID

CSV

不適用

是

指定以半形逗號分隔的威脅情資集 ID 清單。

範例：id_1,id_2

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True 或 False	is_success=False

案件總覽

結果類型

說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功傳回至少一組詳細資料 (is_success=true)：「Successfully deleted the following Threat Intelligence Sets in Amazon GuardDuty:\n{0}.".format(list_of_ids)

如果部分 ID 刪除失敗 (is_success=true)： 「Action wasn't able to delete the following Threat Intelligence Sets in Amazon GuardDuty:\n{0}.".format(list_of_ids)

如果沒有使用任何 ID：「No Threat Intelligence Sets were deleted.」.format(list_of_ids)

動作應會失敗並停止執行應對手冊：

無效的偵測器 ID 也應引發例外狀況、停止劇本，並將 is_success 設為 false。

如果發生嚴重錯誤或 SDK 錯誤 (例如憑證錯誤、無法連線至伺服器或其他錯誤)：「Error executing action "Delete Threat Intelligence Sets". 原因：{0}''.format(error.Stacktrace)

一般

連接器

如要進一步瞭解如何在 Google SecOps 中設定連接器，請參閱「擷取資料 (連接器)」。

AWS GuardDuty - Findings Connector

從 Amazon GuardDuty 提取發現項目。

連接器輸入內容

請使用下列參數設定連接器：

參數名稱	類型	預設值	為必填項目	說明
產品欄位名稱	字串	產品名稱	是	儲存產品名稱的欄位名稱。產品名稱主要會影響對應。為簡化及改善連接器的對應程序，預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容，預設都會解析為備用值。預設值為 `Product Name`。
事件欄位名稱	字串	類型	是	決定事件名稱 (子類型) 的欄位名稱。
環境欄位名稱	字串	""	否	儲存環境名稱的欄位名稱。如果缺少環境欄位，連接器會使用預設值。
`Environment Regex Pattern`	字串	.*	否	要在「`Environment Field Name`」欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯，操控環境欄位。使用預設值 `.*` 擷取必要的原始 `Environment Field Name` 值。如果規則運算式模式為空值或空白，或環境值為空值，最終環境結果就是預設環境。
指令碼逾時 (秒)	整數	180	是	執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。
AWS 存取金鑰 ID	字串	不適用	是	用於整合的 AWS 存取金鑰 ID。
AWS 密鑰	密碼	不適用	是	用於整合的 AWS 私密金鑰。
AWS 預設區域	字串	不適用	是	整合時要使用的 AWS 預設區域。範例：us-west-2
偵測工具 ID	字串	不適用	是	偵測工具的 ID。這項功能位於「設定」分頁。
要擷取的最低嚴重程度	整數	1	是	要擷取的最低快訊嚴重性。如未設定這個參數，連接器會擷取所有嚴重程度的快訊。可能的值介於 `1` 到 `8` 之間。注意：Amazon GuardDuty 會依下列順序對應整數值： `1,2,3` - 低 `4,5,6` - 中 `7,8` - 高
Fetch Max Hours Backwards	整數	1	否	擷取結果的時間 (以小時為單位)。這個參數可套用至首次啟用連接器後的初始連接器疊代，或套用至過期連接器時間戳記的回溯值。
要擷取的調查結果數量上限	整數	50	否	每個連接器疊代要處理的發現項目數量。上限：50 個這是 GuardDuty 的限制。
`Use whitelist as a blacklist`	核取方塊	已取消勾選	是	如果選取這個選項，連接器會將動態清單做為封鎖清單。
Proxy 伺服器位址	字串	不適用	否	要使用的 Proxy 伺服器位址。
Proxy 使用者名稱	字串	不適用	否	用於驗證的 Proxy 使用者名稱。
Proxy 密碼	密碼	不適用	否	用於驗證的 Proxy 密碼。

連接器規則

連接器支援 Proxy。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。