Integre o Amazon Macie com o Google SecOps
Este documento descreve como integrar o Amazon Macie com o Google Security Operations (Google SecOps).
Versão da integração: 7.0
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| ID da chave de acesso da AWS | String | N/A | Sim | ID da chave de acesso da AWS a usar na integração. |
| Chave secreta da AWS | Palavra-passe | N/A | Sim | Chave secreta da AWS a usar na integração. |
| Região predefinida da AWS | String | N/A | Sim | Região predefinida da AWS a usar na integração, por exemplo, us-west-1. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione a caixa de verificação para executar a integração configurada remotamente. Depois de selecionar esta opção, é apresentada a opção para selecionar o utilizador remoto (agente). |
Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de procedimentos. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Realize uma ação manual.
Tchim-tchim
Teste a conetividade.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação estabelecida com êxito ao serviço Amazon Macie com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Géneros |
Listar resultados
Listar as conclusões do Amazon Macie com base nos parâmetros de entrada de ação especificados.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de descoberta | String | N/A | Não | Tipo de localização a pesquisar, por exemplo, SensitiveData:S3Object/Credentials ou SensitiveData:S3Object/Multiple. O parâmetro aceita vários valores como uma string separada por vírgulas. Se não for especificado nada, a ação devolve todos os tipos de resultados. |
| Gravidade | String | 4 | Não | Gravidade da pesquisa: alta, média ou baixa. O parâmetro aceita vários valores como uma string separada por vírgulas. Se não for especificado nada, a ação devolve todas as descobertas, independentemente da gravidade. |
| Incluir resultados arquivados? | Caixa de verificação | Desmarcado | Não | Especifique se quer incluir ou não as descobertas arquivadas nos resultados. |
| Intervalo de tempo | Número inteiro | 4 | Não | Especifique um período em horas para obter resultados. |
| Limite de registos | Número inteiro | 20 | Não | Especifique quantos registos podem ser devolvidos pela ação. |
| Ordenar por | String | N/A | Não | Especifique um parâmetro para ordenar os dados. Exemplo: updatedAt |
| Ordenação | LDD | ASC | Não | Ordenação. |
Exemplos de utilização
Liste as descobertas do Amazon Macie para ver que descobertas estão disponíveis.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Resultado JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Amazon Macie findings found" (Resultados do Amazon Macie encontrados) Se is_success=False, por exemplo, não foram encontradas conclusões: "Não foram devolvidas conclusões." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
| Tabela | Nome da tabela: Amazon Macie Findings Colunas da tabela:
|
Geral |
Obtenha descobertas
Receba resultados do Amazon Macie com base no ID do resultado especificado.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da descoberta | String | N/A | Sim | Encontrar o ID para obter detalhes. O parâmetro pode assumir vários valores como uma string separada por vírgulas. |
Exemplos de utilização
Aceda aos detalhes das descobertas enquanto analisa o alerta. Neste caso, a localização não vai ser "simples" como se fosse do conetor, e os dados de localização podem ser mais fáceis de processar.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Resultado JSON
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Amazon Macie findings found" (Resultados do Amazon Macie encontrados) Se is_success=False, por exemplo, não foram encontradas conclusões: "Não foram devolvidas conclusões." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
| Tabela | Nome da tabela: Amazon Macie Findings Colunas da tabela: |
Geral |
Crie um identificador de dados personalizado
Crie um identificador de dados personalizado do Amazon Macie.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do identificador de dados personalizado | String | N/A | Sim | Novo nome do identificador de dados personalizado do Amazon Macie. |
| Descrição do identificador de dados personalizado | String | N/A | Não | Descrição do novo identificador de dados personalizado do Amazon Macie. |
| Expressão regular do identificador de dados personalizados | String | N/A | Sim | Expressão regular do novo identificador de dados personalizado do Amazon Macie. Exemplo: I[a@]mAB[a@]dRequest |
| Palavras-chave do identificador de dados personalizado | String | N/A | Não | Palavras-chave do novo identificador de dados personalizado do Amazon Macie. |
| Palavras a ignorar do identificador de dados personalizado | String | N/A | Não | Palavras ignoradas do novo identificador de dados personalizados do Amazon Macie. |
