Mengintegrasikan Amazon Macie dengan Google SecOps
Dokumen ini menjelaskan cara mengintegrasikan Amazon Macie dengan Google Security Operations (Google SecOps).
Versi integrasi: 7.0
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| ID Kunci Akses AWS | String | T/A | Ya | ID Kunci Akses AWS yang akan digunakan dalam integrasi. |
| Kunci Rahasia AWS | Sandi | T/A | Ya | Kunci Rahasia AWS yang akan digunakan dalam integrasi. |
| Region Default AWS | String | T/A | Ya | Region default AWS yang akan digunakan dalam integrasi, misalnya us-west-1. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kotak untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dipilih, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Ping
Uji konektivitas.
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar atau Salah | is_success:False |
Repositori kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Amazon Macie service with the provided connection parameters!" (Berhasil terhubung ke layanan Amazon Macie dengan parameter koneksi yang diberikan.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error penting, seperti kredensial yang salah atau konektivitas yang hilang dilaporkan: "Gagal terhubung ke layanan Amazon Macie. Error adalah {0}".format(exception.stacktrace) |
Genera |
Membuat Daftar Temuan
Mencantumkan temuan Amazon Macie berdasarkan parameter input tindakan yang ditentukan.
Parameter
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Jenis Temuan | String | T/A | Tidak | Jenis temuan yang akan ditelusuri, misalnya SensitiveData:S3Object/Credentials atau SensitiveData:S3Object/Multiple. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. Jika tidak ada yang ditentukan, tindakan akan menampilkan semua jenis temuan. |
| Keparahan | String | 4 | Tidak | Tingkat keseriusan temuan yang akan ditelusuri - Tinggi, Sedang, atau Rendah. Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. Jika tidak ada yang ditentukan, tindakan akan menampilkan semua temuan terlepas dari tingkat keparahannya. |
| Sertakan Temuan yang Diarsipkan? | Kotak centang | Tidak dicentang | Tidak | Tentukan apakah akan menyertakan temuan yang diarsipkan dalam hasil atau tidak. |
| Jangka Waktu | Bilangan bulat | 4 | Tidak | Tentukan jangka waktu dalam jam untuk mengambil temuan. |
| Batas rekaman | Bilangan bulat | 20 | Tidak | Tentukan berapa banyak data yang dapat ditampilkan oleh tindakan. |
| Urutkan menurut | String | T/A | Tidak | Tentukan parameter untuk mengurutkan data. Contoh: updatedAt |
| Tata urutan | DDL | ASC | Tidak | Tata urutan. |
Kasus penggunaan
Mencantumkan temuan Amazon Macie untuk melihat temuan yang tersedia.
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar atau Salah | is_success:False |
Hasil JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"2741",
"content-type":"application/json",
"date":"Thu, 22 Oct 2020 11:08:58 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"2741",
"x-amzn-remapped-date":"Thu, 22 Oct ""2020 11:08:57 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"eaea00d2-11f8-40d8-adce-f6c9f17e9815",
"x-amzn-requestid":"4102349a-a5da-4bfc-ad78-40f48885985f"
},
"HTTPStatusCode":200,
"RequestId":"4102349a-a5da-4bfc-ad78-40f48885985f",
"RetryAttempts":0
},
"findings":[
{
"accountId":"ACCOUNT_ID",
"archived":false,
"category":"CLASSIFICATION",
"classificationDetails":{
"detailedResultsLocation":"s3://[export-config-not-set]/AWSLogs/ACCOUNT_ID/Macie/us-east-1/",
"jobArn":"arn:aws:macie2:us-east-1",
"jobId":"088009521d393eda440a24f3c7ad8fbd",
"result":{
"additionalOccurrences":false,
"customDataIdentifiers":{
"detections":[
],
"totalCount":0
},
"mimeType":"application/zip",
"sensitiveData":[
{
"category":"PERSONAL_INFORMATION",
"detections":[
{
"count":80,
"type":"PHONE_NUMBER"
},
{
"count":5,
"type":"ADDRESS"
},
{
"count":207,
"type":"NAME"
}
],
"totalCount":292
},
{
"category":"CREDENTIALS",
"detections":[
{
"count":5,
"type":"AWS_CREDENTIALS"
}
],
"totalCount":5
}
],
"sizeClassified":44213802,
"status":{
"code":"PARTIAL",
"reason":"ARCHIVE_CONTAINS_UNPROCESSED_FILES"
}
}
},
"count":1,
"createdAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())",
"description":"The object contains more than one type of ""sensitive information.",
"id":"FINDING_ID",
