Integra Amazon Macie con Google SecOps
En este documento, se describe cómo integrar Amazon Macie con Google Security Operations (Google SecOps).
Versión de la integración: 7.0
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| ID de clave de acceso de AWS | String | N/A | Sí | ID de la clave de acceso de AWS que se usará en la integración. |
| Clave secreta de AWS | Contraseña | N/A | Sí | Clave secreta de AWS que se usará en la integración. |
| Región predeterminada de AWS | String | N/A | Sí | Región predeterminada de AWS que se usará en la integración, por ejemplo, us-west-1. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Selecciona la casilla de verificación para ejecutar la integración configurada de forma remota. Una vez que se selecciona, aparece la opción para seleccionar al usuario remoto (agente). |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Ping
Probar la conectividad
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Amazon Macie service with the provided connection parameters!" La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, se mostrará el mensaje "No se pudo conectar al servicio de Amazon Macie". Error is {0}".format(exception.stacktrace) |
Genera |
Enumerar hallazgos
Enumera los hallazgos de Amazon Macie según los parámetros de entrada de la acción especificados.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Tipo de resultado | String | N/A | No | Es el tipo de hallazgo que se buscará, por ejemplo, SensitiveData:S3Object/Credentials o SensitiveData:S3Object/Multiple. El parámetro acepta varios valores como una cadena separada por comas. Si no se especifica nada, la acción devuelve todos los tipos de hallazgos. |
| Gravedad | String | 4 | No | Es la gravedad del hallazgo que se buscará: alta, media o baja. El parámetro acepta varios valores como una cadena separada por comas. Si no se especifica nada, la acción devuelve todos los hallazgos, independientemente de su gravedad. |
| ¿Quieres incluir los hallazgos archivados? | Casilla de verificación | Desmarcado | No | Especifica si se deben incluir los hallazgos archivados en los resultados. |
| Período | Número entero | 4 | No | Especifica un período en horas para recuperar los hallazgos. |
| Límite de registros | Número entero | 20 | No | Especifica cuántos registros puede devolver la acción. |
| Ordenar por | String | N/A | No | Especifica un parámetro para ordenar los datos. Ejemplo: updatedAt |
| Ordenar por | DDL | ASC | No | Orden de clasificación. |
Casos de uso
Enumera los hallazgos de Amazon Macie para ver qué hallazgos están disponibles.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente: "Se encontraron hallazgos de Amazon Macie" Si is_success=False, por ejemplo, no se encontraron hallazgos: "No se devolvió ningún hallazgo". La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, se mostrará el mensaje "No se pudo conectar al servicio de Amazon Macie". Error is {0}".format(exception.stacktrace) |
General |
| Tabla | Nombre de la tabla: Amazon Macie Findings Columnas de la tabla:
|
General |
Obtener hallazgos
Obtiene los hallazgos de Amazon Macie según el ID de hallazgo especificado.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de hallazgo | String | N/A | Sí | Es el ID del hallazgo para el que se obtendrán detalles. El parámetro puede tomar varios valores como una cadena separada por comas. |
Casos de uso
Obtén detalles de los hallazgos mientras analizas la alerta. En este caso, el hallazgo no será "plano" como si fuera del conector, y los datos del hallazgo podrían ser más fáciles de procesar.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente: "Se encontraron hallazgos de Amazon Macie" Si is_success=False, por ejemplo, no se encontraron hallazgos: "No se devolvió ningún hallazgo". La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, se mostrará el mensaje "No se pudo conectar al servicio de Amazon Macie". Error is {0}".format(exception.stacktrace) |
General |
| Tabla | Nombre de la tabla: Amazon Macie Findings Columnas de la tabla: |
General |
Crea un identificador de datos personalizado
Crea un identificador de datos personalizado de Amazon Macie.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre del identificador de datos personalizado | String | N/A | Sí | Es el nombre del nuevo identificador de datos personalizados de Amazon Macie. |
| Descripción del identificador de datos personalizado | String | N/A | No | Es la nueva descripción del identificador de datos personalizado de Amazon Macie. |
| Expresión regular del identificador de datos personalizado | String | N/A | Sí | Nueva expresión regular del identificador de datos personalizado de Amazon Macie. Ejemplo: I[a@]mAB[a@]dRequest |
| Palabras clave del identificador de datos personalizados | String | N/A | No | Son las nuevas palabras clave del identificador de datos personalizados de Amazon Macie. |
| Palabras ignoradas del identificador de datos personalizado | String | N/A | No | Son las palabras que se ignoran en el nuevo identificador de datos personalizados de Amazon Macie. |
