Amazon Macie in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Amazon Macie in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 7.0
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| AWS-Zugriffsschlüssel-ID | String | – | Ja | AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll. |
| AWS-Secret-Key | Passwort | – | Ja | Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll. |
| Standardmäßige AWS-Region | String | – | Ja | Die standardmäßige AWS-Region, die in der Integration verwendet werden soll, z. B. „us-west-1“. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Klicken Sie das Kästchen an, um die konfigurierte Integration per Fernzugriff auszuführen. Nach der Auswahl wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Ping
Verbindung testen
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg : „Successfully connected to the Amazon Macie service with the provided connection parameters!“ (Mit den angegebenen Verbindungsparametern wurde eine Verbindung zum Amazon Macie-Dienst hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust : „Failed to connect to the Amazon Macie service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Befunde auflisten
Listet Amazon Macie-Ergebnisse basierend auf den angegebenen Aktions-Eingabeparametern auf.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ergebnistyp | String | – | Nein | Der zu suchende Typ, z. B. SensitiveData:S3Object/Credentials oder SensitiveData:S3Object/Multiple. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. Wenn nichts angegeben ist, werden alle Arten von Ergebnissen zurückgegeben. |
| Schweregrad | String | 4 | Nein | Schweregrad des zu suchenden Ergebnisses: „Hoch“, „Mittel“ oder „Niedrig“. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. Wenn nichts angegeben ist, werden alle Ergebnisse unabhängig von der Schwere zurückgegeben. |
| Archivierte Ergebnisse einschließen? | Kästchen | Deaktiviert | Nein | Geben Sie an, ob archivierte Ergebnisse in die Ergebnisse einbezogen werden sollen. |
| Zeitraum | Ganzzahl | 4 | Nein | Geben Sie einen Zeitraum in Stunden an, für den Ergebnisse abgerufen werden sollen. |
| Datensatzlimit | Ganzzahl | 20 | Nein | Geben Sie an, wie viele Datensätze von der Aktion zurückgegeben werden können. |
| Sortieren nach | String | – | Nein | Geben Sie einen Parameter zum Sortieren der Daten an. Beispiel: updatedAt |
| Sortierreihenfolge | DDL | ASC | Nein | Sortierreihenfolge. |
Anwendungsfälle
Sie können Amazon Macie-Ergebnisse auflisten, um zu sehen, welche Ergebnisse verfügbar sind.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
JSON-Ergebnis
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg : „Amazon Macie findings found“ (Amazon Macie-Ergebnisse gefunden) Wenn is_success=False ist, z. B. wenn keine Ergebnisse gefunden wurden : „Es wurden keine Ergebnisse zurückgegeben.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust : „Failed to connect to the Amazon Macie service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
| Tabelle | Tabellenname:Amazon Macie Findings Tabellenspalten:
|
Allgemein |
Ergebnisse abrufen
Amazon Macie-Ergebnisse basierend auf der angegebenen Ergebnis-ID abrufen.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ergebnis-ID | String | – | Ja | Ergebnis-ID, für die Details abgerufen werden sollen. Der Parameter kann mehrere Werte als durch Kommas getrennten String annehmen. |
Anwendungsbereiche
Details zu Ergebnissen abrufen, während Sie die Benachrichtigung analysieren Die Ergebnisse sind in diesem Fall nicht „flach“ wie bei einem Connector, sodass die Daten leichter zu verarbeiten sind.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
JSON-Ergebnis
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg : „Amazon Macie findings found“ (Amazon Macie-Ergebnisse gefunden) Wenn is_success=False ist, z. B. wenn keine Ergebnisse gefunden wurden : „Es wurden keine Ergebnisse zurückgegeben.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust : „Failed to connect to the Amazon Macie service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
| Tabelle | Tabellenname:Amazon Macie Findings Tabellenspalten: |
Allgemein |
Benutzerdefinierte Daten-ID erstellen
Erstellen Sie einen benutzerdefinierten Daten-Identifier für Amazon Macie.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Name der benutzerdefinierten Daten-ID | String | – | Ja | Der Name der neuen benutzerdefinierten Datenkennung von Amazon Macie. |
| Beschreibung der benutzerdefinierten Daten-ID | String | – | Nein | Neue Beschreibung für benutzerdefinierte Datenkennungen in Amazon Macie. |
| Regulärer Ausdruck für benutzerdefinierte Daten-ID | String | – | Ja | Neuer benutzerdefinierter Datenkennzeichner für reguläre Ausdrücke in Amazon Macie. Beispiel: I[a@]mAB[a@]dRequest |
| Schlüsselwörter für benutzerdefinierte Daten-IDs | String | – | Nein | Neue benutzerdefinierte Datenkennungs-Keywords für Amazon Macie. |