"partition":"aws",
"region":"us-east-1",
"resourcesAffected":{
"s3Bucket":{
"arn":"arn:aws:s3:::testexample",
"createdAt":datetime.datetime(2020,
9,
14,
10,
31,
56,
"tzinfo=tzutc())",
"defaultServerSideEncryption":{
"encryptionType":"NONE"
},
"name":"testexample",
"owner":{
"displayName":"lab_aws",
"id":"OWNER_ID"
},
"publicAccess":{
"effectivePermission":"PUBLIC",
"permissionConfiguration":{
"accountLevelPermissions":{
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
}
},
"bucketLevelPermissions":{
"accessControlList":{
"allowsPublicReadAccess":false,
"allowsPublicWriteAccess":false
},
"blockPublicAccess":{
"blockPublicAcls":false,
"blockPublicPolicy":false,
"ignorePublicAcls":false,
"restrictPublicBuckets":false
},
"bucketPolicy":{
"allowsPublicReadAccess":true,
"allowsPublicWriteAccess":false
}
}
}
},
"tags":[
]
},
"s3Object":{
"bucketArn":"arn:aws:s3:::testsiemplify",
"eTag":"8dfbe2ba101b3ca0a62f8fde823503b4-5",
"extension":"zip",
"key":"awscliv2.zip",
"lastModified":datetime.datetime(2020,
9,
28,
18,
47,
30,
"tzinfo=tzutc())",
"path":"testexample/awscliv2.zip",
"publicAccess":false,
"serverSideEncryption":{
"encryptionType":"NONE"
},
"size":33775890,
"storageClass":"STANDARD",
"tags":[
],
"versionId":""
}
},
"sample":false,
"schemaVersion":"1.0",
"severity":{
"description":"High",
"score":3
},
"title":"The S3 object contains multiple types of sensitive ""information.",
"type":"SensitiveData:S3Object/Multiple",
"updatedAt":datetime.datetime(2020,
10,
22,
3,
12,
9,
364000,
"tzinfo=tzutc())"
}
]
}
Repositori kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Temuan Amazon Macie ditemukan" Jika is_success=False, misalnya tidak ada temuan yang ditemukan: "No findings were returned". Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error penting, seperti kredensial yang salah atau konektivitas yang hilang dilaporkan: "Gagal terhubung ke layanan Amazon Macie. Error adalah {0}".format(exception.stacktrace) |
Umum |
| Tabel | Nama Tabel: Temuan Amazon Macie Kolom Tabel:
|
Umum |
Mendapatkan Temuan
Mendapatkan temuan Amazon Macie berdasarkan ID Temuan yang ditentukan.
Parameter
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| ID temuan | String | T/A | Ya | Menemukan ID untuk mendapatkan detail. Parameter dapat mengambil beberapa nilai sebagai string yang dipisahkan koma. |
Kasus Penggunaan
Dapatkan detail Temuan saat menganalisis pemberitahuan. Dalam hal ini, penemuan tidak akan "datar" seperti dari konektor, dan penemuan data mungkin lebih mudah diproses.
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar atau Salah | is_success:False |
Hasil JSON
{
"Policy": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AddPerm",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::testexample/*"
}
]
}
Repositori kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Temuan Amazon Macie ditemukan" Jika is_success=False, misalnya tidak ada temuan yang ditemukan: "No findings were returned". Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error penting, seperti kredensial yang salah atau konektivitas yang hilang dilaporkan: "Gagal terhubung ke layanan Amazon Macie. Error adalah {0}".format(exception.stacktrace) |
Umum |
| Tabel | Nama Tabel: Temuan Amazon Macie Kolom Tabel: |
Umum |
Membuat Pengenal Data Kustom
Buat Pengenal Data Kustom Amazon Macie.
Parameter
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Nama Pengenal Data Kustom | String | T/A | Ya | Nama ID data kustom baru Amazon Macie. |
| Deskripsi Pengenal Data Kustom | String | T/A | Tidak | Deskripsi ID data kustom baru Amazon Macie. |
| Ekspresi Reguler Pengenal Data Kustom | String | T/A | Ya | Ekspresi reguler ID data kustom baru Amazon Macie. Contoh: I[a@]mAB[a@]dRequest |
| Kata Kunci Pengenal Data Kustom | String | T/A | Tidak | Kata kunci ID data kustom baru Amazon Macie. |
| Kata yang Diabaikan Pengenal Data Kustom | String | T/A | Tidak | Kata yang diabaikan untuk ID data kustom baru Amazon Macie. |
| Jarak Kecocokan Maksimum Pengenal Data Kustom | Bilangan bulat | 50 | Tidak | Jarak kecocokan maksimum ID data kustom baru Amazon Macie. |
Kasus penggunaan
Buat ID data kustom Amazon Macie berdasarkan data yang diamati, sehingga ID data kustom baru dapat digunakan dalam tugas klasifikasi di kemudian hari.