| Distancia máxima de coincidencia del identificador de datos personalizado | Número entero | 50 | No | Se actualizó la distancia máxima de coincidencia del nuevo identificador de datos personalizado de Amazon Macie. |
Casos de uso
Crea un identificador de datos personalizado de Amazon Macie basado en los datos observados, de modo que, más adelante, se pueda usar un nuevo identificador de datos personalizado en los trabajos de clasificación.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ejecuta correctamente: "Se creó un nuevo identificador de datos personalizado de Amazon Macie: {0}".format(new identifier_id from response) Si is_success=False, por ejemplo, no se encontraron resultados: "No se pudo crear el identificador de Amazon Macie. El error es: {0}".format(error from response) La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, se mostrará el mensaje "No se pudo conectar al servicio de Amazon Macie". Error is {0}".format(exception.stacktrace) |
General |
Borra el identificador de datos personalizados
Borra el identificador de datos personalizado de Amazon Macie.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID del identificador de datos personalizado | String | N/A | No | Es el ID del identificador de datos personalizados de Amazon Macie que se borrará. |
Casos de uso
Borra el identificador de datos personalizado de Amazon Macie.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ejecuta correctamente: "Se borró el identificador de datos personalizados de Amazon Macie {0}".format(custom data identifier id) Si is_success=False, por ejemplo, no se encontraron resultados: "No se pudo borrar el identificador de Amazon Macie {0}. El error es: {1}".format(ID del identificador de datos personalizados, error de la respuesta) La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, se mostrará el mensaje "No se pudo conectar al servicio de Amazon Macie". Error is {0}".format(exception.stacktrace) |
General |
Habilita Macie
Habilita el servicio de Amazon Macie.
Parámetros
N/A
Casos de uso
Habilita Amazon Macie después de que se complete la ventana de servicio.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente: "Se habilitó correctamente el servicio de Amazon Macie". Si is_success=False: "No se pudo habilitar el servicio de Amazon Macie. El error es: {0}".format(error from response) La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, se mostrará el siguiente mensaje: "No se pudo conectar al servicio de Amazon Macie. Error is {0}".format(exception.stacktrace) |
General |
Inhabilita Macie
Inhabilita el servicio de Amazon Macie.
Casos de uso
Inhabilita Amazon Macie para la ventana de servicio, de modo que se realicen algunos cambios en los buckets de AWS y no se generen muchos falsos positivos.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Se inhabilitó correctamente el servicio de Amazon Macie" Si is_success=False: "No se pudo inhabilitar el servicio de Amazon Macie. El error es: {0}".format(error from response) La acción debería fallar y detener la ejecución de la guía: Si se informa un error crítico, como credenciales incorrectas o pérdida de conectividad, se mostrará el mensaje "No se pudo conectar al servicio de Amazon Macie". Error is {0}".format(exception.stacktrace) |
General |
Conectores
Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
Amazon Macie: Findings Connector
Ingiere los hallazgos de Amazon Macie.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | N/A | Sí |
Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
| Nombre del campo del evento | String | N/A | Sí | Es el nombre del campo que determina el nombre del evento (subtipo). |
| Nombre del campo del entorno | String | N/A | No | Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. |
Environment Regex Pattern |
String | N/A | No |
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. |
| ID de clave de acceso de AWS | String | N/A | Verdadero | ID de la clave de acceso de AWS que se usará en la integración. |
| Clave secreta de AWS | Contraseña | N/A | Verdadero | Clave secreta de AWS que se usará en la integración. |
| Región predeterminada de AWS | String | N/A | Verdadero | Región predeterminada de AWS para usar en la integración, por ejemplo, us-west-2. |
| Gravedad del hallazgo que se debe transferir | String | N/A | No | Gravedad del hallazgo que se debe transferir: El parámetro acepta varios valores como una cadena separada por comas. Si no se especifica nada, el conector ingiere todos los hallazgos, independientemente de su gravedad. |
| Cantidad máxima de resultados para recuperar | Número entero | 50 | No | Cantidad de hallazgos que se procesarán en cada iteración del conector. |
| Recuperar horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas previas al momento actual para recuperar alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para una marca de tiempo del conector vencida. |
Use whitelist as a blacklist |
Casilla de verificación | Desmarcado | Sí | Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
La lista de bloqueo está inhabilitada de forma predeterminada.
El conector admite la lista dinámica que solo admite hallazgos de un tipo específico.
El conector admite proxies.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.