| Distância máxima de correspondência do identificador de dados personalizado | Número inteiro | 50 | Não | Distância máxima de correspondência do novo identificador de dados personalizado do Amazon Macie. |
Exemplos de utilização
Crie um identificador de dados personalizado do Amazon Macie com base nos dados observados para que, posteriormente, possa usar um novo identificador de dados personalizado em tarefas de classificação.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Resultado JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "New Amazon Macie custom data identifier created: {0}".format(new identifier_id from response) Se is_success=False, por exemplo, não foram encontradas descobertas: "Failed to create Amazon Macie Identifier. O erro é: {0}".format(error from response) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Elimine o identificador de dados personalizado
Elimine o identificador de dados personalizado do Amazon Macie.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do identificador de dados personalizado | String | N/A | Não | ID do identificador de dados personalizado do Amazon Macie a eliminar. |
Exemplos de utilização
Elimine o identificador de dados personalizado do Amazon Macie.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Amazon Macie custom data identifier {0} deleted".format(custom data identifier id) Se is_success=False, por exemplo, não foram encontradas conclusões: "Failed to delete Amazon Macie Identifier {0}. O erro é: {1}".format(custom data identifier id, error from response) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Ative o Macie
Ative o serviço Amazon Macie.
Parâmetros
N/A
Exemplos de utilização
Ative o Amazon Macie após a conclusão da janela de serviço.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Successfully enabled Amazon Macie service" (Serviço Amazon Macie ativado com êxito) If is_success=False: "Failed to enable Amazon Macie service. O erro é: {0}".format(error from response) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade:"Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Desative o Macie
Desative o serviço Amazon Macie.
Exemplos de utilização
Desative o Amazon Macie para a janela de serviço, de modo a fazer algumas alterações nos contentores do AWS e não causar muitos falsos positivos.
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Parede da caixa
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Successfully disabled Amazon Macie service" (Serviço Amazon Macie desativado com êxito) Se is_success=False: "Failed to disable Amazon Macie service. O erro é: {0}".format(error from response) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro crítico, como credenciais incorretas ou perda de conetividade: "Falha ao estabelecer ligação ao serviço Amazon Macie! O erro é {0}".format(exception.stacktrace) |
Geral |
Conetores
Para mais informações sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Amazon Macie – Findings Connector
Carregue entradas do Amazon Macie.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | N/A | Sim |
O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
| Nome do campo de evento | String | N/A | Sim | O nome do campo que determina o nome do evento (subtipo). |
| Nome do campo do ambiente | String | N/A | Não | O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. |
Environment Regex Pattern |
String | N/A | Não |
Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | O limite de tempo limite, em segundos, para o processo Python que executa o script atual. |
| ID da chave de acesso da AWS | String | N/A | Verdadeiro | ID da chave de acesso da AWS a usar na integração. |
| Chave secreta da AWS | Palavra-passe | N/A | Verdadeiro | Chave secreta da AWS a usar na integração. |
| Região predefinida da AWS | String | N/A | Verdadeiro | Região predefinida da AWS a usar na integração, por exemplo, us-west-2. |
| Encontrar a gravidade para carregar | String | N/A | Não | Gravidade da descoberta a carregar: O parâmetro aceita vários valores como uma string separada por vírgulas. Se nada for especificado, o conector carrega todas as descobertas, independentemente da gravidade. |
| Número máximo de resultados a obter | Número inteiro | 50 | Não | Número de resultados a processar por iteração de um conetor. |
| Fetch Max Hours Backwards | Número inteiro | 1 | Não | O número de horas anteriores ao momento atual para obter alertas. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada. |
Use whitelist as a blacklist |
Caixa de verificação | Desmarcado | Sim | Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
A lista de bloqueio está desativada por predefinição.
O conetor suporta a lista dinâmica que carrega apenas resultados de um tipo específico.
O conetor suporta proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.