Integrar Amazon Macie con Google SecOps
En este documento se describe cómo integrar Amazon Macie con Google Security Operations (Google SecOps).
Versión de integración: 7.0
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| ID de clave de acceso de AWS | Cadena | N/A | Sí | ID de clave de acceso de AWS que se va a usar en la integración. |
| Clave secreta de AWS | Contraseña | N/A | Sí | Clave secreta de AWS que se va a usar en la integración. |
| Región predeterminada de AWS | Cadena | N/A | Sí | Región predeterminada de AWS que se va a usar en la integración (por ejemplo, us-west-1). |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Seleccione la casilla para ejecutar la integración configurada de forma remota. Una vez seleccionada, aparece la opción para seleccionar al usuario remoto (agente). |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Ping
Prueba la conectividad.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Successfully connected to the Amazon Macie service with the provided connection parameters!" ("Se ha conectado correctamente al servicio Amazon Macie con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se ha podido conectar al servicio Amazon Macie. Error: {0}".format(exception.stacktrace) |
General |
Mostrar resultados
Lista los resultados de Amazon Macie en función de los parámetros de entrada de la acción especificada.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Tipo de resultado | Cadena | N/A | No | El tipo que se va a buscar, por ejemplo, SensitiveData:S3Object/Credentials o SensitiveData:S3Object/Multiple. El parámetro acepta varios valores como una cadena separada por comas. Si no se especifica nada, la acción devuelve todos los tipos de resultados. |
| Gravedad | Cadena | 4 | No | Gravedad de la búsqueda: alta, media o baja. El parámetro acepta varios valores como una cadena separada por comas. Si no se especifica nada, la acción devuelve todos los resultados, independientemente de su gravedad. |
| ¿Incluir resultados archivados? | Casilla | Desmarcada | No | Especifica si quieres incluir o no los hallazgos archivados en los resultados. |
| Periodo | Entero | 4 | No | Especifica un periodo en horas durante el que se deben obtener los resultados. |
| Límite de registros | Entero | 20 | No | Especifica cuántos registros puede devolver la acción. |
| Ordenar por | Cadena | N/A | No | Especifica un parámetro para ordenar los datos. Ejemplo: updatedAt |
| Ordenar por | DDL | Ascendente | No | Orden. |
Casos prácticos
Lista los resultados de Amazon Macie para ver cuáles están disponibles.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente: "Se han encontrado resultados de Amazon Macie" Si is_success=False, por ejemplo, no se han encontrado resultados: "No se han devuelto resultados". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se ha podido conectar al servicio Amazon Macie. Error: {0}".format(exception.stacktrace) |
General |
| Tabla | Nombre de la tabla: Amazon Macie Findings Columnas de tabla:
|
General |
Get Findings
Obtiene los resultados de Amazon Macie en función del ID de resultado especificado.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de resultado | Cadena | N/A | Sí | Buscando el ID para obtener los detalles. El parámetro puede adoptar varios valores como una cadena separada por comas. |
Casos prácticos
Obtén los detalles de los resultados mientras analizas la alerta. En este caso, la búsqueda no será "plana" como si fuera desde el conector, y puede que sea más fácil procesar los datos.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente: "Se han encontrado resultados de Amazon Macie" Si is_success=False, por ejemplo, no se han encontrado resultados: "No se han devuelto resultados". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se ha podido conectar al servicio Amazon Macie. Error: {0}".format(exception.stacktrace) |
General |
| Tabla | Nombre de la tabla: Amazon Macie Findings Columnas de tabla: |
General |
Crear un identificador de datos personalizado
Crea un identificador de datos personalizado de Amazon Macie.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del identificador de datos personalizado | Cadena | N/A | Sí | Nombre del nuevo identificador de datos personalizado de Amazon Macie. |
| Descripción del identificador de datos personalizado | Cadena | N/A | No | Descripción del nuevo identificador de datos personalizado de Amazon Macie. |
| Expresión regular de identificador de datos personalizado | Cadena | N/A | Sí | Expresión regular del nuevo identificador de datos personalizado de Amazon Macie. Ejemplo: I[a@]mAB[a@]dRequest |
| Palabras clave de identificador de datos personalizado | Cadena | N/A | No | Nuevas palabras clave de identificador de datos personalizado de Amazon Macie. |
| Palabras que se deben ignorar en los identificadores de datos personalizados | Cadena | N/A | No | Palabras de ignorar de identificador de datos personalizado nuevo de Amazon Macie. |