| Benutzerdefinierte Daten-IDs – zu ignorierende Wörter | String | – | Nein | Amazon Macie – neue benutzerdefinierte Datenkennungen – ignorierte Wörter |
| Maximaler Abgleichsabstand für benutzerdefinierte Daten-IDs | Ganzzahl | 50 | Nein | Amazon Macie – neuer benutzerdefinierter Datenkennzeichner für den maximalen Abgleichsabstand. |
Anwendungsfälle
Erstellen Sie einen benutzerdefinierten Daten-Identifier für Amazon Macie basierend auf den beobachteten Daten, damit später neue benutzerdefinierte Daten-Identifier in Klassifizierungsjobs verwendet werden können.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
JSON-Ergebnis
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg : „New Amazon Macie custom data identifier created: {0}“.format(new identifier_id from response) Wenn is_success=False ist, z. B. keine Ergebnisse gefunden wurden : „Failed to create Amazon Macie Identifier. Fehler: {0}".format(error from response) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust : „Failed to connect to the Amazon Macie service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Benutzerdefinierte Daten-ID löschen
Löschen Sie benutzerdefinierte Daten-IDs für Amazon Macie.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| ID des benutzerdefinierten Daten-Identifiers | String | – | Nein | Die ID des benutzerdefinierten Datenbezeichners von Amazon Macie, der gelöscht werden soll. |
Anwendungsbereiche
Löschen Sie benutzerdefinierte Daten-IDs für Amazon Macie.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg : „Amazon Macie custom data identifier {0} deleted“.format(custom data identifier id) Wenn is_success=False ist, z. B. keine Ergebnisse gefunden wurden : „Failed to delete Amazon Macie Identifier {0}. Fehler: {1}".format(custom data identifier id, error from response) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust : „Failed to connect to the Amazon Macie service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Macie aktivieren
Aktivieren Sie den Amazon Macie-Dienst.
Parameter
–
Anwendungsfälle
Aktivieren Sie Amazon Macie, nachdem das Servicefenster abgeschlossen ist.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg : „Amazon Macie-Dienst wurde aktiviert“ Wenn is_success=False : „Failed to enable Amazon Macie service. Fehler: {0}".format(error from response) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust: „Failed to connect to the Amazon Macie service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Macie deaktivieren
Deaktivieren Sie den Amazon Macie-Dienst.
Anwendungsbereiche
Deaktivieren Sie Amazon Macie für das Servicefenster, um Änderungen an AWS-Buckets vorzunehmen, ohne viele falsch positive Ergebnisse zu verursachen.
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg : „Amazon Macie-Dienst wurde deaktiviert“ Wenn is_success=False : „Amazon Macie-Dienst konnte nicht deaktiviert werden. Fehler: {0}".format(error from response) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten oder Verbindungsverlust : „Failed to connect to the Amazon Macie service! Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
Amazon Macie – Findings Connector
Amazon Macie-Ergebnisse aufnehmen.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | – | Ja |
Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
| Name des Ereignisfelds | String | – | Ja | Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. |
| Name des Umgebungsfelds | String | – | Nein | Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. |
Environment Regex Pattern |
String | – | Nein |
Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. |
| AWS-Zugriffsschlüssel-ID | String | – | Wahr | AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll. |
| AWS-Secret-Key | Passwort | – | Wahr | Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll. |
| Standardmäßige AWS-Region | String | – | Wahr | Die standardmäßige AWS-Region, die in der Integration verwendet werden soll, z. B. „us-west-2“. |
| Schweregrad des Ergebnisses für die Aufnahme | String | – | Nein | Schweregrad für die Aufnahme: Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. Wenn nichts angegeben ist, werden alle Ergebnisse unabhängig vom Schweregrad aufgenommen. |
| Maximale Anzahl abzurufender Ergebnisse | Ganzzahl | 50 | Nein | Anzahl der Ergebnisse, die pro Connector-Iteration verarbeitet werden sollen. |
| Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, für die Benachrichtigungen abgerufen werden sollen. Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten. |
Use whitelist as a blacklist |
Kästchen | Deaktiviert | Ja | Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Die Sperrliste ist standardmäßig deaktiviert.
Der Connector unterstützt die dynamische Liste, in die nur Ergebnisse eines bestimmten Typs aufgenommen werden.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten