Intégrer Amazon Macie à Google SecOps
Ce document explique comment intégrer Amazon Macie à Google Security Operations (Google SecOps).
Version de l'intégration : 7.0
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| AWS Access Key ID (ID de clé d'accès AWS) | Chaîne | N/A | Oui | ID de clé d'accès AWS à utiliser dans l'intégration. |
| Clé secrète AWS | Mot de passe | N/A | Oui | Clé secrète AWS à utiliser dans l'intégration. |
| Région AWS par défaut | Chaîne | N/A | Oui | Région AWS par défaut à utiliser dans l'intégration, par exemple "us-west-1". |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez la case pour exécuter l'intégration configurée à distance. Une fois l'option sélectionnée, elle s'affiche pour permettre de sélectionner l'utilisateur distant (agent). |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Ping
Tester la connectivité
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Mur des cas
| Type de résultat | Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Successfully connected to the Amazon Macie service with the provided connection parameters!" (Connexion au service Amazon Macie établie avec les paramètres de connexion fournis). L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur critique est signalée, comme des identifiants incorrects ou une perte de connectivité : "Échec de la connexion au service Amazon Macie. Error is {0}".format(exception.stacktrace) |
Généraux |
Répertorier les données
Lister les résultats Amazon Macie en fonction des paramètres d'entrée de l'action spécifiée.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Type de résultat | Chaîne | N/A | Non | Type de résultat à rechercher, par exemple SensitiveData:S3Object/Credentials ou SensitiveData:S3Object/Multiple. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. Si rien n'est spécifié, l'action renvoie tous les types de résultats. |
| Gravité | Chaîne | 4 | Non | Gravité des résultats à rechercher : élevée, moyenne ou faible. Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. Si rien n'est spécifié, l'action renvoie tous les résultats, quelle que soit leur gravité. |
| Inclure les résultats archivés ? | Case à cocher | Décochée | Non | Indiquez si vous souhaitez inclure ou non les résultats archivés. |
| Période | Integer | 4 | Non | Spécifiez une période en heures pour laquelle récupérer les résultats. |
| Limite d'enregistrements | Integer | 20 | Non | Spécifiez le nombre d'enregistrements pouvant être renvoyés par l'action. |
| Trier par | Chaîne | N/A | Non | Spécifiez un paramètre pour trier les données. Exemple : updatedAt |
| Ordre de tri | LDD | ASC | Non | Ordre de tri. |
Cas d'utilisation
Répertoriez les résultats Amazon Macie pour voir quels résultats sont disponibles.
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
Mur des cas
| Type de résultat | Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Résultats Amazon Macie trouvés" Si is_success=False, par exemple si aucun résultat n'a été trouvé : "Aucun résultat n'a été renvoyé." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur critique est signalée, comme des identifiants incorrects ou une perte de connectivité : "Échec de la connexion au service Amazon Macie. Error is {0}".format(exception.stacktrace) |
Général |
| Table | Nom de la table : résultats Amazon Macie Colonnes du tableau :
|
Général |
Obtenir les résultats
Obtenez les résultats Amazon Macie en fonction de l'ID de résultat spécifié.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID du résultat | Chaîne | N/A | Oui | ID du résultat pour lequel obtenir des détails. Un paramètre peut accepter plusieurs valeurs sous la forme d'une chaîne de caractères séparées par une virgule. |
Cas d'utilisation
Obtenez des détails sur les résultats lorsque vous analysez l'alerte. Dans ce cas, les résultats ne seront pas "plats" comme ceux du connecteur, et les données seront peut-être plus faciles à traiter.
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
Mur des cas
| Type de résultat | Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Résultats Amazon Macie trouvés" Si is_success=False, par exemple si aucun résultat n'a été trouvé : "Aucun résultat n'a été renvoyé." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur critique est signalée, comme des identifiants incorrects ou une perte de connectivité : "Échec de la connexion au service Amazon Macie. Error is {0}".format(exception.stacktrace) |
Général |
| Table | Nom de la table : résultats Amazon Macie Colonnes du tableau : |
Général |
Créer un identifiant de données personnalisé
Créez un identifiant de données personnalisées Amazon Macie.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'identifiant de données personnalisé | Chaîne | N/A | Oui | Nom du nouvel identifiant de données personnalisées Amazon Macie. |
| Description de l'identifiant de données personnalisées | Chaîne | N/A | Non | Description du nouvel identifiant de données personnalisées Amazon Macie. |
| Expression régulière pour un identifiant de données personnalisé | Chaîne | N/A | Oui | Nouvelle expression régulière pour l'identifiant de données personnalisé Amazon Macie. Exemple : I[a@]mAB[a@]dRequest |
| Mots clés des identifiants de données personnalisés | Chaîne | N/A | Non | Nouveaux mots clés d'identifiant de données personnalisées Amazon Macie. |
| Mots à ignorer pour les identifiants de données personnalisés | Chaîne | N/A | Non | Mots à ignorer pour le nouvel identifiant de données personnalisées Amazon Macie. |
| Distance de correspondance maximale de l'identifiant de données personnalisé | Integer | 50 | Non | Nouvelle distance de correspondance maximale pour les identifiants de données personnalisés Amazon Macie. |
Cas d'utilisation
Créez un identifiant de données personnalisées Amazon Macie basé sur les données observées. Vous pourrez ensuite utiliser ce nouvel identifiant dans les tâches de classification.
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
Mur des cas
| Type de résultat | Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : En cas de succès : "Nouvel identifiant de données personnalisé Amazon Macie créé : {0}".format(new identifier_id from response) Si is_success=False, par exemple si aucun résultat n'a été trouvé : "Échec de la création de l'identifiant Amazon Macie. Erreur : {0}".format(error from response) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur critique est signalée, comme des identifiants incorrects ou une perte de connectivité : "Échec de la connexion au service Amazon Macie. Error is {0}".format(exception.stacktrace) |
Général |
Supprimer un identifiant de données personnalisées
Supprimez l'identifiant de données personnalisées Amazon Macie.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'identifiant de données personnalisé | Chaîne | N/A | Non | ID de l'identifiant de données personnalisées Amazon Macie à supprimer. |
Cas d'utilisation
Supprimez l'identifiant de données personnalisées Amazon Macie.
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Mur des cas
| Type de résultat | Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : En cas de réussite : "L'identifiant de données personnalisées Amazon Macie {0} a été supprimé".format(custom data identifier id) Si is_success=False, par exemple si aucun résultat n'a été trouvé : "Échec de la suppression de l'identifiant Amazon Macie {0}. Erreur : {1}".format(custom data identifier id, error from response) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur critique est signalée, comme des identifiants incorrects ou une perte de connectivité : "Échec de la connexion au service Amazon Macie. Error is {0}".format(exception.stacktrace) |
Général |
Activer Macie
Activez le service Amazon Macie.
Paramètres
N/A
Cas d'utilisation
Activez Amazon Macie une fois la période de maintenance terminée.
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Mur des cas
| Type de résultat | Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : En cas de réussite : "Le service Amazon Macie a bien été activé" Si is_success=False : "Échec de l'activation du service Amazon Macie. Erreur : {0}".format(error from response) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur critique est signalée, comme des identifiants incorrects ou une perte de connectivité : "Échec de la connexion au service Amazon Macie. Error is {0}".format(exception.stacktrace) |
Général |
Désactiver Macie
Désactivez le service Amazon Macie.
Cas d'utilisation
Désactivez Amazon Macie pour la période de maintenance afin d'apporter des modifications aux buckets AWS sans générer trop de faux positifs.
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Mur des cas
| Type de résultat | Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : En cas de succès : "Le service Amazon Macie a bien été désactivé" Si is_success=False : "Échec de la désactivation du service Amazon Macie. Erreur : {0}".format(error from response) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur critique est signalée, comme des identifiants incorrects ou une perte de connectivité : "Échec de la connexion au service Amazon Macie. Error is {0}".format(exception.stacktrace) |
Général |
Connecteurs
Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).
Amazon Macie – Connecteur de résultats
Ingérez les résultats Amazon Macie.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | N/A | Oui |
Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
| Nom du champ d'événement | Chaîne | N/A | Oui | Nom du champ qui détermine le nom (sous-type) de l'événement. |
| Nom du champ "Environnement" | Chaîne | N/A | Non | Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. |
Environment Regex Pattern |
Chaîne | N/A | Non |
Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai limite, en secondes, pour le processus Python qui exécute le script actuel. |
| AWS Access Key ID (ID de clé d'accès AWS) | Chaîne | N/A | Vrai | ID de clé d'accès AWS à utiliser dans l'intégration. |
| Clé secrète AWS | Mot de passe | N/A | Vrai | Clé secrète AWS à utiliser dans l'intégration. |
| Région AWS par défaut | Chaîne | N/A | Vrai | Région AWS par défaut à utiliser dans l'intégration, par exemple "us-west-2". |
| Niveau de gravité des résultats à ingérer | Chaîne | N/A | Non | Gravité des résultats à ingérer : Le paramètre accepte plusieurs valeurs sous forme de chaîne séparée par une virgule. Si rien n'est spécifié, le connecteur ingère tous les résultats, quelle que soit leur gravité. |
| Nombre maximal de résultats à récupérer | Integer | 50 | Non | Nombre de résultats à traiter par itération de connecteur. |
| Récupérer les heures Max en arrière | Integer | 1 | Non | Nombre d'heures avant l'heure actuelle pour récupérer les alertes. Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré. |
Use whitelist as a blacklist |
Case à cocher | Décochée | Oui | Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
La liste de blocage est désactivée par défaut.
Le connecteur est compatible avec la liste dynamique qui n'ingère que les résultats d'un type spécifique.
Le connecteur est compatible avec les proxys.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.