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar atau Salah | is_success:False |
Hasil JSON
{
"ResponseMetadata":{
"HTTPHeaders":{
"connection":"keep-alive",
"content-length":"65",
"content-type":"application/json",
"date":"Mon, 26 Oct 2020 05:15:07 GMT",
"x-amz-apigw-id":"ID",
"x-amzn-remapped-content-length":"65",
"x-amzn-remapped-date":"Mon, 26 Oct ""2020 05:15:07 ""GMT",
"x-amzn-remapped-x-amzn-requestid":"61217a30-189e-4573-9f76-257b7065a04d",
"x-amzn-requestid":"509e1c12-ab86-459e-9d6d-790a359686b2"
},
"HTTPStatusCode":200,
"RequestId":"509e1c12-ab86-459e-9d6d-790a359686b2",
"RetryAttempts":0
},
"customDataIdentifierId":"ff43487b-5643-4de1-b651-9ecbeb3021ed"
}
Repositori kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "ID data kustom Amazon Macie baru dibuat: {0}".format(new identifier_id from response) Jika is_success=False, misalnya tidak ada temuan yang ditemukan: "Failed to create Amazon Macie Identifier. Errornya adalah: {0}".format(error dari respons) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error penting, seperti kredensial yang salah atau konektivitas yang hilang dilaporkan: "Gagal terhubung ke layanan Amazon Macie. Error adalah {0}".format(exception.stacktrace) |
Umum |
Menghapus Pengenal Data Kustom
Menghapus Pengenal Data Kustom Amazon Macie.
Parameter
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| ID Pengenal Data Kustom | String | T/A | Tidak | ID pengenal data kustom Amazon Macie yang akan dihapus. |
Kasus Penggunaan
Menghapus Pengenal Data Kustom Amazon Macie.
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar atau Salah | is_success:False |
Repositori kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Amazon Macie custom data identifier {0} deleted".format(custom data identifier id) Jika is_success=False, misalnya tidak ada temuan yang ditemukan: "Gagal menghapus ID Amazon Macie {0}. Errornya adalah: {1}".format(ID pengenal data kustom, error dari respons) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error penting, seperti kredensial yang salah atau konektivitas yang hilang dilaporkan: "Gagal terhubung ke layanan Amazon Macie. Error adalah {0}".format(exception.stacktrace) |
Umum |
Mengaktifkan Macie
Aktifkan layanan Amazon Macie.
Parameter
T/A
Kasus penggunaan
Aktifkan Amazon Macie setelah jendela layanan selesai.
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar atau Salah | is_success:False |
Repositori kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully enabled Amazon Macie service" (Layanan Amazon Macie berhasil diaktifkan) If is_success=False: "Failed to enable Amazon Macie service. Errornya adalah: {0}".format(error dari respons) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error penting, seperti kredensial yang salah atau konektivitas yang hilang dilaporkan:"Gagal terhubung ke layanan Amazon Macie. Error adalah {0}".format(exception.stacktrace) |
Umum |
Menonaktifkan Macie
Nonaktifkan layanan Amazon Macie.
Kasus Penggunaan
Nonaktifkan Amazon Macie untuk jendela layanan - untuk membuat beberapa perubahan di bucket AWS dan tidak menyebabkan banyak positif palsu.
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar atau Salah | is_success:False |
Repositori kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully disabled Amazon Macie service" (Berhasil menonaktifkan layanan Amazon Macie) If is_success=False: "Failed to disable Amazon Macie service. Errornya adalah: {0}".format(error dari respons) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error penting, seperti kredensial yang salah atau konektivitas yang hilang dilaporkan: "Gagal terhubung ke layanan Amazon Macie. Error adalah {0}".format(exception.stacktrace) |
Umum |
Konektor
Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Amazon Macie - Findings Connector
Menyerap temuan Amazon Macie.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | T/A | Ya |
Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
| Nama Kolom Peristiwa | String | T/A | Ya | Nama kolom yang menentukan nama peristiwa (subjenis). |
| Nama Kolom Lingkungan | String | T/A | Tidak | Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. |
Environment Regex Pattern |
String | T/A | Tidak |
Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini. |
| ID Kunci Akses AWS | String | T/A | Benar | ID Kunci Akses AWS yang akan digunakan dalam integrasi. |
| Kunci Rahasia AWS | Sandi | T/A | Benar | Kunci Rahasia AWS yang akan digunakan dalam integrasi. |
| Region Default AWS | String | T/A | Benar | Region default AWS yang akan digunakan dalam integrasi, misalnya us-west-2. |
| Menemukan tingkat keparahan yang akan diproses | String | T/A | Tidak | Menemukan tingkat keparahan untuk diproses - Parameter menerima beberapa nilai sebagai string yang dipisahkan koma. Jika tidak ada yang ditentukan, konektor akan menyerap semua temuan terlepas dari tingkat keparahannya. |
| Jumlah temuan maksimum yang akan diambil | Bilangan bulat | 50 | Tidak | Jumlah temuan yang akan diproses per satu iterasi konektor. |
| Mengambil Mundur Jam Maksimum | Bilangan bulat | 1 | Tidak | Jumlah jam sebelum saat ini untuk mengambil pemberitahuan. Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir. |
Use whitelist as a blacklist |
Kotak centang | Tidak dicentang | Ya | Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan Konektor
Daftar blokir dinonaktifkan secara default.
Konektor mendukung daftar dinamis yang hanya menyerap temuan jenis tertentu.
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.