| Distancia máxima de coincidencia del identificador de datos personalizado | Entero | 50 | No | Distancia máxima de coincidencia del nuevo identificador de datos personalizado de Amazon Macie. |
Casos prácticos
Crea un identificador de datos personalizado de Amazon Macie basado en los datos observados para que, más adelante, se pueda usar en trabajos de clasificación.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente: "New Amazon Macie custom data identifier created: {0}".format(new identifier_id from response) ("Se ha creado un nuevo identificador de datos personalizado de Amazon Macie: {0}"). Si is_success=False, por ejemplo, no se han encontrado resultados: "Failed to create Amazon Macie Identifier. Error: {0}".format(error from response) La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se ha podido conectar al servicio Amazon Macie. Error: {0}".format(exception.stacktrace) |
General |
Eliminar identificador de datos personalizado
Elimina el identificador de datos personalizado de Amazon Macie.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de identificador de datos personalizado | Cadena | N/A | No | ID del identificador de datos personalizado de Amazon Macie que se va a eliminar. |
Casos prácticos
Elimina el identificador de datos personalizado de Amazon Macie.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente: "Se ha eliminado el identificador de datos personalizado de Amazon Macie {0}".format(custom data identifier id) Si is_success=False, por ejemplo, no se han encontrado resultados: "Failed to delete Amazon Macie Identifier {0}. El error es: {1}".format(ID del identificador de datos personalizados, error de la respuesta) La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se ha podido conectar al servicio Amazon Macie. Error: {0}".format(exception.stacktrace) |
General |
Habilitar Macie
Habilita el servicio Amazon Macie.
Parámetros
N/A
Casos prácticos
Habilita Amazon Macie una vez que se haya completado la ventana de servicio.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado correctamente: "Successfully enabled Amazon Macie service" ("Se ha habilitado correctamente el servicio Amazon Macie") Si is_success=False: "No se ha podido habilitar el servicio Amazon Macie. Error: {0}".format(error from response) La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad:"No se ha podido conectar al servicio Amazon Macie. Error: {0}".format(exception.stacktrace) |
General |
Inhabilitar Macie
Inhabilita el servicio Amazon Macie.
Casos prácticos
Inhabilita Amazon Macie para la ventana de servicio. De esta forma, podrás hacer algunos cambios en los contenedores de AWS y no se producirán muchos falsos positivos.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Successfully disabled Amazon Macie service" ("Se ha inhabilitado correctamente el servicio Amazon Macie") Si is_success=False: "No se ha podido inhabilitar el servicio Amazon Macie. Error: {0}".format(error from response) La acción debería fallar y detener la ejecución de la guía: Si se informa de un error crítico, como credenciales incorrectas o pérdida de conectividad: "No se ha podido conectar al servicio Amazon Macie. Error: {0}".format(exception.stacktrace) |
General |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
Amazon Macie - Findings Connector
Ingiere las detecciones de Amazon Macie.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | N/A | Sí |
Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
| Nombre del campo de evento | Cadena | N/A | Sí | Nombre del campo que determina el nombre del evento (subtipo). |
| Nombre del campo de entorno | Cadena | N/A | No | Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. |
Environment Regex Pattern |
Cadena | N/A | No |
Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. |
| ID de clave de acceso de AWS | Cadena | N/A | Verdadero | ID de clave de acceso de AWS que se va a usar en la integración. |
| Clave secreta de AWS | Contraseña | N/A | Verdadero | Clave secreta de AWS que se va a usar en la integración. |
| Región predeterminada de AWS | Cadena | N/A | Verdadero | Región predeterminada de AWS que se va a usar en la integración (por ejemplo, us-west-2). |
| Finding severity to ingest | Cadena | N/A | No | Gravedad de la búsqueda que se va a ingerir: El parámetro acepta varios valores como una cadena separada por comas. Si no se especifica nada, el conector ingiere todos los resultados, independientemente de la gravedad. |
| Número máximo de resultados que se van a obtener | Entero | 50 | No | Número de resultados que se procesarán por iteración de conector. |
| Fetch Max Hours Backwards | Entero | 1 | No | Número de horas anteriores a la hora actual para obtener alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada. |
Use whitelist as a blacklist |
Casilla | Desmarcada | Sí | Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
La lista de bloqueo está inhabilitada de forma predeterminada.
El conector admite la lista dinámica que solo ingiere resultados de un tipo específico.
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.